Ataque à C&M é maior golpe sofrido por instituições financeiras do Brasil, afirma polícia

O desvio de valores de contas da C&M, empresa que conecta bancos e fintechs ao sistema PIX, do Banco Central (BC), já é considerado o maior golpe sofrido por instituições financeiras no Brasil, de acordo com a Polícia Civil de São Paulo. Há estimativas de que foram desviados ao menos R$ 800 milhões dos clientes da empresa. A investigação aponta que as operações foram todas feitas com Pix, disse o delegado Renato Topan em coletiva esta manhã.

Uma das contas a que os montantes foram destinados foi bloqueada com R$ 270 milhões. Houve também o congelamento de R$ 15 milhões em criptomoedas. As instituições em que estavam os valores e os titulares das cotas não foram informados pela investigação. “Coordenaremos com Polícia Federal e Ministério Público o congelamento dos ativos suspeitos”, afirmou Topan.

A polícia informa que só recebeu registro formal do ataque da BMP, a primeira empresa que informou ter sofrido o golpe publicamente, na quarta-feira, 2. Na BMP, o total levado chegou a R$ 514 milhões. Segundo fontes, ao menos oito empresas foram atingidas.

A C&M Software é uma prestadora de serviços multinacional que, domesticamente, fornece a infraestrutura para interligar algumas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB). De acordo com a Polícia Civil, eles prestam serviços para 23 companhias. Também foram confirmadas como vítimas a Credsystem e o Banco Paulista.

Na manhã desta sexta-feira, 4, a polícia prendeu um funcionário terceirizado da C&M, João Nazareno Roque. Ele confessou que forneceu a criminosos os acessos ao sistema da companhia. Segundo os investigadores, o funcionário compartilhou credencial e senha, o que permitiu o desvio do dinheiro por meio de transferências fraudulentas via Pix. Não houve, portanto, invasão direta aos sistemas da C&M, mas o uso indevido de informações legítimas.