Um dos maiores golpes cibernéticos da história do sistema financeiro brasileiro abalou a confiança no Pix. A invasão atingiu a empresa C&M Software, responsável por intermediar transações entre instituições financeiras e o Banco Central. Em apenas algumas horas, criminosos desviaram centenas de milhões de reais das chamadas “contas reservas” usadas para liquidação do Pix.
O que aconteceu?
Na madrugada do dia 30 de junho de 2025, hackers acessaram o sistema da C&M Software e iniciaram centenas de transações fraudulentas em valores que variaram de R$ 200 mil até mais de R$ 270 milhões cada.
O prejuízo total estimado pelos investigadores vai de R$ 541 milhões até mais de R$ 800 milhões, dependendo da fonte consultada. Um funcionário interno, João Nazareno Roque, foi identificado como facilitador do roubo, ao vender suas credenciais por R$ 15 mil. Ele já foi preso e confessou ter sido induzido por criminosos.
Quem foi afetado?
Pelo menos seis instituições financeiras que utilizavam os serviços da C&M foram impactadas, incluindo a BMP, que perdeu cerca de R$ 541 milhões, além de bancos como o Banco Paulista, Credsystem e até uma igreja evangélica. Embora os dados de clientes não tenham sido comprometidos, os sistemas dessas instituições tiveram transações bloqueadas e ficaram temporariamente fora do ar.
Por que esse ataque chocou o setor?
Este caso é considerado o maior ataque contra o sistema de pagamentos instantâneos do país. Diferente de golpes convencionais, os criminosos exploraram um ponto fraco na cadeia de suprimento tecnológica, usando credenciais legítimas para efetuar transferências autorizadas — um modelo de fraude conhecido como ataque à cadeia de fornecimento ou supply chain attack.
Especialistas alertam que a sofisticada engenharia social usada, aliada à falta de controles prévios, expôs vulnerabilidades sistêmicas graves.
Reação das autoridades
A Polícia Civil de São Paulo liderou a investigação e bloqueou aproximadamente R$ 270 milhões em contas relacionadas ao esquema. O Banco Central suspendeu temporariamente as operações da C&M Software até que novas medidas de segurança fossem implementadas.
As autoridades trabalham agora para identificar todos os envolvidos e recuperar parte do valor desviado. A pressão por reforço na governança digital em ambientes financeiros cresceu e motiva agenda regulatória urgente.
Perguntas Frequentes (FAQ)
Quanto foi desviado no ataque ao Pix?
O valor total estimado varia entre R$ 541 milhões e mais de R$ 800 milhões, dependendo da fonte e do escopo investigado pelas autoridades.
Quem facilitou o ataque?
Um funcionário da C&M Software vendeu credenciais de acesso por R$ 15 mil a criminosos, permitindo as transações fraudulentas.
Quais instituições foram afetadas?
Instituições como BMP, Banco Paulista, Credsystem e até uma igreja evangélica tiveram contas afetadas ou interrupções nas operações via Pix.
Isso impactou contas de clientes?
Não. O golpe atingiu apenas as contas de reserva usadas para liquidação entre bancos; os saldos de clientes não foram comprometidos.
Qual a principal lição do ataque?
A dependência de fornecedores terceirizados sem segurança robusta pode expor o sistema financeiro a riscos sistêmicos, mesmo sem falhas diretas nos sistemas principais.
