A Polícia Civil do Distrito Federal prendeu nesta quinta-feira (3) um dos suspeitos de participação no ataque hacker ao sistema Pix, considerado o maior já registrado em um sistema eletrônico no Brasil. A ação criminosa resultou no desvio de pelo menos R$ 800 milhões, com indícios de que o valor total pode ter chegado a R$ 1 bilhão.
O ataque teve como alvo a empresa C&M Software, que atua como intermediária entre instituições financeiras e o Banco Central, sendo responsável pela integração de operações via Pix. A principal instituição afetada foi a BMP Instituição de Pagamento S/A, que reportou um prejuízo de R$ 541 milhões.
Durante o cumprimento do mandado de prisão temporária, o detido — um operador de tecnologia da informação — confessou ter sido aliciado para participar do esquema. Ele admitiu que inseriu dados no sistema e ajudou a processar as transferências via Pix diretamente na plataforma do Banco Central.
A investigação aponta que o crime configurou furto qualificado por meio eletrônico, com apoio interno. O funcionário da C&M teria facilitado o acesso de terceiros, permitindo transferências em massa para contas de laranjas.
A Justiça autorizou o bloqueio de R$ 270 milhões de uma conta usada para movimentar parte do dinheiro desviado. Segundo a C&M Software, o ataque foi possível por meio da violação das credenciais de integração de um cliente. A empresa afirma que seus sistemas não foram invadidos diretamente e classifica o episódio como uma “ação criminosa externa”.
Além da BMP, outras cinco instituições financeiras foram afetadas, incluindo a Credsystem e o Banco Paulista. Como medida de contenção, os serviços da C&M chegaram a ser suspensos, mas o Banco Central já autorizou a retomada parcial das operações.
