A Polícia Civil de São Paulo prendeu, nesta sexta-feira, 4, um dos suspeitos responsáveis pela invasão à infraestrutura da C&M Software, no que é considerado o maior ataque cibernético da história do sistema financeiro nacional. O crime, ocorrido na terça-feira, 1°, desviou meio bilhão de reais de uma financeira e teve impacto nos serviços de ao menos cinco instituições, conforme apurou a EXAME.

Segundo os investigadores, João Nazareno Roque, de 48 anos, era operador de TI da C&M Software e foi cooptado para fornecer dados internos e credenciais da empresa ao grupo criminoso. Este grupo, composto por pelo menos quatro pessoas, se passou pela instituição BMP (uma das clientes da C&M) e emitiu ordens falsas de Pix para outras empresas.

Roque foi detido no bairro City Jaraguá, na zona norte de São Paulo. O suspeito confessou seu envolvimento no crime e disse que teria recebido R$ 15 mil para conceder acesso aos dados da C&M Software. Ele foi preso sob acusação de associação criminosa, furto qualificado e abuso de confiança.

A Polícia Civil esclareceu que o Banco Central e pessoas físicas não foram afetados pelo ataque. Apenas bancos com contas reservas foram os alvos e um total de R$ 541 milhões foi desviado. Meio bilhão saiu da conta reserva da BMP, segundo a polícia. Ontem, em entrevista ao Neofeed, o CEO da instituição financeira informou que haviam sido R$ 400 milhões desviados, sendo que R$ 160 milhões já recuperados.

A BMP, mais impactada financeiramente de forma direta, integra 86 fintechs e dez grandes varejistas. Também foram atingidos o Banco Paulista, Credsystem e Banco Carrefour. As operações de Pix dessas instituições chegaram a ser suspensas, mas nem elas nem a polícia confirmam se houve desvio de dinheiro.

O ataque afetou o ambiente de mensageria operado por um Provedor de Serviços de Tecnologia da Informação (PSTI), o que resultou na suspensão temporária das transações via Pix em diversas instituições financeiras.

A EXAME apurou que a Igreja Evangélica Bola de Neve também era cliente da C&M e teve suas operações financeiras restritas. A instituição não se manifestou sobre o caso até o momento.

Os serviços da C&M chegaram a ser suspensos pelo  Banco Central, que ontem alterou o status da suspensão da empresa, de uma suspensão cautelar para uma parcial. A decisão foi tomada após a C&M Software adotar medidas para mitigar os riscos de novos ataques, como foi explicado em uma nota divulgada à imprensa. Não houve mais atualizações da situação desde então.

A investigação sobre o ataque cibernético está sendo conduzida pela 2ª Divisão de Crimes Cibernéticos (DCCiber), parte do Departamento Estadual de Investigações Criminais (Deic) da Polícia Civil de São Paulo.