O suspeito pelo ataque hacker contra o sistema da empresa de software C&M, foi "cooptado por criminosos" e forneceu acessos para execução do golpe. A dinâmica do crime foi detalhada hoje pelo DEIC (Departamento Estadual de Investigações Criminais), da Polícia Civil de São Paulo.
O que aconteceu
João Nazareno Roque, 48, teria sido usado como facilitador para o golpe e recebeu R$ 15 mil como pagamento. Ele teria viabilizado o crime fornecendo senha e login de acesso aos golpistas, após ter sido abordado, ainda em março, por um homem que "desejava conhecer o sistema", quando saia de um bar, segundo informado hoje por investigadores da Polícia Civil em coletiva de imprensa.
"Suspeito disse que foi seduzido por proposta dos hackers e alegou que não sabia o que iria acontecer", explicaram os delegados do caso. No entanto, segundo os investigadores, não foram identificados sinais de coação e ameaça. Além disso, ressaltam que a versão do suspeito ainda será confrontada pelas investigações.
Ao menos R$ 500 milhões teriam sido desviados, mas nenhuma pessoa física foi prejudicada, nem o Banco Central, segundo a polícia. O valor estimado diz respeito somente ao prejuízo do BMP, um banco que usava os serviços da C&M, assim como outras 22 instituições — ainda não há confirmações oficiais de que outros bancos e fintechs tenham sofrido desvios.
A C&M é uma espécie de benjamin entre 23 instituições financeiras e o banco central para viabilizar operações como o Pix
Diretor-geral da polícia, Arthur Dian.
Este é estimado como maior valor desviado em furto da história do Brasil, diz polícia de SP. Segundo os delegados, João vai responder pelo crime de associação criminosa (pena pode ser de 5 a 10 anos) e furto qualificado mediante fraude e abuso de confiança (pena de 2 a 8 anos). Sem detalhar quem eram os criminosos, que realizavam os contatos apenas por telefone, sem se identificar, o suspeito disse apenas que quatro pessoas o contactaram desde março.
Prisão do suspeito aconteceu em São Paulo na manhã de hoje. O homem foi levado da sua residência, na zona norte de São Paulo, para o prédio do antigo Deic (Departamento Estadual de Investigações Criminais).
O portal tenta localizar a defesa do suspeito detido hoje. O espaço fica aberto para manifestações e será atualizado caso tenha retorno.
Crime ocorreu no fim de junho
O ataque hacker ocorreu a partir das 4h30 do dia 30 de junho. Segundo a polícia, uma série de transferências via Pix foram realizadas até as 7h do mesmo dia, pouco antes do crime ser notado por funcionários da BMP.
Um boletim de ocorrência sobre o crime havia sido registrado em junho, quando os agentes iniciaram as investigações, segundo a SSP. "Desde o início, pela dinâmica do golpe, os policiais suspeitaram que algum funcionário da empresa teria facilitado o acesso ao dinheiro. Com isso, alguns colaboradores passaram a ser monitorados, até que a equipe conseguiu chegar ao alvo", informou a pasta paulista, em nota.
Homem apresentou "comportamento estranho" ao ser interrogado, até que confessou o envolvimento, segundo delegado Paulo Eduardo Barbosa, responsável pelas investigações. Ele teria facilitado, por meio de "códigos maliciosos" que outros criminosos extraíssem o valor milionário de uma instituição financeira.
Funcionário em início de carreira
O homem de 48 anos era funcionário da C&M há três anos. Conforme apurado pelo UOL, ele havia mudado de carreira e entrado no mercado de TI em 2022. Seu salário na empresa era de R$ 3.003,27, acima do piso salarial da categoria. Em nota, a empresa de software afirmou que as investigações internas foram decisivas para identificar a origem do acesso indevido e contribuir com o trabalho policial sobre o caso.
A C&M Software disse que, desde o início, adotou "todas as medidas técnicas e legais" e deixou os sistemas da empresa "sob rigoroso monitoramento e controle de segurança". A empresa também informou que "segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025."
Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.
C&M Software, em nota.
PF e Polícia Civil de São Paulo investigam o caso. Como medida reparatória, também foi deferido o bloqueio de R$ 270 milhões de uma conta utilizada para receber os valores milionários desviados, segundo a SSP paulista. A suspeita é de que houve furto mediante fraude, invasão de dispositivo de informática, lavagem de dinheiro e formação de organização criminosa.
Entenda o ataque
C&M Software fornece infraestrutura de funcionamento do Pix para vários bancos. A companhia de tecnologia tinha permissão para operar as contas reservas de seus clientes no Banco Central do Brasil, que são usadas para liquidar operações de Pix entre as financeiras. A confirmação do incidente só ocorreu nesta quarta-feira.
Cibercriminosos acessaram "cofres reservas", usados para transações entre bancos, e transferiram o dinheiro de bancos clientes da C&M Software. Entre eles, o primeiro que admitiu ser atingido foi o banco BMP, que reforça que recursos de clientes não foram afetados. A instituição divulgou uma nota hoje em seu site, confirmando a falha da C&M Software e que suas contas reservas foram afetadas.
Outra instituição atingida foi o Banco Paulista. Em nota em seu site, a empresa diz que na segunda-feira uma falha num provedor terceirizado causou interrupção temporária do serviço de Pix, impactando diversas instituições. A instituição afirma que o problema "não comprometeu dados sensíveis nem gerou movimentações indevidas" e que equipes técnicas atuam "para restabelecer o serviço o quanto antes".
"Como se fosse a Casa de Papel", definiu especialista. Apesar de na série os protagonistas imprimirem dinheiro de um banco central, neste caso, não foram roubados fundos de correntistas, explica Hiago Kin, presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos), mas dos próprios bancos.
Os cibercriminosos invadiram a infraestrutura da C&M Software e geraram transferências fraudulentas diretamente das contas reservas dos bancos afetados
Hiago Kin, presidente do presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos).
Estimativas falam em prejuízo de ao menos R$ 1 bilhão, mas ainda não se sabe exatamente o valor total transferido. Em nota, o Banco Central afirmou que a C&M Software comunicou ataque à sua infraestrutura e que o órgão determinou "o desligamento do acesso das instituições às infraestruturas por ela operadas".
C&M Software diz que teve "uso indevido de credenciais de clientes" para acessar de forma fraudulenta sistemas e serviços da empresa. A companhia afirmou que não comentará detalhes do processo "por orientação jurídica". Em comunicado na manhã de ontem, a C&M Software informou ter restabelecido as operações de Pix com autorização do Banco Central.
 |
 |
