Em junho de 2025, foi realizado o maior ataque cibernético registrado no país, quando hackers invadiram a conta da BMP no Banco Central. O grupo criminoso desviou R$ 541 milhões e distribuiu os valores em mais de 100 transferências para 29 instituições financeiras, segundo relatório da Polícia Civil de São Paulo.
O método utilizado foi o sistema Pix, pelo qual todas as movimentações ocorreram. Instituições financeiras que devolveram parte dos recursos por meio do estorno (Med) e que cumpriram as normas antifraude do Banco Central estão excluídas das investigações.
Uma única instituição financeira, a Soffy, recebeu R$ 271 milhões, distribuídos em 69 das 166 transferências realizadas no golpe. A empresa está impedida de operar temporariamente e não respondeu aos contatos da imprensa desde sábado (5), conforme mandado judicial.
Para garantir a segurança do sistema, o Banco Central suspendeu por até 60 dias seis instituições de pagamento, entre elas a Soffy. A suspensão visa investigar possíveis irregularidades que comprometam o funcionamento do Pix.
Carlos Benitez, CEO da BMP, afirmou em entrevista ao site Neofeed que R$ 160 milhões já foram recuperados do montante desviado. A empresa garante que nenhum cliente sofreu prejuízo e que possui colaterais suficientes para cobrir os valores perdidos. Antes do ataque, a BMP mantinha uma liquidez aproximada de R$ 600 milhões.
O golpe foi identificado a partir de um alerta sobre uma transferência suspeita de R$ 18 milhões, recebido por Benitez às 4h da segunda-feira (30). Às 7h, as transações foram interrompidas, e a empresa iniciou uma investigação interna para avaliar o impacto do incidente.
A invasão foi possível porque hackers compraram o acesso de um técnico da C&M Software, empresa que gerencia o sistema Pix para várias instituições financeiras. Segundo a Polícia Civil, o profissional recebeu R$ 15 mil para fornecer login e senha e executar códigos maliciosos.
Até o momento, apenas o ex-funcionário João Nazareno Roque foi preso. Ele indicou outros quatro suspeitos ainda não identificados. A polícia concentrou-se na prisão dele e segue analisando os detalhes das movimentações financeiras decorrentes do ataque.
De acordo com a Folha de S. Paulo, o ataque atingiu as contas reservas financeiras de oito clientes da C&M Software, desviando cerca de R$ 1 bilhão. Essas contas são usadas para liquidar pagamentos entre instituições financeiras e são mantidas no Banco Central. Apenas a BMP registrou boletim de ocorrência. O Banco Central afirma não ter ingerência sobre essas contas e que sua infraestrutura não foi afetada. A C&M Software continua colaborando com as investigações.