O Banco Central (BC) suspendeu cautelarmente nesta sexta-feira (4) outras três instituições financeiras do sistema Pix, após identificar possíveis envolvimentos com o ataque cibernético à empresa de tecnologia C&M Software, que resultou no desvio de pelo menos R$ 530 milhões. A decisão atinge a Voluti Gestão Financeira, a Brasil Cash e o S3 Bank.

Com isso, já são seis instituições afastadas temporariamente do Pix, anteriormente, haviam sido suspensas a Transfeera, a Soffy e a Nuoro Pay.

A medida tem validade de 60 dias e foi tomada com base no Artigo 95-A da Resolução nº 30 do BC, que permite a suspensão de participantes do arranjo de pagamentos sempre que houver risco à integridade do sistema.

Em nota, o Banco Central informou que a decisão é preventiva, com o objetivo de proteger o funcionamento do sistema de pagamentos e a segurança do Pix, até a conclusão das investigações sobre o ataque.

Investigação em andamento

O ataque foi registrado na terça-feira (1º), e atingiu os sistemas da C&M Software, responsável por conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB). Os recursos desviados das contas de reserva bancária foram transferidos via Pix e rapidamente convertidos em criptomoedas.

Embora a C&M não opere diretamente transações financeiras, sua função de integração entre bancos e o BC a torna peça central no sistema.

Na quinta-feira (3), o Banco Central autorizou a C&M a retomar suas operações com o Pix, após a adoção de medidas de segurança adicionais.

Prisão e cooperação

A Polícia Civil de São Paulo prendeu um funcionário da C&M suspeito de facilitar o ataque. Ele teria recebido R$ 15 mil para fornecer acesso ao sistema da empresa. Segundo a investigação, o colaborador passou a senha por R$ 5 mil e recebeu outros R$ 10 mil para criar um acesso alternativo que foi utilizado pelos hackers.

A Polícia Federal, a Polícia Civil e o próprio Banco Central continuam investigando o caso. Em comunicado, a C&M Software afirmou que nenhum dado de cliente foi vazado.
Posição das instituições

A Transfeera confirmou a suspensão de sua função Pix, mas disse que os demais serviços seguem operando normalmente. A empresa afirmou que nem ela, nem seus clientes, foram afetados diretamente e que está colaborando com as autoridades para restabelecer o serviço.

As fintechs Soffy e Nuoro Pay, que atuam como participantes indiretas do Pix, ainda não se pronunciaram. O mesmo vale para a Voluti, a Brasil Cash e o S3 Bank, que também foram procuradas pela reportagem da TV Brasil, mas não responderam até o momento.