Explosões deram lugar aos cliques: o assalto de quase R$ 1 bilhão que não fez barulho na madrugada do dia 1º, no Brasil

F5 Conchal e Região

Um ataque cibernético sem precedentes atingiu o sistema financeiro brasileiro na madrugada de 1º de julho de 2025, revelando fragilidades na infraestrutura do Pix e movimentando, segundo estimativas, até R$ 1 bilhão de forma fraudulenta.

O episódio teve início por volta das 4h da manhã, quando um executivo da fintech BMP foi alertado por um banco parceiro sobre uma transferência via Pix no valor de R$ 18 milhões que não havia sido autorizada. Ao investigar o ocorrido, a empresa descobriu que outras dezenas de transferências haviam sido feitas indevidamente, totalizando cerca de R$ 400 milhões desviados de sua conta-reserva junto ao Banco Central.

A origem da violação foi rastreada até a C&M Software (CMSW), empresa prestadora de serviços tecnológicos conhecida como PSTI, responsável por interligar instituições financeiras ao sistema do BC. Criminosos conseguiram acessar credenciais legítimas usadas nas conexões entre as fintechs e o Banco Central e, por meio delas, autorizaram ordens de pagamento que, tecnicamente, pareciam válidas.

Como os sistemas do BC reconhecem como autênticas as transações feitas por parceiros autorizados, não houve bloqueio automático, e os recursos foram transferidos com sucesso.

Ao todo, até oito instituições financeiras diferentes foram afetadas e o volume total das perdas pode chegar a R$ 1 bilhão, segundo apurações preliminares. A BMP conseguiu recuperar aproximadamente R$ 130 milhões, mas ainda enfrenta risco de prejuízo líquido superior a R$ 250 milhões.

A empresa afirma que possui garantias suficientes e que os clientes finais não foram impactados, uma vez que o ataque se concentrou exclusivamente nas chamadas contas-reserva, usadas para liquidações entre bancos. Após o ataque, a C&M teve sua conexão temporariamente suspensa pelo Banco Central, e diversas instituições relataram instabilidade no uso do Pix.

A Polícia Federal, a Polícia Civil de São Paulo e o próprio BC estão conduzindo investigações para identificar os responsáveis e apurar possíveis falhas de segurança.

Especialistas apontam que o caso evidencia a urgência de revisar os protocolos de segurança do sistema financeiro, principalmente no que diz respeito à atuação das PSTIs. A ausência de ferramentas de monitoramento inteligente, capazes de identificar comportamentos suspeitos em tempo real, especialmente durante a madrugada, contribuiu para que o ataque fosse bem-sucedido.

Embora o Banco Central não tenha sido tecnicamente invadido, o episódio levanta questionamentos sobre o modelo de confiança adotado no Pix e o nível de supervisão sobre os intermediários tecnológicos.

Diante da gravidade do ocorrido, o BC anunciou que revisará os critérios de segurança para conexão de empresas terceirizadas ao sistema nacional de pagamentos.

O ataque é considerado o mais sofisticado já registrado na história do sistema financeiro brasileiro e pode marcar uma virada nas exigências regulatórias e tecnológicas para operações digitais no país.