O Banco Central (BC) determinou a suspensão cautelar, por tempo indeterminado, de três instituições financeiras que teriam recebido parte dos recursos desviados no ataque hacker à empresa de tecnologia C&M Software, ocorrido no dia 30 de junho. A medida, segundo apuração do jornal Valor Econômico, foi motivada pela constatação de ausência de controles antifraude considerados adequados pelo regulador, o que poderia comprometer o funcionamento do sistema de pagamentos.
Entre as instituições suspensas está a fintech Transfeera, especializada em soluções de pagamentos para empresas, como transferências e emissão de boletos. Os nomes das outras duas empresas não foram divulgados, mas, de acordo com fontes do setor, tratam-se de participantes indiretos do sistema de pagamentos instantâneo — ou seja, que operam via conexão com instituições financeiras reguladas.
Inicialmente, especulava-se que as instituições envolvidas fossem exchanges de criptomoedas, dado o volume de conversões suspeitas em stablecoins como o USDT. No entanto, fontes ligadas à investigação afirmam que as três entidades suspensas não operam diretamente nesse segmento.
As fintechs em questão teriam sido as principais receptoras dos valores desviados no golpe cibernético. Os recursos chegaram a contas bancárias de pessoas físicas e jurídicas durante a madrugada de segunda-feira, em volumes considerados incompatíveis com o perfil de operação das instituições envolvidas.
A regulamentação do Pix permite ao BC suspender temporariamente qualquer participante que represente risco ao sistema. A suspensão pode durar até 60 dias e, nesse período, é aberto um processo administrativo para apurar responsabilidades e aplicar eventuais sanções ou multas.
Após o ataque, o Banco Central também havia determinado o desligamento das instituições às infraestruturas operadas pela C&M Software. A prestadora de serviços, por sua vez, adotou medidas emergenciais para mitigar novas brechas de segurança, o que levou o BC a flexibilizar a suspensão para um regime parcial. Agora, os serviços via Pix estão autorizados apenas em dias úteis, das 6h30 às 18h30, mediante anuência expressa da instituição participante e reforço no monitoramento de fraudes e dos limites de transação.
A Transfeera, única instituição identificada publicamente até agora, afirmou que seus clientes não foram afetados pelo incidente e que todas as operações — exceto o Pix — seguem funcionando normalmente. “Estamos colaborando com as autoridades para liberar plenamente a funcionalidade de pagamento instantâneo”, disse a fintech em nota oficial.
O caso segue sendo investigado pelo BC e pode resultar em penalidades mais severas, a depender do grau de negligência identificado nas medidas de segurança e compliance das instituições envolvidas.
