O Banco Central do Brasil suspendeu cautelarmente a participação de três instituições financeiras no sistema Pix após identificar indícios de que elas teriam recebido recursos desviados no ataque contra a empresa C&M Software. As fintechs Transfeera, Soffy e Nuoro Pay foram temporariamente desconectadas do arranjo de pagamentos instantâneos, enquanto o BC apura a relação das empresas com a fraude, que pode ter ultrapassado R$ 800 milhões.
A Transfeera confirmou ao UOL a suspensão da funcionalidade do Pix, mas destacou que os demais serviços continuam operando normalmente. “Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo”, informou a empresa, que é autorizada a funcionar pelo Banco Central.
A Soffy e a Nuoro Pay também foram bloqueadas. Elas atuam no Pix em parceria com outras instituições, e a suspensão tem caráter preventivo. Segundo o BC, a medida visa “proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo”, conforme previsto no artigo 95-A da Resolução 30/2020, conhecida como “lei do Pix”. O afastamento cautelar pode durar até 60 dias.
A fraude teve como alvo a C&M Software, empresa sediada em Barueri (SP) e responsável por intermediar operações entre instituições financeiras e o SPB (Sistema de Pagamentos Brasileiro). Inicialmente tratado como um ataque hacker, o caso evoluiu para suspeita de golpe interno, após um funcionário da C&M confessar envolvimento no desvio.
“Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW”, afirmou a empresa.
A principal vítima do desvio foi a BMP, fintech que fornece contas digitais para empresas e instituições não bancárias. Segundo o Deic (Departamento Estadual de Investigações Criminais), o prejuízo estimado é de R$ 541 milhões, configurando “a maior invasão de dispositivo eletrônico já registrada no Brasil”.
A polícia investiga também o possível impacto nas contas de parceiros da C&M, embora a empresa assegure que não houve vazamento de dados sensíveis.
De acordo com advogados especializados, o ressarcimento dos valores deve ser inicialmente assumido pelas instituições financeiras envolvidas. “A tendência é que os bancos ou instituições financeiras parceiras assumam o prejuízo diretamente, até porque há regras do próprio Banco Central que exigem ressarcimento integral ao usuário em casos de fraude comprovada”, afirmou a advogada criminalista Lorena Pontes.