SÃO PAULO — A Polícia Civil de São Paulo prendeu, nesta quinta-feira (3), João Nazareno Roque, funcionário da empresa C&M Software, suspeito de facilitar o ataque cibernético que desviou bilhões de reais de contas vinculadas ao sistema financeiro nacional. Em depoimento, ele confessou ter cedido acesso aos hackers diretamente por sua máquina, o que permitiu a entrada nos sistemas internos da empresa que opera a integração com o Pix.
A fraude afetou oito instituições financeiras e pode ter causado um prejuízo de até R$ 3 bilhões, segundo apuração mais recente. O golpe, que abalou o mercado, é considerado o maior ataque hacker já registrado no Brasil.
A operação foi conduzida por equipes da 2ª Divisão de Crimes Cibernéticos do Departamento Estadual de Investigações Criminais (Deic). A Polícia Federal, embora envolvida nas apurações, informou que não participou da prisão e que o inquérito corre sob sigilo judicial.
Como o ataque foi realizado
A invasão ocorreu na madrugada da terça-feira (1º/7), quando os criminosos acessaram sistemas sensíveis da C&M Software, empresa que atua como elo entre bancos e o ambiente do Pix dentro do Sistema de Pagamentos Brasileiro (SPB).
De acordo com nota da C&M, o ataque foi resultado de engenharia social, técnica usada para enganar funcionários e obter credenciais de acesso. No entanto, a confissão de João Nazareno Roque indica colaboração direta com os hackers, o que torna o caso ainda mais grave.
“As evidências apontam que o incidente decorreu de táticas para enganar funcionários, e não de falhas estruturais em nossos sistemas”, disse a empresa em nota, antes da revelação da confissão.
Impacto e medidas emergenciais
O ataque expôs fragilidades na segurança de empresas responsáveis pela mensageria do SPB, sistema que interliga instituições financeiras e viabiliza transações via Pix em todo o país.
A C&M Software teve seu serviço interrompido na terça-feira (1) e começou a operar parcialmente apenas na quinta (3). O Banco Central (BC) autorizou o restabelecimento sob condições rigorosas, exigindo anuência expressa de cada instituição financeira e reforço nos mecanismos antifraude.
Apesar da gravidade, o BC afirmou que a infraestrutura central do Pix não foi comprometida e que a C&M não mantém vínculo contratual com a autarquia.
“Nem a C&M, nem seus representantes ou empregados, atuam como terceirizados do Banco Central”, disse a instituição em nota.
Quanto foi recuperado
Segundo análises preliminares, apenas 2% dos valores desviados foram recuperados até o momento. O restante está sendo rastreado por autoridades com apoio de empresas especializadas em segurança digital.
Entre os clientes da C&M estão grandes bancos como Bradesco e XP, que afirmam não terem sido afetados diretamente. As demais instituições impactadas ainda não foram oficialmente identificadas.
O que dizem os especialistas
A empresa Grupo FS, referência em cibersegurança no país, classificou o ataque como “sem precedentes”, tanto pelo volume desviado quanto pela sofisticação da operação.
A investigação segue em curso para identificar outros possíveis envolvidos e rastrear os valores desviados, que, segundo fontes, poderiam ter sido movimentados por meio de contas laranjas, criptoativos e fintechs não reguladas.
Investigações continuam
Com a prisão e confissão de João Nazareno Roque, as autoridades avançam na elucidação do caso. O episódio levanta um alerta sobre a vulnerabilidade de empresas estratégicas no sistema de pagamentos e a necessidade urgente de revisão nos protocolos de segurança digital do setor.
A C&M Software reafirmou que segue colaborando com as investigações.
