Não foi preciso invadir o sistema. Bastou uma senha. O ataque que paralisou operações via Pix e afetou pelo menos seis instituições financeiras brasileiras teve como porta de entrada um acesso legítimo, cedido por um funcionário terceirizado da C&M, empresa que atua nos bastidores do Sistema de Pagamentos Brasileiro. A trama envolveu engenharia social (uso de manipulação psicológica para enganar indivíduos e convencê-los a realizar ações que comprometam a segurança, como divulgar informações proporcionar ou realizar transações financeiras fraudulentas), dinheiro em espécie e uma rede ainda em apuração.

João Nazareno Roque, 48 anos, desenvolvedor júnior, foi preso na última quinta-feira (3) após confessar ter repassado suas credenciais a criminosos em troca de R$ 15 mil. O golpe, segundo investigações, envolveu táticas de manipulação e contatos presenciais e remotos, com promessas de pagamentos por informações e execução de comandos dentro dos sistemas da empresa.

A C&M, que intermedeia transações entre instituições financeiras — incluindo operações com Pix, boletos e TEDs —, confirmou que o ataque não se tratou de uma invasão técnica, mas sim de um uso indevido de login verdadeiro. A empresa afirma que as evidências apontam para o uso de engenharia social, técnica que explora a confiança ou desatenção de indivíduos para acessar sistemas restritos.

As consequências foram imediatas. A pedido do Banco Central, as instituições ligadas à C&M foram temporariamente desconectadas da infraestrutura do SPB. Pixs suspensos, clientes sem movimentações e um rombo que, segundo apuração do Estadão, pode ultrapassar R$ 800 milhões — com estimativas do mercado chegando a R$ 1 bilhão. O BC autorizou, em caráter controlado, a retomada parcial das operações, mas o impacto permanece.

As instituições afetadas incluem BMP, Credsystem e Banco Paulista. Esta última afirmou que a falha ocorreu em um provedor terceirizado e garantiu que não houve acesso a dados sensíveis nem transações indevidas. A Credsystem, por sua vez, relatou interrupção apenas no Pix. A BMP confirmou instabilidade, já normalizada, e se declarou colaborativa nas investigações.

A prisão de Roque, realizada pela Divisão de Crimes Cibernéticos do Deic, expôs uma fragilidade recorrente no ecossistema digital: a vulnerabilidade humana. Segundo o depoimento, os hackers o procuraram fora do ambiente de trabalho, apresentando conhecimento prévio sobre sua rotina e função. A proposta inicial era de R$ 5 mil; depois, um pagamento adicional de R$ 10 mil em espécie selou a colaboração.

O caso segue sob investigação da Polícia Civil de São Paulo, com apoio da Polícia Federal e do Banco Central. Já há bloqueio judicial de R$ 270 milhões em uma das contas utilizadas na operação. A C&M afirma estar colaborando com as autoridades e contratou uma auditoria externa para reforçar sua estrutura de segurança.

Mais que um incidente isolado, o episódio acende um alerta: não basta ter sistemas blindados se o elo mais frágil continuar sendo o humano — e sua senha.