SÃO PAULO, SP, E BRASÍLIA, DF (FOLHAPRESS) – A Polícia Civil de São Paulo prendeu na quinta-feira (3), na zona norte de São Paulo, um suspeito de participação no ataque cibernético que causou prejuízo de cerca de R$ 1 bilhão a oito instituições financeiras.
A ação criminosa deflagrada na madrugada de segunda-feira (30) invadiu os sistemas da companhia C&M Software, que presta serviços de integração entre bancos e fintechs ao sistema Pix. O suspeito é um funcionário da empresa de tecnologia, segundo a Polícia Civil.
O crime é investigado pelo Deic (Departamento Estadual de Investigações Criminais) e pela Polícia Federal. A detenção foi conduzida por equipes da 2ª Divisão de Crimes Cibernéticos. A PF disse que não participou da operação e que a apuração segue sob sigilo.
Segundo policiais do Deic, o principal articulador do ataque cibernético foi um funcionário da C&M. Ele repassou a senha a outros indivíduos que fizeram as transferências dos valores. A ação permitiu o bloqueio de R$ 270 milhões de uma conta utilizada para recepcionar parte do dinheiro.
O detido confessou ter sido aliciado. O departamento afirma que continua a investigação para identificar e prender os demais envolvidos.
Em nota, a C&M Software diz que as evidências apontam que o incidente decorreu de táticas para enganar funcionários de forma a induzir o compartilhamento indevido de credenciais de acesso, não de falhas nos sistemas ou na tecnologia da empresa.
“A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025.”
O Banco Central, em nota, afirma que “nem a C&M, nem os seus representantes e empregados, atuam como seus terceirizados ou com ele mantêm vínculo contratual de qualquer espécie”.
“A empresa é uma prestadora de serviços para instituições provedoras de contas transacionais.”
A BMP, que sofreu um prejuízo de R$ 500 milhões, diz que foi informada da prisão preventiva do suspeito no envolvimento do ataque hacker e acompanha de perto os avanços das investigações.
BANCO CENTRAL SUSPENDE FINTECHS
O Banco Central suspendeu as ligações das instituições de pagamento Transfeera, Nuoro Pay e Sofffy ao sistema Pix, por suspeita de envolvimento com o incidente cibernético.
Contas nessas três fintechs receberam grandes volumes do dinheiro desviado durante o ataque de segunda. A informação foi divulgada em comunicado ao mercado na manhã desta quinta-feira.
COMO FOI O ATAQUE
A invasão hacker ocorreu na madrugada de segunda-feira (30), mas a autoridade monetária só foi informada do problema na terça (1º). A Polícia Federal foi acionada e abriu inquérito na quarta (2) para investigar o ataque hacker.
O ataque desviou cerca de R$ 1 bilhão de recursos mantidos no Banco Central. Segundo a principal empresa brasileira de segurança cibernética, o Grupo FS, esse foi o maior evento do tipo já registrado no Brasil.
O caso está com a 2ª Delegacia DCCiber (Investigações sobre Fraudes Contra Instituições Financeiras) desde 30 de julho.
Após a identificação de um dos operadores do golpe, a Justiça decretou a prisão do envolvido e autorizou busca e apreensão. Os mandados foram cumpridos no bairro Parada de Taipas. O funcionário da empresa, que tinha acesso a todo o protocolo operacional, admitiu ter fornecido as senhas.
Segundo pessoas que acompanham o caso, ouvidas pela Folha, do rombo de cerca de R$ 1 bilhão envolvendo oito instituições, R$ 500 milhões pertenciam a uma única cliente da C&M. A notícia do desvio foi antecipada pelo Brazil Journal.
A empresa de tecnologia que sofreu o ataque hacker administra a troca de informações entre instituições brasileiras ligadas ao SPB (Sistema de Pagamentos Brasileiro), incluindo o ambiente do Pix. Entre os seus clientes estão grandes companhias brasileiras como os bancos Bradesco e XP, que afirmam não terem sido afetados pelo incidente.
O ataque não atingiu a infraestrutura do Pix, que segue operando normalmente. A equipe técnica do BC está apurando quanto foi possível recuperar da cifra desviada, mas o montante é de cerca de 2%, segundo análise preliminar.
O serviço da C&M Software foi desligado na terça-feira após o ataque, sendo restabelecido parcialmente nesta quinta-feira (3). As operações da empresa poderão ser restabelecidas em dias úteis, das 6h30 às 18h30.
O BC condicionou a liberação à “anuência expressa da instituição participante do Pix” e ao “robustecimento do monitoramento de fraudes e limites transacionais.”
“A decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes”, afirmou a autarquia.
Durante esse período de operação parcial, a equipe técnica do Banco Central fará um monitoramento mais ativo das instituições que utilizam o serviço da C&M Software.
PEDRO S. TEIXEIRA, NATHALIA GARCIA E PAULO EDUARDO DIAS / Folhapress
