Polícia de SP prende suspeito de invasão hacker que desviou milhões via Pix

A Polícia Civil de São Paulo prendeu nesta quinta-feira (3) um homem suspeito de envolvimento na invasão hacker que desviou milhões de reais de pelo menos seis instituições financeiras a partir dos sistemas da C&M Software, prestadora de serviços de tecnologia que funciona como uma ponte que liga alguns bancos em atividade no Brasil ao sistema de pagamento via Pix.

+ Ataque hacker: o que já se sabe sobre ação criminosa que desviou R$ 1 bilhão de instituições financeiras

De acordo com o Departamento Estadual de Investigações Criminais (Deic), o preso, João Nazareno Roque, de 48 anos, é um funcionário de TI (tecnologia da informação) da empresa C&M Software que facilitou que os hackers realizassem as transações em massa de dinheiro. Pelo menos R$ 541 milhões foram transferidos da empresa BMP Instituição de Pagamento, uma das instituições afetadas.

O suspeito confessou que foi aliciado por criminosos e que "os auxiliou a ingressarem no sistema e realizarem as solicitações de transferências via PIX diretamente ao Banco Central", entregando login e senha e, depois, executando comandos no computador da empresa. Ele foi detido por agentes da 2ª Delegacia da DCCIBER (Divisão de Crimes Cibernéticos) no bairro City Jaraguá, zona norte de São Paulo.

Segundo o delegado do Deic, Renan Topan, João recebeu R$ 15 mil para facilitar o acesso dos criminosos ao sistema usado no golpe que desviou mais de meio bilhão de reais. Ele foi abordado na saída de um bar que costumava frequentar e aceitou R$ 5 mil para fornecer seu login e senha. Posteriormente, recebeu outros R$ 10 mil para explicar o funcionamento das transferências e os métodos utilizados internamente.

O SBT News não conseguiu contato com a defesa de João Roque. A C&M Software (CMSW) afirmou em nota que continua colaborando com as autoridades que investigam o caso, incluindo o Banco Central e a Polícia Civil de São Paulo. A empresa disse ainda que não vai se pronunciar publicamente enquanto os procedimentos estiverem em andamento, em respeito ao trabalho das autoridades e ao sigilo necessário às investigações. (Leia a nota na íntegra abaixo).

A polícia conseguiu ainda o bloqueio de R$ 270 milhões de uma conta utilizada para recepcionar os valores milionários desviados.

O Banco Central não informou, até o momento, o nome de todas as instituições financeiras afetadas. Também não há confirmação oficial sobre os valores envolvidos no ataque, mas a Polícia Federal, que investiga o caso, estima que R$ 1 bilhão tenha sido desviado dos bancos.

Ataque hacker

Na quarta-feira (2), a C&M Software, empresa que foi autorizada em 2001 pelo Banco Central a operar como prestadora de serviços de tecnologia da informação para instituições financeiras que atuam no Brasil, foi alvo de um ataque hacker.

A C&M funciona como uma ponte que liga alguns bancos em atividade no país ao sistema de pagamento via Pix, modalidade que ajudou a criar em 2020.

Uma das instituições afetadas, a BMP, informou que o ataque permitiu "o acesso indevido a contas reserva de seis instituições financeiras". As contas reserva são mantidas diretamente no Banco Central e usadas exclusivamente para a chamada liquidação bancária, "sem qualquer relação com as contas dos clientes finais". Isso significa que os clientes dos bancos não sofreram prejuízo, seja com vazamento de dados ou transferências de dinheiro.

“As contas reservas são o mecanismo usado para o funcionamento do Sistema de Pagamentos Brasileiros (SPD), que interliga todas as instituições financeiras. São contas que todos os bancos mantêm dentro do Banco Central para fazer a liquidação das transações que acontecem a todo momento. Ou seja, para que os bancos troquem dinheiro entre eles, é necessário ter essa conta no BC para efetivar as transações”, explica o especialista em cibersegurança Theo Brazil.

Em nota, a BMP afirmou que "já adotou todas as medidas operacionais e legais cabíveis" e que não haverá "prejuízo a sua operação ou a seus parceiros comerciais".

Leia nota da C&M Software na íntegra

A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025.

Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança.

A estrutura robusta de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.

Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente.

Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.

A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história.