Na madrugada de 30 de junho de 2025, o sistema financeiro brasileiro foi abalado por aquele que a Polícia Civil de São Paulo considera o maior golpe digital da história do país. Com prejuízos estimados entre R$ 800 milhões e R$ 1 bilhão, o ataque cibernético comprometeu a infraestrutura da C&M Software, uma empresa de tecnologia que conecta bancos menores e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix.

A ação, inicialmente tratada como uma invasão hacker, revelou-se um esquema de "engenharia social", no qual um funcionário da própria empresa, João Nazareno Roque, de 48 anos, foi cooptado por criminosos para facilitar o desvio de recursos. Preso na quinta-feira (3), Roque confessou ter fornecido credenciais sigilosas e executado comandos que permitiram transferências fraudulentas em massa.

A dinâmica do golpe

O caso veio à tona após a BMP Instituição de Pagamento S/A, uma das clientes da C&M Software, registrar um boletim de ocorrência relatando um prejuízo de R$ 541 milhões. Segundo o Departamento Estadual de Investigações Criminais (Deic), as transferências fraudulentas ocorreram entre 4h e 7h da madrugada de 30 de junho, horário estratégico que dificultou a detecção imediata.

O responsável financeiro da BMP foi alertado por outra instituição financeira que recebeu, por engano, uma grande quantia via Pix. "Na manhã da segunda, a BMP montou uma sala de situação para entender o tamanho e a dinâmica da fraude", explicou o delegado Renato Topan, da Delegacia de Crimes Cibernéticos, em coletiva de imprensa.

João Nazareno Roque, operador de TI da C&M Software, foi identificado como peça-chave no esquema. Segundo seu depoimento, tudo começou em março, quando ele foi abordado na rua por um homem que já conhecia detalhes de seu trabalho na empresa. O desconhecido ofereceu R$ 5 mil para que Roque fornecesse suas credenciais de acesso ao sistema da C&M. Semanas depois, o mesmo grupo pagou mais R$ 10 mil para que ele executasse comandos específicos na plataforma, permitindo transferências em massa de contas de reserva de instituições financeiras. Roque afirmou que se comunicava com quatro criminosos diferentes, mas apenas encontrou um deles pessoalmente, e que trocava de celular a cada 15 dias para evitar rastreamento.

O delegado Paulo Barbosa, da Delegacia de Crimes Cibernéticos, classificou o golpe como um caso de "engenharia social", técnica em que criminosos manipulam indivíduos para obter acesso a sistemas sigilosos sem a necessidade de invasão tecnológica direta. "O João é um insider, fruto de engenharia social. Ele tem formação em TI e forneceu as credenciais, abrindo a primeira porta para o grupo criminoso", explicou Barbosa.

Impacto no sistema financeiro

O ataque comprometeu contas de reserva de pelo menos seis instituições financeiras, incluindo a BMP, o Banco Paulista e a Credsystem, mantidas no Banco Central (BC) para liquidação interbancária. Essas contas, que funcionam como "contas correntes" das instituições no BC, não têm relação com saldos de clientes finais, o que evitou prejuízos diretos a pessoas físicas. A BMP reforçou, em nota, que "nenhum cliente foi impactado ou teve seus recursos acessados" e que possui garantias suficientes para cobrir os R$ 541 milhões desviados, sem comprometer suas operações.

O Banco Paulista também confirmou o impacto, mas destacou que a falha foi externa, sem comprometimento de dados sensíveis ou movimentações indevidas. A Credsystem informou que o ataque afetou apenas seu serviço de Pix, que ficou temporariamente fora do ar por determinação do Banco Central.

Estimativas sobre o total desviado variam. Enquanto a Polícia Civil aponta prejuízos de ao menos R$ 800 milhões, algumas fontes sugerem que o montante pode chegar a R$ 1 bilhão. Parte dos recursos foi convertida em criptoativos, dificultando o rastreamento. Até o momento, a Justiça bloqueou uma conta com R$ 270 milhões e cerca de R$ 15 milhões em criptomoedas, mas a recuperação total dos valores permanece um desafio.

