A Polícia Civil de São Paulo prendeu, na última quinta-feira (3), João Nazareno Roque, funcionário da C&M Software, por sua ligação a um acesso não autorizado ao sistema da empresa que permitiu a hackers realizarem transferências financeiras via PIX. Um dos bancos afetados, a BMP, reportou perdas significativas, totalizando R$ 541 bilhões.
Investigadores afirmam que Roque admitiu ter vendido suas credenciais de acesso por R$ 5 mil e, posteriormente, recebeu mais R$ 10 mil para desenvolver um sistema que possibilitasse as transferências fraudulentas. A C&M Software é uma empresa brasileira especializada em tecnologia da informação, principalmente para o setor financeiro, atuando na conectividade com o Banco Central e na integração com o Sistema de Pagamentos Brasileiro.
Com um histórico de atuação nacional e internacional, a C&M é homologada pelo Banco Central desde 2001, sendo uma das nove empresas autorizadas a oferecer tais serviços no Brasil.
Roque relatou à polícia que se comunicava com os criminosos apenas por celular e não os conhecia pessoalmente, adotando o hábito de trocar de telefone a cada duas semanas para evitar rastreamento. Ele afirmou que foi abordado por esses indivíduos após sair de um bar e que sua posição na empresa era conhecida.
Segundo Paulo Barbosa, da 2ª Divisão de Crimes Cibernéticos, Roque foi um “insider” influenciado por técnicas de engenharia social, o que facilitou a invasão da empresa. Outras instituições financeiras também teriam sofrido perdas, mas essas informações não podem ser divulgadas devido ao sigilo das investigações.
O problema veio à tona quando a BMP registrou um boletim de ocorrência sobre os desvios, e a C&M relatou um ataque às suas operações. O delegado Renan Topan detalhou que as transferências fraudulentas ocorreram na madrugada do dia 30, sendo detectadas entre 4h30 e 7h. Após esse horário, a empresa começou a compreender a magnitude do ataque.
Em comunicado, a C&M Software afirmou estar colaborando com as investigações e que tomou todas as medidas necessárias desde a identificação do incidente. A empresa informou ainda que sua plataforma permanece operacional e optou por não realizar declarações públicas enquanto as autoridades conduzem as apurações.
