O Banco Central decidiu suspender o acesso ao sistema Pix de mais três instituições de pagamento como parte das investigações sobre um ataque cibernético sofrido pela prestadora de serviços de tecnologia C&M Software. Com essa ação, já são seis instituições suspensas.

Instituições suspensas e contexto do ataque

As fintechs Voluti Gestão Financeira, Brasil Cash e S3 Bank tiveram o acesso bloqueado, somando-se às já suspensas Transfeera, Nuoro Pay e Soffy, que tiveram a medida aplicada na quinta-feira, 3 de julho. As contas dessas seis empresas receberam parte do dinheiro desviado durante o ataque ocorrido na segunda-feira anterior, que segundo estimativas pode ter resultado no furto de aproximadamente R$ 1 bilhão.

A BPM Money Plus foi a mais afetada, com um prejuízo de R$ 541 milhões, conforme apontam as investigações da Polícia Civil de São Paulo.

Duração e justificativa da suspensão

A suspensão cautelar dura até 60 dias, conforme previsto em resolução do Banco Central que regulamenta o Pix. A autoridade monetária pode suspender a participação no Pix de qualquer instituição cuja conduta represente risco ao funcionamento regular do sistema de pagamentos.

Posicionamento das fintechs

A Transfeera informou que suas operações continuam normalmente, exceto pelo Pix, e afirmou: "Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo."

A Nuoro Pay ressaltou que respeita as normas do Banco Central e mantém postura colaborativa, com respostas rápidas e transparentes. Disse ainda que está em diálogo com as equipes técnicas do Banco Central e que medidas legais e administrativas estão em andamento, permanecendo disponível para ajudar na elucidação dos fatos e para o restabelecimento de sua operação.

Já a Soffy não respondeu aos contatos da reportagem, e seu site está fora do ar. Segundo a Polícia Civil, R$ 270 milhões do montante roubado foram direcionados para a conta dessa fintech.

Voluti Gestão Financeira, Brasil Cash e S3 Bank também não deram retorno às tentativas de contato.

Investigação policial e detalhes do ataque

As investigações apontam que João Nazareno Roque, funcionário da C&M Software, teria sido cooptado pelos criminosos desde março. Ele teria conversado com pelo menos quatro pessoas diferentes, sendo que apenas uma dessas reuniões teria sido presencial, em um bar no bairro de Pirituba, zona norte de São Paulo.

O delegado Renato Topan, responsável pelo caso, informou que ao cumprir mandado de busca e apreensão foram encontrados celulares, computadores e uma agenda com scripts, mas não havia indícios de criptoativos.

O CEO da BPM, Carlos Benitez, foi alertado sobre uma grande transação às 4 horas da manhã da segunda-feira, mas as transferências fraudulentas continuaram até as 7 horas. A BPM foi a única das empresas afetadas que registrou boletim de ocorrência.

A Polícia Civil ressalta que, até o momento, a C&M Software não pode ser responsabilizada criminalmente pelo incidente.

Colaboração da C&M Software

Em nota, a C&M Software declarou que "segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025".