Pix sob ataque: megafraude acende alerta e escancara falhas no sistema financeiro

Pix sob ataque: megafraude acende alerta e escancara falhas no sistema financeiro
Especialistas em segurança digital apontam a falta de maturidade cibernética no país e a necessidade de abordagens colaborativas e regulatórias mais rígidas/Freepik
Publicado em 07/07/2025 às 3:00

Da redação de LexLegal

O ataque cibernético à empresa de tecnologia C&M Software, registrado na madrugada de 1º de julho de 2025, reacendeu o alerta sobre as vulnerabilidades digitais que afetam diretamente setores críticos da economia brasileira, como o financeiro, o jurídico e o de serviços corporativos. O caso, considerado o maior golpe digital já registrado contra instituições financeiras no país, expôs falhas nos sistemas de segurança de empresas que operam integrações com o Banco Central e também trouxe à tona a necessidade urgente de uma regulação mais eficiente e de uma cultura nacional voltada à proteção cibernética.

Leia também: Justiça de SP inicia intimações judiciais por WhatsApp

O ataque ocorreu através do acesso indevido aos sistemas da C&M Software, empresa que intermedia transações via Pix entre bancos e o Banco Central. De forma automatizada, criminosos realizaram 166 transferências bancárias no decorrer da madrugada, desviando aproximadamente R$ 541 milhões. Segundo fontes da investigação, cerca de R$ 270 milhões já foram bloqueados judicialmente em contas suspeitas, o que representa quase metade do montante fraudado.

Em resposta rápida, a Polícia Civil de São Paulo identificou e prendeu um dos envolvidos: João Nazareno Roque, de 48 anos, operador de TI da C&M Software. Em depoimento, ele admitiu ter fornecido à quadrilha o seu login e senha em troca de R$ 15 mil. O contato com os criminosos teria ocorrido ainda em março, na saída de um bar. Durante buscas, diversos equipamentos eletrônicos foram apreendidos e estão sendo periciados.

A investigação agora se concentra na análise de 29 empresas que receberam transferências milionárias via Pix. Segundo relatório enviado pela BMP, instituição de pagamento diretamente prejudicada pelo golpe, essas companhias estão sendo analisadas para apurar se atuaram como laranjas, se participaram ativamente do esquema ou se tiveram suas contas utilizadas sem conhecimento prévio.

Especialistas em segurança digital, mercado financeiro e seguros apontam que o caso da C&M evidencia um problema mais amplo: a falta de maturidade cibernética no país e a necessidade de abordagens colaborativas e regulatórias mais rígidas.

“Em um ecossistema digital cada vez mais interconectado, uma falha na segurança de um parceiro de negócio pode impactar toda a cadeia de qualquer instituição financeira”, alerta Alexandre Bonatti, vice-presidente de Engenharia da Fortinet Brasil. Para ele, é preciso garantir que fornecedores e sistemas integrados estejam alinhados aos mesmos padrões de segurança e compliance.

Fred Amaral, CEO da Lerian, também defende uma atuação mais firme por parte dos reguladores. “O Banco Central, como ‘ledger’ centralizado, deve unir força normativa e tecnologia para mitigar riscos. O core das instituições precisa garantir integridade e rastreabilidade nativa”, afirmou.

Na avaliação de Fernando Galdino, diretor de portfólio da SEK, o Brasil precisa caminhar rumo a uma regulação similar à europeia. “A Europa já avança com o DORA, exigindo das instituições financeiras não só a prevenção, mas a capacidade comprovada de resposta e recuperação diante de ataques.”

Outro ponto crítico é o uso de inteligência artificial tanto como ferramenta de segurança quanto como vetor de ameaças. “Estamos em um ambiente cada vez mais digital, em que a segurança fica escassa e os ataques mais modernos através da Inteligência Artificial”, disse Rafael Dantas, head de segurança cibernética da TLD. Segundo ele, o ataque à C&M “não foi somente um ataque a uma base de dados, mas sim uma fraude de alto nível, usando o acesso legítimo, de forma ilegítima”.

Em paralelo, o setor de seguros também tem visto crescimento expressivo na demanda por proteção cibernética. Marcelo Biasoli, Country Manager da 123Seguro, afirma: “Mais do que proteger ativos, o seguro hoje é uma resposta concreta a cenários extremos como esse. Um ataque pode comprometer reputação, operação e liderança.”

A C&M Software informou que restabeleceu seus serviços com autorização do Banco Central, sob regime de produção controlada, e com reforço em seus controles de segurança e auditorias independentes. Ainda assim, o episódio reacende a preocupação com o modelo atual de intermediação de pagamentos no Brasil, baseado em conexões técnicas sensíveis que, se comprometidas, podem resultar em prejuízos bilionários.

Veja também: Proposta quer permitir bloqueio imediato de valores em golpes via Pix sem ordem judicial

A atuação rápida da Polícia Civil foi destacada por autoridades e especialistas, que reconhecem o desafio de combater crimes cibernéticos cada vez mais sofisticados. No entanto, os especialistas concordam que não se trata de um caso isolado, mas de um sinal de que o sistema financeiro precisa adotar uma abordagem mais resiliente, colaborativa e regulada.

SÃO PAULO WEATHER