SÃO PAULO, SP (FOLHAPRESS) - Preso na manhã desta sexta-feira (4) por suspeita de facilitar o roubo bilionário de recursos mantidos em contas do Banco Central, João Nazareno Roque, 48, era funcionário da empresa de software C&M e trabalhava com TI desde a pandemia, quando resolveu mudar de carreira.

Segundo as investigações, Roque teria recebido um total de R$ 15 mil para vender suas credenciais de acesso ao sistema da C&M e desenvolver um sistema interno que facilitasse o acesso às contas. Ainda não se sabe a extensão do roubo, mas estima-se que mais de R$ 1 bilhão tenha sido desviado.

A reportagem não havia localizado a defesa do acusado até a publicação desse texto.

- Quem é João Nazareno Roque? Formado em análise e desenvolvimento de sistemas pela Anhanguera desde 2022, Roque passou a maior parte da vida trabalhando como eletricista e em cargos de assistência técnica. Em seu perfil no LinkedIn, ele diz que aos 42 anos sentiu necessidade de investir em um curso superior e se recolocar na carreira.

Naquele momento, ele afirmava que se sentia como o personagem principal do filme "Um Senhor Estagiário", em que Ben (Robert de Niro), um aposentado de 70 anos, resolve se tornar estagiário em um site de moda.

"Me identifico muito com ele, não me chamo Ben e ainda não tenho 70 anos, mas já tenho idade onde muitos esperam já estar em cargos C-level e eu estou aqui com muita vontade de recomeçar com o brilho nos olhos e disposição de um menino para dar o meu melhor, bem como aprender tudo o que puder", escreveu Roque.

- O que ele fazia? Roque se apresentava nas redes como desenvolvedor back-end júnior, profissional que planeja, programa, testa e realiza a manutenção da infraestrutura de códigos que fazem a interação entre um site, o servidor e o banco de dados. Na prática, é quem garante a eficiência e segurança do sistema.

- Quanto ele ganhava? Segundo o delegado responsável pela investigação, Renato Topan, o funcionário detido tem renda declarada de R$ 2.500 e estava na C&M desde 2022. O salário está abaixo da média apontada por sites especializados, algo na faixa entre R$ 3.000 e R$ 6.000 para alguém com experiência até três anos. Segundo a polícia, Roque mora no conjunto habitacional City Jaraguá, em Pirituba, região noroeste de São Paulo, onde foi preso.

- Quanto ele teria recebido para participar do esquema?
Segundo a Polícia Civil, ele teria recebido R$ 15 mil para participar do crime financeiro. A oferta foi feita em março, após Roque ter sido abordado por um homem que queria "conhecer o sistema" dos bancos, aponta a investigação. Roque teria recebido R$ 5.000 pelas credenciais e mais R$ 10 mil para desenvolver um sistema interno que facilitasse o acesso às contas. À polícia, Roque se disse seduzido pela proposta dos hackers e afirmou que não sabia o que iria acontecer após fornecer senha e login de acesso aos golpistas.

- Ele teria sido coagido ou ameaçado?
Os investigadores afirmam que não foram identificados sinais de coação e ameaça. Segundo o relato de Roque à polícia, ele conversou com ao menos quatro pessoas diferentes, que não se identificaram. De acordo com o delegado, ele afirma ter se encontrado pessoalmente com apenas um deles, em um bar, em Pirituba.

O que se sabe e o que falta saber sobre o ataque hacker que desviou R$ 1 bilhão

A Polícia Civil de São Paulo prendeu na quinta-feira (3), na zona norte de São Paulo, um suspeito de participação no ataque cibernético que causou prejuízo de cerca de R$ 1 bilhão a oito instituições financeiras.

O furto aconteceu na madrugada de segunda-feira (30). Veja o que já se sabe e o que falta saber sobre o golpe.

O QUE JÁ SE SABE SOBRE O FURTO
- É o maior furto desse tipo já realizado no Brasil? O desvio de cerca de R$ 1 bilhão é considerado o maior evento do tipo já registrado no país, segundo o Grupo FS, a principal empresa brasileira de segurança cibernética.

- De onde saiu o dinheiro? Os recursos desviados estavam em contas de ao menos oito clientes da C&M Software, uma empresa que presta serviços de tecnologia para instituições do setor financeiro. A C&M Software administra a troca de informações entre instituições brasileiras ligadas ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. Os valores estavam em contas de clientes mantidas no Banco Central, especificamente as Contas PI (Pagamentos Instantâneos) ou contas reserva, que são usadas para liquidação interbancária e liquidez das transações via Pix. A cliente mais afetada foi a empresa BMP.

- Como o ataque ocorreu? Segundo a polícia, os criminosos convenceram um funcionário da empresa C&M a vender suas credenciais (usuário e senha) e construir um sistema que facilitasse o desvio de recursos.

