Ataque hacker desvia R$ 541 mi; PF recupera R$ 5,5 mi em cripto
out, 22 2025
Quando Paulo Barbosa, delegado da Polícia Federal revelou o ataque hacker que desviou R$ 541 milhões do Sistema de Pagamentos Instantâneos (PIX), o Brasil inteiro ficou de orelhas em pé. O delegado, que lidera a força‑tarefa da Operação Magna Fraus, informou que a maior parte dos recursos foi convertida em criptoativos, e que até agora foram recuperados R$ 5,5 milhões em moedas digitais.
Contexto: vulnerabilidade no backbone do PIX
A falha foi explorada na C&M Software, empresa que fornece a camada de intermediação entre bancos e o SPI. Com mais de 23 instituições financeiras conectadas ao seu sistema, o fornecedor virou alvo privilegiado. Em 2 de julho de 2025, criminosos conseguiram infiltrar-se no ambiente interno da C&M e manipular a rota de liquidação em tempo real, desviando recursos de contas do Banco BMP, um dos maiores bancos regionais.
O lucro bruto do golpe foi estimado em R$ 541 milhões, mas os investigadores ainda não têm certeza do valor final, já que parte dos ativos foi lavado em várias exchanges estrangeiras.
Operação Magna Fraus: prisões, bloqueios e recuperação de cripto
Entre 14 e 18 de julho de 2025, a Polícia Federal e o Ministério Público de São Paulo conduziram a Operação Magna Fraus. Na primeira madrugada, servidores foram varridos em quatro estados, resultando em duas prisões temporárias em Goiás e Pará. No dia 16, dois suspeitos especialistas em negociação de criptoativos foram detidos em São Paulo.
O ponto de virada foi a localização da chave privada que desbloqueava as carteiras digitais. A chave foi encontrada em um dos endereços rastreados, permitindo que a PF transferisse R$ 5,5 milhões para a custódia do MP‑SP. Além disso, foram bloqueados cerca de R$ 32 milhões em contas vinculadas a outros endereços suspeitos.
Os valores recuperados vão para uma conta judicial da 1ª Vara Criminal Especializada em Crimes Tributários, Organização Criminosa e Lavagem de Dinheiro de São Paulo, conforme divulgado oficialmente.
O insider: como o acesso interno facilitou o crime
Antes do grande golpe, um operador de TI da C&M Software foi preso em 4 de julho de 2025 pela Polícia Civil de São Paulo. Ele admitiu ter vendido suas credenciais por R$ 15 mil a desconhecidos que, segundo ele, o abordaram em um bar da Rua São João, no centro da capital. O encontro, segundo o delegado Barbosa, aconteceu em março de 2025, indicando que o planejamento durou meses.
Nas residências dos suspeitos presos, a PF apreendeu laptops, smartphones, roteadores modificados e até duas pistolas sem registro. Todos os dispositivos foram encaminhados para análise forense, com o objetivo de mapear a estrutura da rede criminosa e identificar possíveis cúmplices ainda em liberdade.
Impacto no sistema financeiro e a resposta regulatória
O ataque expôs fragilidades críticas no modelo de intermediação do PIX. O Banco Central já prometeu revisar as normas de segurança cibernética para provedores de serviços de pagamento. Em comunicado, o BC destacou que as instituições devem adotar protocolos de autenticação multifator e auditorias trimestrais de código.
Além disso, o Conselho Monetário Nacional (CMN) está preparando um novo marco regulatório para criptoativos, visando melhorar a rastreabilidade e impedir que crimes de grande porte utilizem exchanges offshore como “banco dos ladrões”. Analistas do InfoMoney estimam que o prejuízo total possa chegar a quase R$ 1 bilhão, caso todas as rotas de lavagem sejam concluídas.
Próximos passos: força‑tarefa e perspectiva de novos bloqueios
A força‑tarefa criada entre a Polícia Federal, o Ministério Público e o Banco Central continuará a mapear a cadeia de movimentação de cripto. Entre as próximas etapas, estão a análise aprofundada dos logs de rede dos aparelhos apreendidos, a cooperação com autoridades de quatro países (Estados Unidos, Holanda, Cingapura e Reino Unido) e a solicitação de bloqueio de contas em exchanges que ainda não responderam a mandados internacionais.
Especialistas em segurança digital alertam que o golpe pode servir de modelo para futuros ataques a sistemas de pagamento instantâneo em outros países da América Latina. “A velocidade com que o dinheiro saiu e foi convertido em cripto demonstra que os criminosos já dominam as técnicas de lavagem digital”, comenta Renata Alves, analista senior da empresa de cibersegurança Guardion.
Perguntas Frequentes
Qual foi o papel da C&M Software no ataque?
A C&M Software fornecia a camada de intermediação entre bancos e o SPi. Um funcionário interno vendeu credenciais de acesso, permitindo que os hackers manipulassem a liquidação das transações Pix e desviassem recursos para carteiras digitais.
Quantos recursos já foram recuperados?
Até o momento, R$ 5,5 milhões em criptoativos foram apreendidos, além de bloqueios que totalizam cerca de R$ 32 milhões em contas vinculadas a suspeitos.
Quem são os principais investigados?
Além do operador de TI da C&M Software preso em 4 de julho, duas pessoas especializadas em negociação de criptoativos foram detidas em 16 de julho. Os nomes não foram divulgados, mas a PF afirma que são responsáveis pelo planejamento e execução da lavagem.
Qual o impacto para os usuários do Pix?
Ainda não há interrupções no serviço, mas o Banco Central está revisando as diretrizes de segurança. Usuários podem sentir aumento nas exigências de autenticação e nas verificações de transações de alto valor.
O que as autoridades esperam alcançar nos próximos meses?
A força‑tarefa pretende identificar todos os membros da quadrilha, bloquear ativos restantes em exchanges internacionais e fortalecer a legislação que regula criptoativos, evitando novos ataques de magnitude similar.
Luciana Barros
outubro 22, 2025 AT 20:50A magnitude do golpe evidencia fragilidades estruturais que exigem revisão urgente das políticas de segurança digital das instituições participantes. É imprescindível que os reguladores adotem medidas preventivas mais rigorosas.