Ataque hacker via Pix expõe falhas em terceirizada do BC; prejuízo pode chegar a R$ 3 bilhões

O ataque cibernético que atingiu o sistema financeiro brasileiro na última terça-feira (1º) já é considerado um dos mais sofisticados e devastadores da história do país. João Nazareno Roque, funcionário da empresa C&M Software — terceirizada homologada pelo Banco Central — foi preso na noite desta quinta-feira (3) em São Paulo após confessar que deu acesso direto a hackers por meio de seu terminal de trabalho. A fraude resultou em um prejuízo estimado que pode superar R$ 3 bilhões.

Segundo o Departamento Estadual de Investigações Criminais (Deic), o ataque foi realizado por meio da estrutura digital da C&M, que faz a ponte entre fintechs, bancos menores e o Sistema de Pagamentos Brasileiro (SPB). Com o acesso facilitado por Roque, os criminosos conseguiram movimentar enormes volumes de dinheiro a partir das chamadas contas de reserva — usadas para liquidação entre instituições financeiras — via transferências instantâneas por Pix.

Apenas da empresa BMP, especializada em soluções de banking as a service, o desvio chegou a R$ 400 milhões. Ao todo, pelo menos oito instituições foram atingidas, o que gerou um colapso momentâneo em partes do sistema de pagamentos e acendeu alertas no Banco Central.

Apesar de o sistema do BC não ter sido diretamente invadido, o incidente escancarou vulnerabilidades nas camadas intermediárias do ecossistema financeiro, especialmente nos Provedores de Serviços de Tecnologia da Informação (PSTIs), como a C&M. Esses provedores são responsáveis por intermediar, em tempo real, operações entre bancos e o BC, incluindo TEDs e Pix.

A Polícia Federal também conduz um inquérito paralelo, tentando mapear o caminho do dinheiro, identificar cúmplices e possíveis organizações criminosas envolvidas. De acordo com investigadores, os valores foram pulverizados em dezenas de contas simultaneamente, o que complica o rastreamento e recuperação dos recursos.

A situação deve forçar uma revisão nos protocolos de segurança dos PSTIs e reacender o debate sobre os riscos da terceirização na infraestrutura crítica do sistema financeiro. Enquanto isso, o Banco Central e as autoridades buscam formas de conter os danos e restaurar a confiança na segurança das transações digitais no país.