Ataque ao Pix desvia R$ 800 mi: insider vende senha por R$ 15 mil
out, 8 2025
Na madrugada de 30 de junho de 2025, um ataque de engenharia social desviou mais de R$ 800 milhões do sistema de pagamentos instantâneos PIX, colocando em xeque a segurança de toda a cadeia de suprimentos financeira brasileira. O crime teve como alvo principal a BMP Instituição de Pagamentos, de onde foram subtraídos R$ 541 milhões antes que funcionários suspeitassem da anomalia por volta das 7h da mesma manhã.
Contexto do sistema PIX e da cadeia de suprimentos
O Banco Central do Brasil opera o PIX como uma rede de liquidação em tempo real que conecta bancos, fintechs e instituições de pagamento. Para facilitar essa integração, empresas como a C&M Software oferecem plataformas que intermediam as transações de 23 instituições menores. Essa arquitetura, apesar de eficiente, cria um ponto vulnerável – o famoso "supply chain attack", onde o invasor compromete o fornecedor para alcançar alvos maiores.
Desenvolvimento do ataque e papel de João Nazareno Roque, funcionário terceirizado da C&M Software
Segundo a Polícia Civil de São Paulo, Roque recebeu R$ 15 mil em março de 2025 após ser abordado na saída de um bar por um desconhecido que prometeu “mostrar o caminho” para ganhar dinheiro fácil. Ele cedeu seu login e senha da plataforma da C&M, permitindo que membros de uma organização criminosa enviassem solicitações de transferência direto ao Banco Central.
Durante o depoimento, ele afirmou: “Eu fui seduzido pela proposta, não fazia ideia do que estava acontecendo”. A investigação do Departamento Estadual de Investigações Criminais (Deic) concluiu que não houve falha tecnológica; tudo girou em torno da manipulação humana.
Repercussões nas instituições financeiras
Além da BMP, três outras instituições foram suspensas do PIX pelo Banco Central como medida preventiva. Uma delas, a Monexa Gateway de Pagamentos, havia sido criada há apenas 19 dias quando recebeu cinco transferências suspeitas. Até o fim do dia, as contas‑reserva dessas empresas já haviam sido esvaziadas em larga escala.
O Judiciário, em decisão emergencial, determinou o bloqueio de R$ 270 milhões em uma conta que continha parte dos recursos desviados, tentando frear a lavagem de dinheiro.
Investigações e medidas de contenção
Na noite de 3 de julho de 2025, a Polícia Civil prendeu Roque em São Paulo. Na busca e apreensão foram confiscados laptops, smartphones e logs de acesso que já apontam para outros cúmplices ainda não identificados.
A C&M Software divulgou nota dizendo que adotou "todas as medidas técnicas e legais" e que seus sistemas permanecem sob "rigoroso monitoramento". O fornecedor também reforçou que o incidente decorreu de engenharia social, não de vulnerabilidade de código.
A Polícia Federal entrou no caso, ampliando a acusação para furto mediante fraude, invasão de dispositivo informático, lavagem de dinheiro e formação de organização criminosa.
Impactos e lições para o setor
- Risco de cadeia de suprimentos se torna ponto crítico de segurança nacional.
- Treinamento de funcionários contra engenharia social precisa ser constante.
- Auditorias de acesso privilegiado devem incluir verificações de terceiros.
- Reguladores podem exigir protocolos de autenticação multifator para todas as empresas que intermediam transações Pix.
Analistas de segurança apontam que este é o maior "supply chain attack" já registrado no Brasil e avisam que outros provedores de tecnologia estão vulneráveis se não reverem suas políticas de controle de credenciais.
Perguntas Frequentes
Como o ataque ao Pix afeta os usuários finais?
Embora os clientes individuais não tenham perdido dinheiro diretamente, a suspensão de três instituições impede que milhões de contas façam transferências via Pix, forçando migrações temporárias para sistemas mais lentos como TED ou DOC.
Quem foi responsabilizado pelo vazamento de credenciais?
O principal suspeito preso foi João Nazareno Roque, funcionário terceirizado da C&M Software. A investigação aponta ainda outros membros da quadrilha que ainda não foram identificados.
Quais medidas o Banco Central está adotando para evitar novos ataques?
O Banco Central anunciou revisão dos protocolos de autenticação de fornecedores, exigindo MFA (autenticação multifator) e auditorias trimestrais de acesso. Também está estudando a criação de um sandbox de teste para novos conectores como a C&M Software.
Qual o papel da Polícia Federal nesse caso?
A PF lidera a fase de investigação de lavagem de dinheiro e coordena com a Polícia Civil a quebra da organização criminosa, buscando rastrear os valores desviados que ainda circulam por contas no exterior.
O que as empresas de tecnologia podem aprender com esse incidente?
A lição principal é que a segurança não termina no código. Programas de conscientização, controle de privilégios e monitoramento em tempo real são essenciais para impedir que um único usuário se torne a porta de entrada para criminosos.
Willian Yoshio
outubro 8, 2025 AT 03:23Olha, o caso mostrou que a maior brecha foi humana, não tecnológica. Se o pessoal da C&M tivesse mais atencão nas credenciais, jogaria fora essa vulnerabilidade. Cada login que sai do ambiente deve passar por verificação dupla, senão o risco vira real. O que aconteceu foi pura falta de treino, e isso pode ser evitado com mais simulados.
