Parte das empresas na lista, que inclui bancos tradicionais e instituições de pagamento conhecidas do público, já estornou o dinheiro por meio do sistema de devolução do Pix (Med), meio de pagamento pelo qual todas as transferências foram feitas. As instituições que seguiram o protocolo antifraude do Banco Central não serão investigadas.
De acordo com a Polícia Civil, as autoridades também bloquearam R$ 271 milhões que saíram da conta da BMP com destino a uma única instituição financeira. O mandado da Justiça de São Paulo é contra a Soffy, que recebeu 69 das 166 transferências realizadas durante o golpe.
Desde sábado (5), a Soffy não responde às tentativas de contato da reportagem.
O Banco Central já suspendeu por até 60 dias seis instituições de pagamento, incluindo a Soffy, para averiguar violações às normas do Pix. Segundo a resolução interna, a autoridade monetária pode “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos.”
Em entrevista ao site especializado Neofeed, o CEO e fundador da BMP, Carlos Benitez, diz que já conseguiu recuperar R$ 160 milhões dos valores desviados -a empresa disse que não citaria valores à Folha. Antes do incidente cibernético, a BMP tinha liquidez por volta de R$ 600 milhões (dinheiro à disposição para atender a pedidos de saque).
Em nota, a empresa diz que nenhum cliente foi impactado pelo ataque. “A instituição conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo para a sua operação.”
A companhia atua como um bank as a service, um modelo de negócio em que bancos licenciados disponibilizam sua infraestrutura bancária para outras fintechs que se encarregam apenas do marketing e da tecnologia.
Carlos Benitez recebeu o alerta de um dono de outro banco às 4h de segunda-feira (30) sobre transações suspeitas, por causa de um Pix de R$ 18 milhões que saiu da conta de sua instituição.
Às 7h, a equipe da BMP conseguiu interromper a sequência de transações iniciadas às 2h de segunda. Na sequência, o banco montou uma sala de guerra para confirmar se houve fraude e dimensionar o tamanho do prejuízo.
Os criminosos acessaram a conta reservas financeiras da BMP por meio de um ataque à empresa C&M Software, que, entre outros serviços de tecnologia, opera o sistema Pix em nome de bancos e instituições de pagamento.
De acordo com a investigação da Polícia Civil, a quadrilha pagou R$ 15 mil a um técnico de informática da empresa, que vendeu seu login e senha, além de ter executado, nos sistemas da C&M, códigos de programação repassados pelos invasores.
Até agora, apenas um ex-funcionário, João Nazareno Roque, foi preso -segundo a polícia, ele apontou a participação de ao menos quatro homens ainda não identificados. Um advogado se voluntariou para defender Roque na sexta-feira (4), mas a reportagem ainda não conseguiu localizá-lo.
Durante coletiva de imprensa realizada na sexta, porta-vozes da Polícia Civil disseram que o foco da operação deflagrada na quinta-feira (3) era prender Roque. Por isso, ainda não houve tempo para analisar em detalhes as movimentações financeiras feitas durante o incidente cibernético.
Segundo reportagem da Folha, o ataque cibernético desviou cerca de R$ 1 bilhão das contas reservas financeiras de 8 dos 23 clientes da C&M Software. Trata-se de contas de depósito mantidas no Banco Central para liquidar pagamentos entre instituições financeiras e como garantia em caso de débito. Porém apenas a BMP registrou boletim de ocorrência, de acordo com a Polícia Civil paulista.
O Banco Central diz que não tem ingerência sobre as contas afetadas e que sua infraestrutura não sofreu efeitos da invasão.
A polícia diz que a C&M Software, segundo o que foi apurado até o momento, não pode ser acusada criminalmente pelo incidente cibernético.
Em nota, a C&M Software afirma que “segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em junho de 2025”.
