O maior ataque hacker do Brasil: R$ 500 milhões desviados e muitas perguntas sem resposta
Investigações sobre o ataque ao sistema financeiro nacional levantam dúvidas sobre segurança, fiscalização e o papel do Banco Central
Em apenas duas horas, durante a madrugada da quarta-feira (2), criminosos virtuais desviaram mais de R$ 500 milhões de reservas bancárias no que já é considerado o maior ataque hacker da história do sistema financeiro brasileiro. Uma semana após o escândalo, as autoridades ainda não conseguiram esclarecer os detalhes mais críticos do crime.
O ataque teve como alvo a fintech BMP, que atua no setor de crédito empresarial, e a C&M Software, uma empresa de tecnologia com autorização do Banco Central para operar como intermediária entre instituições bancárias e o sistema financeiro nacional, incluindo operações via Pix.
Apesar das prisões iniciais e do início das investigações, perguntas fundamentais permanecem sem resposta — incluindo o destino final do dinheiro, a extensão real dos danos e possíveis falhas de segurança do próprio Banco Central.
Qual foi o prejuízo real?
Até o momento, os valores confirmados superam os R$ 500 milhões, mas estimativas indicam que o total pode ultrapassar R$ 1 bilhão. O operador de TI João Nazareno Roque, preso por envolvimento no golpe, teria ouvido de comparsas que a cifra poderia ser ainda maior. O valor oficial só será divulgado ao fim da apuração pela Polícia Federal.
Quantos bancos foram atingidos?
Inicialmente, a BMP reportou movimentações suspeitas ao Banco Central, revelando o ataque. Contudo, ao menos seis das nove empresas autorizadas pelo BC como intermediárias também foram afetadas, embora seus nomes ainda não tenham sido divulgados.
Para onde foi o dinheiro?
As investigações indicam que R$ 270 milhões foram canalizados para a fintech Sofi, onde os criminosos tentaram converter os valores em criptomoedas. A Sofi, que surgiu como Banco Agios e já trocou de donos diversas vezes, é alvo de centenas de reclamações e carece de estrutura para movimentar somas tão altas.
Apesar de parte do valor estar sendo recuperada, grande parte do montante ainda está desaparecida, e o caminho completo do dinheiro permanece desconhecido.
Por que um operador de TI recebeu apenas R$ 15 mil?
João Nazareno Roque, programador júnior da C&M, confessou que vendeu sua credencial por apenas R$ 15 mil — valor irrisório frente aos milhões desviados. Especialistas consideram a quantia suspeita e incompatível com o tamanho da fraude, sugerindo que Roque pode estar escondendo o real benefício que obteve.
Quantas pessoas estão envolvidas?
A Polícia Federal já identificou uma cadeia complexa de empresas e indivíduos envolvidos, configurando uma organização criminosa sofisticada. Há evidências de que pelo menos dez empresas participaram do esquema de lavagem de dinheiro e conversão dos valores desviados.
Como um funcionário tinha tanto acesso?
Uma das falhas mais graves reveladas até agora é a permissão dada a um funcionário de baixo escalão para acessar sistemas críticos. Com sua senha, João Roque não apenas abriu as portas aos criminosos, mas também instalou códigos maliciosos nas máquinas da C&M, facilitando o desvio de valores milionários.
O básico da cibersegurança foi ignorado?
As transações não foram interrompidas automaticamente, mesmo sendo incomuns. Isso levanta questionamentos sobre a falta de verificação em dois fatores, autenticação biométrica e assinaturas múltiplas para transações de grande porte. Especialistas consideram a falha “assustadora” e incompatível com padrões internacionais de segurança.
As regras do Banco Central são suficientes?
O Banco Central tem normativas para segurança cibernética, mas ainda não está claro se elas são suficientes para lidar com ameaças modernas, como ataques baseados em inteligência artificial. A descoberta do golpe partiu de um cliente, e não de um sistema de alerta do BC, o que sugere falhas graves de supervisão e auditoria.
Com um ecossistema cada vez mais dependente de intermediários tecnológicos, o caso exige uma revisão profunda da regulamentação e da fiscalização exercida sobre empresas como a C&M.
Com informações de G1 [PTG-AOI-20250708-1821-4OT]