- Quem é o suspeito de vender as informações? Segundo a polícia, o técnico em informática da C&M João Nazareno Roque confessou ter sido aliciado e admitiu ter fornecido as senhas aos criminosos em troca de pagamento. De acordo com o delegado responsável pela investigação, Renato Topan, o funcionário detido tem renda declarada de R$ 2.500 e mora no conjunto habitacional City Jaraguá, em Pirituba, na região noroeste de São Paulo.

- Quanto o suspeito recebeu para participar o golpe? De acordo com os investigadores, ele afirmou ter recebido R$ 5.000 pelas credenciais e mais R$ 10.000 para desenvolver um sistema interno que facilitasse o acesso às contas reservas.

- Como foi o contato com o suspeito? A polícia diz que Roque afirmou ter sido coptado em março e ter conversado com ao menos quatro pessoas diferentes, que não se identificaram. De acordo com o delegado, ele afirma ter se encontrado pessoalmente com apenas um deles, em um bar, em Pirituba.

- Como o golpe foi detectado? Os criminosos usaram dinheiro desviado para comprar criptomoedas. À 0h18 de segunda (30), a fintech SmartPay desconfiou de um crime ao detectar movimentações anômalas em sua plataforma. Eles notaram uma transação de R$ 100 mil de uma conta recém-criada para comprar USDT, além de um número atípico de criações de conta e um volume de operações muito acima do normal.

Segundo a polícia, o responsável financeiro pela BMP foi acionado às 4h30 de segunda por outra instituição financeira que recebeu uma grande transferência via Pix da conta reservas financeiras da empresa. As transações fraudulentas prosseguiram até as 7h. Na manhã da segunda, a BMP montou uma sala de situação para entender o tamanho e a dinâmica da fraude e constatou que sofreu um golpe.

- Quanto dinheiro foi recuperado? A operação policial deflagrada na quinta-feira resultou no bloqueio de R$ 270 milhões dos valores desviados em uma instituição financeira. Na segunda de madrugada, a SmartPay também bloqueou as operações suspeitas e iniciou um processo para estornar o que foi possível dos valores desviados, retendo grandes somas e devolvendo-as às instituições envolvidas. Eles conseguiram identificar as instituições financeiras de origem do dinheiro por terem acesso ao sistema Pix.

- Qual a participação do Banco Central? O Banco Central, onde são mantidas as contas reservas de onde o dinheiro foi desviado, foi informado do problema na terça-feira, 1º de julho. O BC determinou o desligamento do acesso das instituições às infraestruturas operadas pela C&M, restabelecido parcialmente na quinta (3) após medidas de segurança. Na sexta (4), o BC suspendeu o acesso ao Pix das fintechs Transfeera, Nuoro Pay e Sofffy, por suspeita de envolvimento no incidente, pois contas nessas empresas receberam grandes volumes de dinheiro desviado.

- Quem está investigando o crime? O caso está sob investigação da Polícia Federal, da Polícia Civil de São Paulo, como furto mediante fraude, e do Banco Central.

O QUE AINDA FALTA ESCLARECER
- Dimensão oficial e total do desvio: Embora a cifra de R$ 1 bilhão seja reportada, ainda não há informações oficiais sobre a dimensão exata do desvio.

- Total de valores recuperados: O montante total que foi possível recuperar da cifra desviada ainda não foi completamente consolidado. A SmartPay não divulgou os valores exatos que conseguiu devolver.

- Identidade dos demais criminosos: João Nazareno Roque afirmou ter conversado com pelo menos quatro pessoas diferentes que não se identificaram, e a investigação continua para identificar e prender os demais envolvidos.

- Quem foi prejudicado pelo crime: O nome de todos os prejudicados não foi divulgado. Existência de seguro corporativo pela C&M: A empresa não informou se possui apólice de seguro para cobrir os prejuízos do ataque.

- Detalhes da investigação: A C&M Software se recusou a comentar detalhes do processo por orientação jurídica e sigilo das apurações. A Polícia Federal também mantém a apuração sob sigilo.

- Possível negligência das instituições financeiras: Ainda será apurado se houve negligência por parte das instituições financeiras com relação às regras que orientam a atuação dos participantes do Pix.

Polícia de São Paulo prende suspeito de participar de ataque hacker a empresa que opera Pix

PEDRO S.TEIXEIRA, NATHALIA GARCIA E PAULO EDUARDO DIAS, SÃO PAULO, SP E BRASÍLIA, DF (FOLHAPRESS) - A Polícia Civil de São Paulo prendeu na quinta-feira (3), na zona norte de São Paulo, um suspeito de participação no ataque cibernético que causou prejuízo de cerca de R$ 1 bilhão a oito instituições financeiras.

Segundo os investigadores, João Nazareno Roque é funcionário da companhia C&M Software, que presta serviços de integração entre bancos e fintechs ao sistema Pix e de cujas contas os recursos foram desviados, na madrugada de segunda-feira (30). Ele ainda não tem defesa constituída, de acordo com a polícia.

