Na madrugada do último domingo, um executivo da BMP foi surpreendido por uma ligação inusitada de um banco: R$ 18 milhões haviam sido transferidos da conta da empresa por meio de um pagamento via Pix, feito às 4 da manhã. Imediatamente, ele se dirigiu ao escritório, onde descobriu que aquela movimentação era apenas o começo de um grande problema.
Ao verificar os sistemas com a empresa terceirizada C&M Software, ele constatou que outros envios não autorizados também haviam ocorrido. No total, R$ 400 milhões desapareceram das contas da BMP — valor que representa metade da liquidez da empresa, antes avaliada em R$ 600 milhões.
Ataque hacker afeta oito instituições e expõe fragilidade no sistema
Segundo estimativas do Banco Central, esse ataque hacker não atingiu apenas uma, mas ao menos oito instituições financeiras e não financeiras. O valor total pode chegar a R$ 800 milhões. O ponto mais crítico da situação foi o fato de que os valores saíram das chamadas “contas reserva”, que misturam recursos dos clientes e da própria empresa junto ao BC.
O crime cibernético teve origem na C&M Software, uma das sete PSTIs — provedoras de serviços de tecnologia da informação — autorizadas e supervisionadas pelo próprio Banco Central. Essas empresas funcionam como pontes entre fintechs e o sistema oficial, permitindo a execução de funções como pagamento via Pix, TEDs e outras transações.
Foi justamente por essa porta que os criminosos entraram, acessando as contas das instituições e disparando centenas de operações em poucos minutos.
Banco Central confirma integridade de seus sistemas, mas alerta para lições de segurança
Apesar da dimensão do ataque, o Banco Central informou que sua infraestrutura não foi invadida. Os comandos para os pagamentos via Pix seguiram todos os requisitos de segurança previstos, o que indica que a brecha ocorreu no sistema das prestadoras contratadas por algumas instituições.
De acordo com uma fonte próxima ao BC, o caso se assemelha ao uso indevido de um cartão com chip e senha: a transação em si estava correta, mas os dados haviam sido obtidos de forma fraudulenta.
O órgão agora tenta identificar o ponto exato de vulnerabilidade. Paralelamente, a C&M desabilitou temporariamente a função PIX para as instituições afetadas, em uma tentativa de evitar novos ataques.
Parte do valor já foi recuperada, mas riscos permanecem
A BMP conseguiu recuperar R$ 130 milhões dos R$ 400 milhões desviados. O CEO da empresa, Carlos Eduardo Benitez, garantiu que nenhum dado de cliente foi vazado e que todas as contas permanecem protegidas. Segundo ele, a segurança vai além do digital: envolve também a proteção do capital dos clientes.
Já a SmartPay, empresa de pagamentos comandada por Rocelo Lopes, detectou movimentações suspeitas logo após a meia-noite do dia 30 de junho. Graças a filtros de validação mais rígidos, conseguiu congelar valores e devolver parte do dinheiro às instituições lesadas.
Ainda assim, Rocelo criticou a falta de mecanismos de análise automatizada no sistema de mensageria, alertando que outros ataques hackers podem ocorrer, caso essas fragilidades não sejam corrigidas com urgência.
A inteligência artificial pode ajudar a prevenir novos ataques?
Com o aumento das transações digitais, especialmente por meio do pagamento via Pix, cresce também a necessidade de tecnologias mais inteligentes para prevenir golpes. “Na era da inteligência artificial, não faz sentido não termos sistemas capazes de identificar transações atípicas em tempo real”, afirma Rocelo.
Esse episódio escancarou uma falha estrutural: enquanto bancos tradicionais possuem conexão direta com o Banco Central, fintechs e outras empresas dependem de intermediários tecnológicos. Quando esses elos falham, o sistema como um todo se torna vulnerável.
O Banco Central já iniciou reuniões com as empresas envolvidas para apurar responsabilidades, fortalecer protocolos e evitar novos prejuízos. O caso serve de alerta para todo o setor: mesmo sistemas considerados seguros precisam evoluir continuamente diante de ameaças cada vez mais sofisticadas.
Resumo: Um ataque hacker causou prejuízos de R$ 800 milhões em contas de reserva de oito instituições, usando falhas no sistema de mensageria de prestadoras terceirizadas. O pagamento via Pix foi a principal ferramenta dos criminosos. Apesar de parte dos valores já ter sido recuperada, o episódio levantou sérias discussões sobre a segurança da infraestrutura que interliga instituições ao Banco Central.
Leia também:
Reajuste nas rodovias: tarifas de pedágio sobem em São Paulo a partir de julho
