De acordo com a Polícia Civil de São Paulo, o suspeito é João Nazareno Roque, funcionário da C&M Softwares, companhia que faz a integração de instituições financeiras com o ambiente do Pix e outros sistemas de pagamento como TED, DOC e boletos.
O suspeito é operador de TI da C&M. Durante as buscas, ele confessou ter sido aliciado por outros indivíduos e afirmou que os ajudou a ingressar no sistema para a realização das solicitações de transferências via PIX diretamente ao Banco Central.
Em depoimento prestado à Polícia CIvil, Nazareno Roque teria vendido a sua senha de acesso ao sistema para os hackers por R$ 15 mil e trocava de celular a cada 15 dias para não ser rastreado. Ao ser interrogado, ele afirmou que trabalhava na empresa C&M há aproximadamente três anos e que, em março, ao sair de um bar em São Paulo foi abordado por um rapaz que já sabia que ele trabalhava numa empresa de sistemas de pagamentos.
Uma semana depois do encontro no bar, o suspeito de aliciar o desenvolvedor fez contato por telefone dizendo que queria conhecer o sistema da empresa C&M, que era terceirizada da empresa BMP Instituição de Pagamento S/A, alvo do ataque, e ofereceu R$ 5 mil pelo acesso. Cerca de 15 dias depois, o mesmo criminoso fez um segundo contato agora oferecendo outros R$ 10 mil para que Nazareno executasse comandos dentro da plataforma.
O pagamento, contou o desenvolvedor, foi feito em dinheiro vivo, pago em cédulas de R$ 100 entregues por um motoboy. Nazareno Roque foi preso no bairro de City Jaraguá, na Zona Norte de São Paulo. Ele disse que, no total, fez contato com quatro pessoas diferentes.
A investigação começou com um boletim de ocorrência aberto no último dia 30 para apurar um esquema de furto qualificado por meio eletrônico, através de operações fraudulentas via PIX. A empresa lesada, a princípio, era a BMP Instituição de Pagamento S/A, que teve um prejuízo de aproximadamente R$ 541 milhões.
Quanto os criminosos conseguiram desviar?
Mas o crime foi maior. Por meio do golpe, os criminosos conseguiram desviar recursos de contas de oito instituições financeiras, no valor de ao menos R$ 800 milhões, segundo relatos de pessoas a par do assunto. O ataque cibernético já é considerado o maior da história dentro do BC.
A Justiça autorizou o bloqueio de R$ 270 milhões de uma conta utilizada para recepcionar os valores milionários desviados.
O que faz a C&M Software?
A C&M atende a instituições financeiras de pequeno porte, que não têm acesso direto aos sistemas do Pix. A empresa fazia essa conexão para 22 bancos, instituições de pagamento, cooperativas e sociedades de crédito.
O BC, assim que foi informado do incidente, desligou as conexões da C&M aos sistemas do Pix. Dessa forma, as instituições clientes ficaram sem acesso ao Pix e terão de procurar, por ora, outros prestadores de serviços para se conectarem com os sistemas do BC.
Na quinta-feira, o BC autorizou o reestabelecimento parcial dos serviços da C&M Softwares. Segundo a autoridade monetária, a suspensão cautelar dos serviços da empresa foi substituída por uma suspensão parcial.
"A decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes", diz a autoridade monetária em nota.
O que diz a C&M Software sobre o ataque?
Em nota, a C&M Software disse que colabora com as investigações e que, desde que foi identificado o incidente, adotou "todas as medidas técnicas e legais cabíveis"
O diretor comercial da C&M, Kamal Zogheib, já havia afirmado que a empresa foi vítima de uma ação criminosa que envolveu o uso indevido de credenciais de clientes para tentar acessar seus sistemas e serviços de forma fraudulenta.
O Banco Central esclarece que nem a C&M, nem os seus representantes e empregados, atuam como seus terceirizados ou com ele mantêm vínculo contratual de qualquer espécie. A empresa é uma prestadora de serviços para instituições provedoras de contas transacionais.
O Banco Central e a Polícia Federal também investigam o caso.
O que diz a BPM sobre o ataque?
Em nota, a instituição de pagamentos BMP confirmou que o golpe comprometeu a infraestrutura da C&M e permitiu o acesso indevido a contas de reserva de seis instituições financeiras, incluindo a BMP. As contas de reserva são contas que os bancos e instituições financeiras mantêm no BC e são utilizadas para processar as movimentações financeiras das instituições.