Fintech ligada a esquema de lavagem de dinheiro é investigada por receber milhões desviados em ataque hacker ao sistema Pix
Photo by Markus Spiske on Unsplash
A Brasil Cash, fintech brasileira autorizada pelo Banco Central (BC) a operar como instituição de pagamento, está no epicentro de uma investigação que apura o maior roubo da história do sistema financeiro nacional. Pelo menos R$ 10 milhões desviados no ataque hacker que comprometeu mais de R$ 541 milhões da BMP (Banco de Meios de Pagamento) passaram pelas contas da empresa, que já foi alvo de operações policiais por suspeita de lavagem de dinheiro.
A Polícia Civil de São Paulo e a Polícia Federal (PF) investigam a participação da Brasil Cash e de outras cinco fintechs no esquema, que expôs vulnerabilidades no sistema Pix e levantou questionamentos sobre a supervisão do BC.
O ataque, ocorrido na madrugada de 30 de junho de 2025, explorou uma brecha na C&M Software, empresa que conecta bancos menores e fintechs ao Sistema de Pagamentos Brasileiro (SPB). Criminosos acessaram contas reservas de pelo menos seis instituições financeiras no BC, desviando valores estimados entre R$ 400 milhões e R$ 1 bilhão. A BMP, principal vítima, teve R$ 541 milhões transferidos via Pix em menos de três horas. Parte desses recursos foi rastreada até a Brasil Cash, que, segundo a Polícia Civil, forneceu informações às autoridades, mas pode ter recebido outros repasses ainda não identificados.
Passado conturbado
A Brasil Cash não é novidade para as autoridades. Em agosto de 2024, a empresa foi alvo da operação Concierge, deflagrada pela PF para desmantelar uma rede de lavagem de dinheiro ligada ao Primeiro Comando da Capital (PCC). A investigação revelou que a fintech, autorizada pelo BC apenas cinco meses antes, movimentava recursos de origem ilícita. Apesar disso, continuou operando sem restrições até o ataque hacker de julho de 2025, quando o BC suspendeu suas operações via Pix, junto com outras fintechs como Transfeera, Nuoro Pay, Soffy, Voluti Gestão Financeira e S3 Bank.
A suspensão, com duração inicial de 60 dias, foi determinada para proteger a integridade do sistema financeiro enquanto as investigações prosseguem. O BC, no entanto, não esclareceu por que não tomou medidas contra a Brasil Cash após a operação Concierge, nem detalhou o volume total de recursos desviados que passaram pela fintech. Em nota, a Brasil Cash afirmou que não houve violação de seus sistemas e que colabora com as autoridades, mas não respondeu a questionamentos da imprensa.
Quem está por trás da Brasil Cash?
A estrutura societária da Brasil Cash levanta suspeitas. Seus controladores são a Media Capital Empreendimentos e Participações, que pertence à Cane Services Limited, uma empresa sediada em Tortola, nas Ilhas Virgens Britânicas, conhecido paraíso fiscal. Desde sua fundação, em 2018, a fintech passou por diversas alterações societárias, de endereço, diretores e capital social, que subiu de R$ 10 mil para R$ 7,6 milhões. Essas mudanças dificultam a identificação de seus reais donos.
O administrador da empresa, Mauricio Caviglia, também tem um histórico de investigações. Ele foi alvo do Ministério Público Federal (MPF) por suspeita de lavagem de dinheiro e acusado de envolvimento em um esquema de propina na Aceco TI, onde trabalhou, para obter contratos sem licitação com a Junta Comercial de São Paulo. Embora o processo tenha sido extinto, Caviglia teve bens bloqueados na operação Concierge, mas seguiu à frente da Brasil Cash até a suspensão recente.
Outro episódio envolvendo a fintech é a disputa judicial com Ricardo Abdo, ex-administrador removido em 2023. Abdo acionou a Justiça de São Paulo, alegando que sua participação acionária foi reduzida sem justificativa e exigindo acesso a documentos financeiros da empresa. O caso reforça a opacidade na gestão da Brasil Cash, que opera em um prédio comercial em Alphaville, Barueri (SP), após iniciar atividades em Santana de Parnaíba (SP).
O ataque hacker e suas consequências
O ataque à C&M Software, classificado como um “supply chain attack”, foi facilitado por João Nazareno Roque, operador de TI da empresa, preso em 3 de julho de 2025. Roque confessou ter vendido suas credenciais por R$ 5 mil e recebido mais R$ 10 mil para criar um sistema que permitiu os desvios. Ele alegou não conhecer os hackers, com quem se comunicava por celular, trocando de aparelho a cada 15 dias para evitar rastreamento. A Polícia Civil bloqueou R$ 270 milhões em uma conta usada para receber os valores desviados, mas o prejuízo total ainda é incerto, com estimativas variando de R$ 800 milhões a R$ 1 bilhão.
Os recursos roubados foram fragmentados em inúmeras transferências Pix, dificultando o rastreamento. Parte foi convertida em criptomoedas como Bitcoin e USDT, mas algumas exchanges bloquearam transações suspeitas, limitando as perdas. A BMP, que opera como provedora de serviços de “banking as a service”, garantiu que nenhum cliente foi afetado e que possui recursos para cobrir o prejuízo. Outras instituições, como Banco Paulista e Credsystem, também confirmaram impacto, mas negaram perdas para clientes.
Questionamentos ao Banco Central
O caso expôs falhas na supervisão do BC, que autorizou a Brasil Cash a operar como instituição de pagamento apesar de seu histórico recente. Especialistas, como Micaella Ribeiro, da IAM Brasil, apontam que o incidente deve levar a uma revisão das políticas de segurança cibernética e gestão de terceiros no setor financeiro. A ausência de alarmes automáticos para detectar movimentações anormais e a demora em suspender a Brasil Cash após a operação Concierge reforçam a necessidade de regulamentações mais rígidas.
Posts em redes sociais, como no X, mostram indignação de usuários com a fragilidade do sistema Pix e cobram maior transparência do BC. Um post da conta @istoe_dinheiro, de 5 de julho de 2025, destacou a suspensão das fintechs, incluindo a Brasil Cash, gerando debates sobre a segurança do sistema financeiro.
O que vem pela frente?
As investigações da PF e da Polícia Civil continuam, com foco em identificar outros envolvidos e rastrear o destino dos recursos. A Brasil Cash permanece sob escrutínio, e a Justiça pode determinar novas medidas contra seus administradores. O BC, pressionado a reforçar a segurança do Pix, trabalha no MED 2.0, um mecanismo que permitirá rastrear recursos roubados em mais camadas de transações.
Enquanto isso, o caso da Brasil Cash serve como alerta: a combinação de estruturas societárias opacas, históricos criminais e falhas regulatórias pode abrir brechas para crimes de proporções históricas. O sistema financeiro brasileiro, que se orgulha da robustez do Pix, enfrenta agora o desafio de recuperar a confiança. Por Alan.Alex / Painel Político