Reação e medidas de segurança

O Banco Central agiu rapidamente, determinando o desligamento temporário da infraestrutura da C&M Software para conter os danos. Na quinta-feira (3), após a empresa adotar medidas de mitigação, o BC autorizou a retomada parcial das operações, sob monitoramento intensivo. A C&M Software, homologada desde 2001 para conectar instituições financeiras ao SPB, afirmou em nota que seus sistemas críticos permanecem "íntegros e operacionais" e que o ataque decorreu do uso indevido de credenciais, não de falhas em sua tecnologia. A empresa destacou sua colaboração com o Banco Central, a Polícia Civil de São Paulo e a Polícia Federal, que também abriu um inquérito para investigar o caso.

A prisão de João Nazareno Roque, realizada no bairro City Jaraguá, zona norte de São Paulo, pela 2ª Divisão de Crimes Cibernéticos do Deic, é considerada apenas o primeiro passo. As autoridades continuam as diligências para identificar outros envolvidos, incluindo os quatro criminosos mencionados por Roque. A suspeita é de que o esquema envolva uma rede criminosa coordenada, com papéis bem definidos, o que reforça a gravidade do caso.

Quem é João Nazareno Roque?

João Nazareno Roque, de 48 anos, tem um perfil profissional que contrasta com a sofisticação do crime. No LinkedIn, ele se apresenta como desenvolvedor Back-End Junior, mas sua experiência principal é como eletricista predial e residencial, com 20 anos de atuação, além de passagens como técnico de instalação de TV a cabo e alarme de incêndio. Aos 42 anos, decidiu cursar Tecnologia da Informação, buscando uma transição de carreira. Inspirado pelo filme O Estagiário, Roque escreveu em seu perfil: "Não tenho 70 anos, mas já tenho idade onde muitos esperam cargos c-level. Estou aqui com muita vontade de recomeçar com o brilho nos olhos."

Apesar de sua formação em TI, Roque foi descrito como um "insider" que sucumbiu à engenharia social, sem indícios de coação ou ameaça, segundo os investigadores. Ele responderá por crimes como associação criminosa, furto qualificado mediante fraude e abuso de confiança, com penas que podem somar até 18 anos de prisão.

Reflexos e lições para o setor financeiro

O ataque expôs vulnerabilidades na cadeia de suprimentos do sistema financeiro, especialmente em empresas terceirizadas que intermediam operações com o Banco Central. Especialistas, como Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos, destacam que os criminosos exploraram a confiança entre bancos e prestadores de serviços para se infiltrar no ecossistema financeiro. A especialista Micaella Ribeiro, da IAM Brasil, detalhou as fases do crime: comprometimento do acesso via engenharia social, mapeamento de sistemas, execução das transferências e conversão em criptoativos para dificultar o rastreamento.

O caso deve levar o setor financeiro a revisar políticas de segurança e reforçar a capacitação de funcionários contra técnicas de engenharia social. O Banco Central, por sua vez, enfrenta questionamentos sobre a ausência de travas de volumetria que poderiam ter detectado as transferências anormais. A magnitude do ataque gerou reflexos no mercado, com instituições reforçando medidas de segurança e o público cobrando maior transparência.

Um marco na cibersegurança brasileira

O golpe contra a C&M Software não apenas marcou a história como o maior ataque financeiro digital no Brasil, mas também acendeu um alerta sobre os riscos da digitalização financeira. Enquanto as autoridades trabalham para recuperar os recursos e identificar todos os envolvidos, o caso reforça a necessidade de investimentos em cibersegurança e de maior vigilância sobre terceiros que acessam sistemas críticos.

Para a BMP e outras instituições afetadas, a prioridade é restaurar a confiança do mercado, enquanto o público acompanha, via redes sociais e imprensa, os desdobramentos de um crime que expôs fragilidades em um dos sistemas de pagamento mais usados do país.

Obtenha mais de Painel Político - Blog no app Substack.

Disponível para iOS e Android

Obtenha o App

Palavras-chave: golpe digital, Pix, C&M Software, João Nazareno Roque, BMP, Banco Central, engenharia social, cibersegurança, ataque hacker, sistema financeiro

Hashtags: #PainelPolitico #GolpePix #Cibersegurança #BancoCentral #C&MSoftware #CrimesCibernéticos #PixBrasil