O funcionário da C&M Software, que forneceu acesso aos hackers que promoveram o ataque que pode chegar à cifra bilionária em transferências ilegais em um golpe via Pix, disse à Polícia Civil de São Paulo que recebeu R$ 15 mil para facilitar a entrada dos criminosos nos sistemas. O ato é considerado pelas autoridades o maior crime financeiro cibernético já registrado no Brasil.
Há no momento pelo menos duas frentes de investigações: uma comandada pela Polícia Civil de São Paulo e outra pela Polícia Federal, com inquérito instaurado em Brasília.
O homem de 48 anos, logo após confessar o crime e ser preso na noite de quinta (3), está sendo acusado de repassar credenciais de acesso a hackers que invadiram o sistema da empresa onde ele trabalhava. Essa empresa conecta bancos e fintechs e operadoras de crédito para realizações de operações como o TED e o Pix.
VEJA TAMBÉM:
-
PF investiga 140 contas ligadas ao maior golpe da história do sistema financeiro nacional
A polícia identificou que o ataque foi realizado na madrugada de 30 de junho resultando em um desvio que pode variar de R$ 800 milhões a R$ 1 bilhão. Investigadores destacam que ao menos seis das 22 empresas atendidas pela C&M foram lesadas.
O suspeito, que não possui advogado até o momento, relatou ter sido abordado por criminosos em um bar próximo à sua residência, onde recebeu inicialmente R$ 5 mil, e, depois, mais R$ 10 mil para fornecer os dados que possibilitaram aos criminosos acessar os sistemas de computador. A polícia não explicou quando isso teria ocorrido.
A investigação aponta que o golpe envolveu o uso das credenciais de uma empresa habituada a movimentar grandes volumes financeiros, o que inicialmente impediu que as transações levantassem suspeitas.
VEJA TAMBÉM:
-
7 pontos sobre o ataque hacker que abalou o sistema financeiro nacional
Criminosos levaram menos de três horas para fazer movimentações
As ordens falsas do golpe via Pix foram executadas em sequência, desde as 4h30 às 7h do dia 30 e só foram identificadas após ultrapassarem o padrão histórico das transações diárias.
O delegado Renan Topan, do Departamento Estadual de Investigações Criminais (Deic), da Polícia Civil de São Paulo afirmou durante uma entrevista na manhã desta sexta-feira (4) que, apesar da gravidade, o golpe não provocou prejuízo direto ao Banco Central, ao sistema financeiro nacional nem aos usuários do Pix. O Banco Central não comunicou, até o momento, se também abriu uma apuração interna para buscar mais detalhes sobre a fraude.
A Polícia agora concentra esforços na análise de celulares e computadores apreendidos com o suspeito para identificar os demais envolvidos e recuperar os valores desviados. O suspeito preso teria dito aos policiais que seriam pelo menos quatro pessoas envolvidas, mas os investigadores não descartam a existência de uma rede integrada, muito maior e com expertise para este tipo de ação. O homem preso poderá responder por associação criminosa e furto.
VEJA TAMBÉM:
-
Banco Central segue em silêncio após ataque hacker que desviou até R$ 1 bilhão
Passo a passo do golpe via Pix
As investigações em andamento revelam um passo a passo do crime. A polícia não especificou a data em que o homem de 48 anos teria sido interpelado pela primeira vez pelos criminosos, mas ele afirmou que teve contato pessoal apenas com uma das pessoas, no momento que recebeu parte dos valores. As demais negociações ocorreram sempre por telefone. O crime teria ocorrido na seguinte ordem:
Abordagem ao funcionário da C&M
O operador de Tecnologia da Informação, funcionário da empresa de tecnologia C&M Software, foi abordado por criminosos em um bar. Os fraudadores já sabiam onde ele trabalhava e ofereceram inicialmente R$ 5 mil para que ele fornecesse credenciais de acesso aos sistemas da empresa. Posteriormente, ele recebeu mais R$ 10 mil para fornecer mais detalhes sobre as operações internas da companhia.
Uso indevido das credenciais para transações via Pix
Com as senhas em mãos, os hackers acessaram o ambiente interno da C&M, que conecta diversas instituições ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. Com credenciais válidas e oficiais, os invasores conseguiram se passar por instituições legítimas e iniciaram transferências em massa por meio do Pix, especialmente a partir da conta de uma das empresas, a BMP, que sozinha teve prejuízo confirmado pela polícia de R$ 541 milhões.
Execução das transações fraudulentas
As transações ocorreram na madrugada de 30 de junho, das 4h30 às 7h. Foram operações em sequência, com ordens de Pix falsificadas emitidas como se partissem da BMP e de outros operadores, movimentando os recursos de forma rápida e em volume elevado. A atividade passou inicialmente despercebida porque a empresa, por sua natureza, já operava com altos volumes de transferência.
Desconexão e reação
Após notar movimentações atípicas ainda na manhã do dia 30, a C&M montou um grupo emergencial de contenção e comunicou o ocorrido ao Banco Central, que determinou a imediata desconexão da empresa de seus sistemas. Isso causou a suspensão temporária de operações via Pix em algumas instituições.
Destino dos recursos e conversão em criptoativos
Parte dos valores desviados teria sido movimentada para plataformas de criptomoedas. Uma dessas operações foi interceptada por uma empresa que identificou uma tentativa atípica de compra no valor de R$ 100 mil e bloqueou a transação, alertando a instituição financeira.
Prisões e investigações do golpe do Pix
O técnico de TI da C&M Software foi o único preso até o momento. A prisão ocorreu em São Paulo. Ele confessou sua participação, mas alegou não conhecer os demais envolvidos. Foram apreendidos celulares e computadores e a Polícia Civil continua investigando o destino dos recursos. Até o momento, cerca de R$ 270 milhões foram congelados, além de R$ 15 milhões localizados em criptoativos.
Posicionamento da C&M e do Banco Central
A C&M afirma que não foi a origem do ataque e que seus sistemas permanecem íntegros, apontando que o incidente decorreu de engenharia social (manipulação psicológica) e não de falha tecnológica. O Banco Central declarou que não houve comprometimento de seus sistemas e que a C&M não possui vínculo contratual direto com a autarquia, atuando apenas como prestadora de serviços a instituições financeiras.
A investigação segue em andamento também com a Polícia Federal que monitora cerca de 140 contas usadas para as transferências. As forças policiais devem agora focar na identificação de outros membros do esquema e na tentativa de recuperação do restante dos valores desviados.
Veja nota da empresa C&M
A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025.
Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança.
A estrutura robusta de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.
Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.
Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente.
Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história.
Fonte: Gazeta
