Depois de 40 dias do maior ataque cibernético já registrado na história do país, com prejuízo estimado na casa de R$ 1 bilhão, a principal vítima afirma ter recuperado metade dos R$ 541 milhões que perdeu. Cerca de R$ 270 milhões foram localizados, disse a instituição financeira BMP Moneyplus.
O Banco Central trabalha para organizar a repatriação do dinheiro desviado. Como as empresas vitimadas no incidente foram desligadas do sistema Pix, não foi possível recorrer ao mecanismo de devolução tradicional. Por isso, é preciso realizar checagens contábeis e parte do dinheiro está sob custódia das autoridades responsáveis pela investigação.
O rastreamento das quantias extraviadas pelos criminosos está sob responsabilidade de operação coordenada entre o Ministério Público e a Polícia Federal, com informações fornecidas pelo BC e por empresas de criptoativos.
Além disso, corre em paralelo uma investigação da Polícia Civil de São Paulo, aberta a partir do boletim de ocorrência registrado pela BMP.
As autoridades trabalham para seguir o caminho do dinheiro, que foi disperso entre contas de laranjas e criptomoedas. Esse rastreamento é possível porque o sistema Pix registra todas as transações, permitindo que sejam auditadas, além da cooperação de empresas de criptoativos.
O ataque cibernético explorou uma série de falhas que deram brecha para que os criminosos movimentassem contas de ao menos seis clientes da provedora serviços de tecnologia da informação (PSTI) C&M Software. Um funcionário da PSTI foi cooptado pela quadrilha, intermediou as transferências, e agora está preso.
Em nota, a C&M Software diz que as evidências apontam que o incidente decorreu de táticas para enganar funcionários de forma a induzir o compartilhamento indevido de credenciais de acesso, não de falhas nos sistemas ou na tecnologia da empresa. O BC permitiu que a C&M voltasse a prestar serviços ainda em 3 de julho.
Além da BMP, relatório da Polícia Federal mostra que o Banco Industrial do Brasil e a cooperativa de crédito rural CrediAliança também tiveram valores desviados. O CorpX Bank também registrou queixa junto à polícia paulista. Ainda não há informações sobre as outras duas vítimas.
O que descobriu a Polícia Civil de São Paulo:
Em um primeiro momento, a quadrilha enviou os R$ 541 milhões desviados da BMP em mais de cem contas de 29 diferentes instituições financeiras, de acordo com tabela presente no inquérito da Polícia Civil de São Paulo.
Dessas empresas, oito disseram à Folha que bloquearam valores recebidos e comunicaram o Banco Central.
Os principais destinos foram:
- Soffy: recebeu mais de R$ 271 milhões em uma conta que, segundo a empresa, pertencia a um cliente parceiro não identificado
- Transfeera: recebeu mais de R$ 89 milhões em 22 transferências
- Monexa (empresa criada 19 dias antes do golpe): recebeu R$ 45 milhões em cinco transferências na madrugada
- Nuoro Pay (mantinha conta da Monexa): bloqueou 390 transações suspeitas de R$ 25 mil vindas da Transfeera e Soffy
Segundo o CEO da Nuoro Pay, Ricardo Sinval, a sua instituição financeira, que atendia a conta da Monexa e trabalha principalmente com sites de apostas, não bloqueou inicialmente os Pix da BMP por se tratar de uma grande instituição financeira. Contudo, a empresa bloqueou 390 transações suspeitas de R$ 25 mil vindas da Transfeera e Soffy.
A única sócia da Monexa, que tem sede no interior do Paraná, é uma vendedora de 24 anos —as autoridades apuram se ela era laranja ou tinha intenção de participar. A empresa não atendeu às ligações ao telefone registrado em sua certidão.
Ainda de acordo com Sinval, a Nuoro Pay respeitou as normas do Banco Central ao criar uma conta para a Monexa.
A Soffy foi alvo de mandado de bloqueio de valores da Justiça paulista, depois que contas na instituição receberam mais de R$ 271 milhões.
O Fantástico, da TV Globo, revelou que uma das contas estava no nome da empresária Vanessa Rittaco, que disse nunca ter se cadastrado na instituição. Uma conta em nome dela recebeu cinco transferências de R$ 5 milhões. À Folha a empresária disse que não tinha mais informações para compartilhar.
A Soffy é alvo de ao menos 77 ações na Justiça Paulista. Parte dos autos, aos quais a reportagem teve acesso, eram justamente reclamações de contas laranjas abertas sem a anuência dos titulares. A empresa não respondeu à pergunta da Folha sobre essas ações.
A Transfeera afirma que o assunto está sob investigação das autoridades competentes. “Por esse motivo, qualquer manifestação neste momento poderia interferir no andamento das apurações.”
As três instituições de pagamento tiveram suas integrações ao Sistema Pix suspensas pelo Banco Central.
O que descobriu a Polícia Federal em Roraima:
Sob coordenação do Ministério Público de São Paulo e com informações do BC, a Polícia Federal rastreou uma cadeia de lavagem de dinheiro usada pelos autores do ataque cibernético. O esquema foi revelado pela Rede Amazônica, emissora da TV Globo neste estado, e confirmado pela Folha.
