Banco Central suspende seis instituições financeiras após fraude de R$ 541 milhões no Pix

Golpe de R$ 541 milhões abala o sistema de pagamentos instantâneos

O Banco Central do Brasil (BC) adotou medidas excepcionais na última semana ao determinar a suspensão cautelar de seis instituições participantes do Pix por um prazo de até 60 dias. A decisão, fundamentada no artigo 95-A da Resolução BCB nº 30/2020, veio à tona depois que investigações revelaram um esquema sofisticado de desvio de recursos que pode ter alcançado mais de R$ 1 bilhão, com pelo menos R$ 541 milhões já identificados como saídos indevidamente das reservas bancárias mantidas junto ao próprio BC. As empresas afastadas são Voluti Gestão Financeira, Brasil Cash, S3 Bank, Transfeera, Soffy e Nuoro Pay.

Como o esquema funcionou

No centro do esquema está a C&M Software, empresa de tecnologia que atua como intermediária entre instituições financeiras e a infraestrutura do sistema de pagamentos brasileiro. Segundo as apurações da Polícia Federal e da Polícia Civil de São Paulo, que conduziram investigações paralelas, agentes mal-intencionados obtiveram acesso aos sistemas da empresa por meio de engenharia social — técnica que consiste em manipular pessoas para que revelem informações confidenciais. Um funcionário da C&M foi preso por ter fornecido as credenciais de acesso que abriram caminho para os invasores: ele teria recebido R$ 5 mil pelo repasse dos dados e outros R$ 10 mil para criar acessos adicionais aos hackers, totalizando R$ 15 mil pelo papel que desempenhou na operação. Após obter controle sobre os sistemas, os responsáveis pela fraude realizaram mais de cem transferências via Pix e, em seguida, converteram os valores em criptomoedas para dificultar o rastreamento.

A vítima principal e a resposta regulatória

A BMP Money Plus, fintech especializada em fornecer infraestrutura de contas digitais para empresas não bancárias, foi a principal prejudicada. Os fundos desviados saíram de suas reservas depositadas no BC, o que conferiu escala inédita ao ataque. Diante da gravidade do caso, a autoridade monetária acionou o dispositivo regulatório que permite suspensões emergenciais quando a conduta de um participante representa risco à integridade do arranjo de pagamentos. O período de 60 dias pode ser prorrogado ou revisado conforme o avanço das investigações. A própria C&M Software declarou que o incidente não decorreu de falhas tecnológicas em seus sistemas, mas sim do uso indevido de credenciais obtidas por engenharia social.

Sinal de alerta para o ecossistema financeiro

O episódio expõe uma vulnerabilidade crítica que vai além da robustez técnica das plataformas: a segurança das pessoas que operam esses sistemas. Mesmo com infraestruturas digitais sofisticadas, um único elo humano comprometido foi suficiente para desencadear o maior ataque já registrado contra o Pix desde sua criação, em 2020. Para o mercado financeiro, o caso reforça a necessidade de políticas rigorosas de controle de acesso, autenticação multifatorial e treinamento contínuo de equipes contra manipulação social. As seis instituições suspensas permanecem impedidas de realizar transações enquanto as autoridades apuram o alcance total do esquema e identificam os demais envolvidos.

Fonte: Portal Contábeis, publicado em 29 de maio de 2026.