A Polícia Civil de São Paulo está investigando ao menos 29 empresas que receberam valores milionários via Pix durante o ataque hacker que desviou R$ 541 milhões da BMP Sociedade de Crédito LTDA na madrugada de 30 de junho de 2025. Os recursos foram transferidos em 166 transações, variando de R$ 200 mil a impressionantes R$ 271 milhões apenas para uma empresa, nomeada como Soffy Soluções de Pagamentos.
O ataque teve início às 2h03, quando hackers, após invadir a prestadora de serviços C&M Software (CMSW), responsável por processar pagamentos Pix entre instituições financeiras e o Banco Central, passaram a drenar recursos da conta da BMP e distribuí-los entre várias empresas — muitas delas suspeitas de servirem como “laranjas” na lavagem da quantia desviada.
A operação demonstrou elevado grau de planejamento e sofisticação. Após repelir parte dos valores — cerca de R$ 270 milhões foram bloqueados por ordem judicial e cerca de R$ 160 milhões chegaram a ser estornados via o sistema Med do BC —, a investigação identifica que a origem do ataque foi uma combinação de violação à infraestrutura da C&M e envolvimento interno.
O principal suspeito preso é João Nazareno Roque, funcionário de TI da empresa de tecnologia, que admitiu ter facilitado o crime após ser aliciado por criminosos em março. Ele teria vendido seu login e senha por R$ 15 mil, permitindo que os hackers executassem comandos maliciosos na plataforma da C&M.
Das 29 empresas que receberam os recursos, a mais visada foi Soffy Soluções de Pagamentos, que concentrou 69 transações, totalizando R$ 270,9 milhões transferidos. O Banco Central suspendeu provisoriamente seis instituições de pagamento envolvidas, incluindo a Soffy, por até 60 dias enquanto investiga eventuais violações às normas do Pix.
Segundo o BMP, apesar do volume de recursos desviados — R$ 541 milhões, quantia considerada o maior ataque hacker da história financeira do Brasil —, nenhum cliente final foi prejudicado. A instituição destacou que mantinha colaterais suficientes para cobrir o rombo e que as devoluções não impactaram a liquidez operacional. Ainda assim, a Polícia Civil e a Polícia Federal seguem investigando, visando identificar os beneficiários reais, elos entre as empresas receptadoras e os hackers, e possíveis envolvidos que ainda não foram identificados .
Este incidente marcou acordo na madrugada de 30 de junho, quando hackers, infiltrados possivelmente desde meses antes via vulnerabilidades da cadeia de pagamentos da C&M, executaram transações em massa até a interrupção do ataque às 7h04, encerrando a operação cinco horas depois. As autoridades estimam que o impacto real possa ser ainda maior, uma vez que a C&M atende mais de 23 instituições financeiras — das quais apenas a BMP registrou boletim de ocorrência oficialmente até o momento.
A análise institucional aponta falhas de segurança gravíssimas: ausência de monitoramento interno eficaz, vulnerabilidade na gestão de acesso de funcionários de TI, e falhas nas regras antifraude do Pix. O fato reforça a necessidade urgente de revisão regulatória e técnica do sistema de pagamentos instantâneos, de transparência no relacionamento entre bancos e prestadoras de serviço, e de protocolos sólidos de defesa contra fraudes em tempo real — principalmente em ambientes críticos como o Pix .