O Banco Central suspendeu o acesso ao sistema Pix de mais três instituições de pagamento, no contexto das investigações do ataque cibernético contra a prestadora de serviço de tecnologia C&M Software, segundo comunicado enviado ao mercado na noite de sexta-feira (4). Agora são seis instituições sem acesso.
A medida preventiva é contra Voluti Gestão Financeira, Brasil Cash e S3 Bank, que se somam a Transfeera, Nuoro Pay e Soffy, suspensas pela autoridade monetária na quinta-feira (3).
Contas nas seis fintechs receberam parte do dinheiro desviado durante o ataque de segunda —há estimativas de que os criminosos furtaram cerca de R$ 1 bilhão. Apenas a BMP Money Plus perdeu R$ 541 milhões, de acordo com investigações da Polícia Cilvil de São Paulo.
A suspensão tem duração máxima de 60 dias, de acordo com resolução do BC que estabeleceu a lei do Pix. A autoridade monetária pode “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos.”
A Transfeera afirma que suas operações seguem funcionando normalmente, com exceção do Pix. “Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo.”
A Nuoro Pay diz que respeita as normas do Banco Central e reafirma a sua postura colaborativa, com respostas tempestivas e transparentes. “A Nuoro mantém diálogo com as áreas técnicas do Banco Central e informa que medidas legais e administrativas estão em curso, permanecendo à disposição para colaborar com a elucidação dos fatos e com a expectativa de breve restabelecimento de sua normalidade operacional.”
Do montante furtado pelo grupo criminoso, R$ 270 milhões foram parar em conta da Soffy, de acordo com o pedido da Polícia Civil à Justiça paulista.
A Soffy diz que a conta que recebeu esse valor não é de sua titularidade, e sim de um cliente parceiro —outra fintech, não revelada no comunicado. “Esse terceiro utilizava nossa infraestrutura tecnológica, atuando de forma totalmente autônoma e independente.”
A Soffy diz que, desde que tomou ciência dos fatos, “bloqueou imediatamente a conta em questão e notificou o cliente parceiro responsável pela abertura, em linha com seu rigoroso protocolo de segurança”.
A Voluti afirma que acionou, assim que foi informada, seus sistemas internos de monitoramento antifraude e adotou medidas preventivas imediatas. A empresa diz, então, ter bloqueado as contas e valores suspeitos que ainda tinham saldo relevante, comunicado os órgãos competentes e devolvido as quantias por meio do MED.
A Brasil Cash afirma que a suspensão temporária dos serviços de envio e recebimento de Pix foi determinada pelo Banco Central como medida de precaução. “A Brasil Cash está atuando com total transparência junto ao Banco Central, contribuindo com as apurações e implementando reforços adicionais de segurança, inclusive com ajustes nos fluxos de operação do Pix para finais de semana e período noturno.”
O S3 Bank não respondeu às tentativas de contato da Folha.
A autoridade monetária avalia a suspensão cautelar de outras instituições por desrespeito às regras do Pix.
COMO ACONTECEU
A polícia diz que o funcionário da C&M Software João Nazareno Roque, 48, afirmou ter sido cooptado em março e ter conversado com ao menos quatro pessoas diferentes, que não se identificaram. De acordo com o delegado, ele afirma ter se encontrado pessoalmente com apenas um deles, em um bar, em Pirituba, na zona norte da capital paulista.
Segundo o delegado responsável pela investigação, Renato Topan, o funcionário detido era técnico em informática da C&M Software, tem renda declarada de R$ 2.500 e mora no conjunto habitacional City Jaraguá, em Pirituba. “Assim que se deu mandado de busca e apreensão, foram apreendidos celulares, computadores, uma agenda com scripts, mas não havia indicativo de criptoativo”, afirma.
Ainda de acordo com Topan, o CEO da BMP, Carlos Benitez, foi alertado de uma grande transação às 4h de segunda. As transferências fraudulentas continuaram até as 7h. A BMP foi a única empresa afetada que registrou boletim de ocorrência.
A polícia diz que a C&M Software, segundo o que foi apurado até o momento, não pode ser acusada criminalmente pelo incidente cibernético.
Em nota, a C&M Software afirma que “segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025”.
