Ataque hacker a bancos: funcionário recebeu R$ 15 mil para entregar senha e executar comandos

João Nazareno Roque, de 48 anos, preso nesta quinta-feira (3) por suspeita de facilitar o ataque hacker que desviou milhões de reais de pelo menos seis instituições financeiras, é operador de TI (tecnologia da informação) da C&M Software – prestadora de serviços de tecnologia que funciona como uma ponte que liga alguns bancos em atividade no Brasil ao sistema de pagamento via Pix do Banco Central.

+ Ataque hacker: o que já se sabe sobre ação criminosa que desviou R$ 1 bilhão de instituições financeiras

O funcionário é acusado de entregar login e senha, além de executar comandos no computador da C&M que permitiram o desvio de R$ 541 milhões em transferências fraudulentas da empresa BMP Instituição de Pagamentos, segundo a Polícia Civil de São Paulo.

João foi detido por agentes da 2ª Delegacia da DCCIBER (Divisão de Crimes Cibernéticos) no bairro City Jaraguá, zona norte de São Paulo. Em depoimento, ele confessou participação no crime.

O que o funcionário disse em depoimento

Aos agentes do Deic (Departamento Estadual de Investigações Criminais), o operador de TI afirmou que trabalhava na C&M Software há aproximadamente três anos e que, em março, foi abordado por um homem ao sair de um bar. O rapaz teria dito que sabia que João trabalhava com sistemas de pagamentos e que queria analisar o sistema da empresa. O funcionário passou seu número de telefone e, uma semana depois, recebeu uma ligação.

No telefonema, foi proposto que João entregasse login e senha em troca de R$ 5 mil. Após o pagamento, feito por um motoboy, o funcionário repassou suas credenciais. 15 dias depois, ele recebeu uma nova ligação e a pessoa do outro lado da linha pediu que ele criasse uma conta na plataforma Notion.

Na plataforma de gerenciamento de projetos, o funcionário passou a receber os comandos que deveria executar no computador da C&M. João afirmou aos policiais que tem inserido os comandos no sistema desde maio e que, para isso, recebeu mais R$ 10 mil. Esse valor foi pago em notas de R$ 100 por um motoboy.

Ainda de acordo com o depoimento do operador de TI, no dia do segundo pagamento o aparelho celular dele foi levado e o chip trocado. A partir disso, seus celulares eram trocados a cada 15 dias. A última troca aconteceu na quarta-feira (2).

Ele afirmou ainda que não conseguiria identificar as pessoas que o cooptaram, pois depois da primeira abordagem, na saída do bar, não teve contato pessoal com mais ninguém. Segundo João, todas as conversas com os hackers foram realizadas por telefone.

O SBT News não conseguiu contato com a defesa de João Nazareno Roque. A C&M Software (CMSW) afirmou em nota que continua colaborando com as autoridades que investigam o caso, incluindo o Banco Central e a Polícia Civil de São Paulo. A empresa disse ainda que não vai se pronunciar publicamente enquanto os procedimentos estiverem em andamento, em respeito ao trabalho das autoridades e ao sigilo necessário às investigações. (Leia a nota na íntegra abaixo).

Ataque hacker

Na quarta-feira (2), a C&M Software, empresa que foi autorizada em 2001 pelo Banco Central a operar como prestadora de serviços de tecnologia da informação para instituições financeiras que atuam no Brasil, foi alvo de um ataque hacker.

A C&M funciona como uma ponte que liga alguns bancos em atividade no país ao sistema de pagamento via Pix, modalidade que ajudou a criar em 2020.

Uma das instituições afetadas, a BMP, informou que o ataque permitiu "o acesso indevido a contas reserva de seis instituições financeiras". As contas reserva são mantidas diretamente no Banco Central e usadas exclusivamente para a chamada liquidação bancária, "sem qualquer relação com as contas dos clientes finais". Isso significa que os clientes dos bancos não sofreram prejuízo, seja com vazamento de dados ou transferências de dinheiro.

“As contas reservas são o mecanismo usado para o funcionamento do Sistema de Pagamentos Brasileiros (SPD), que interliga todas as instituições financeiras. São contas que todos os bancos mantêm dentro do Banco Central para fazer a liquidação das transações que acontecem a todo momento. Ou seja, para que os bancos troquem dinheiro entre eles, é necessário ter essa conta no BC para efetivar as transações”, explica o especialista em cibersegurança Theo Brazil.

Em nota, a BMP afirmou que "já adotou todas as medidas operacionais e legais cabíveis" e que não haverá "prejuízo a sua operação ou a seus parceiros comerciais".

Leia nota da C&M Software na íntegra

A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025.

Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança.

A estrutura robusta de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.

Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente.

Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.

A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história.