O ataque hacker que desviou cerca de R$ 400 milhões usando o Pix nesta semana chamou a atenção não só pela quantia, mas também pela complexidade para a invasão e também recuperação de parte dos valores nas transações fraudulentas. A invasão ocorreu por meio da C&M Software, uma empresa veterana do setor e que conecta bancos ao Banco Central, e mostrou como o Mecanismo Especial de Devolução (MED), criado para combater fraudes, tem certa eficácia, mas ainda enfrenta barreiras para funcionar de forma plena.

A C&M atua como provedora de serviços de tecnologia para bancos e fintechs, operando como um elo entre instituições financeiras e o sistema de liquidação do Pix. Ao explorar credenciais indevidas, hackers acessaram contas reservas mantidas no Banco Central e conseguiram enviar valores de forma fraudulenta para outras contas — muitas delas controladas ou usadas como “laranjas” para pulverizar o dinheiro.

Segundo relatos, parte dos valores foi rapidamente convertida em criptomoedas, impedindo o rastreamento posterior. Ainda assim, uma fração menor do montante pôde ser bloqueada e devolvida usando o MED — ferramenta criada justamente para conter esse tipo de golpe.

O que é o MED e como ele tenta conter fraudes

Para lidar com o crescimento de fraudes no Pix desde o lançamento em 2020, o Banco Central criou o Mecanismo Especial de Devolução em 2021. Ele funciona como um procedimento formal para reverter valores mesmo depois de uma transferência concluída:

• A vítima ou o banco onde o dinheiro saiu abre um pedido em até 80 dias após a transação.
• O banco do pagador aciona o MED, notificando o banco recebedor para bloquear os valores suspeitos.
• Durante até sete dias, os bancos analisam o caso e, se a fraude for confirmada, os recursos são devolvidos (total ou parcialmente, dependendo do saldo disponível na conta de destino).
• Durante o processo, a conta do suspeito pode ficar sob monitoramento por até 90 dias.

O sistema também conta com o Bloqueio Cautelar, que congela recursos por até 72 horas quando há indícios imediatos de fraude.

Esses mecanismos já permitiram recuperar milhões de reais em fraudes menos sofisticadas — mas o ataque à C&M escancarou como eles podem falhar quando o crime é bem articulado e veloz.

O que expôs o ataque à C&M

Embora o MED tenha sido acionado, a maior parte dos R$ 400 milhões desviados escapou ao bloqueio. Isso ocorreu porque os criminosos transferiram o dinheiro para várias contas e converteram parte dele em criptomoedas antes que os bancos conseguissem emitir alertas.

Fontes do setor financeiro criticaram a segurança do Banco Central, questionando como valores tão altos puderam sair sem disparar alertas internos. Um ponto central foi a própria natureza flexível do Pix, pensada para facilitar transferências rápidas, mas que acabou se tornando vulnerável em operações coordenadas.

Por que foi possível movimentar tanto dinheiro sem alertas?

A arquitetura do Pix apresenta aberturas que dificultam a detecção imediata de fraudes de grande porte:

• Ausência de limite máximo obrigatório por transação: o Banco Central não impõe um teto único para transferências no Pix. Cada instituição define seus próprios limites — o que permite ajustes muito altos para clientes corporativos ou parceiros específicos.
• Monitoramento baseado em volume mensal, não por transação individual: o Banco Central e a Receita Federal exigem reporte apenas de saldos mensais — acima de R$ 5 mil para pessoas físicas e R$ 15 mil para empresas. Até lá, não há alerta automático.
• Limites para dispositivos não cadastrados: hoje, há um teto de R$ 200 por transação e R$ 1 mil diários para aparelhos não validados. Mas para dispositivos com credenciais confiáveis, como empresas certificadas, as restrições são bem mais frouxas.

Essa combinação de fatores permitiu aos criminosos movimentar rapidamente grandes quantias, fracioná-las em diferentes contas e, em alguns casos, convertê-las em criptoativos quase instantaneamente.

Limitações do MED — e o que o BC promete mudar

O MED só consegue bloquear valores que ainda estejam na conta do recebedor quando o pedido de devolução chega. Se o dinheiro já tiver saído dali — seja via novas transferências ou conversão em criptomoedas —, não há como recuperá-lo.

Para lidar com isso, o Banco Central planeja lançar uma nova versão do MED com rastreamento em múltiplos níveis, para tentar seguir o dinheiro mesmo quando ele é pulverizado em contas “laranjas”.

A meta é detectar repasses suspeitos em cadeia, aumentar o poder de bloqueio preventivo e melhorar o compartilhamento de alertas entre instituições.