Fintechs movimentaram R$ 94 bilhões do crime e bandidos deram golpes de R$ 1,8 bi em bancos pelo Pix

Levantamento feito pelo Estadão com documentos de oito operações da Polícia Federal e do Ministério Público de São Paulo mostra que, entre 28 de agosto de 2024 e 28 de agosto de 2025, a PF e o Grupo de Atuação Especial de Combate ao Crime Organizado (Gaeco) investigaram sete instituições de pagamento que movimentaram R$ 94 bilhões, a maioria desses recursos em operações atípicas ou suspeitas de ligação com o crime organizado.

Ao mesmo tempo, grupos de hackers patrocinaram ataques a bancos e instituições de pagamento por meio de fintechs e do uso do Pix para furtar pelo menos R$ 1,8 bilhão em três grandes invasões do sistema dessas instituições. Eles exploraram vulnerabilidades do sistema ou subornaram funcionários para ter acesso a senhas de empresas de tecnologia que fornecem serviços para bancos e instituições de pagamento se ligarem ao sistema Pix.

Entre as medidas anunciadas pelo Banco Central nesta sexta-feira, 5, está o limite de R$ 15 mil para TED e Pix feitos por meio de instituições de pagamento não autorizadas e para as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI).

A autarquia também determinou que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização e antecipou de dezembro de 2029 para maio de 2026 o prazo final para que instituições de pagamento não autorizadas a operar pelo BC solicitem a autorização de funcionamento.

“Infelizmente, só após diversas vítimas terem sofrido grandes golpes dessas organizações criminosas o Banco Central toma a atitude de colocar algum tipo de filtro nessas transações financeiras”, afirmou o criminalista Daniel Bialski, que defende uma das maiores vítimas, o banco BMP, que teve R$ 479 milhões desviados de sua conta no Banco Central por meio de um ataque hacker que usou fintechs para movimentar dinheiro transferido pelo Pix em 30 de junho.

Os bandidos obtiveram o login de acesso ao sistema da fornecedora de infraestrutura bancária C&M Software, uma PSTI, e transferiram recursos de oito clientes da empresa para fintechs e de outros laranjas. Eles transformaram tudo em criptoativos, o que dificulta o rastreio do dinheiro. Usaram ainda computadores registrados em operadoras de internet com até 5 mil usuários, pois elas são dispensadas de obter autorização da Agência Nacional de Telecomunicações (Anatel) para funcionar — a partir de 25 de outubro, essa regra vai mudar. Por enquanto, o BMP conseguiu reaver R$ 270 milhões.

Foi em dezembro de 2024 que surgiu o primeiro grande ataque hacker explorando vulnerabilidades de empresas de tecnologia que ligavam instituições de pagamento ao do Pix. O mais recente aconteceu no dia 29 de agosto e envolveu a infraestrutura da Sinqia, outra PSTI, desviando até R$ 710 milhões. Desse total, R$ 589 milhões foram bloqueados com sucesso pelo BC.

Ao todo, foram desviados R$ 669 milhões das contas do banco HSBC e R$ 41 milhões da Artta, uma sociedade de crédito direto. O Estadão apurou que dirigentes de pelo menos um dos bancos atingidos estuda processar o banco Central em razão dos prejuízos.