O crime (furto mediante fraude) é investigado pelo Deic (Departamento Estadual de Investigações Criminais) e pela Polícia Federal. A detenção foi conduzida por equipes da 2ª Divisão de Crimes Cibernéticos. A PF disse que não participou da operação e que a apuração segue sob sigilo.

Segundo a polícia, Roque confessou ter sido aliciado. O departamento afirma que continua a investigação para identificar e prender os demais envolvidos.

Em nota, a C&M Software diz que as evidências apontam que o incidente decorreu de táticas para enganar funcionários de forma a induzir o compartilhamento indevido de credenciais de acesso, não de falhas nos sistemas ou na tecnologia da empresa.

"A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025."
A BMP, cliente da C&M que sofreu um prejuízo de R$ 500 milhões, diz que foi informada da prisão preventiva do suspeito e acompanha de perto os avanços das investigações.

BANCO CENTRAL SUSPENDE FINTECHS
O Banco Central suspendeu o acesso ao sistema Pix das instituições de pagamento Transfeera, Nuoro Pay e Sofffy, suspeitas de envolvimento no incidente cibernético.

Contas nessas três fintechs receberam grandes volumes do dinheiro desviado durante o ataque de segunda. A informação foi divulgada em comunicado ao mercado na quinta-feira (3).

A Transfeera afirma que suas operações seguem funcionando normalmente, com exceção do Pix. "Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo."
A autoridade monetária avalia a suspensão cautelar de outras instituições por desrespeito às normas do Pix.

COMO FOI O ATAQUE
A invasão hacker ocorreu na madrugada de segunda-feira (30), mas a autoridade monetária só foi informada do problema na terça (1º). A Polícia Federal foi acionada e abriu inquérito na quarta (2) para investigar o ataque hacker.

O ataque desviou cerca de R$ 1 bilhão de recursos mantidos no Banco Central. Segundo a principal empresa brasileira de segurança cibernética, o Grupo FS, esse foi o maior evento do tipo já registrado no Brasil.

Investigadores da 2ª Delegacia DCCiber (Investigações sobre Fraudes Contra Instituições Financeiras) afirmam que, ao analisar registros de acesso e atividade nos sistemas da C&M, notaram ações suspeitas de João Nazareno Roque. Segundo a polícia, ele tinha acesso a todo o protocolo operacional e admitiu ter fornecido as senhas a criminosos, em troca de pagamento.

Os investigadores dizem que o funcionário primeiro recebeu R$ 5.000 pelas credenciais e senhas. Depois, recebeu mais R$ 10 mil para desenvolver um sistema interno para facilitar o acesso da quadrilha às contas reservas -mantidas no Banco Central e de onde o dinheiro foi desviado.

"Nazareno recebeu apenas um sinal para iniciar a prática delituosa, um valor absolutamente irrisório", diz o delegado da 2ª Divisão de Crimes Cibernéticos, Paulo Barbosa.

A operação policial deflagrada na quinta, segundo a polícia, permitiu o bloqueio de R$ 270 milhões dos valores desviados a uma instituição financeira, cujo nome não foi divulgado. Todas as transferências foram via Pix, em grande quantidade. Não há notícia de pessoa física afetada pelo crime, de acordo com a Polícia Civil.

De acordo com o delegado responsável pela investigação, Renato Topan, o funcionário detido era técnico em informática da C&M Software, tem renda declarada de R$ 2.500 e mora no conjunto habitacional City Jaraguá, em Pirituba, na região noroeste de São Paulo. "Assim que se deu mandado de busca e apreensão, foram apreendidos celulares, computadores, uma agenda com scripts, mas não havia indicativo de criptoativo", afirma.

A polícia diz que Roque afirmou ter sido coptado em março e ter conversado com ao menos quatro pessoas diferentes, que não se identificaram. De acordo com o delegado, ele afirma ter se encontrado pessoalmente com apenas um deles, em um bar, em Pirituba.

Ainda segundo Topan, o responsável financeiro pela BMP foi acionado às 4h30 de segunda por outra instituição financeira que recebeu uma grande transferência via Pix da conta reservas financeiras da empresa.

As transações fraudulentas prosseguiram até as 7h. "Na manhã da segunda, a BMP montou uma sala de situação para entender o tamanho e a dinâmica da fraude e constatou que sofreu um golpe", afirma Topan.

A Smartpay, fintech que integra o sistema Pix à compra de criptomoedas e também ajudou a identificar o golpe, diz que as movimentações anômalas na segunda-feira começaram às 0h18.

De acordo com a Polícia Civil, tudo indica que o grupo criminoso é de São Paulo. Os investigadores, agora, irão se debruçar sobre as informações recuperadas nos dispositivos eletrônicos apreendidos a fim de encontrar os quatro interlocutores de Roque.

Criminalmente, a C&M Software não pode ser acusada pelo incidente, segundo a polícia.