Rachel Danger W
outubro 8, 2025 AT 03:26Gente, eu já tava sentindo que tem algo maior por trás desse ataque, como se alguém estivesse controlando o fluxo de dinheiro do país. É meio assustador pensar que esses golpistas podem estar ligados a interesses ocultos, quem sabe até a influências políticas. Mas vamos ficar juntinhos e apoiar as medidas que o Banco Central está tomando, porque a gente precisa de união agora!
Davi Ferreira
outubro 8, 2025 AT 03:30Vamos encarar isso como um impulso para melhorar a segurança de todos! Cada crise traz uma oportunidade de aprender e evoluir. Se as fintechs adotarem MFA agora, diminui muito o risco de novos golpes. Conto com a galera de TI pra fazer acontecer, porque juntos somos mais fortes.
Marcelo Monteiro
outubro 8, 2025 AT 03:33Ah, então agora queremos colocar MFA em tudo, como se fosse a solução mágica que resolve todos os problemas.
Claro, porque no momento em que eu lembro, o atacante simplesmente entrou porque alguém esqueceu de mudar a senha depois de um happy hour.
É realmente impressionante como a gente adora simplificar questões tão complexas em um único ponto de falha.
Não bastasse a falta de treinamento, ainda tem a cultura de terceirização que faz com que menos de metade dos funcionários saibam o que é phishing.
E, como se não fosse suficiente, a própria burocracia regulatória costuma atrapalhar a implementação rápida de medidas de segurança.
Mas veja só, agora todo mundo tem que ficar acordado 24 horas, verificando logs, porque quem duvida da competência dos desenvolvedores?
Eu adoro como os otários do alto escalão dizem que o problema está nos indivíduos, enquanto ignoram o design falho do sistema.
Talvez a solução seja fechar a BMP e deixar o pix morrer, afinal, se não houver dinheiros circulando, não tem crime.
Mas não, a gente tem que achar um meio termo, né? Implementar MFA, auditorias trimestrais, sandboxes e ainda fazer campanha de conscientização.
Tudo isso sem avaliar se as próprias estruturas de governança não são o verdadeiro alvo dos criminosos.
É como colocar um curativo em um braço quebrado e achar que a fratura vai sarar.
A realidade é que a segurança de cadeia de suprimentos exige políticas de identidade que vão além de um simples login.
E ainda tem quem diga que a gente não tem recursos, mas se o governo gastou bilhões em infraestrutura, pode investir em treinamento.
Enfim, enquanto isso, os usuários finais continuam presos em sistemas lentos, esperando que alguém resolva o que a própria indústria ignorou.
Então, meus caros, vamos continuar bancando as babysitters digitais, sempre um passo atrás dos verdadeiros hackers.
No fundo, tudo isso revela o quão vulnerável nossa confiança é quando colocamos todo o peso da economia em algumas linhas de código mal protegidas.
Jeferson Kersten
outubro 8, 2025 AT 03:36É imprescindível reconhecer que a responsabilidade não recai apenas sobre o indivíduo que vendeu as credenciais, mas sobretudo sobre a falha sistêmica de controle de acesso da empresa terceirizada. A auditoria interna deveria ter detectado anomalias de uso de contas privilegiadas antes que o dano se materializasse.
João Paulo Jota
outubro 8, 2025 AT 03:40Ah, claro, porque nunca estávamos vulneráveis antes, foi só o estrangeiro que trouxe o problema. Na verdade, é o Brasil que tem que se levantar e deixar de depender dessas plataformas importadas que são, obviamente, sabotadas por interesses externos.
Wellington silva
outubro 8, 2025 AT 03:43Do ponto de vista da teoria dos sistemas complexos, o incidente evidencia um ponto de falha emergente que transcende a mera camada de aplicação. Quando falamos de supply‑chain, estamos lidando com interdependências que criam superfícies de ataque exponenciais. Em termos práticos, se um fornecedor não tem MFA, toda a rede fica vulnerável, como uma casa com janela aberta. Por isso, a mitigação deve envolver tanto políticas de identidade quanto cultura organizacional, pois a tecnologia sozinha não basta.
Bruna Boo
outubro 8, 2025 AT 03:46Olha, mais um discurso pomposo de quem acha que entende tudo, mas na prática nem a própria equipe de TI consegue proteger um simples login. Essa história de “cultura organizacional” é só papo furado que ninguém vai seguir, já que todo mundo só quer o próximo happy hour.
Ademir Diniz
outubro 8, 2025 AT 03:50Vamos melhorar a segurançã, equipe!
Jose Ángel Lima Zamora
outubro 8, 2025 AT 03:53É imperativo que as instituições financeiras adotem procedimentos rigorosos de gestão de credenciais, pois a negligência neste âmbito representa uma violação ética grave contra os consumidores e a própria estabilidade econômica do país.
Debora Sequino
outubro 8, 2025 AT 03:56Que surpresa! Mais um caso de “human error” que ninguém viu vindo, porque claro, todos nós somos perfeitos!!!