Uma jovem empresa de pagamentos chamada Monexa Gateway, criada apenas 19 dias antes do grande ataque hacker ocorrido em 30 de junho de 2025, movimentou R$ 45 milhões em cinco transferências suspeitas via Pix — quatro no valor de R$ 10 milhões e uma de R$ 5 milhões — mesmo antes de estar totalmente estruturada para operar. O caso ganhou destaque após investigação da Polícia Federal e da Polícia Civil de São Paulo, que apontam indícios de que a sociedade por trás da Monexa tenha sido usada como “fachada” ou empresa laranja para receber recursos desviados durante o maior incidente cibernético já registrado no sistema de pagamentos brasileiro .
A Monexa foi oficialmente registrada em 11 de junho, enquanto os recursos chegaram em três datas distintas durante a madrugada dias depois. A única sócia e administradora no contrato social é Lavinia Lorraine Ferreira dos Santos, suspeita de ser responsável pela criação de outras quatro empresas semelhantes no mesmo dia: Nuvora Gateway de Pagamentos, Pay Gateway de Pagame, Altrix Gateway de Pagame e Veltro Gateway de Pagamentos, todas sediadas em **São José dos Pinhais (PR)** .
O modus operandi do golpe foi classificado como um ataque de engenharia social: o funcionário da empresa de infraestrutura de pagamentos C&M Software, com 3 anos de atuação na empresa, foi subornado por R$15 mil para fornecer credenciais — permitindo acesso ao sistema central de processamento do Pix. O acesso serviu exclusivamente para desviar recursos das “contas reserva” de instituições ligadas ao Banco Central, sem atingir diretamente as contas correntes de clientes finais .
Aspectos normativos e crimes imputáveis
Sob a Resolução 30/2020 (Lei do Pix) do Banco Central, ficou autorizada a suspensão cautelar de acesso ao sistema por até 60 dias — providência já aplicada a instituições envolvidas no ciclo de pagamentos afetado pela C&M(S). A apuração poderá culminar em infrações administrativas e sanções que variam de advertência a multas.
No âmbito penal, são investigados:
Furto qualificado (art. 155 §4º, CP),
Invasão de dispositivo informático (art. 154‑A, CP),
Formação de organização criminosa (art. 288, CP),
Lavagem de dinheiro (Lei 9.613/98), especialmente se comprovado mecanismo de mascaramento de recursos.
A responsabilização recai tanto sobre as pessoas físicas (como o funcionário da C&M e possíveis sócios ocultos) quanto sobre as pessoas jurídicas (Monexa e empresas associadas), que podem ser enquadradas conforme o Código Penal e a Lei de Lavagem. O Decreto-Lei 2.848/41 também prevê sanções agravadas caso se comprove a participação de funcionários de entidades regulamentadas ou o uso irregular de contas “reserva”.
Modus operandi e estrutura da fraude
A principal vítima do ataque foi a C&M Software, empresa de tecnologia autorizada pelo Banco Central para operar a infraestrutura técnica do Pix e conectar instituições financeiras ao **Sistema de Pagamentos Brasileiro (SPB)** .
Com o acesso indevido concedido por um funcionário insider, os criminosos executaram cinco transações em nomes de empresas recém-criadas, utilizando contas da Monexa via Nuoro Pay. A construção da estrutura empresarial em menos de um mês e a escolha de uma pessoa física conhecida por envolvimento criminal (Lavinia, supostamente ligada ao tráfico) indicam possível intenção prévia de criar uma rede de empresas laranjas.
Paralelamente à Monexa, outras empresas com mesmo sócio e formato operacional receberam recursos, o que contribui para delinear um padrão de repetição e tentativa de dispersão dos recursos — padrão típico de esquemas de lavagem transnacional.
Casos práticos
Monexa Gateway: R$45 milhões recebidos em 5 transações via Pix
Outras empresas do mesmo grupo: registradas em 11 de junho — suspeitas de receber valores adicionais, ainda sob apuração
Funcionário da C&M: João Nazareno Roque foi preso após operação conjunta da PF e PC-SP
C&M Software: teve seu acesso ao Pix suspenso pelo Banco Central — e as autoridades ordenaram o bloqueio preventivo de R$270 milhões em contas associadas ao incidente
Análise crítica
O episódio reflete uma falha grave na regulação e no compliance do ecossistema Pix. A segurança focada em tecnologia se mostrou insuficiente quando confrontada com ameaças internas (insider threats). A criação de empresas com menos de um mês de atividade e vinculadas a indivíduos com histórico criminal evidencia falhas profundas no sistema de prevenção à lavagem de dinheiro (PLD) e na due diligence aplicada às fintechs intermediadoras.
Especialistas em segurança, como apontado por analistas do Valor Econômico e InfoMoney, alertam que o modelo de confiança do Pix exige mecanismos de acesso zero-trust, segmentação de dados críticos e treinamento constante de pessoal — medidas ainda pouco implementadas em prestadores de serviço contratados .
A responsabilização jurídica, além de individual, deve se estender às organizações — inclusive com possível revogação de licenças e sanções pecuniárias elevadas. O caso evidencia a urgência em revisar critérios de registro e operação de novas empresas no sistema Pix, impedindo que entidades sem histórico ou estrutura adequada operem em conjunto com a infraestrutura sensível do Central.
Conclusão
O golpe que envolveu a Monexa Gateway — empresa em circulação mínima de 19 dias — expõe a fragilidade estrutural do ecossistema financeiro digital brasileiro. Mais do que um ataque tecnológico, trata-se de falha humana e institucional: compliance fraco, falhas na triagem de empresas, ausência de barreiras à atividades suspeitas. Resta agora à investigação definir se houve premeditação, e as sanções deverão ser proporcionais ao risco sistêmico imposto ao sistema Pix.
O caso reforça a necessidade de:
1. Forte regulação prévia de startups financeiras
2. Pleno cumprimento da LGPD e PLD
3. Treinamento e rotação de funções no pessoal
4. Monitoramento em tempo real de transações atípicas
5. Penalidades dissuasórias que desestimulem utilização do sistema por criminosos
Fontes
“Empresa Iniciante Sofre Ataque Cibernético e Perde R$45 Milhões via Pix” – Dia de Ajudar
“Hackers desviam ao menos R$ 400 milhões após invadirem empresa que conecta instituições ao Pix” – Valor Econômico/LinkedIn
“Ataque hacker atinge empresa que integra bancos ao Pix e desvia R$ 1 bilhão” – ABJ/Brasil247
Por: Blog Luciano Melo Oficial
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.