A Polícia Civil prendeu nesta sexta-feira (4), João Nazareno Roque, funcionário da empresa C&M, suspeito de envolvimento no ataque hacker ao sistema que conecta instituições financeiras ao sistema do Banco Central, incluindo o Pix. A ação resultou no desvio de cerca de R$ 800 milhões e é considerada a maior invasão eletrônica já registrada no Brasil.
Prisão de funcionário revela elo interno no caso C&M
João Nazareno Roque, de 48 anos, é apontado como peça-chave na fraude que atingiu diretamente a infraestrutura da C&M Software. Segundo as investigações, ele era funcionário de uma empresa terceirizada e teria cedido acesso ao sistema da empresa a hackers, viabilizando transferências em massa por meio do Pix. A C&M atua como intermediária entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), tornando-se alvo de uma sofisticada operação criminosa.
O caso envolveu desvio de valores que ultrapassam R$ 800 milhões. A maior parte do prejuízo, cerca de R$ 541 milhões, foi registrada pela BMP Instituição de Pagamento S/A, uma das empresas diretamente impactadas pelo ataque.
Suspeito confessou participação no golpe
De acordo com a Polícia Civil, o suspeito detido no bairro City Jaraguá, em São Paulo, confessou ter sido aliciado por terceiros. Em depoimento, afirmou que recebeu R$ 15 mil para auxiliar os criminosos a acessar os sistemas da C&M e realizar as operações fraudulentas via Pix. As ordens judiciais cumpridas incluíram prisão temporária e busca e apreensão de materiais eletrônicos que podem ajudar a esclarecer o esquema.
Além disso, a Justiça determinou o bloqueio de R$ 270 milhões que estavam em uma conta usada para movimentar os recursos desviados durante a operação ilegal.
Impacto e posicionamento da C&M
A C&M declarou, por meio de nota oficial, que foi alvo de uma “ação criminosa externa” e que não houve invasão direta aos seus sistemas centrais. A empresa destacou que os hackers exploraram indevidamente as credenciais de integração de um cliente, simulando acesso legítimo ao sistema. Ainda segundo a empresa, os sistemas críticos seguem íntegros e operacionais.
Apesar da gravidade do ataque, a companhia informou ter obtido autorização do Banco Central, na quinta-feira (3), para retomar parcialmente os serviços prestados às instituições financeiras.
Instituições financeiras afetadas
O ataque à C&M prejudicou ao menos seis instituições financeiras. Entre as confirmadas estão a BMP, a Credsystem e o Banco Paulista. A lista completa das empresas impactadas ainda não foi divulgada oficialmente pelo Banco Central.
A BMP, autorizada pelo BC desde 2009, atua com crédito e serviços financeiros. Já a Credsystem oferece soluções voltadas ao varejo, com foco nas classes econômicas emergentes. O Banco Paulista, que também confirmou ser uma das vítimas, integra o setor bancário com operações diversificadas.
