O que ocorreu com o Pix

Na última semana, o Banco Central (BC) determinou a suspensão temporária de três instituições financeiras do sistema Pix, após um ataque cibernético à provedora C&M Software em 1º de julho de 2025. A medida visa proteger a integridade do sistema de pagamentos instantâneos brasileiro.

Como funciona o ataque

O golpe ocorreu quando hackers, com o auxílio de um funcionário da C&M, acessaram credenciais legítimas e transferiram recursos das contas reserva no BC via Pix, convertendo parte em criptomoedas. O valor desviado varia entre R$ 530 milhões e R$ 1 bilhão.

Sinais de alerta / Como identificar

As instituições suspensas são Voluti Gestão Financeira, Brasil Cash e S3 Bank, que se somam a Transfeera, Soffy e Nuoro Pay – totalizando seis entidades desconectadas por até 60 dias, conforme previsto no Artigo 95-A da Resolução 30/2020 do BC. A suspensão impede que essas empresas realizem transações via Pix enquanto durarem as investigações.

O que fazer agora / Como se proteger

A Polícia Civil de São Paulo já prendeu o funcionário que teria recebido R$ 15 mil para facilitar o ataque, entregando senhas e instalando um "backdoor" para os criminosos. O BC, a Polícia Federal e a Polícia Civil continuam investigando a origem e o alcance do incidente.

Prevenção / Boas práticas

Dica de prevenção: Para evitar fraudes semelhantes, as instituições devem implementar:

1. Controle rígido de acesso e segregação de funções, evitando que credenciais sensíveis fiquem centralizadas em uma única pessoa.
2. Monitoramento contínuo de logs e alertas de comportamento anômalo, com detecção imediata de acessos indevidos.
3. Revisão periódica de credenciais e privilégios, especialmente em prestadores de serviço integrados ao sistema financeiro.
4. Planos de resposta a incidentes que incluam desligamento emergencial de acessos de fornecedores quando detectadas atividades suspeitas.

Esse incidente mostra que, mesmo o robusto ecossistema do Pix, depende da segurança de terceiros conectados ao SPB. A LC SEC oferece serviços de avaliação de riscos em fornecedores, monitoramento em tempo real e resposta a incidentes, garantindo proteção do início ao fim. Fortaleça sua empresa e minimize riscos — conheça nossos serviços em lcsec.io.

Perguntas frequentes

Quais instituições foram suspensas pelo Banco Central?

As instituições suspensas são Voluti Gestão Financeira, Brasil Cash e S3 Bank, que se somam a Transfeera, Soffy e Nuoro Pay.

Qual o valor desviado no ataque?

O valor desviado varia entre R$ 530 milhões e R$ 1 bilhão.

O que aconteceu com o funcionário da C&M Software?

A Polícia Civil de São Paulo prendeu o funcionário que facilitou o ataque, recebendo R$ 15 mil para isso.

Como as instituições podem se proteger contra fraudes?

As instituições devem implementar controle rígido de acesso, monitoramento contínuo e revisão periódica de credenciais.