Maior ataque hacker da história do Brasil abala sistema financeiro
O Ministério Público do Estado de São Paulo está movendo uma ação na Justiça paulista argumentando que o ataque cibernético contra a C&M Software em junho comprometeu gravemente a segurança do sistema econômico-financeiro e do ambiente cibernético nacional. O prejuízo causado pelo golpe atingiu a impressionante marca de R$ 813,79 milhões, conforme consta nos autos do processo.
Como ocorreu a fraude
Os criminosos exploraram uma vulnerabilidade na comunicação com o Banco Central para movimentar contas de oito instituições financeiras mantidas junto à autoridade monetária. Eles invadiram os sistemas da C&M Software, empresa contratada especificamente para enviar ao BC os pedidos de movimentação via Pix.
Um relatório do Banco Central revela que foram realizadas mais de 400 transações via Pix, com valores individuais chegando a R$ 10 milhões cada. As autoridades investigam os crimes de furto mediante fraude cibernética, lavagem de dinheiro e formação de quadrilha.
Operação policial e prisões
Até o momento, a Polícia Federal já executou 23 mandados de prisão, enquanto seis pessoas continuam foragidas. O juiz responsável pelo caso classificou o incidente como o maior ataque cibernético da história do país.
Na denúncia contra três dos 29 suspeitos, os promotores demonstram que os criminosos planejaram executar a fraude na madrugada do dia 30 de junho, uma segunda-feira, especificamente para burlar os sistemas de segurança do Pix. Em conversas via WhatsApp, os investigados discutiam a necessidade de agir rapidamente, aproveitando o período de menor movimentação.
Os principais envolvidos
Segundo as investigações, o jogador de poker Ítalo Jordi Santos Pireneus, conhecido pelo apelido Breu, é apontado como suspeito de articular o crime. Breu cumpria pena em liberdade condicional por outra denúncia de estelionato quando teria planejado o ataque.
Patrick Zanquetim de Morais, estudante de medicina que atuava como corretor de criptomoedas, estaria encarregado de burlar o mecanismo de devolução do Pix e garantir que o dinheiro chegasse aos suspeitos. Ambos encontram-se atualmente em prisão preventiva.
Falhas na segurança
A quadrilha realizou os furtos entre 0h e 7h do dia 30 de junho. O Banco Central foi informado do ataque na manhã do mesmo dia, através de comunicado da C&M Software. A autoridade monetária enfrenta dificuldades para monitorar o Pix 24 horas por dia, pois está proibida de pagar horas extras e adicional noturno.
A C&M Software informou ao Ministério Público que identificou movimentações suspeitas via Pix por volta das 4h30 e decidiu desligar o sistema após não conseguir interrompê-las. A empresa explicou que os criminosos criaram um sistema espelhado fraudulento que enviava ordens diretamente ao Banco Central, utilizando certificados de clientes legítimos.
Rastreamento do dinheiro
As investigações revelaram que a quadrilha começou a enviar criptomoedas às 7h29 do dia 30 de junho. Eram USDTs, criptoativos com valor ancorado no dólar. Zanquetim iniciou então um processo para ocultar a origem dos USDTs e convertê-los em bitcoins.
De acordo com a denúncia do MP, US$ 37,7 milhões (cerca de R$ 205 milhões) do dinheiro desviado chegaram a carteiras pertencentes a Zanquetim e sua noiva, Nilla Vitória Ribeiro Campos. Outros US$ 6,5 milhões foram parar em uma carteira controlada por Gabriel Bernardes de Faria, sócio de Zanquetim segundo as investigações.
Consequências e pedidos de indenização
O Ministério Público argumenta que o dano à confiabilidade do Sistema Financeiro Nacional justifica o pagamento de uma indenização coletiva. O órgão pede que três dos envolvidos paguem uma indenização de R$ 207 milhões pela tentativa de lavagem de dinheiro.
Breu foi preso na Espanha durante a segunda fase da Operação Magna Fraus, deflagrada em 30 de outubro. O inquérito ainda não esclareceu o que aconteceu com o restante do valor desviado, que totaliza R$ 813,79 milhões.
O caso evidencia vulnerabilidades críticas no sistema financeiro brasileiro, especialmente considerando que o Pix movimentou apenas em outubro R$ 3,3 trilhões, volume equivalente a cerca de um terço do PIB brasileiro.
