Um ataque hacker realizado nesta semana contra a empresa C&M Software resultou em um desvio de R$ 541 milhões da instituição de pagamento BMP.
Até o momento, um homem, identificado como João Nazareno Roque, foi preso suspeito de estar envolvido no que é considerado pela Polícia Civil de São Paulo “o maior golpe cibernético contra instituições financeiras do país”.
Como golpe começou
De acordo com João Roque, o ponto inicial para o ataque hacker teria começado em março, em uma saída de bar no Jaraguá, bairro da zona Oeste de São Paulo.
O suspeito, em depoimento à Polícia, disse que foi abordado por um outro homem, que teria afirmado que gostaria de conhecer os sistemas da empresa C&M Software, onde João trabalhava.
Segundo João, o homem que fez a abordagem não agia sozinho. Ele disse que teve contato com outros três membros do grupo. No entanto, os contatos foram feitos apenas por ligações de áudio e mensagens de aplicativo. Os suspeitos são homens jovens.
Quem é João Roque e qual seu papel?
Em um perfil profissional nas redes sociais, João Roque se apresenta com histórico de 20 anos de experiência como eletricista predial e residencial, leitura e interpretação de projetos no AutoCad, quatro anos como técnico de instalação de TV a cabo e um ano como técnico de alarme de incêndio.
Diz que, aos 42 anos, viu a necessidade e importância de investir em um curso superior, e começou a estudar Tecnologia da Informação por ter “muita vontade e engajamento para aprender e agregar na tão sonhada recolocação na área em que eu estuda”.
Para a Polícia Civil, João Roque é um insider, indivíduo de dentro da estrutura que dá acesso para que outros possam invadir o sistema. Por ter credenciais como funcionário à uma empresa que presta serviços à 23 instituições financeiras, ele permitiu que os hackers atuassem sem levantar suspeitas no momento da fraude.
O funcionário da empresa recebeu R$ 15 mil para dar acesso para que os criminosos aplicassem o golpe.
“Falaram o seguinte para ele: Olha, a gente quer conhecer o sistema da empresa que você trabalha. A gente sabe que você trabalha assim e tal, e para isso a gente te oferece R$ 5.000 para você fornecer pra gente a senha, o login de acesso e depois a gente a quer conhecer a estrutura da empresa, como que funciona essa transferência, como é a metodologia, os procedimentos. Depois ele recebeu mais R$ 10.000 para isso”, afirmou Renan Topan, delegado do Deic.
Dinâmica do ataque hacker
As investigações apontam que João Roque forneceu login e senha para que os criminosos realizassem as transferências eletrônicas em massa, no total de R$ 541 milhões, para outras instituições financeiras.
A C&M custodia transações via PIX entre a empresa vítima BMP e o Banco Central. Ainda segundo as investigações, a invasão teve início às 4h da manhã da última segunda-feira (30).
Se valendo do acesso do funcionário da C&M para não despertar desconfiança, os criminosos realizaram as transferências das contas da BMP durante três horas. Uma terceira instituição financeira, que não teve o nome identificado, foi quem alertou a BMP sobre as movimentações suspeitas, segundo a polícia.
“O responsável financeiro pela BNP foi acionado às 4h30, aproximadamente. Um par dele, de uma outra instituição, falou: ‘Olha, eu tenho algumas movimentações aqui estranhas, atípicas. Veio um dinheiro de vocês para nós está atípico.’ Ele foi verificar isso, foi até a sede da empresa e começou a enxergar algumas coisas realmente atípicas. Só que, como foi durante a madrugada, essa transferência foi até às 7h. Então, a partir das 7h, fecha essa vazão de dinheiro e eles tentam entender, fazem reuniões para entender o tamanho, a dinâmica e como foi a fraude. Aí eles conseguem entender que realmente foram vítimas de uma fraude”, afirmou Renan Topan, delegado do Deic (Departamento Estadual de Investigações Criminais).
Maior golpe cibernético em instituições financeiras no Brasil
Segundo o delegado-geral de Polícia, Arthur Dian, a Polícia Civil constatou que, pelo numerário envolvido, este é o maior furto qualificado mediante fraude e abuso de confiança ocorrido no Brasil até hoje.
Pelo que nós pesquisamos com a Polícia Federal, com as demais polícias civis, é o maior golpe sofrido aí pelas instituições financeiras (do Brasil) através da internet. Numa operação só é o maior.Arthur Dian, delegad-geral da Polícia Civil de São Paulo.
Prisão de João Roque
João Nazareno Roque foi preso na noite desta quinta-feira (3). Um vídeo mostra o momento exato em que João é preso, colocado dentro da viatura e levado até a delegacia.
Na casa dele, a polícia apreendeu equipamentos eletrônicos que devem ajudar na investigação. Além da prisão, a Justiça também determinou o bloqueio de R$ 270 milhões de uma conta utilizada para recepcionar os valores milionários desviados.
Posicionamentos da C&M e do Banco Central
A empresa C&M se manifestou por nota. Veja na íntegra:
“A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025.
Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança.
A estrutura robusta de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.
Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.
Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente.
Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.
A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história.”
Em nota, o Banco Central esclareceu que nem a C&M, nem os seus representantes e empregados atuam como seus terceirizados ou com ele mantêm vínculo contratual de qualquer espécie. “A empresa é uma prestadora de serviços para instituições provedoras de contas transacionais”, afirmou o BC.
Fonte: CNN Brasil
