A Polícia Civil de São Paulo revelou, nesta sexta-feira (4), que um ataque hacker à BMP Instituição de Pagamento resultou no desvio de pelo menos R$ 541 milhões por meio de transações fraudulentas via Pix. O golpe, considerado o maior já registrado no Brasil em valor roubado, foi viabilizado com a colaboração de um funcionário de uma empresa prestadora de serviços de tecnologia, a C&M Software.
Segundo as investigações conduzidas pelo Departamento Estadual de Investigações Criminais (Deic), o operador de Tecnologia da Informação João Nazareno Roque, funcionário da C&M, confessou ter facilitado o acesso dos criminosos ao sistema da companhia. Ele teria fornecido suas credenciais de acesso em troca de pagamentos que totalizaram R$ 15 mil, caracterizando um golpe de engenharia social. O suspeito foi preso na noite de quinta-feira (3) e responderá por abuso de confiança, furto qualificado mediante fraude e associação criminosa.
As contas invadidas pertenciam à C&M Software, que atua como uma intermediadora tecnológica entre instituições financeiras e o Banco Central, por meio do modelo conhecido como Bank as a Service (BaaS). Ao menos outras cinco instituições financeiras também foram atingidas pela ação criminosa, segundo a Polícia.
As contas de reserva, alvo do ataque, funcionam como uma espécie de conta-corrente das instituições junto ao Banco Central e são utilizadas para garantir liquidez, processar transações diárias e cumprir obrigações regulatórias. Embora o volume movimentado diariamente nessas contas não seja divulgado, o prejuízo total do ataque pode chegar a R$ 800 milhões, de acordo com estimativas extraoficiais.
Durante coletiva de imprensa, o porta-voz da Polícia Civil classificou o episódio como o maior ataque cibernético da história do país, considerando o montante subtraído. Uma única conta, com saldo de R$ 270 milhões, foi utilizada para movimentar parte dos recursos desviados e já foi bloqueada pelas autoridades.
Fontes próximas à investigação informaram que cerca de R$ 150 milhões foram recuperados até o momento, com apoio do Mecanismo Especial de Devolução (MED), que permite a reversão de operações realizadas via Pix em casos de fraude.
Como medida de contenção, o Banco Central suspendeu temporariamente o acesso da C&M Software ao sistema financeiro. O acesso foi restabelecido na quinta-feira (3), após verificação da segurança da estrutura.
Ainda sob sigilo, o inquérito apura a identidade de outros envolvidos no esquema. Informações do setor de criptoativos indicam que parte dos valores desviados pode ter sido rapidamente convertida em moedas digitais, dificultando o rastreamento.
Em nota, a BMP afirmou que acompanha de perto os desdobramentos da investigação e confirmou que foi comunicada sobre a prisão preventiva do suspeito.
