Ataque cibernético ao Pix: Banco Central suspende mais 3 instituições após desvio de R$ 530 milhões

 

BC age para proteger sistema após desvio recorde e prisão de funcionário da empresa atacada

O Banco Central (BC) suspendeu cautelarmente três novas instituições financeiras suspeitas de envolvimento no ataque cibernético contra a empresa de tecnologia C&M Software, que resultou no desvio de pelo menos R$ 530 milhões via Pix.

As novas instituições suspensas são: Voluti Gestão Financeira, Brasil Cash e S3 Bank. Anteriormente, já haviam sido desconectadas do sistema as fintechs Transfeera, Soffy e Nuoro Pay.

Suspensão preventiva por 60 dias para evitar novos riscos

A medida, prevista no Artigo 95-A da Resolução 30 do BC (outubro de 2020), tem duração de 60 dias e visa proteger a integridade do Pix, suspendendo temporariamente instituições cuja conduta possa colocar em risco o funcionamento do sistema de pagamentos instantâneos.

O BC investiga se essas empresas têm ligação direta ou indireta com o ataque, que utilizou recursos das contas reservas dos bancos mantidas no Banco Central, transferidos via Pix e convertidos em criptomoedas.

Empresas se posicionam e investigações avançam

A fintech Transfeera confirmou a suspensão da funcionalidade Pix, mas garantiu que os demais serviços seguem normalmente. As outras empresas não se manifestaram até o momento.

O ataque ocorreu na noite de terça-feira (1º), quando hackers acessaram os sistemas da C&M Software, que conecta instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB). Apesar de não operar transações financeiras diretamente, a C&M atua como intermediária tecnológica.

Na quinta-feira (3), o BC autorizou a retomada das operações Pix pela C&M, após garantias de segurança.

Prisão e envolvimento interno

A Polícia Federal e a Polícia Civil de São Paulo, em parceria com o BC, investigam o caso. Na sexta-feira (4), foi preso um funcionário da C&M que confessou ter recebido R$ 15 mil para fornecer acesso aos hackers — R$ 5 mil pela senha e R$ 10 mil para criar um sistema de acesso.

A empresa C&M informou que nenhum dado de cliente foi vazado, apesar do ataque.