A quadrilha cibernética responsável pelo maior ataque hacker já registrado no país, depois acessar uma conta mantida pelo banco BMP no BC (Banco Mediano), enviou os R$ 541 milhões desviados dessa empresa em mais de 100 transferências para 29 diferentes instituições financeiras, de conciliação com tábua presente no sindicância da Polícia Social de São Paulo.
Segmento das empresas na lista, que inclui bancos tradicionais e instituições de pagamento conhecidas do público, já estornou o numerário por meio do sistema de restituição do Pix (Med), meio de pagamento pelo qual todas as transferências foram feitas. As instituições que seguiram o protocolo antifraude do Banco Mediano não serão investigadas.
De conciliação com a Polícia Social, as autoridades também bloquearam R$ 271 milhões que saíram da conta da BMP com direcção a uma única instituição financeira. O mandado da Justiça de São Paulo é contra a Soffy, que recebeu 69 das 166 transferências realizadas durante o golpe.
Desde sábado (5), a Soffy não responde às tentativas de contato da reportagem.
O Banco Mediano já suspendeu por até 60 dias seis instituições de pagamento, incluindo a Soffy, para averiguar violações às normas do Pix. Segundo a solução interna, a domínio monetária pode “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do maquinação de pagamentos.”
Em entrevista ao site especializado Neofeed, o CEO e fundador da BMP, Carlos Benitez, diz que já conseguiu restaurar R$ 160 milhões dos valores desviados —a empresa disse que não citaria valores à Folha. Antes do incidente cibernético, a BMP tinha liquidez por volta de R$ 600 milhões (numerário à disposição para atender a pedidos de saque).
Em nota, a empresa diz que nenhum cliente foi impactado pelo ataque. “A instituição conta com colaterais suficientes para ocultar integralmente o valor impactado, sem prejuízo para a sua operação.”
A companhia atua porquê um bank as a service, um padrão de negócio em que bancos licenciados disponibilizam sua infraestrutura bancária para outras fintechs que se encarregam unicamente do marketing e da tecnologia.
Carlos Benitez recebeu o alerta de um proprietário de outro banco às 4h de segunda-feira (30) sobre transações suspeitas, por desculpa de um Pix de R$ 18 milhões que saiu da conta de sua instituição.
Às 7h, a equipe da BMP conseguiu interromper a sequência de transações iniciadas às 2h de segunda. Na sequência, o banco montou uma sala de guerra para confirmar se houve fraude e dimensionar o tamanho do prejuízo.
Os criminosos acessaram a conta reservas financeiras da BMP por meio de um ataque à empresa C&M Software, que, entre outros serviços de tecnologia, opera o sistema Pix em nome de bancos e instituições de pagamento.
De conciliação com a investigação da Polícia Social, a quadrilha pagou R$ 15 milénio a um técnico de informática da empresa, que vendeu seu login e senha, além de ter executado, nos sistemas da C&M, códigos de programação repassados pelos invasores.
Até agora, unicamente um ex-funcionário, João Nazareno Roque, foi recluso —segundo a polícia, ele apontou a participação de ao menos quatro homens ainda não identificados. Um legisperito se voluntariou para proteger Roque na sexta-feira (4), mas a reportagem ainda não conseguiu localizá-lo.
Durante coletiva de prelo realizada na sexta, porta-vozes da Polícia Social disseram que o foco da operação deflagrada na quinta-feira (3) era prender Roque. Por isso, ainda não houve tempo para examinar em detalhes as movimentações financeiras feitas durante o incidente cibernético.
Segundo reportagem da Folha, o ataque cibernético desviou murado de R$ 1 bilhão das contas reservas financeiras de 8 dos 23 clientes da C&M Software. Trata-se de contas de repositório mantidas no Banco Mediano para liquidar pagamentos entre instituições financeiras e porquê garantia em caso de débito. Porém unicamente a BMP registrou boletim de ocorrência, de conciliação com a Polícia Social paulista.
O Banco Mediano diz que não tem ingerência sobre as contas afetadas e que sua infraestrutura não sofreu efeitos da invasão.
A polícia diz que a C&M Software, segundo o que foi delicado até o momento, não pode ser acusada criminalmente pelo incidente cibernético.
Em nota, a C&M Software afirma que “segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em junho de 2025”.
