Ataque hacker histórico desvia R$ 1 bilhão via Pix; Polícia prende funcionário suspeito

Paulo Nascimento

Um dos maiores ataques cibernético no Brasil desviou cerca de R$ 1 bilhão de contas de reserva mantidas no Banco Central, em uma operação fraudulenta realizada por meio do sistema Pix, o golpe aconteceu na madrugada de 30 de junho e teve como alvo a C&M Software, uma empresa de tecnologia que atua entre instituições financeiras e o BC. A Polícia Federal já abriu um inquérito junto com a Polícia Civil de São Paulo, que levou à prisão de um suspeito de envolvimento, um funcionário da empresa.

Invasão articulada e prejuízos milionários

Os hackers conseguiram acessar os sistemas ao obter credenciais de clientes da C&M, que integra o Sistema de Pagamentos Brasileiro (SPB). A empresa informou que da segurança Grupo FS, esta foi a maior violação cibernética já registrada no setor financeiro nacional. As transações fraudulentas impactaram mais de 40 instituições, sendo que pelo menos oito sofreram perdas significativas. A mais afetada foi a BMP, com prejuízo estimado em R$ 500 milhões.
Suspeito colaborou com quadrilha, diz polícia

O técnico em informática João Nazareno Roque, funcionário da C&M Software, foi preso na zona norte de São Paulo no dia 3 de julho. Conforme o inquérito, ele teria sido aliciado por criminosos em março para fornecer senhas de acesso e criar um sistema auxiliar que facilitasse o desvio de valores das contas de reserva operadas no ambiente do Banco Central.

Investigadores afirmam que Roque recebeu R$ 5 mil como sinal e mais R$ 10 mil posteriormente, e que ele chegou a se encontrar pessoalmente com um dos integrantes do grupo. Com a prisão, a polícia apreendeu computadores, celulares e anotações técnicas, que agora são analisados para localizar os demais envolvidos.
Repercussão e medidas emergenciais

O Banco Central confirmou que o ataque não afetou a infraestrutura do Pix, que segue em funcionamento. No entanto, suspendeu o acesso da C&M Software e também de três fintechs (Transfeera, Nuoro Pay e Sofffy) que teriam recebido parte dos recursos desviados.

A fintech SmartPay, empresa especializada na integração do Pix com criptomoedas, foi a responsavel por identificar o problema, proximo das 0h18 do dia 30 ela percebeu movimentações diferentes e logo iniciou o bloqueio e estorno de valores.

A C&M Software afirmou em nota que o incidente foi por causa de uma estratégia de engenharia social contra seus funcionários, negando quaisquer falha em seus sistemas. A empresa diz que segue colaborando com as investigações.
Riscos e responsabilidade

O advogado Victor Solla Jorge disse que caso seja comprovada falha de segurança por parte da C&M, a empresa poderá ser responsabilizada civilmente. Porém, como a companhia não é uma instituição financeira, não possui obrigações legais de manter fundos de garantia, podendo dificultar a compensação às empresas afetadas, essa reparação dependerá de seguros corporativos ou acordos diretos.
Recuperação

Estima que apenas 2% do montante tenha sido recuperado, com algumas instituições enfrentando suspensão temporaria de operações via Pix, e irá manter alternativas como TED para atender seus clientes.



As autoridades seguem investigando o caso, que ainda está sob sigilo, com uma prioridade na identificação dos demais envolvidos e na recuperação do dinheiro.