Banco Central suspende mais três instituições do Pix após ataque cibernético

O Banco Central suspendeu preventivamente, por 60 dias, mais três instituições financeiras do sistema Pix: Voluti Gestão Financeira, Brasil Cash e S3 Bank. A decisão foi tomada após indícios de que essas empresas possam ter recebido recursos desviados no recente ataque cibernético à provedora de tecnologia C&M Software. Com isso, o número de instituições afastadas do sistema chega a seis — já haviam sido suspensas anteriormente a Transfeera, a Soffy e a Nuoro Pay.

A medida está amparada no Artigo 95-A da Resolução nº 30 do BC, de 2020, que autoriza a suspensão cautelar de participantes do Pix cujas condutas coloquem em risco o funcionamento do sistema de pagamentos. O objetivo, segundo o Banco Central, é proteger a integridade do arranjo e garantir a segurança até que as investigações sejam concluídas.

O ataque ocorreu na noite de 1º de julho, quando criminosos acessaram os sistemas da C&M Software — empresa que conecta instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), mas não opera diretamente transações financeiras — e desviaram valores das contas reservas que os bancos mantêm no BC. Estima-se que ao menos R$ 530 milhões tenham sido subtraídos e convertidos em criptomoedas via transações Pix.

A Transfeera, uma das empresas afetadas pela suspensão, confirmou a limitação temporária no uso do Pix, mas garantiu que os demais serviços seguem funcionando normalmente e que está colaborando com as autoridades. Já Soffy e Nuoro Pay, fintechs que operam no Pix por meio de parcerias com outras instituições, não haviam se manifestado até o momento, assim como Voluti, Brasil Cash e S3 Bank.

Na última quinta-feira (3), o Banco Central autorizou a C&M Software a retomar suas operações via Pix. Contudo, as investigações continuam, envolvendo a Polícia Federal, a Polícia Civil de São Paulo e o próprio BC.

Durante as apurações, a Polícia Civil de São Paulo prendeu um funcionário da C&M acusado de facilitar o ataque. Ele teria recebido R$ 5 mil para fornecer uma senha de acesso e mais R$ 10 mil para desenvolver um sistema que permitisse aos hackers operarem remotamente os sistemas da empresa. O suspeito confessou envolvimento no esquema.

A C&M Software afirmou que nenhum dado de cliente foi vazado durante o ataque. As investigações seguem para identificar outros envolvidos e rastrear os valores desviados.