A Polícia Civil de São Paulo prendeu nesta quinta-feira (3) João Nazareno Roque, de 48 anos, acusado de participar diretamente do maior ataque hacker já registrado contra o sistema de pagamentos Pix no Brasil. Funcionário da empresa C&M Software, especializada em interligar instituições financeiras ao Banco Central, ele é apontado como responsável por entregar logins e senhas de acesso internos aos criminosos em troca de R$ 15 mil.
O ataque, ocorrido no início de julho, resultou em um prejuízo de aproximadamente R$ 541 milhões para a BMP Instituição de Pagamentos S/A, principal empresa atingida pela ação. Ao menos seis instituições financeiras foram impactadas, em um esquema que envolveu transferências fraudulentas em massa e gerou repercussão imediata no mercado financeiro.
A prisão foi realizada no bairro City Jaraguá, na zona norte da capital paulista, pela Divisão de Crimes Cibernéticos do Departamento Estadual de Investigações Criminais (DEIC). Além da detenção, a Justiça determinou o bloqueio de R$ 270 milhões que estavam em uma das contas utilizadas para o recebimento dos valores desviados.
Como o crime foi arquitetado
Segundo relato prestado por João à polícia, o primeiro contato com os criminosos ocorreu em março, quando foi abordado por um homem que demonstrava conhecimento sobre sua rotina profissional. Dias depois, ele recebeu uma proposta pelo WhatsApp para entregar suas credenciais corporativas em troca de R$ 5 mil.
O pagamento foi feito por um motoboy, que também recolheu os dados de login e senha. Com isso, os criminosos ganharam acesso aos sistemas da empresa e passaram a operar remotamente. João continuou colaborando com o grupo, executando comandos a partir do seu próprio computador, e recebeu mais R$ 10 mil em espécie. A comunicação com os hackers era feita por meio de uma conta na plataforma Notion, criada especialmente para orientá-lo nas operações.
Com as credenciais em mãos, o grupo criminoso realizou transferências fraudulentas milionárias, aproveitando-se do sistema operado pela C&M, empresa autorizada pelo Banco Central e responsável pela integração técnica de bancos de menor porte e fintechs ao Sistema de Pagamentos Brasileiro (SPB).
Perfil técnico e brechas internas
O currículo de João Nazareno Roque, disponível em redes sociais profissionais, mostra que ele atuou por mais de duas décadas como eletricista predial e técnico de TV a cabo. Apenas aos 42 anos iniciou um curso de Tecnologia da Informação. Em seu perfil, descreve ter “pequena experiência” com computadores, câmeras e redes de ramais.
Apesar da formação limitada, João ocupava um cargo estratégico dentro da C&M Software, o que levantou questionamentos sobre os critérios de recrutamento e acesso a sistemas sensíveis. Especialistas apontam que esse tipo de vulnerabilidade interna muitas vezes ignorada é justamente o ponto de entrada mais explorado em ataques de engenharia social, técnica usada para manipular pessoas a fim de obter dados confidenciais.
Posicionamento da empresa
A C&M Software, empregadora do suspeito, divulgou nota oficial reforçando que está colaborando com as autoridades e que não houve falha técnica em sua estrutura. Segundo a empresa, a invasão foi resultado de engenharia social aplicada sobre um colaborador, e não de vulnerabilidades no sistema.
Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança. As evidências apontam que o incidente decorreu do uso de técnicas de engenharia social, e não de vulnerabilidades nos sistemas.
A empresa reforça ainda que continua operando normalmente e mantém seu compromisso com a segurança do ecossistema financeiro brasileiro, destacando seus 25 anos de atuação no setor.
Investigações continuam
O Banco Central e a Polícia Federal seguem apurando o caso em sigilo. Técnicos trabalham para rastrear os valores desviados e identificar outros possíveis envolvidos na organização criminosa. A hipótese de que outros colaboradores tenham sido cooptados não está descartada, e novas prisões devem ocorrer nos próximos dias.
O episódio serve como alerta a todo o setor financeiro e tecnológico brasileiro. Ainda que empresas invistam em firewalls, criptografia e protocolos de segurança, a engenharia social que explora falhas humanas continua sendo uma das maiores ameaças da atualidade. O caso também coloca em discussão a qualificação e o controle sobre quem tem acesso aos bastidores das instituições conectadas ao sistema de pagamentos nacional.
Por Alemax Melo I Revisão: Daniela Gentil
VEJA TAMBÉM: Ataque hacker afeta operações de Pix e desvia milhões de reais de instituições financeiras
