A Polícia Civil de São Paulo prendeu nesta quinta-feira (4) um operador de TI acusado de facilitar o maior ataque hacker já registrado contra o sistema Pix no Brasil. 

 O caso envolveu o desvio de R$541 milhões em transações fraudulentas e causou forte repercussão no mercado financeiro.

João Nazareno Roque, de 48 anos, foi detido na zona norte da capital. Ele trabalhava como prestador de serviço para a empresa C&M Software, responsável por conectar bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix.

Segundo a investigação, Roque entregou senhas e credenciais de acesso interno a criminosos em troca de dinheiro. A invasão afetou diretamente a BMP Instituição de Pagamentos e outras cinco instituições financeiras.

• Gostaria de receber as principais notícias do dia diretamente em seu E-mail, todos os dias e de graça? Assine o Resumo BP, a newsletter de jornalismo da Brasil Paralelo. Clique aqui e aproveite.

Entenda o golpe

De acordo com o depoimento, o operador foi abordado por criminosos em março. Após uma proposta feita por WhatsApp, aceitou entregar seu login corporativo por R$5 mil, pagos via motoboy.

Duas semanas depois, recebeu mais R$10 mil para continuar acessando o sistema e executar comandos sob instruções enviadas por uma conta na plataforma Notion. O pagamento, novamente, foi feito em dinheiro por motoboy.

Roque admitiu informalmente à polícia que sabia da fraude e continuou a colaborar com o grupo criminoso mesmo após o primeiro pagamento.

O currículo do operador chamou a atenção. Em seu perfil no LinkedIn, Roque afirma ter apenas “pequena experiência com tecnologia”. Sua trajetória inclui trabalho como eletricista e técnico de TV a cabo, e o início do curso de TI só aconteceu aos 42 anos.

A resposta da empresa

A C&M Software confirmou que o incidente foi causado por engenharia social, quando criminosos enganam pessoas para obter informações, e não por falha técnica nos sistemas.

A empresa disse que vem colaborando com as autoridades desde o início e que todos os seus serviços seguem funcionando normalmente.

“Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento. A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história”.

Como o ataque foi possível

A C&M atua como ponte entre bancos menores e o sistema Pix do Banco Central.

Segundo técnicos do BC e da Polícia Federal, os hackers usaram as credenciais vazadas para acessar contas-reserva, usadas na liquidação entre instituições financeiras, sem envolver contas de clientes finais.

A empresa mais atingida foi a BMP, que presta serviços de banking-as-a-service. A invasão permitiu transferências indevidas a partir das contas que as instituições mantêm diretamente no Banco Central.

• Banking as a Service (BaaS) é quando empresas não bancárias oferecem serviços financeiros, como contas, transferências e cartões, usando a estrutura de bancos autorizados pelo Banco Central.

A suspeita é que vários hackers atuaram em rede, aproveitando o acesso privilegiado ao sistema. A operação segue em investigação e pode levar a novas prisões nos próximos dias.