O fato: Um ataque cibernético contra a conta da empresa BMP no Banco Central resultou no desvio de R$ 541 milhões em mais de 100 transações via Pix, envolvendo 29 instituições financeiras. A ofensiva, revelada pela Polícia Civil de São Paulo, teve como principal destino a instituição de pagamentos Soffy, que recebeu R$ 271 milhões em 69 das 166 transferências realizadas. O caso expôs falhas graves na operação de segurança de sistemas financeiros interligados à plataforma Pix.
Diante da gravidade do episódio, o Banco Central determinou a suspensão temporária – por até 60 dias – das operações via Pix em seis instituições, incluindo a própria Soffy. A medida visa apurar eventuais descumprimentos das normas de segurança e mitigar novos riscos. A decisão atinge apenas empresas que apresentaram comportamento suspeito ou dificuldades em seguir os protocolos antifraude. Aqueles que bloquearam parte dos valores desviados ou seguiram os procedimentos corretamente não estão sendo investigados.
Detalhes: A Polícia identificou que a invasão se deu por meio da empresa C&M Software, responsável pela intermediação do Pix para diversas instituições financeiras. O técnico de informática João Nazareno Roque, ex-funcionário da C&M, foi preso sob a acusação de ter recebido R$ 15 mil para fornecer credenciais e instalar códigos maliciosos. Ele é, até agora, o único detido, enquanto outros quatro suspeitos estão sendo procurados.
O CEO da BMP, Carlos Benitez, relatou que a equipe da empresa foi alertada às 4h da manhã por um repasse de R$ 18 milhões. Três horas depois, a movimentação atípica foi interrompida. Segundo ele, os clientes não foram afetados, pois havia liquidez de R$ 600 milhões e garantias que cobriam as perdas. Benitez afirmou ainda que R$ 160 milhões já foram recuperados por meio do Mecanismo Especial de Devolução (Med) do Pix.
Além da BMP, contas de reservas financeiras de outras sete instituições operadas pela C&M também foram atingidas, elevando o prejuízo estimado para cerca de R$ 1 bilhão. Até o momento, apenas a BMP formalizou denúncia com boletim de ocorrência.
Conclusão: O Banco Central reiterou que sua infraestrutura não foi comprometida e que as contas afetadas são de responsabilidade das instituições, não fazendo parte do sistema operacional do BC. Em nota, a C&M Software declarou que está colaborando com as investigações e reforçou seus protocolos de segurança.
A Polícia Civil segue com o rastreamento dos valores transferidos e a identificação de outros envolvidos.
