Do murado de R$ 1 bilhão que se estima ter sido desviado em ataque cibernético à empresa C&M Software, que opera o sistema Pix em nome de terceiros, R$ 270 milhões tiveram porquê fado a fintech Soffy, segundo decisão do Tribunal de Justiça de São Paulo que bloqueou os valores na quinta-feira (3).
No mesmo dia, o Banco Mediano suspendeu o entrada ao sistema de pagamentos instantâneos da Soffy e de outras duas instituições de pagamento por desrespeito às normas do Pix. O ataque, que começou na madrugada de segunda-feira (30), desviou valores de contas reservas de oito clientes da C&M Software para mais de 40 instituições financeiras.
Por volta das 13h, a reportagem tentou contato com a empresa por email e telefonou para o seu proprietário, Stevam Sossego Bastos, mas não obteve retorno até a publicação deste texto.
A decisão da Justiça paulista ocorreu a pedido da Polícia Social de São Paulo, que investiga a ação criminosa que furtou R$ 541 milhões somente da BMP, uma empresa que fornece serviços bancários a terceiros e mantinha contratos com a C&M Software. Outras sete instituições foram vítimas, mas não registraram boletim de ocorrência.
De concordância com a investigação da Polícia Social, uma quadrilha, ao que tudo indica brasileira, infiltrou-se nos sistemas da C&M Software com o auxílio de um funcionário, que recebeu R$ 15 milénio, e fez uma série de transferências bancárias —todas via Pix. Houve um grande volume de transações, disse o delegado-geral da Polícia Social de São Paulo, Artur José Dian.
Do montante furtado pelo grupo criminoso, R$ 270 milhões foram parar na conta da Soffy, de concordância com o pedido da Polícia Social à Justiça paulista.
Desde 13 de junho, a Soffy foi meta de 13 processos cíveis relacionados a outras fraudes do Pix, pedindo responsabilização por preterição em relação a pedidos para bloquear e entregar quantias desviadas nos golpes.
Em ação da fintech Target contra a Soffy, protocolada em 29 de junho, o legista Daniel Becker, que representa a Target, anexou documentos indicando que a Soffy negou instantaneamente pedidos de estorno de transferências fraudulentas feitas por meio do MED (Mecanismo de Reembolso) do Pix, sistema do Banco Mediano. Ainda ignorou mensagens enviadas a diversos endereços de email.
A Soffy não indicou legista ou apresentou resguardo em nenhuma das 13 ações localizadas pela reportagem. A empresa também não tem funcionários celetistas.
COMO ACONTECEU
A polícia diz que o funcionário da C&M Software João Nazareno Roque, 48, afirmou ter sido cooptado em março e ter conversado com ao menos quatro pessoas diferentes, que não se identificaram. De concordância com o solicitador, ele afirma ter se encontrado pessoalmente com exclusivamente um deles, em um bar, em Pirituba, na zona setentrião da capital paulista.
Segundo o solicitador responsável pela investigação, Renato Topan, o funcionário estagnado era técnico em informática da C&M Software, tem renda declarada de R$ 2.500 e mora no conjunto habitacional City Jaraguá, em Pirituba. “Mal se deu mandado de procura e mortificação, foram apreendidos celulares, computadores, uma agenda com scripts, mas não havia indicativo de criptoativo”, afirma.
Ainda de concordância com Topan, o CEO da BMP, Carlos Benitez, foi alertado de uma grande transação às 4h de segunda. As transferências fraudulentas continuaram até as 7h. A BMP foi a única empresa afetada que registrou boletim de ocorrência.
A Smartpay, fintech que integra o sistema Pix à compra de criptomoedas e também ajudou a identificar o golpe, diz que as movimentações suspeitas na segunda-feira começaram 0h18.
De concordância com o fundador dessa fintech, Rocelo Lopes, os invasores tentaram comprar criptoativos de diversas fontes, incluindo a Smartpay.
Ao notar uma explosão de fenda de contas em sua fintech e uma demanda supra do normal por USDT, uma criptomoeda que usa o dólar porquê âncora de preço, e bitcoins, Rocelo decidiu bloquear movimentações ainda na madrugada de segunda-feira, quando aconteceu o ataque.
A polícia diz que a C&M Software, segundo o que foi delicado até o momento, não pode ser acusada criminalmente pelo incidente cibernético.
Em nota, a C&M Software afirma que “segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025”.
