Desvios milionários: advogado de suspeito afirma que cliente foi 'fantoche'
O advogado de João Nazareno Roque, Jonas Reis, suspeito por colaborar com a invasão ao sistema da empresa de software C&M, afirmou que o cliente não sabia o que estava fazendo.
O que aconteceu
"João Nazareno serviu de fantoche. Não sabia desse golpe multimilionário", disse Jonas, ao Fantástico, da TV Globo. Nazareno teria sido usado como facilitador para o golpe e recebeu R$ 15 mil como pagamento.
Nazareno foi flagrado pelas câmeras de segurança instalando códigos de programação nas máquinas da C&M. Segundo o delegado Paulo Eduardo Barbosa, "ficou evidente" que o suspeito usava o equipamento, olhava anotações e inseria os comandos, que seriam os códigos maliciosos.
Ele teria viabilizado o crime fornecendo senha e login de acesso aos golpistas. A participação dele na invasão começou após ter sido abordado, ainda em março, por um homem que "desejava conhecer o sistema", quando saia de um bar, segundo informado por investigadores da Polícia Civil em coletiva de imprensa.
"Suspeito disse que foi seduzido por proposta dos hackers e alegou que não sabia o que iria acontecer", explicaram os delegados do caso. No entanto, segundo os investigadores, não foram identificados sinais de coação e ameaça. Além disso, ressaltam que a versão do suspeito ainda será confrontada pelas investigações.
Ao menos R$ 500 milhões teriam sido desviados, mas nenhuma pessoa física foi prejudicada, nem o Banco Central, segundo a polícia. O valor estimado diz respeito somente ao prejuízo do BMP, um banco que usava os serviços da C&M, assim como outras 22 instituições — ainda não há confirmações oficiais de que outros bancos e fintechs tenham sofrido desvios.
A C&M é uma espécie de benjamin entre 23 instituições financeiras e o banco central para viabilizar operações como o Pix
Diretor-geral da polícia, Arthur Dian
Este é estimado como maior valor desviado em furto da história do Brasil, diz polícia de SP. Segundo os delegados, João vai responder pelo crime de associação criminosa (pena pode ser de 5 a 10 anos) e furto qualificado mediante fraude e abuso de confiança (pena de 2 a 8 anos). Sem detalhar quem eram os criminosos, que realizavam os contatos apenas por telefone, sem se identificar, o suspeito disse apenas que quatro pessoas o contactaram desde março.
Prisão do suspeito aconteceu em São Paulo na sexta-feira. O homem foi levado da sua residência, na zona norte de São Paulo, para o prédio do antigo Deic (Departamento Estadual de Investigações Criminais).
Crime ocorreu no fim de junho
O ataque hacker ocorreu a partir das 4h30 do dia 30 de junho. Segundo a polícia, uma série de transferências via Pix foram realizadas até as 7h do mesmo dia, pouco antes do crime ser notado por funcionários da BMP.
Um boletim de ocorrência sobre o crime havia sido registrado em junho, quando os agentes iniciaram as investigações, segundo a SSP. "Desde o início, pela dinâmica do golpe, os policiais suspeitaram que algum funcionário da empresa teria facilitado o acesso ao dinheiro. Com isso, alguns colaboradores passaram a ser monitorados, até que a equipe conseguiu chegar ao alvo", informou a pasta paulista, em nota.
Homem apresentou "comportamento estranho" ao ser interrogado, até que confessou o envolvimento, segundo delegado Paulo Eduardo Barbosa. Ele teria facilitado, por meio de "códigos maliciosos" que outros criminosos extraíssem o valor milionário de uma instituição financeira.
Funcionário em início de carreira
O homem de 48 anos era funcionário da C&M há três anos. Conforme apurado pelo UOL, ele havia mudado de carreira e entrado no mercado de TI em 2022. Seu salário na empresa era de R$ 3.003,27, acima do piso salarial da categoria. Em nota, a empresa de software afirmou que as investigações internas foram decisivas para identificar a origem do acesso indevido e contribuir com o trabalho policial sobre o caso.
A C&M Software disse que, desde o início, adotou "todas as medidas técnicas e legais" e deixou os sistemas da empresa "sob rigoroso monitoramento e controle de segurança". A empresa também informou que "segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025."
Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.
C&M Software, em nota
PF e Polícia Civil de São Paulo investigam o caso. Como medida reparatória, também foi deferido o bloqueio de R$ 270 milhões de uma conta utilizada para receber os valores milionários desviados, segundo a SSP paulista. A suspeita é de que houve furto mediante fraude, invasão de dispositivo de informática, lavagem de dinheiro e formação de organização criminosa.
