Polícia prende suspeito de facilitar ataque hacker que desviou milhões do sistema Pix

Um homem de 48 anos foi preso na noite da última quinta-feira (3), em São Paulo, sob suspeita de envolvimento direto no ataque hacker que comprometeu o sistema de pagamentos operado pelo Banco Central, incluindo o Pix. Identificado como João Nazareno Roque, ele trabalhava como operador de tecnologia da informação em uma empresa terceirizada prestadora de serviços para a C&M Software, responsável por integrar instituições financeiras aos sistemas de pagamentos como Pix, TED e boletos. Estima-se que o prejuízo causado pela invasão seja de pelo menos R$ 800 milhões, podendo alcançar até R$ 3 bilhões, conforme apurado.

A prisão foi efetuada por agentes do Departamento Estadual de Investigações Criminais (Deic), no bairro City Jaraguá, na zona norte da capital paulista. Segundo a investigação, João admitiu em depoimento ter fornecido suas credenciais de acesso aos criminosos em troca de pagamento. De acordo com ele, o primeiro contato ocorreu em março, quando um homem o abordou na rua demonstrando conhecer seu trabalho. Dias depois, uma ligação pelo WhatsApp formalizou a proposta: ele receberia R$ 5 mil para fornecer login e senha corporativos. Após o pagamento, o suspeito entregou os dados e, posteriormente, continuou executando comandos no sistema mediante novas instruções. Por esse segundo envolvimento, teria recebido mais R$ 10 mil, pagos também em espécie, por meio de motoboy.

A operação revelou o que já está sendo considerado o maior ataque cibernético já registrado contra os sistemas do Banco Central. Utilizando credenciais de acesso de instituições financeiras de pequeno porte, os hackers conseguiram movimentar recursos das chamadas “contas reservas” — usadas para fins regulatórios e operacionais — de ao menos oito instituições. Como resposta imediata, o Banco Central determinou o desligamento das conexões entre a C&M Software e seus sistemas de pagamento, restabelecendo o acesso apenas na manhã de quinta-feira (3), sob regime de produção controlada, após a empresa apresentar medidas de reforço na segurança digital.

A C&M informou, por meio de nota, que foi alvo de uma “ação criminosa externa” e que os sistemas próprios da empresa não foram diretamente invadidos. Segundo a nota, o ataque teria ocorrido por meio da violação de um cliente, que teve suas credenciais de integração utilizadas indevidamente. A empresa ainda afirmou que os sistemas críticos seguem íntegros e operacionais, sem indícios de vazamento de dados de instituições ou de clientes.

Enquanto isso, outro inquérito sobre o ataque segue em andamento na Polícia Federal. A investigação busca identificar os demais envolvidos na ação, mapear a origem dos comandos executados e apurar eventuais falhas de segurança que possam ter contribuído para o sucesso da invasão.