A Apura produziu um relatório detalhado sobre o caso, que inclui uma linha do tempo com uma visão cronológica dos fatos, que vou reproduzir parcialmente aqui:
- Março de 2025: Um funcionário da C&M Software, trabalhando como Desenvolvedor Back-end Jr, é abordado em um bar em São Paulo e recebe R$ 5 mil em dinheiro para fornecer sua credencial de acesso ao criminoso.
- Maio de 2025: Através de notas compartilhadas pelo aplicativo Notion, o funcionário da C&M recebe instruções do grupo criminoso para inserir comandos nos sistemas da empresa para permitir o acesso dos criminosos, em troca de um pagamento extra de R$ 10 mil.
- Maio de 2025: A Soffy Soluções de Pagamentos, para onde foram transferidos 270 milhões desviados da BMP, recebe homologação para atuar como gateway de pagamentos e participante indireto do Pix.
- 11/06/2025: Aberta a empresa Monexa Gateway de Pagamentos, que recebeu cinco transferências durante a invasão da C&M, no total de R$ 45 milhões.
- 30/06/2025, 00:18 (Hora de Brasília) — As plataformas da SmartPay e Truther identificaram um movimento atípico de compra de criptomoedas.
- 30/06/2025, 02:03 (Hora de Brasília) — Primeiras transações fraudulentas começam a desviar dinheiro da Conta Reserva da BMP.
- 30/06/2025, 04:00 (Hora de Brasília) — O Piloto de Reserva da BMP é notificado, por um executivo de outro banco, sobre o recebimento de um PIX de R$18 milhões realizado naquele momento. A partir deste evento, a BMP toma conhecimento da realização de algumas transações PIX não autorizadas.
- 30/06/2025, 05:00 (Hora de Brasília) — O piloto de reserva da BMP aciona a C&M Software para comunicar sobre as transações indevidas.
- 30/06/2025, 07:04 (Hora de Brasília) — A equipe da BMP consegue interromper a sequência de transações fraudulentas.
- 30/06/2025 — Como medida preventiva, a C&M é desconectada temporariamente do Sistema de Pagamentos Brasileiro (SPB) pelo Banco Central.
- 01/07/2025 — O portal Brazil Journal é o primeiro veículo da mídia a noticiar o incidente.
- 02/07/2025 — A BMP publica uma nota oficial em seu site sobre o incidente.
- 02/07/2025 — A Polícia Federal foi acionada e abriu inquérito.
- 03/07/2025, 09:59 — O Banco Central anuncia a retomada parcial das operações da C&M Software.
- 03/07/2025 — O Banco Central anuncia a suspensão de três fintechs que receberam parte dos recursos desviados do BMP: Transfeera, Nuoro Pay e Soffy. A Justiça bloqueia as contas da Soffy.
- 03/07/2025 — A Polícia Civil de São Paulo prende um funcionário da C&M Software, João Nazareno Roque, suspeito de ter vendido suas credenciais de acesso para o grupo criminoso.
- 04/07/2025 — O Banco Central suspende o acesso ao sistema Pix de mais três instituições de pagamento, de forma cautelar, sob suspeita de terem recebido recursos desviados da intermediadora C&M Software: Voluti Gestão Financeira, Brasil Cash e S3 Bank.
- 07/07/2025 — O Banco Central suspendeu do Pix mais uma instituição, a cooperativa de crédito Creditag. Com ela, já são sete fintechs suspensas por conexão ao desvio de recursos do BMP.
- 11/07/2025 — A Justiça decreta a prisão preventiva de João Nazareno Roque.
- 15/07/2025 — A Polícia Federal e o Ministério Público de São Paulo (MPSP) deflagram a operação Magna Fraus em Goiás e Pará, prendendo um casal suspeito por lavagem de dinheiro e recuperando R$ 5,5 milhões em criptoativos.
- 22/07/2025 — A PF prende em flagrante o assessor parlamentar Jackson Renei Aquino de Souza, de Roraima, por ter recebido R$ 700 mil frutos do golpe na C&M Software.
- 10/08/2025 — Uma reportagem da Folha revela o nome de três instituições financeiras que também foram vítimas do desvio de fundos através da C&M Software: Banco Industrial do Brasil, CorpX Bank e a cooperativa de crédito rural CrediAliança.
É evidente que um golpe desse porte necessita de meses de preparação, que começaram antes de março desse ano. Ou seja, os criminosos tiveram pelo menos 4 meses para planejarem a invasão da C&M Software.
Fontes:
- Relatório da Apura: Ataque Bilionário ao Sistema Financeiro Brasileiro
- Veja o post com a linha do tempo criada pela Apura.
- Aqui no blog: O maior crime cibernético da história do Brasil (com memes)
PS: Post atualizado em 18/08/2025.
Nenhum comentário:
Postar um comentário