A Polícia Civil de São Paulo prendeu, na quinta‑feira (3), João Nazareno Roque, funcionário da C&M Software (CMSW), empresa que conecta bancos menores ao Banco Central (BC). Segundo o Departamento Estadual de Investigações Criminais (Deic), Roque forneceu suas credenciais internas e colaborou tecnicamente com hackers que desviaram pelo menos R$ 541 milhões — há estimativas de que o montante possa chegar a R$ 800 milhões — de contas‑reserva mantidas por instituições financeiras no BC. O portal G1 também noticiou a prisão e o ataque, que abalou o mercado financeiro na quarta‑feira (2).
Como o golpe começou
Roque contou à polícia que, em maio, vendeu sua senha por R$ 5 mil aos criminosos. Depois, recebeu mais R$ 10 mil para participar do desenvolvimento de um sistema que liberou o caminho dos desvios. Ele afirmou que se comunicava apenas por celular — trocado a cada 15 dias para evitar rastreamento — e não conhece os hackers pessoalmente.
A prisão ocorreu no bairro City Jaraguá, zona norte da capital. Procurada, a defesa do suspeito não foi localizada, e a C&M Software ainda não se manifestou.
Uma conta com R$ 270 milhões usada para receber parte do dinheiro já foi bloqueada, e a polícia apura o envolvimento de outros participantes.
O que faz a C&M Software?
A C&M Software é considerada uma “ponte” tecnológica entre instituições financeiras de menor porte e os sistemas do BC, viabilizando operações como o PIX. Homologada desde 2001, a companhia divide esse mercado com outras oito empresas no país, atuando no Brasil e no exterior.
O que aconteceu?
A empresa relatou ao BC um ataque às suas infraestruturas digitais que permitiu acesso indevido a contas‑reserva de pelo menos seis instituições.
“O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP”, diz a nota da empresa.
Essas contas funcionam como contas‑correntes que as instituições mantêm no BC para processar movimentações, manter reservas obrigatórias e acessar operações de liquidez.
Quem foi afetado?
O BC não divulgou todos os nomes. Sabe‑se que a BMP, fornecedora de infraestrutura para bancos digitais, está entre as afetadas. O jornal Valor Econômico citou ainda Credsystem e Banco Paulista.
Como o ataque foi executado? – Um caso clássico de supply chain attack
A C&M afirma que credenciais legítimas de clientes foram abusadas para entrar em seus sistemas. O presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC), Hiago Kin, resume:
“Os criminosos exploraram a confiança estabelecida entre os bancos e seus prestadores para se infiltrar indiretamente no ecossistema financeiro.”
A especialista Micaella Ribeiro, da IAM Brasil, detalha as quatro fases do crime:
- Comprometimento do acesso – Engenharia social induziu funcionários a entregar senhas ou instalar softwares de acesso remoto.
- Persistência e reconhecimento – Os invasores mapearam usuários, senhas e sistemas sem disparar alertas.
- Exploração de sistemas de produção – Obtiveram privilégios administrativos em contas‑reserva e ambientes de liquidação.
- Execução e monetização rápida – Transações fora do horário comercial foram, segundo ela, convertidas em criptoativos e redistribuídas: “Essa movimentação foi feita por múltiplos agentes, indicando um ecossistema criminoso estruturado”, afirma Micaella Ribeiro.
Qual o impacto?
Além da perda financeira estimada, Ribeiro aponta três frentes de dano:
- Reputacional – exposição das empresas que usavam os serviços da CMSW;
- Sistêmico – falhas na gestão de acessos privilegiados e na segurança da cadeia de suprimentos;
- Operacional – necessidade urgente de revisar controles de acesso.
Esse tipo de ataque é comum no Brasil?
Segundo Hiago Kin, ataques de grande escala ocorrem duas ou três vezes por ano:
“Geralmente, os casos são abafados pelas instituições porque elas decidem absorver os prejuízos e deter as informações em investigação”, diz.
“Geralmente essas instituições têm seguros cibernéticos milionários que cobrem isso”, completa.
A repercussão foi maior desta vez porque envolveu várias entidades simultaneamente.
O que acontece agora?
O BC suspendeu inicialmente o acesso das instituições afetadas às infraestruturas operadas pela CMSW. Na quinta‑feira (3), a medida tornou‑se suspensão parcial, após a empresa adotar ações de mitigação. Especialistas preveem atenção redobrada de reguladores como o BC e o Conselho Monetário Nacional, que monitoram o risco sistêmico da digitalização financeira.
Enquanto isso, os investigadores do Deic seguem rastreando os beneficiários dos recursos desviados e eventuais cúmplices de João Nazareno Roque.
The post Vídeo: PC prende suspeito de facilitar ataque hacker que desviou milhões de contas ligadas ao PIX appeared first on Ver-o-Fato.