Na madrugada de segunda-feira, 30 de junho, ocorreu um ataque cibernético que resultou no desvio de aproximadamente R$ 1 bilhão de oito instituições financeiras por meio de contas gerenciadas pela empresa de tecnologia C&M Software. Este é considerado o maior furto desse tipo já registrado no Brasil, conforme análise do Grupo FS, empresa líder em segurança cibernética no país.

Origem e Dinâmica do Ataque

Os recursos desviados estavam em contas reservas mantidas no Banco Central, utilizadas para liquidação interbancária via Sistema de Pagamentos Brasileiro (SPB) e Pix. A empresa BMP foi a mais afetada entre os clientes prejudicados. Os criminosos convenceram um funcionário da C&M, João Nazareno Roque, a vender suas credenciais de acesso e a desenvolver um sistema interno que facilitasse o desvio dos valores.

Suspeito e Investigação

João Nazareno Roque, técnico em informática, confessou ter sido aliciado e admitiu ter fornecido suas senhas por R$ 5.000, além de receber mais R$ 10.000 para criar o sistema que permitiu a fraude. Ele reside em Pirituba, zona noroeste de São Paulo, e declarou renda mensal de R$ 2.500. A polícia investiga ainda outros quatro envolvidos, que não foram identificados, mas com quem Roque afirmou ter mantido contato.

Detecção e Reação ao Golpe

O golpe foi detectado pela fintech SmartPay às 0h18 de segunda-feira, que identificou movimentações suspeitas na plataforma, incluindo transações para compra de criptomoedas (USDT) e abertura anormal de contas. A BMP também foi alertada sobre transferências incomuns e montou uma equipe para avaliar a situação, confirmando o golpe.

Recuperação e Medidas das Autoridades

Até o momento, pelo menos R$ 270 milhões foram bloqueados por operação policial em uma instituição financeira. A SmartPay também bloqueou operações suspeitas e iniciou processos para estornar valores às instituições afetadas. O Banco Central, informado no dia 1º de julho, determinou o desligamento do acesso da C&M às infraestruturas do sistema, restabelecendo parcialmente após medidas de segurança. O BC suspendeu o acesso ao Pix de três fintechs por suspeita de envolvimento com o incidente.

Pontos Ainda em Investigação

Apesar das informações já divulgadas, há aspectos que permanecem incertos, como o montante total oficialmente confirmado do desvio e a soma total recuperada. A identidade dos demais envolvidos e o nome completo das instituições prejudicadas não foram revelados. Também está pendente a confirmação sobre a existência de seguro corporativo da C&M para cobrir os prejuízos, além de possíveis negligências das instituições financeiras na segurança do sistema Pix.

A investigação está a cargo da Polícia Federal, Polícia Civil de São Paulo e do Banco Central, que mantém sigilo sobre detalhes para não comprometer as apurações.