O Banco Central suspendeu preventivamente o acesso ao sistema Pix de mais três instituições de pagamento — Voluti Gestão Financeira, Brasil Cash e S3 Bank — como parte das investigações sobre o ataque cibernético à prestadora de serviços de tecnologia C&M Software. O comunicado foi divulgado na noite de sexta-feira (4), elevando para seis o total de fintechs com acesso bloqueado ao sistema de pagamentos instantâneos.
As novas suspensões se somam às já aplicadas na quinta-feira (3) a Transfeera, Nuoro Pay e Soffy. As contas dessas instituições receberam parte dos recursos desviados durante o ataque ocorrido na última segunda-feira (1º), que resultou em um prejuízo estimado de aproximadamente R$ 1 bilhão. Somente a BMP Money Plus teria perdido R$ 541 milhões, conforme apontam as investigações conduzidas pela Polícia Civil de São Paulo.
De acordo com a legislação do Pix, o Banco Central pode suspender cautelarmente a participação de instituições no sistema por até 60 dias sempre que identificar condutas que representem riscos ao seu funcionamento regular. A medida tem caráter preventivo e visa preservar a integridade do arranjo de pagamentos.
A Transfeera informou que suas operações continuam funcionando normalmente, com exceção dos serviços relacionados ao Pix, e que nem a instituição nem seus clientes foram diretamente afetados pelo incidente. A empresa declarou estar colaborando com as autoridades para a rápida liberação da ferramenta. Já a Nuoro Pay afirmou estar em conformidade com as normas do Banco Central e destacou sua atuação colaborativa, informando que adotou medidas legais e administrativas para restaurar a normalidade de suas operações. A empresa segue em contato com as áreas técnicas do BC.
Segundo as apurações da Polícia Civil, cerca de R$ 270 milhões do montante desviado foram rastreados em contas vinculadas à Soffy. A investigação aponta que o ataque teve participação interna. João Nazareno Roque, de 48 anos, técnico em informática da C&M Software, confessou ter sido cooptado por criminosos em março. Ele relatou ter mantido contato com ao menos quatro pessoas diferentes, embora só tenha se encontrado pessoalmente com uma delas, em um bar na região de Pirituba, zona norte de São Paulo.
O delegado responsável pelo caso, Renato Topan, informou que João, que tem renda declarada de R$ 2.500 e reside no conjunto habitacional City Jaraguá, foi preso após a execução de mandado de busca e apreensão. Durante a ação, foram recolhidos celulares, computadores e uma agenda contendo scripts utilizados no ataque, mas não foram encontrados indícios de posse de criptoativos.
Ainda segundo a investigação, o CEO da BMP Money Plus, Carlos Benitez, foi alertado sobre uma grande movimentação financeira por volta das 4h da manhã de segunda-feira. As transferências fraudulentas continuaram até as 7h. A BMP foi a única das empresas afetadas que registrou boletim de ocorrência sobre o caso.
Apesar do envolvimento de um funcionário da prestadora de serviços, a Polícia Civil informou que, até o momento, não há elementos que justifiquem uma acusação formal contra a C&M Software. Em nota, a empresa declarou que continua colaborando de forma proativa com as autoridades competentes nas investigações do incidente ocorrido em julho de 2025.
