Suspeito de liberar acesso para ataque hacker ao sistema que liga bancos ao Pix é preso em SP

A Polícia Civil de São Paulo prendeu na quinta-feira (3), um homem apontado como suspeito de facilitar o ataque hacker que atingiu a empresa C&M Software (CMSW), que faz conexão ao sistema de Pix, e atingir outras seis empresas, gerando um prejuízo de ao menos R$ 400 milhões em valores desviados.

A invasão cibernética que afetou os seis bancos causou diversos transtornos no mercado financeiro na quarta-feira (2). O Banco Central (BC), inclusive, suspendeu temporariamente as operações por Pix, devido às ações dos hackers.

O Departamento Estadual de Investigações Criminais (Deic), informou que o indivíduo, localizado no bairro de City Jaraguá, na Zona Norte de São Paulo, preso na quinta, foi identificado como João Nazareno Roque, é funcionário da C&M e através da máquina dele, permitiu o acesso de hackers ao sistema sigiloso para execução do ataque.

O investigado informou à polícia que vendeu a senha por R$ 5 mil a hackers em maio, e posteriormente, participou da criação de um sistema para permitir os desvios, onde adquiriu a quantia de mais R$ 10 mil. 

Roque revelou que só se comunicava com os criminosos por celular e não os conhece pessoalmente, além de ter que trocar de celular a cada 15 dias para evitar ser rastreado.

Durante a operação, uma conta com R$ 270 milhões já foi bloqueada. A conta seria utilizada para receber o dinheiro desviado. A polícia investiga a participação de outras pessoas no esquema criminoso.

A C&M divulgou que os criminosos utilizam credenciais, como senhas, dos clientes da empresa para tentar acessar os sistemas e serviços de forma fraudulenta, o que permitiu o acesso indevido a informações e contas de reserva de ao menos seis instituições financeiras.

Embora três instituições financeiras tenham divulgado o valor de R$ 400 milhões desviados durante o ataque, fontes da TV Globo estimam que o valor pode chegar a R$ 800 milhões.

Por conta dos ataques, o Banco Central determinou o desligamento do acesso das instituições financeiras afetadas às infraestruturas operadas pela C&M Software.  A suspensão cautelar foi substituída por uma suspensão parcial ainda na quinta.

A C&M Software informou, por meio de nota, que auxilia com as investigações e que a plataforma continua plenamente operacional e que não se pronunciará publicamente enquanto os procedimentos estiverem em andamento, em respeito ao trabalho das autoridades.

Confira nota da C&M Software na íntegra:

“A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025.

Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança.

A estrutura robusta de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.

Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente.

Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.

A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história.”