PEDRO S. TEIXEIRA
SÃO PAULO, SP (FOLHAPRESS) – A quadrilha cibernética responsável pelo maior ataque hacker já registrado no país, após acessar uma conta mantida pelo banco BMP no BC (Banco Central), enviou os R$ 541 milhões desviados dessa empresa em mais de 100 transferências para 29 diferentes instituições financeiras, de acordo com tabela presente no inquérito da Polícia Civil de São Paulo.

Parte das empresas na lista, que inclui bancos tradicionais e instituições de pagamento conhecidas do público, já estornou o dinheiro por meio do sistema de devolução do Pix (Med), meio de pagamento pelo qual todas as transferências foram feitas. As instituições que seguiram o protocolo antifraude do Banco Central não serão investigadas.

De acordo com a Polícia Civil, as autoridades também bloquearam R$ 271 milhões que saíram da conta da BMP com destino a uma única instituição financeira. O mandado da Justiça de São Paulo é contra a Soffy, que recebeu 69 das 166 transferências realizadas durante o golpe.

Desde sábado (5), a Soffy não responde às tentativas de contato da reportagem.

O Banco Central já suspendeu por até 60 dias seis instituições de pagamento, incluindo a Soffy, para averiguar violações às normas do Pix. Segundo a resolução interna, a autoridade monetária pode “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos.”

Em entrevista ao site especializado Neofeed, o CEO e fundador da BMP, Carlos Benitez, diz que já conseguiu recuperar R$ 160 milhões dos valores desviados -a empresa disse que não citaria valores à Folha. Antes do incidente cibernético, a BMP tinha liquidez por volta de R$ 600 milhões (dinheiro à disposição para atender a pedidos de saque).

Em nota, a empresa diz que nenhum cliente foi impactado pelo ataque. “A instituição conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo para a sua operação.”

A companhia atua como um bank as a service, um modelo de negócio em que bancos licenciados disponibilizam sua infraestrutura bancária para outras fintechs que se encarregam apenas do marketing e da tecnologia.

Carlos Benitez recebeu o alerta de um dono de outro banco às 4h de segunda-feira (30) sobre transações suspeitas, por causa de um Pix de R$ 18 milhões que saiu da conta de sua instituição.

Às 7h, a equipe da BMP conseguiu interromper a sequência de transações iniciadas às 2h de segunda. Na sequência, o banco montou uma sala de guerra para confirmar se houve fraude e dimensionar o tamanho do prejuízo.

Os criminosos acessaram a conta reservas financeiras da BMP por meio de um ataque à empresa C&M Software, que, entre outros serviços de tecnologia, opera o sistema Pix em nome de bancos e instituições de pagamento.

De acordo com a investigação da Polícia Civil, a quadrilha pagou R$ 15 mil a um técnico de informática da empresa, que vendeu seu login e senha, além de ter executado, nos sistemas da C&M, códigos de programação repassados pelos invasores.

Até agora, apenas um ex-funcionário, João Nazareno Roque, foi preso -segundo a polícia, ele apontou a participação de ao menos quatro homens ainda não identificados. Um advogado se voluntariou para defender Roque na sexta-feira (4), mas a reportagem ainda não conseguiu localizá-lo.

Durante coletiva de imprensa realizada na sexta, porta-vozes da Polícia Civil disseram que o foco da operação deflagrada na quinta-feira (3) era prender Roque. Por isso, ainda não houve tempo para analisar em detalhes as movimentações financeiras feitas durante o incidente cibernético.

Segundo reportagem da Folha, o ataque cibernético desviou cerca de R$ 1 bilhão das contas reservas financeiras de 8 dos 23 clientes da C&M Software. Trata-se de contas de depósito mantidas no Banco Central para liquidar pagamentos entre instituições financeiras e como garantia em caso de débito. Porém apenas a BMP registrou boletim de ocorrência, de acordo com a Polícia Civil paulista.

O Banco Central diz que não tem ingerência sobre as contas afetadas e que sua infraestrutura não sofreu efeitos da invasão.
A polícia diz que a C&M Software, segundo o que foi apurado até o momento, não pode ser acusada criminalmente pelo incidente cibernético.

Em nota, a C&M Software afirma que “segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em junho de 2025”.