Preso na noite dessa quinta-feira (3/6) pelo Departamento Estadual de Investigações Criminais (DEIC), da Polícia Civil de São Paulo, João Nazareno Roque (foto em destaque), trabalha em empresa terceirizada do Banco Central e confessou que deu acesso aos hackers, pela máquina dele, ao sistema sigiloso do banco. Há um outro inquérito em andamento na Polícia Federal.
O ataque cibernético, que ocorreu na última terça-feira (1/7), resultou no desvio de centenas de milhões de reais de contas ligadas ao Banco Central, por meio da infraestrutura da empresa C&M Software. A operação, considerada uma das mais sofisticadas já registradas contra o sistema financeiro brasileiro, atingiu contas de liquidação de, ao menos, oito instituições bancárias e não bancárias, provocando um impacto em cadeia nos sistemas de pagamento.
Os investigadores buscam identificar os autores do crime, mapear o caminho do dinheiro e esclarecer como as credenciais de acesso foram comprometidas.
A principal hipótese é de que criminosos tenham explorado brechas de segurança em sistemas de mensageria entre instituições financeiras e o Banco Central, usando credenciais legítimas de clientes da C&M, empresa que atua como intermediária na integração de bancos menores ao Sistema de Pagamentos Brasileiro (SPB).
O foco da apuração está em compreender como essas credenciais foram obtidas e como o ataque foi executado com tamanha rapidez. Em poucos minutos, os invasores conseguiram movimentar valores expressivos via Pix a partir das chamadas “contas reserva”, que funcionam como cofres digitais de liquidação entre instituições financeiras.
A polícia investiga se há envolvimento de organizações criminosas especializadas em fraudes digitais, além de tentar rastrear os recursos transferidos, que foram pulverizados em dezenas de transações quase simultâneas. O uso do Pix como instrumento de fuga rápida dificulta a recuperação dos valores, o que torna o rastreamento um dos principais desafios da investigação.
As autoridades estudam, ainda, a necessidade de revisão dos protocolos de segurança adotados por Provedores de Serviços de Tecnologia da Informação (PSTIs), como a C&M. Esses provedores fazem a ponte entre fintechs e o Banco Central, permitindo a realização de operações como Pix e TED. Apesar de a arquitetura do Banco Central não ter sido diretamente invadida, o caso expôs fragilidades no ecossistema que sustenta a digitalização dos pagamentos no país.
A C&M informou que foi vítima direta da ação criminosa e que colabora com a PF, o Banco Central e a Polícia Civil de São Paulo. Já o BC confirmou o incidente e ordenou o desligamento temporário da infraestrutura da C&M, o que afetou a operação do Pix em quase 300 instituições conectadas por meio da empresa.
Com informações de Metrópoles.
