Foto: Werther Santana/Estadão
Levantamento feito pelo Estadão com documentos de oito operações da Polícia Federal e do Ministério Público de São Paulo mostra que, entre 28 de agosto de 2024 e 28 de agosto de 2025, a PF e o Grupo de Atuação Especial de Combate ao Crime Organizado (Gaeco) investigaram sete instituições de pagamento que movimentaram R$ 94 bilhões, a maioria desses recursos em operações atípicas ou suspeitas de ligação com o crime organizado.
Ao mesmo tempo, grupos de hackers patrocinaram ataques a bancos e instituições de pagamento por meio de fintechs e do uso do Pix para furtar pelo menos R$ 1,8 bilhão em três grandes invasões do sistema dessas instituições. Eles exploraram vulnerabilidades do sistema ou subornaram funcionários para ter acesso a senhas de empresas de tecnologia que fornecem serviços para bancos e instituições de pagamento se ligarem ao sistema Pix.
Entre as medidas anunciadas pelo Banco Central nesta sexta-feira, 5, está o limite de R$ 15 mil para TED e Pix feitos por meio de instituições de pagamento não autorizadas e para as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI).
A autarquia também determinou que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização e antecipou de dezembro de 2029 para maio de 2026 o prazo final para que instituições de pagamento não autorizadas a operar pelo BC solicitem a autorização de funcionamento.
“Infelizmente, só após diversas vítimas terem sofrido grandes golpes dessas organizações criminosas o Banco Central toma a atitude de colocar algum tipo de filtro nessas transações financeiras”, afirmou o criminalista Daniel Bialski, que defende uma das maiores vítimas, o banco BMP, que teve R$ 479 milhões desviados de sua conta no Banco Central por meio de um ataque hacker que usou fintechs para movimentar dinheiro transferido pelo Pix em 30 de junho.
Os bandidos obtiveram o login de acesso ao sistema da fornecedora de infraestrutura bancária C&M Software, uma PSTI, e transferiram recursos de oito clientes da empresa para fintechs e de outros laranjas. Eles transformaram tudo em criptoativos, o que dificulta o rastreio do dinheiro. Usaram ainda computadores registrados em operadoras de internet com até 5 mil usuários, pois elas são dispensadas de obter autorização da Agência Nacional de Telecomunicações (Anatel) para funcionar — a partir de 25 de outubro, essa regra vai mudar. Por enquanto, o BMP conseguiu reaver R$ 270 milhões.
Foi em dezembro de 2024 que surgiu o primeiro grande ataque hacker explorando vulnerabilidades de empresas de tecnologia que ligavam instituições de pagamento ao do Pix. O mais recente aconteceu no dia 29 de agosto e envolveu a infraestrutura da Sinqia, outra PSTI, desviando até R$ 710 milhões. Desse total, R$ 589 milhões foram bloqueados com sucesso pelo BC.
Ao todo, foram desviados R$ 669 milhões das contas do banco HSBC e R$ 41 milhões da Artta, uma sociedade de crédito direto. O Estadão apurou que dirigentes de pelo menos um dos bancos atingidos estuda processar o banco Central em razão dos prejuízos.
De um prédio de seis andares na Rua Doutor Antônio Álvares Lobo, em Campinas, partiram algumas das maiores ofensivas contra o sistema bancário do crime organizado no Brasil. Foi na sede da Polícia Federal na cidade do interior paulista que foram planejadas as Operações Concierge, a Tai Pan e Quasar, esta última deflagrada em conjunto com as Operações Carbono Oculto e Tank.
A primeira delas ocorreu no dia 28 de agosto de 2024. Foi a Operação Concierge. Naquele dia, 200 policiais federais cumpriram dez mandados de prisão e 60 de busca e apreensão. Entre os alvos estava o T10 Bank, uma instituição de pagamento que movimentou dinheiro de empresas como a UPBus.
Investigada pela Operação Fim da Linha, a UPBus tinha em seu quadro de acionistas integrantes da Sintonia Final do Primeiro Comando da Capital (PCC) e mantinha contrato com a Prefeitura de São Paulo para a concessão de linhas do transporte público na zona leste da cidade. O contrato com a UPBus foi encerrado e parte de sua diretoria teve a prisão decretada acusada de participar da organização criminosa.
Ali apareceu pela primeira vez o uso de contas-bolsão, mantidas pelas fintechs. Por meio delas, integrantes de organizações criminosas podiam movimentar seus recursos sem que as instituições de controle e fiscalização identificassem os verdadeiros donos do dinheiro. O sistema, segundo a Receita Federal, bancarizou o crime organizado. As contas-bolsão haviam sido criadas originalmente para facilitar operações de câmbio, mas foram desvirtuadas.
De acordo com a investigação da PF, a UPBus enviou, por meio de suas contas no T10 Bank R$ 3.011.419,98 para clientes que mantinham subcontas na mesma instituição de pagamento. E recebeu R$ 1.554.231,00 que tiveram como origem outros clientes da T10 Bank.
Essa contabilidade ficava registrada apenas na fintech, sem ser informada ao BC, à Receita ou ao Conselho de Controle das Atividades Financeiras (Coaf), quando surgiam suspeitas de lavagem de dinheiro. Os valores também ficavam protegidos de bloqueios judiciais.
Na sequência, a PF deflagrou a Operação Tai Pan, em 26 de novembro de 2024, que flagrou o esquema que seria liderado pelo empresário chinês Tao Li — só as empresas envolvidas no esquema de evasão de divisas por meio de criptoativos movimentaram R$ 119 bilhões. Parte desse dinheiro passou pelas contas do 2Go Bank.
Trata-se de uma fintech que movimentou R$ 30 bilhões e, segundo a delação do empresário Antonio Vinicius Gritzbach, era ligada a integrantes do PCC envolvidos no tráfico internacional de drogas. Gritzbach foi assassinado a tiros de fuzil em 8 de novembro, no aeroporto de Guarulhos por policiais militares contratados por traficantes da facção criminosa.
Deu no Estadão
