O maior hack já registrado contra o sistema financeiro brasileiro foi viabilizado com um investimento surpreendentemente baixo: apenas R$ 15 mil.
Esse foi o valor pago a um operador de TI para obter as credenciais que deram acesso à infraestrutura crítica de pagamentos do país e permitiram o roubo de cerca de R$ 800 milhões em poucas horas.
A invasão teve como alvo a C&M Software, empresa com sede em São Paulo que atua como ponte entre bancos menores, fintechs e o Banco Central.
Usando as credenciais vendidas por um funcionário, os criminosos acessaram as contas de reserva de seis instituições financeiras e realizaram transferências via Pix em menos de três horas, na madrugada de 30 de junho.
O esquema teve início em março, quando João Nazareno Roque, operador de TI da C&M, foi abordado por criminosos em um bar próximo à sua residência. Ele confessou ter recebido R$ 5 mil inicialmente e outros R$ 10 mil para auxiliar na criação de um software que viabilizou o ataque.
Roque foi preso no bairro Jaraguá, zona norte de São Paulo, e detalhou ter trocado de celular a cada 15 dias para evitar rastreamento, além de manter contato apenas por voz com os comparsas.
A ação foi rápida e coordenada. Entre 4h e 7h da manhã, os criminosos se passaram por instituições financeiras e executaram ordens fraudulentas de transferência via Pix.
A BMP, empresa de banking-as-a-service, foi uma das mais prejudicadas, com perdas superiores a R$ 400 milhões. Foi também a primeira a registrar boletim de ocorrência, ajudando a revelar a extensão do ataque.
Do Pix à blockchain: o rastro do dinheiro
A maioria dos valores desviados foi rapidamente convertida em criptomoedas. Investigadores indicam que pelo menos US$ 30 a 40 milhões foram transformados em Bitcoin, Ethereum e USDT através de corretoras e mesas de balcão na América Latina. Inclusive, uma carteira com R$ 270 milhões (US$ 49,8 milhões) já foi congelada pelas autoridades.
ZachXBT, analista de blockchain conhecido internacionalmente, afirmou via Telegram estar colaborando com as investigações, que ele classificou como “um dos casos mais insanos do ano”.
Ao contrário de fraudes anteriores, que focavam usuários individuais do Pix, essa operação atingiu a espinha dorsal do sistema: a conexão entre bancos e o Banco Central.
Os hackers conseguiram acessar as contas de reserva, utilizadas para liquidação de transações, sem comprometer diretamente contas de clientes.
O Pix, criado em 2020, é hoje o principal meio de pagamento no Brasil. Operando 24 horas por dia, o sistema permite transferências instantâneas e já movimenta bilhões de reais mensalmente. Sua estrutura altamente integrada à base tecnológica do Banco Central torna qualquer falha ou brecha potencialmente catastrófica, como ficou evidente neste caso.
Investigação e consequências
A C&M Software declarou que a invasão não foi causada por falhas técnicas, mas sim pelo uso não autorizado de credenciais legítimas. Além disso, a empresa ressaltou que a resposta rápida só foi possível graças à robustez de sua arquitetura de segurança.
Ainda assim, o Banco Central determinou, em 2 de julho, a desconexão da C&M de toda a rede de pagamentos, interrompendo temporariamente o Pix em algumas instituições.
Fundada em 1992, a C&M atende cerca de 23 bancos e fintechs, permitindo acesso à infraestrutura nacional de pagamentos. Esse papel central a tornou um alvo atraente para criminosos que buscavam múltiplos acessos com um único ponto de infiltração.
Agora, a Polícia Civil de São Paulo conduz a investigação, com apoio da Polícia Federal e do Ministério Público. De acordo com o delegado Paulo Barbosa, a operação foi a maior fraude virtual já sofrida por instituições financeiras no país.
Já o diretor-geral da PF, Andrei Passos Rodrigues, confirmou que as autoridades estão investigando possíveis conexões com redes organizadas de cibercrime, muitas das quais atuam por aplicativos como Telegram e WhatsApp.
O Banco Central, por sua vez, afirmou que parte dos valores desviados já foi recuperada por meio de instituições sob sua supervisão, embora o rastreamento de fundos em exchanges estrangeiras represente um desafio adicional.
A BMP, uma das principais vítimas, informou que os valores subtraídos estavam assegurados, sem prejuízo para os usuários finais. Enquanto isso, a C&M reiterou seu compromisso com a segurança da infraestrutura financeira nacional e segue colaborando com os investigadores.
Por fim, os dispositivos apreendidos na casa de Roque estão sendo analisados. A força-tarefa criada busca não só identificar os demais envolvidos, mas também bloquear novos ativos antes que desapareçam em carteiras de difícil rastreamento.


