A Polícia Civil de São Paulo João Roque, de 48 anos, acusado de colaborar com o maior ataque hacker já registrado contra a infraestrutura do Pix, sistema de transferências instantâneas do Banco Central.
Funcionário da empresa C&M Software, que atua como ponte tecnológica entre instituições financeiras menores e os sistemas do BC, ele teria fornecido credenciais de acesso interno que permitiram o desvio de R$ 541 milhões da BMP Instituição de Pagamentos S/A.
João foi detido em sua residência no bairro City Jaraguá, na zona norte da capital paulista. Segundo a investigação conduzida pelo Departamento Estadual de Investigações Criminais (Deic), ele confessou ter cedido login e senha corporativos a um grupo criminoso, além de executar comandos remotos no sistema, a partir de instruções recebidas online.
De acordo com seu relato, o primeiro contato com os golpistas ocorreu em março deste ano, quando foi abordado na rua por um homem que demonstrava saber detalhes sobre sua rotina profissional.
Dias depois, recebeu uma ligação com uma oferta direta: R$ 5 mil em troca do fornecimento das credenciais. O pagamento foi feito via motoboy, que também recolheu os dados de acesso.
Em uma segunda etapa, João recebeu mais R$ 10 mil, novamente em dinheiro, por continuar operando o sistema sob ordens dos hackers — instruções que eram passadas por meio da plataforma Notion.
O ataque, que impactou pelo menos seis instituições financeiras, causou forte repercussão no mercado no dia anterior à prisão. Segundo as autoridades, a atuação de João foi essencial para que os cibercriminosos tivessem acesso direto aos sistemas da BMP, instituição conectada à C&M, empresa onde ele trabalhava como operador de TI.
Apesar da gravidade, João não possuía formação técnica avançada na área. Em seu perfil no LinkedIn, ele descrevia experiência como eletricista e técnico de instalação de TV a cabo, além de mencionar uma “pequena experiência com tecnologia” e o início tardio, aos 42 anos, de um curso na área de Tecnologia da Informação.
A C&M Software, em nota, afirmou estar colaborando com as investigações e ressaltou que o incidente não foi causado por falhas em seus sistemas, mas sim por engenharia social — técnica que envolve o convencimento de pessoas para obtenção de informações confidenciais.
“Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente”, destacou o comunicado.
A empresa afirmou ainda que as medidas técnicas e legais foram adotadas imediatamente após a detecção da atividade suspeita, e que o sistema passou a operar sob monitoramento rigoroso.
A detenção de João Nazareno representa o primeiro avanço concreto na identificação dos envolvidos no ataque, mas as investigações continuam para apurar a extensão completa do golpe e localizar os demais participantes. (Foto: polícia; Fonte: G1)