Veja como foi:
- Esther Assets (gestora de fundos com sede em Contagem-MG): recebeu R$ 11 milhões do dinheiro desviado e enviou quantias para fintech Sis Pagamentos
- R$ 1 milhão via conta na Transfeera
- R$ 10 milhões via conta na Creditag
- Rich Beauty (distribuidora de cosméticos com sede em Brasília): recebeu R$ 1 milhão e transferiu R$ 565 mil para o Bank Ben
- Sis Pagamentos e Bank Ben: repassaram R$ 2,45 milhões para a conta poupança de Jackson Renei Aquino de Souza (assessor parlamentar em Roraima)
- Souza: sacou R$ 1 milhão em dinheiro vivo e foi preso com R$ 700 mil em espécie
Procurada, a defesa de Souza disse que não se manifesta publicamente sobre nenhum caso. Em depoimento às autoridades, o assessor parlamentar afirmou que não sabia da origem dos valores, que foram recebidos para comprar um imóvel em nome de um terceiro.
A Creditag não respondeu à reportagem se conseguiu bloquear valores que estiveram sob sua custódia.
CRIMINOSOS TAMBÉM COMPRARAM CRIPTOMOEDAS
Outra parte do dinheiro desviado foi convertida em criptomoedas. O dia 30 de junho, quando aconteceu o ataque cibernético à C&M Software, registrou o maior volume de transações em criptomoedas daquele mês —R$ 733,5 milhões em bitcoins e R$ 158,8 milhões em USDT, uma criptomoeda cujo valor fica ancorado no dólar, segundo a plataforma Biscoint que estima os valores a partir da movimentação nas principais corretoras.
A Smartpay, fintech que integra o sistema Pix à compra de criptomoedas e também ajudou a identificar o golpe, diz que as movimentações suspeitas na segunda-feira começaram 0h18 —horário também citado na investigação da Polícia Federal.
De acordo com o fundador da Smartpay, Rocelo Lopes, os invasores tentaram adquirir criptoativos de diversas fontes. Ao notar uma explosão de abertura de contas em sua fintech e uma demanda acima do normal por USDT e bitcoins, Rocelo decidiu bloquear movimentações ainda na madrugada de segunda-feira, quando aconteceu o ataque.
A Smartpay atua por meio da sociedade de crédito Voluti, que recebeu R$ 13 milhões em transferências Pix advindas da conta da BMP. Em nota, a Voluti disse ter bloqueado as contas e valores suspeitos que ainda tinham saldo relevante, comunicado os órgãos competentes e devolvido as quantias por meio do mecanismo de devolução do Pix.
Em 15 de julho, o Ministério Público de São Paulo e a Polícia Federal divulgaram a recuperação de R$ 5,5 milhões em criptoativos, após cumprimento de dois mandados de prisão temporária e cinco mandados de busca e apreensão nos estados de Goiás e Pará.
A chave privada de acesso às criptomoedas foi localizada em um dos endereços, permitindo que as autoridades recuperassem o dinheiro.
A Tether, empresa que emite a criptomoeda USDT, colaborou fornecendo informações sobre as transações às autoridades brasileiras.
QUEM ESTÁ PRESO
A Justiça de São Paulo decretou a prisão preventiva de João Nazareno Roque, 48, investigado pelo ataque hacker à empresa de software C&M, no dia 11 de julho.
De acordo com o advogado de Roque, Jonas Reis, seu cliente continua sob detenção. “Estamos no aguardo de um pedido de liberdade”, afirmou. Reis afirma que seu cliente também foi vítima da quadrilha que o aliciou.
O técnico de TI está preso desde o dia 3 de julho, sob acusação de participação no ataque cibernético que causou prejuízo de cerca de R$ 1 bilhão a instituições financeiras clientes da C&M.
À polícia, Roque afirmou ter sido cooptado em março por um homem, não identificado, que o encontrou em um bar, em Pirituba, na zona norte da capital paulista. Ele também manteve contato telefônico com outros três suspeitos de participação no crime, mas as autoridades ainda não divulgaram suas identidades.
A Polícia Federal também prendeu em flagrante o assessor parlamentar Jackson Renei Aquino de Souza, com R$ 700 mil em dinheiro vivo.
VEJA A CRONOLOGIA DA INVESTIGAÇÃO
30 de junho: Criminosos acessam contas de clientes da C&M Software mantidas junto ao sistema Pix e desviam cerca de R$ 1 bilhão
1º de julho: Instituições financeiras informam Banco Central do ocorrido
2 de julho: Polícia Federal foi acionada e abriu inquérito
3 de julho: Polícia Civil de São Paulo deflagra operação e prende João Nazareno Roque; Justiça bloqueia contas da Soffy; Banco Central suspende integração ao Pix de três instituições financeiras
4 de julho: Banco Central suspende integração ao Pix de mais três instituições financeiras
11 de julho: Justiça decreta prisão preventiva de João Nazareno Roque
15 de julho: PF e MPSP deflagram operação Magna Fraus em Goiás e Pará, recuperando R$ 5,5 milhões em criptoativos
22 de julho: PF prende em flagrante o assessor parlamentar Jackson Renei Aquino de Souza
23 de julho: Justiça decreta prisão preventiva do assessor parlamentar
