O Banco Central (BC) suspendeu cautelarmente, nesta sexta-feira (5), mais três instituições financeiras do sistema Pix por suspeita de envolvimento no ataque cibernético contra a empresa C&M Software. O crime resultou no desvio de pelo menos R$ 530 milhões de contas reservas mantidas por bancos na autoridade monetária.
As novas empresas suspensas são Voluti Gestão Financeira, Brasil Cash e S3 Bank. Anteriormente, o BC já havia desconectado a Transfeera, Soffy e Nuoro Pay, totalizando seis instituições temporariamente fora do sistema de pagamentos instantâneos.
A medida tem caráter preventivo e foi tomada com base no Artigo 95-A da Resolução nº 30/2020 do Banco Central, que autoriza a suspensão imediata de participantes do Pix em casos que possam colocar em risco a segurança e o funcionamento do sistema. O prazo inicial da suspensão é de 60 dias, podendo ser prorrogado ou revertido conforme o andamento das investigações.
Proteção ao sistema
Em nota, o Banco Central afirmou que o objetivo da suspensão é “proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo”, enquanto as apurações sobre o ataque são conduzidas. O episódio ocorreu na noite de terça-feira (1º), quando hackers invadiram os sistemas da empresa C&M Software, prestadora de serviços tecnológicos para instituições financeiras.
A C&M não realiza transações diretamente, mas atua como ponte entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), operado pelo BC. Após a invasão, os criminosos conseguiram transferir valores por meio do Pix e, em seguida, converter os recursos em criptomoedas para dificultar o rastreamento.
Investigação em curso
A Polícia Federal, a Polícia Civil de São Paulo e o próprio Banco Central estão à frente das investigações. Na quinta-feira (4), a C&M foi autorizada a retomar as operações com o Pix. No entanto, nesta sexta (5), a Polícia Civil paulista prendeu um funcionário da empresa, acusado de facilitar o ataque. O colaborador teria recebido R$ 15 mil para fornecer senhas e criar um sistema de acesso remoto aos hackers.
O suspeito confessou ter entregado a senha por R$ 5 mil e recebido mais R$ 10 mil para desenvolver o acesso que possibilitou o roubo milionário.
Posicionamentos
Das seis empresas afetadas pela suspensão, apenas a Transfeera se manifestou publicamente até o momento. Em nota, a instituição — autorizada pelo BC — informou que a funcionalidade Pix está temporariamente indisponível, mas ressaltou que “nenhum cliente ou serviço adicional foi afetado” e que está colaborando com as autoridades.
As fintechs Soffy e Nuoro Pay, que atuam em parceria com outras instituições financeiras e não são diretamente autorizadas pelo BC, não comentaram a suspensão. O mesmo vale para Voluti, Brasil Cash e S3 Bank, que também não responderam aos contatos feitos pela imprensa.
Próximos passos
Com as investigações em andamento, o Banco Central deve manter monitoramento rigoroso sobre os participantes do Pix, visando evitar vulnerabilidades que comprometam a segurança do sistema — que se tornou um dos principais meios de pagamento do país. A retomada das operações pelas empresas suspensas dependerá da conclusão das apurações e da comprovação de que não houve falhas ou conivência com o esquema criminoso.
