Brasília, 04/07/2025 - A Polícia Civil de São Paulo prendeu um homem apontado como um dos autores da "
maior invasão de dispositivo eletrônico do País" - o ataque hacker à C&M, que interliga instituições financeiras a sistema que inclui o Pix.
Os investigadores dizem que a prisão, ocorrida na tarde desta quinta, 3, se deu no bojo de inquérito aberto sobre a apuração de um esquema de furto qualificado por meio eletrônico, através de operações fraudulentas contra a empresa BMP Instituição de Pagamento S/A, com prejuízo de R$ 541 milhões.
As informações são no sentido de que, durante o inquérito, foi possível identificar que um funcionário da empresa C&M, estaria envolvido no esquema, "facilitando que demais indivíduos realizassem transferências eletrônicas em massa".
Com base nas apurações, a Polícia fez diligências nesta quinta no bairro City Jaraguá, cumprindo mandados de prisão temporária e de busca e apreensão contra um operador de TI da empresa C&M, que teria confessado "ter sido aliciado por outras pessoas e as ajudou a ingressarem no sistema e realizarem as solicitações de transferências via Pix diretamente ao Banco Central".
O funcionário terceirizado da C&M, João Nazareno Roque, foi preso. Ele confessou que forneceu a criminosos os acessos ao sistema da companhia. Segundo os investigadores, o funcionário compartilhou credencial e senha, o que permitiu o desvio do dinheiro por meio de transferências fraudulentas via Pix. Não houve, portanto, invasão direta aos sistemas da C&M, mas o uso indevido de informações legítimas.
Resultado da investigação, a Justiça também autorizou o bloqueio de R$ 270 milhões de uma conta utilizada para recepcionar os valores milionários desviados. Houve também o congelamento de R$ 15 milhões em criptomoedas.
O maior golpe
O desvio de valores de contas da C&M já é considerado o maior golpe sofrido por instituições financeiras no Brasil, de acordo com a Polícia Civil de São Paulo. Há estimativas de que foram desviados ao menos R$ 800 milhões dos clientes da empresa. A investigação aponta que as operações foram todas feitas com Pix, disse o delegado Renato Topan em entrevista coletiva.
As instituições em que estavam os valores e os titulares das cotas não foram informados pela investigação. "Coordenaremos com Polícia Federal e Ministério Público o congelamento dos ativos suspeitos", afirmou Topan.
A polícia informa que só recebeu registro formal do ataque da BMP, a primeira empresa que informou ter sofrido o golpe publicamente, na quarta-feira, 2. Segundo fontes, ao menos oito empresas foram atingidas.
A C&M Software é uma prestadora de serviços multinacional que, domesticamente, fornece a infraestrutura para interligar algumas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB). De acordo com a Polícia Civil, eles prestam serviços para 23 companhias. Também foram confirmadas como vítimas a Credsystem e o Banco Paulista.
No Senado 
