Golpe bilionário ao Pix: suspeito é preso; o que se sabe

A Polícia Civil de São Paulo prendeu na quinta-feira (3), na zona norte de São Paulo, um suspeito de participação no ataque cibernético que causou prejuízo de cerca de R$ 1 bilhão a oito instituições financeiras.

Segundo os investigadores, João Nazareno Roque é funcionário da companhia C&M Software, que presta serviços de integração entre bancos e fintechs ao sistema Pix e de cujas contas os recursos foram desviados, na madrugada de segunda-feira (30). Ele ainda não tem defesa constituída, de acordo com a polícia.

O crime (furto mediante fraude) é investigado pelo Deic (Departamento Estadual de Investigações Criminais) e pela Polícia Federal. A detenção foi conduzida por equipes da 2ª Divisão de Crimes Cibernéticos. A PF disse que não participou da operação e que a apuração segue sob sigilo.

Conteúdo relacionado

• Ressarcimento do INSS: STF aprova proposta para aposentados
• AGU investiga possível cartel nos preços de combustíveis
• Lula não deve aprovar aumento de número de deputados. Entenda!

Segundo a polícia, Roque confessou ter sido aliciado. O departamento afirma que continua a investigação para identificar e prender os demais envolvidos.

Em nota, a C&M Software diz que as evidências apontam que o incidente decorreu de táticas para enganar funcionários de forma a induzir o compartilhamento indevido de credenciais de acesso, não de falhas nos sistemas ou na tecnologia da empresa.

"A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025."

A BMP, cliente da C&M que sofreu um prejuízo de R$ 500 milhões, diz que foi informada da prisão preventiva do suspeito e acompanha de perto os avanços das investigações.

BANCO CENTRAL SUSPENDE FINTECHS

O Banco Central suspendeu o acesso ao sistema Pix das instituições de pagamento Transfeera, Nuoro Pay e Sofffy, suspeitas de envolvimento no incidente cibernético.

Contas nessas três fintechs receberam grandes volumes do dinheiro desviado durante o ataque de segunda. A informação foi divulgada em comunicado ao mercado na quinta-feira (3).

A Transfeera afirma que suas operações seguem funcionando normalmente, com exceção do Pix. "Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo."

A autoridade monetária avalia a suspensão cautelar de outras instituições por desrespeito às normas do Pix.

COMO FOI O ATAQUE

A invasão hacker ocorreu na madrugada de segunda-feira (30), mas a autoridade monetária só foi informada do problema na terça (1º). A Polícia Federal foi acionada e abriu inquérito na quarta (2) para investigar o ataque hacker.

O ataque desviou cerca de R$ 1 bilhão de recursos mantidos no Banco Central. Segundo a principal empresa brasileira de segurança cibernética, o Grupo FS, esse foi o maior evento do tipo já registrado no Brasil.

Investigadores da 2ª Delegacia DCCiber (Investigações sobre Fraudes Contra Instituições Financeiras) afirmam que, ao analisar registros de acesso e atividade nos sistemas da C&M, notaram ações suspeitas de João Nazareno Roque. Segundo a polícia, ele tinha acesso a todo o protocolo operacional e admitiu ter fornecido as senhas a criminosos, em troca de pagamento.

Os investigadores dizem que o funcionário primeiro recebeu R$ 5.000 pelas credenciais e senhas. Depois, recebeu mais R$ 10 mil para desenvolver um sistema interno para facilitar o acesso da quadrilha às contas reservas -mantidas no Banco Central e de onde o dinheiro foi desviado.

"Nazareno recebeu apenas um sinal para iniciar a prática delituosa, um valor absolutamente irrisório", diz o delegado da 2ª Divisão de Crimes Cibernéticos, Paulo Barbosa.

A operação policial deflagrada na quinta, segundo a polícia, permitiu o bloqueio de R$ 270 milhões dos valores desviados a uma instituição financeira, cujo nome não foi divulgado. Todas as transferências foram via Pix, em grande quantidade. Não há notícia de pessoa física afetada pelo crime, de acordo com a Polícia Civil.

De acordo com o delegado responsável pela investigação, Renato Topan, o funcionário detido era técnico em informática da C&M Software, tem renda declarada de R$ 2.500 e mora no conjunto habitacional City Jaraguá, em Pirituba, na região noroeste de São Paulo. "Assim que se deu mandado de busca e apreensão, foram apreendidos celulares, computadores, uma agenda com scripts, mas não havia indicativo de criptoativo", afirma.

A polícia diz que Roque afirmou ter sido coptado em março e ter conversado com ao menos quatro pessoas diferentes, que não se identificaram. De acordo com o delegado, ele afirma ter se encontrado pessoalmente com apenas um deles, em um bar, em Pirituba.

Ainda segundo Topan, o responsável financeiro pela BMP foi acionado às 4h30 de segunda por outra instituição financeira que recebeu uma grande transferência via Pix da conta reservas financeiras da empresa.

As transações fraudulentas prosseguiram até as 7h. "Na manhã da segunda, a BMP montou uma sala de situação para entender o tamanho e a dinâmica da fraude e constatou que sofreu um golpe", afirma Topan.

A Smartpay, fintech que integra o sistema Pix à compra de criptomoedas e também ajudou a identificar o golpe, diz que as movimentações anômalas na segunda-feira começaram às 0h18.

Quer ver mais notícias? Acesse nosso canal no WhatsApp

De acordo com a Polícia Civil, tudo indica que o grupo criminoso é de São Paulo. Os investigadores, agora, irão se debruçar sobre as informações recuperadas nos dispositivos eletrônicos apreendidos a fim de encontrar os quatro interlocutores de Roque.

Criminalmente, a C&M Software não pode ser acusada pelo incidente, segundo a polícia.