A Polícia Civil de São Paulo investiga um dos maiores ataques cibernéticos já registrados no sistema financeiro brasileiro. Segundo as autoridades, ao menos R$ 541 milhões foram desviados do banco BMP Sociedade de Crédito LTDA na madrugada da última segunda-feira (30), por meio de 166 transações via PIX. O golpe teve como ponto de partida o comprometimento do sistema da empresa de tecnologia C&M Software (CMSW), responsável pela integração entre instituições financeiras e o Banco Central.
As investigações apontam que as transações ocorreram entre 2h03 e 7h04 do dia 30. Os valores desviados variam de R$ 271 milhões a R$ 200 mil e foram distribuídos entre contas de 29 empresas, listadas no pedido de investigação feito pelo banco BMP, ao qual a GloboNews teve acesso.
Funcionário de TI preso
Um operador de TI da C&M, João Nazareno Roque, foi preso pela Divisão de Crimes Cibernéticos no bairro de City Jaraguá, na Zona Norte de São Paulo. Ele confessou ter vendido por R$ 15 mil sua senha de acesso a um sistema sigiloso da empresa. O contato com o grupo criminoso, segundo o próprio Roque relatou, aconteceu em março, quando foi abordado por um desconhecido na saída de um bar na rua onde mora, na capital paulista.
O pagamento teria sido feito em dinheiro vivo, por um motoboy. O operador revelou ainda que trocava de celular a cada 15 dias para dificultar o rastreamento. Segundo os investigadores, ele não conhece pessoalmente os demais envolvidos e se comunicava com os hackers apenas por telefone.
Rastreamento e bloqueio de valores
Em coletiva realizada nesta sexta-feira (5), a cúpula da Polícia Civil confirmou que, a pedido do banco BMP, ao menos R$ 270 milhões foram bloqueados antes de serem pulverizados. Os valores estavam concentrados em uma empresa de pagamentos que recebeu 69 operações, com transferências entre R$ 1 milhão e R$ 10 milhões, realizadas em sequência durante a madrugada.
Ainda de acordo com os advogados do BMP, os criminosos fragmentaram os recursos em transferências para “inúmeras pessoas físicas e jurídicas”, caracterizando, segundo a polícia, um caso clássico de lavagem de dinheiro por dissimulação.
Os investigadores alertam que o prejuízo total pode ser ainda maior. “Não podemos afirmar a cifra exata, mas é um valor muito alto, o maior da história do Brasil”, declarou o delegado Paulo Barbosa, do DEIC.
Impacto e fragilidade no sistema financeiro
O ataque teve como alvo a infraestrutura digital da C&M Software, empresa brasileira de tecnologia especializada na integração de instituições financeiras com o Sistema de Pagamentos Brasileiro (SPB). A CMSW é homologada pelo Banco Central desde 2001 para prestar serviços de conectividade a bancos de menor porte, permitindo operações como o PIX por meio de suas plataformas.
O tipo de ataque sofrido é conhecido como supply chain attack (ataque à cadeia de suprimentos), quando criminosos acessam sistemas de terceiros a partir do comprometimento de credenciais privilegiadas, como senhas de administradores.
A própria C&M comunicou o incidente ao Banco Central e, desde então, diz colaborar com as investigações. Em nota oficial, a empresa afirma que o incidente decorreu de “técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso”, e não de falhas técnicas em seus sistemas. A companhia reforça que “segue plenamente operacional” e que adotou “todas as medidas técnicas e legais cabíveis”.
Como medida de precaução, o Banco Central suspendeu o acesso de instituições financeiras que operam por meio da CMSW às infraestruturas digitais do sistema. Essa suspensão, inicialmente total, passou a ser parcial a partir de quinta-feira (4).
Atenção de autoridades reguladoras
O caso gerou forte repercussão entre especialistas do setor financeiro e reguladores. Para Micaella Ribeiro, da IAM Brasil, o incidente deverá acionar um alerta sobre o risco sistêmico da transformação digital no sistema bancário, particularmente entre instituições que terceirizam serviços sensíveis.
Embora não haja confirmação de que clientes finais tenham sofrido prejuízos diretos, o caso revela brechas na cadeia tecnológica do sistema financeiro nacional. A estimativa de fontes ligadas à investigação é de que o valor total desviado possa chegar a R$ 800 milhões, atingindo ao menos seis instituições. Além do BMP, outras empresas como Credsystem e Banco Paulista também estariam entre as afetadas, segundo o jornal Valor Econômico.
Próximos passos da investigação
A análise dos equipamentos apreendidos na casa de João Nazareno Roque será determinante para o avanço das investigações. Os peritos esperam identificar, por meio de mensagens e registros de transações, quem são os articuladores do esquema e quais empresas e pessoas físicas receberam os recursos de forma indevida.
Em paralelo, o sistema financeiro nacional deve passar por novas discussões sobre segurança digital, governança de dados e a responsabilidade das empresas terceirizadas que atuam como intermediárias entre bancos e órgãos reguladores. O episódio poderá, inclusive, motivar alterações regulatórias no âmbito do Banco Central e do Conselho Monetário Nacional.
