[Segurança] Linha do tempo do ataque bilionário ao setor financeiro

O assunto do ano é, sem dúvida, o incidente bilionário que atingiu o coração do sistema financeiro brasileiro no início do mês. Agora que as coisas estão acalmando e a galera tem diminuído o volume de especulações, fofocas e notícias sérias sobre o assunto, podemos parar para compartilhar uma linha do tempo do ataque à C&M Software e ao sistema financeiro.

A Apura produziu um relatório detalhado sobre o caso, que inclui uma linha do tempo com uma visão cronológica dos fatos, que vou reproduzir parcialmente aqui:

• Março de 2025: Um funcionário da C&M Software, trabalhando como Desenvolvedor Back-end Jr, é abordado em um bar em São Paulo e recebe R$ 5 mil em dinheiro para fornecer sua credencial de acesso ao criminoso.

• Maio de 2025: Através de notas compartilhadas pelo aplicativo Notion, o funcionário da C&M recebe instruções do grupo criminoso para inserir comandos nos sistemas da empresa para permitir o acesso dos criminosos, em troca de um pagamento extra de R$ 10 mil.
• Maio de 2025: A Soffy Soluções de Pagamentos, para onde foram transferidos 270 milhões desviados da BMP, recebe homologação para atuar como gateway de pagamentos e participante indireto do Pix.
• 11/06/2025: Aberta a empresa Monexa Gateway de Pagamentos, que recebeu cinco transferências durante a invasão da C&M, no total de R$ 45 milhões.
• 30/06/2025, 00:18 (Hora de Brasília) — As plataformas da SmartPay e Truther identificaram um movimento atípico de compra de criptomoedas.
• 30/06/2025, 02:03 (Hora de Brasília) — Primeiras transações fraudulentas começam a desviar dinheiro da Conta Reserva da BMP.
• 30/06/2025, 04:00 (Hora de Brasília) — O Piloto de Reserva da BMP é notificado, por um executivo de outro banco, sobre o recebimento de um PIX de R$18 milhões realizado naquele momento. A partir deste evento, a BMP toma conhecimento da realização de algumas transações PIX não autorizadas.
• 30/06/2025, 05:00 (Hora de Brasília) — O piloto de reserva da BMP aciona a C&M Software para comunicar sobre as transações indevidas.
• 30/06/2025, 07:04 (Hora de Brasília) — A equipe da BMP consegue interromper a sequência de transações fraudulentas.
• 30/06/2025 — Como medida preventiva, a C&M é desconectada temporariamente do Sistema de Pagamentos Brasileiro (SPB) pelo Banco Central.
• 01/07/2025 — O portal Brazil Journal é o primeiro veículo da mídia a noticiar o incidente.

• 02/07/2025 — A BMP publica uma nota oficial em seu site sobre o incidente.
• 02/07/2025 — A Polícia Federal foi acionada e abriu inquérito.
• 03/07/2025, 09:59 — O Banco Central anuncia a retomada parcial das operações da C&M Software.
• 03/07/2025 — O Banco Central anuncia a suspensão de três fintechs que receberam parte dos recursos desviados do BMP: Transfeera, Nuoro Pay e Soffy. A Justiça bloqueia as contas da Soffy.
• 03/07/2025 — A Polícia Civil de São Paulo prende um funcionário da C&M Software, João Nazareno Roque, suspeito de ter vendido suas credenciais de acesso para o grupo criminoso.
• 04/07/2025 — O Banco Central suspende o acesso ao sistema Pix de mais três instituições de pagamento, de forma cautelar, sob suspeita de terem recebido recursos desviados da intermediadora C&M Software: Voluti Gestão Financeira, Brasil Cash e S3 Bank.
• 07/07/2025 — O Banco Central suspendeu do Pix mais uma instituição, a cooperativa de crédito Creditag. Com ela, já são sete fintechs suspensas por conexão ao desvio de recursos do BMP.
• 11/07/2025 — A Justiça decreta a prisão preventiva de João Nazareno Roque.
• 15/07/2025 — A Polícia Federal e o Ministério Público de São Paulo (MPSP) deflagram a operação Magna Fraus em Goiás e Pará, prendendo um casal suspeito por lavagem de dinheiro e recuperando R$ 5,5 milhões em criptoativos.
• 22/07/2025 — A PF prende em flagrante o assessor parlamentar Jackson Renei Aquino de Souza, de Roraima, por ter recebido R$ 700 mil frutos do golpe na C&M Software.
• 10/08/2025 — Uma reportagem da Folha revela o nome de três instituições financeiras que também foram vítimas do desvio de fundos através da C&M Software: Banco Industrial do Brasil, CorpX Bank e a cooperativa de crédito rural CrediAliança.

É evidente que um golpe desse porte necessita de meses de preparação, que começaram antes de março desse ano. Ou seja, os criminosos tiveram pelo menos 4 meses para planejarem a invasão da C&M Software.

Fontes:

• Relatório da Apura: Ataque Bilionário ao Sistema Financeiro Brasileiro
• Veja o post com a linha do tempo criada pela Apura.
• Aqui no blog: O maior crime cibernético da história do Brasil (com memes)

PS: Post atualizado em 18/08/2025.