Pelo menos seis instituições financeiras foram afetadas por um sofisticado ataque hacker no Pix, revelado nesta semana, que pode ter causado prejuízo superior a R$ 1 bilhão, podendo chegar a R$ 3 bilhões, segundo estimativas iniciais do mercado. O episódio já é tratado como o maior crime cibernético da história do sistema financeiro nacional.

Leia também:

Golpes do Pix: Conheça os principais tipos e como evitá-los

Como ocorreu o ataque hacker no Pix

O alvo da ofensiva digital foi a C&M Software, empresa especializada em soluções de mensageria que atua como intermediária entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB). A companhia, fundada em 1992, é uma peça central na infraestrutura que viabiliza o funcionamento do Pix, sistema de transferências instantâneas lançado pelo Banco Central em 2020.

O ataque cibernético aconteceu por meio de uma técnica conhecida como Supply Chain Attack. Nesse modelo, hackers comprometem os sistemas de um fornecedor ou prestador de serviço para atingir clientes conectados à sua estrutura. Fontes do setor sugerem que os criminosos estavam infiltrados na rede da C&M Software há meses, coletando dados e preparando o terreno para a invasão.

Durante a ação, os hackers utilizaram credenciais de instituições financeiras para acessar contas de reserva junto ao Banco Central, de onde realizaram transferências indevidas utilizando a estrutura do Pix. A operação foi orquestrada com alto grau de sofisticação e passou despercebida até que os efeitos se tornaram visíveis no mercado financeiro.

Estimativas indicam prejuízo de até R$ 3 bilhões

Embora ainda não haja confirmação oficial sobre os valores exatos, fontes próximas ao caso apontam que os criminosos podem ter desviado entre R$ 400 milhões e R$ 3 bilhões. O valor mais citado até o momento gira em torno de R$ 1 bilhão, mas há quem acredite que o impacto financeiro seja ainda maior.

Pelo menos seis instituições que utilizam a C&M como canal de mensageria foram afetadas diretamente. Além dos prejuízos financeiros, houve interrupção temporária no funcionamento do Pix em algumas operações, o que aumentou ainda mais a gravidade do incidente.

A dimensão do golpe coloca o caso no topo do ranking dos maiores ataques hackers já registrados no Brasil, superando crimes anteriores tanto em volume financeiro quanto em impacto sistêmico.

Histórico: os maiores ataques cibernéticos no Brasil

Se confirmadas as estimativas, o ataque hacker no Pix supera com folga outros grandes golpes digitais registrados no país:

  • Operação DeGenerative AI (2024): Utilizando inteligência artificial para fraudes faciais e movimentações bancárias ilícitas, o grupo envolvido causou um prejuízo de cerca de R$ 110 milhões.
  • Banco do Brasil (2023–2024): Com instalação de dispositivos clandestinos em cabos de dados e cooptação de funcionários terceirizados, os criminosos roubaram aproximadamente R$ 40 milhões.
  • Invasão ao Siafi (2024): Sistema financeiro do governo federal foi comprometido por meio de phishing e uso indevido de certificados digitais, gerando um desfalque de R$ 14 milhões.
  • Ransomware no BRB (2022): O Banco de Brasília foi alvo do vírus LockBit. Os invasores exigiram um “resgate” de R$ 5,2 milhões para não divulgar dados sigilosos.

Comparação com crimes físicos: assaltos históricos

Apesar de ser um ataque digital, o caso reacende a memória de crimes históricos envolvendo grandes valores em território brasileiro. Entre os mais emblemáticos:

  • Roubo ao Banco Central em Fortaleza (2005): Criminosos cavaram um túnel até o cofre da sede regional do BC e levaram R$ 164,7 milhões, sendo apenas R$ 60 milhões recuperados.
  • Assalto à agência do Itaú na Avenida Paulista (2011): Em uma das ações mais ousadas do país, bandidos arrombaram 161 cofres e roubaram cerca de R$ 500 milhões em joias, dinheiro e documentos. O crime só foi descoberto uma semana depois.

Esses casos, embora ocorridos fisicamente, compartilham com o ataque hacker no Pix a complexidade de execução e o alto impacto financeiro.

Consequências e medidas de prevenção

Diante da gravidade do caso, o governo federal e o Banco Central já estudam reforçar os protocolos de segurança cibernética para prestadores de serviço conectados ao sistema financeiro. A expectativa é que novas camadas de autenticação, como autenticação multifator (MFA), se tornem padrão obrigatório em transações com alto valor.

Além disso, espera-se uma maior fiscalização sobre empresas terceirizadas, como a C&M Software, que, embora não sejam instituições financeiras propriamente ditas, atuam como pontos críticos de integração dentro da engrenagem bancária brasileira.