Nas primeiras horas de 30 de junho, São Paulo foi palco de um dos maiores ataques cibernéticos da história do Brasil.
Um grupo de hackers invadiu o sistema de Software C&M (CMSW), empresa terceirizada responsável por conectar várias instituições financeiras ao Banco Central e ao Sistema de Pagamento Brasileiro (SPB) e desviou cerca de R $ 541 milhões da BMP BMP Society Credit Ltda.
A Polícia Civil de São Paulo está atualmente investigando 29 empresas que receberam os valores milionários por meio de 166 transações feitas por pix entre 2H03 e 7H04 ao amanhecer.
A operação visa identificar os envolvidos, rastrear os recursos desviados e elucidar toda a cadeia criminal por trás do esquema.
Leia mais:
Os bancos se reinventam: combos mensais tentam ganhar clientes e substituir tarifas
Quer saber por que o Brasil tem o maior interesse no planeta? Nós explicamos
O que aconteceu no ataque de hacker?
A invasão para o software C&M
O ataque, classificado como “ataque da cadeia de suprimentos”, veio após a obtenção ilegal de credenciais de acesso ao operador de TI João Nazareno Roque, oficial da CMSW.
Por US $ 15.000, Roque entregou sua senha aos hackers em uma negociação sobre a saída de um bar em São Paulo.
Com acesso privilegiado, os criminosos foram capazes de lidar com as contas de reserva mantidas pelo Banco BMP no banco central, que funcionam como contas correntes para movimentos financeiros, e fizeram transações fraudulentas por pix.
O desvio de R $ 541 milhões
Durante o ataque, foram feitas 166 transferências, cujos valores variaram de R $ 200.000 a R $ 271 milhões, enviados a diferentes contas de indivíduos e entidades legais.
Para dificultar o rastreamento, os valores foram posteriormente fragmentados entre várias contas, caracterizando o crime de lavagem de dinheiro no modo de ocultação.
Quem são os principais suspeitos?
João Nazareno Roque, o operador de TI
Roque confessou passar a senha do sistema para o grupo criminal depois de ser abordado por um representante de gangue. Segundo a polícia, ele mudou o telefone celular a cada 15 dias para dificultar a localização e se comunicar apenas com hackers por telefone, sem ter contato pessoal com eles.
Preso no bairro da cidade Jaraguá, norte de São Paulo, ele ainda não foi advogado. A investigação continua a procurar identificar outras pessoas envolvidas na gangue.
As 29 empresas que receberam os valores
Os nomes dessas empresas foram revelados no pedido de investigação do Banco BMP à polícia civil.
Eles receberam grandes somas via Pix no amanhecer do ataque, e o trabalho da polícia para descobrir se eles participaram conscientemente da fraude ou se foram usados como “laranjas” no esquema de lavagem de dinheiro.
O papel do software C&M no incidente
Quem é o software C&M?
A CMSW é uma empresa brasileira de tecnologia da informação que opera desde 2001, aprovada pelo Banco Central para conectar instituições financeiras ao sistema BC e ao sistema de pagamento brasileiro.
Sua função é permitir operações como o PIX para bancos menores e outras instituições financeiras.
Resposta da empresa
A C&M Software afirma colaborar na íntegra com as autoridades e adotar medidas técnicas e legais para conter o ataque. Segundo a empresa, o incidente foi causado por engenharia social que levou ao vazamento de credenciais do operador de TI, não por falhas técnicas em seus sistemas.
Atualmente, a CMSW garante que suas operações permaneçam normais e não divulguem informações públicas até que as investigações sejam concluídas.
Impactos no sistema financeiro e nas próximas etapas da investigação
Dano e ataque
Especialistas estimam que a perda total pode exceder US $ 800 milhões, pois a CMSW fornece serviço a mais de 23 instituições financeiras. Além do BMP Bank, bancos como Credsystem e Banco Paulista também foram afetados.
Apesar da gravidade, não há indicações de que contas ou dados pessoais do cliente foram comprometidos. O maior impacto foi financeiro, afetando diretamente a infraestrutura do sistema PIX.
Medidas adotadas pelo banco central
O BC determinou inicialmente a demissão total de acesso às instituições afetadas ao sistema CMSW e depois reduzida à suspensão parcial, para garantir a segurança e a continuidade das operações financeiras.
A força -tarefa e os bloqueios
A polícia civil, com a polícia federal e o Serviço de Promotoria Pública, criou uma força -tarefa para aprofundar as investigações, acompanhar os valores desviados e bloquear ativos suspeitos, buscando desmantelar toda a estrutura do grupo criminal.
O que diz a legislação sobre ataques cibernéticos e fraude financeira?
Crimes e penas relacionadas
O uso inadequado de sistemas financeiros para fraude e lavagem de dinheiro é previsto no Código Penal Brasileiro e nas leis específicas de crimes digitais, com penalidades que podem incluir prisão, multas e outras sanções.
Importância do combate a fraude no sistema PIX
Com a crescente adoção de pix, os mecanismos de segurança e inspeção são essenciais para evitar abusos e garantir a confiança do público no sistema de pagamento instantâneo.
Considerações finais
O ataque de hackers em São Paulo expõe a vulnerabilidade de cadeias tecnológicas que apóiam o sistema financeiro digital brasileiro, especialmente quando as técnicas de engenharia social e a corrupção interna são exploradas por criminosos.
A investigação das 29 empresas que receberam os valores ilícitos é crucial para desmontar a rede de lavagem de dinheiro e garantir a responsabilidade dos envolvidos.
Enquanto isso, as autoridades reforçam a importância dos protocolos de segurança rígidos para impedir que incidentes semelhantes ocorram novamente.