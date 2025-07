O suspeito pelo ataque hacker contra o sistema da empresa de software C&M, foi "cooptado por criminosos" e forneceu acessos para execução do golpe. Dinâmica do crime foi detalhada pela Polícia Civil de São Paulo.

O que aconteceu

João Nazareno Roque, 48, teria sido usado como facilitador para o golpe e recebeu R$ 15.000 como pagamento. Ele teria viabilizado o crime fornecido senha e login de acesso aos golpistas, explicou a Polícia Civil, após ter sido abordado por um homem que "desejava conhecer o sistema", quando saia de um bar no mês de março.

"Suspeito disse que foi seduzido por proposta dos hackers e alegou que não sabia o que iria acontecer", explicaram os delegados. No entanto, segundo os investigadores, não foram identificados sinais de coação e ameaça. Além disso, versão do suspeito ainda será confrontada pelas investigações.

Ao menos R$ 500 milhões teriam sido desviados, mas nenhuma pessoa física foi prejudicada, nem o Banco Central, segundo a polícia. O valor estimado diz respeito somente ao prejuízo do BMP, um banco que usava os serviços da C&M, assim como outras 23 instituições - ainda não há detalhes de que outros bancos e fintechs tenham sofrido desvios.

A C&M é uma espécie de benjamin entre 23 instituições financeiras e o banco central para viabilizar operações como o Pix

Diretor-geral da polícia, Arthur Dian

Este é estimado como maior valor desviado em furto da história do Brasil, diz polícia de SP. Segundo os delegados, João vai responder pelo crime de associação criminosa (pena pode ser de 5 a 10 anos) e furto qualificado mediante fraude e abuso de confiança (pena de 2 a 8 anos). Apesar de ter detalhado a abordagem dos criminosos, o suspeito disse apenas que quatro pessoas o procurara, sem informar os nomes dos golpistas.

Prisão do suspeito aconteceu em São Paulo na manhã de hoje. O homem foi levado para o prédio do antigo DEIC (Departamento Estadual de Investigações Criminais).

O UOL tenta localizar a defesa do suspeito detido hoje. O espaço fica aberto para manifestações e será atualizado caso tenha retorno.

Crime foi descoberto em junho

O ataque hacker aconteceu a partir das 4h30 do dia 30 de junho. Segundo a polícia, as transferências ocorreram até as 7h do mesmo dia.

Um boletim de ocorrência sobre o crime havia sido registrado em junho, quando os agentes iniciaram as investigações, segundo a SSP. "Desde o início, pela dinâmica do golpe, os policiais suspeitaram que algum funcionário da empresa teria facilitado o acesso ao dinheiro. Com isso, alguns colaboradores passaram a ser monitorados, até que a equipe conseguiu chegar ao alvo", informou a pasta paulista, em nota.

Homem apresentou "comportamento estranho" ao ser interrogado, até que confessou o envolvimento, segundo delegado Paulo Eduardo Barbosa, responsável pelas investigações. Ele teria facilitado, por meio de "códigos maliciosos" que outros criminosos extraíssem o valor milionário de uma instituição financeira.

Funcionário terceirizado

Detido contou ser funcionário terceirizado da C&M há três anos. Segundo a GloboNews, o suspeito teria declarado aos agentes que trabalha para a empresa de software e, em depoimento aos policiais, teria dito que foi abordado por um homem que desejava conhecer o sistema ao sair de um bar no mês de março.

A C&M Software disse que, desde o início, adotou "todas as medidas técnicas e legais" e deixou os sistemas da empresa "sob rigoroso monitoramento e controle de segurança". A empresa também informou que "segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025."

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.

C&M Software, em nota

PF e Polícia Civil de São Paulo investigam o caso. Como medida reparatória, também foi deferido o bloqueio de R$ 270 milhões de uma conta utilizada para receber os valores milionários desviados, segundo a SSP paulista. A suspeita é de que houve furto mediante fraude, invasão de dispositivo de informática, lavagem de dinheiro e formação de organização criminosa.

Entenda o ataque

C&M Software fornece infraestrutura de funcionamento do Pix para vários bancos. A companhia de tecnologia tinha permissão para operar as contas reservas de seus clientes no Banco Central do Brasil, que são usadas para liquidar operações de Pix entre as financeiras. A confirmação do incidente só ocorreu nesta quarta-feira.

Cibercriminosos acessaram "cofres reservas", usados para transações entre bancos, e transferiram o dinheiro de bancos clientes da C&M Software. Entre eles, o primeiro que admitiu ser atingido foi o banco BMP, que reforça que recursos de clientes não foram afetados. A instituição divulgou uma nota hoje em seu site, confirmando a falha da C&M Software e que suas contas reservas foram afetadas.

Outra instituição atingida foi o Banco Paulista. Em nota em seu site, a empresa diz que na segunda-feira uma falha num provedor terceirizado causou interrupção temporária do serviço de Pix, impactando diversas instituições. A instituição afirma que o problema "não comprometeu dados sensíveis nem gerou movimentações indevidas" e que equipes técnicas atuam "para restabelecer o serviço o quanto antes".

"Como se fosse a Casa de Papel", definiu especialista. Apesar de na série os protagonistas imprimirem dinheiro de um banco central, neste caso, não foram roubados fundos de correntistas, explica Hiago Kin, presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos), mas dos próprios bancos.

Os cibercriminosos invadiram a infraestrutura da C&M Software e geraram transferências fraudulentas diretamente das contas reservas dos bancos afetados

Hiago Kin, presidente do presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos)

Estimativas falam em prejuízo de ao menos R$ 1 bilhão, mas ainda não se sabe exatamente o valor total transferido. Em nota, o Banco Central afirmou que a C&M Software comunicou ataque à sua infraestrutura e que o órgão determinou "o desligamento do acesso das instituições às infraestruturas por ela operadas".

C&M Software diz que teve "uso indevido de credenciais de clientes" para acessar de forma fraudulenta sistemas e serviços da empresa. A companhia afirmou que não comentará detalhes do processo "por orientação jurídica". Em comunicado na manhã de ontem, a C&M Software informou ter restabelecido as operações de Pix com autorização do Banco Central.