A Polícia Civil de São Paulo prendeu, nesta quinta-feira (3), um homem envolvido no golpe que desviou milhões do sistema de pagamentos de instituições financeiras, por meio do Pix. O homem preso chama-se João Nazareno Roque, funcionário da C&M Softwares. Segundo a Polícia paulista, trata-se do maior golpe digital sofrido por instituições financeiras no país.
Inicialmente, a suspeita era de que se tratava de um ataque hacker, mas na realidade foi um golpe facilitado por um funcionário da C&M Softwares, uma empresa que faz a integração do sistema de pagamentos Pix com instituições financeiras menores, que não têm acesso direto aos sistemas do Pix.
O caso ocorreu na madrugada da última segunda-feira (30), por volta das 4h da manhã, e chegou ao conhecimento da polícia após a BMP Instituição de Pagamento S/A registrar um boletim de ocorrência. A BMP era uma das clientes da C&M e, até o momento, a única que registrou ter sido afetada pelo golpe.
Tudo começou em março, quando João Roque, funcionário da C&M Softwares, foi abordado na rua em março por um homem que sabia onde ele trabalhava. Na abordagem, segundo o depoimento que ele deu à Polícia Civil, o homem perguntou detalhes sobre sua função na empresa e ofereceu-lhe um pagamento inicial de R$ 5 mil para que ele desse acesso, com suas credenciais, para o sistema de transferências de sua empresa. Depois, conforme o depoimento de João, ele receberia mais R$ 10 mil dos homens quando o acesso fosse executado.
Na madrugada do dia 30 de junho, João acessou o sistema da C&M com suas credenciais e começou a fazer transferências em massa da conta do BMP para outras contas. Ao todo, o valor superou os R$ 500 milhões. As transferências começaram por volta das 4h e seguiram até 7h. Renato Topam, delegado da Delegacia de Crimes Cibernéticos, explicou que o responsável financeiro do BMP foi acionado por uma outra empresa, que disse que havia recebido dinheiro por engano do banco.
— Ele disse “veio um dinheiro de vocês para nós”. Então o responsável do BMP foi até a sede da empresa, mas como foi durante a madrugada, não foi parado na hora. Essa transferência foi até 7h da manhã, a partir das 7h acabam essa transferências, aí eles (banco) tentam entender, fazem reunião para entender a dinâmica como foi a fraude — disse durante coletiva nesta sexta-feira.
João Roque foi o responsável por entrar na plataforma com suas credenciais de funcionário e executar os comandos dentro da plataforma, seguindo as orientações de quatro homens que estariam o orientando.
Em sua confissão à polícia, segundo os delegados do Departamento Estadual de Investigações Criminais (DEIC), o suspeito disse que só conversava com o grupo de quatro homens por mensagens e ligação, e que só viu um deles pessoalmente, no dia da abordagem na rua, e não sabia o nome deles.
O suspeito ainda não constituiu advogado e os responsáveis pela investigação afirmam que as diligências continuam, em conjunto com o Ministério Público e com a Polícia Federal, para encontrar os outros envolvidos no crime.
O delegado Paulo Barbosa, da Delegacia de Crimes Cibernéticos, afirmou que tratou-se de um furto fruto de “engenharia social”, um tipo de golpe em que não há invasão a um sistema digital, mas a cooptação de pessoas que têm esses dados para acessar plataformas por meio de credenciais legítimas.
— O João é um insider, é fruto de engenharia social por parte dos criminosos, eles cooptam os funcionários da empresa, esse João tem formação em TI e forneceu as credenciais, a senha, foi a primeira porta que facilitou a entrada do grupo criminoso — explicou.