Ataque hacker: Prisão de suspeito confirma o que se imaginava; entenda como foi orquestrado o maior roubo da história do Brasil
Apesar de em muito se assemelhar a uma história de filme, o ataque — potencialmente o maior roubo já visto no país — não teve nada de tão sofisticado ou excepcional

O crime foi virtual, mas a “cana” pelo roubo é real. A Polícia Civil prendeu na noite de quinta-feira (3) um homem suspeito de envolvimento com o ataque hacker aos sistemas da C&M Software, empresa que faz a “ponte” tecnológica entre o Banco Central (BC) e outras instituições financeiras.
A confirmação da prisão ocorreu somente na manhã de hoje (4). O Departamento Estadual de Investigações Criminais (Deic) identificou o suspeito do ataque cibernético como João Nazareno Roque.
Ele trabalhava como operador terceirizado da equipe de tecnologia da C&M, empresa situada no epicentro da ação criminosa. As autoridades investigam o envolvimento de outras pessoas no assalto.
O suspeito é apontado pela Polícia como coautor do crime e responde por associação criminosa e furto qualificado mediante fraude e abuso de confiança.
- VEJA TAMBÉM: Quais são as melhores ações, fundos imobiliários, títulos de renda fixa, ativos internacionais e criptomoedas para o 2º semestre de 2025? Gigantes do mercado financeiro revelam suas apostas
Segundo informações da Polícia, João teria permitido que os hackers que realizaram o ataque acessassem o sistema sigiloso da C&M por meio de sua própria máquina.
O delegado Paulo Eduardo Barbosa, responsável pelas investigações, afirmou que ele confessou o envolvimento e que teria facilitado, por meio de “códigos maliciosos”, que outros criminosos extraíssem os valores.
Leia Também
Além da prisão do suspeito, a Polícia também anunciou o bloqueio de R$ 270 milhões de uma conta utilizada para receber os valores milionários desviados.
Em depoimento, o funcionário teria afirmado que recebeu em torno de R$ 15 mil para facilitar o ataque cibernético à C&M.
Ainda não se sabe ao certo qual o valor total levado no potencial maior roubo da história do Brasil. Uns dizem que beirou os R$ 500 milhões; outros citam cifras entre R$ 1 bilhão e R$ 3 bilhões.
Fato é: o ataque resultou no desvio de montanhas de dinheiro de contas reserva de diversas fintechs — e a maior parte desse dinheiro talvez nunca mais seja recuperada.
“É um absurdo acontecer um evento dessa magnitude”, disse Marcos Zanini, especialista em cibersegurança e CEO da Dinamo Networks, em entrevista exclusiva ao Seu Dinheiro.
E, apesar de em muito se assemelhar a uma história de filme, o ataque — potencialmente o maior assalto já visto no país — não teve nada de sofisticado ou excepcional.
Muitas informações ainda não estão claras sobre o que aconteceu, especialmente porque as investigações correm em sigilo.
No entanto, o Seu Dinheiro foi atrás de especialistas para tentar esclarecer exatamente o que aconteceu no ataque cibernético na C&M — claro, com base no que se sabe até agora. Você confere os detalhes do roubo na reportagem a seguir.
Como os hackers orquestraram o maior roubo da história do Brasil?
Em grande medida, a ação criminosa transcorreu do modo como imaginavam os especialistas ouvidos pelo Seu Dinheiro antes da prisão do suspeito.
O que aconteceu na madrugada de segunda-feira foi o desdobramento de um roubo de credenciais de clientes da C&M Software, usadas nas transações entre a empresa de soluções tecnológicas e o Banco Central.
Esses certificados roubados assinam transações no sistema de mensagens entre o Banco Central e as instituições — e as credenciais são a única forma de o BC assegurar se uma operação está sendo efetivamente requisitada pela instituição verdadeira.
O que aconteceu, então?
Segundo a Polícia, João teria sido abordado em março por um homem na rua, ao sair de um bar em São Paulo, que se dizia interessado em conhecer os sistemas, a estrutura e a metodologia da C&M.
Depois, ele teria trocado mensagens e ligações com pelo menos outras quatro pessoas envolvidas nos planos.
Meses depois, ele teria entregado a própria senha do sistema a essas pessoas, o que permitiu que os hackers entrassem no sistema e realizassem as transferências Pix.
É preciso destacar que não aconteceu uma invasão direta aos sistemas da C&M, mas sim o “uso indevido de integrações legítimas, por meio de credenciais comprometidas de terceiros”, de acordo com a empresa.
A C&M afirma que o ataque foi executado “a partir de uma simulação fraudulenta de integração”, utilizando-se de credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.
“O único jeito do Banco Central saber disso é quando o banco assina a transação com o certificado digital dele. A essência desse negócio é proteger essa chave em um lugar que ninguém possa ter acesso. Com o vazamento desses dados, o hacker consegue se comunicar com o BC como se fosse o dono do certificado”, disse Zanini, da Dinamo Networks.
Dessa forma, na madrugada de domingo para segunda-feira, o fraudador, em posse desses certificados, se comunicou com o Banco Central e começou a fazer uma série de transações Pix.
“Para o Banco Central, estava tudo certo, como se fosse o banco que estava solicitando essa transação”, disse o executivo da Dinamo.
É verdade que falar de mais de R$ 1 bilhão em dinheiro movimentado por bancos e instituições financeiras pela madrugada pode parecer estranho à primeira vista.
Mas Zanini destaca que é comum para instituições financeiras realizarem compensações fora do horário de expediente.
“Se o Banco Central pudesse fazer um mea culpa, talvez essa seria a única possível, de analisar se a transação que está sendo requisitada pelo banco está no padrão ou não. Mas é difícil, não há uma única tendência.”
Além disso, como as transações ocorreram por meio da custódia da credencial, não havia sinais evidentes de irregularidade para o BC.
Na visão do CEO da Dinamo, houve negligência por parte da C&M na proteção das credenciais dos próprios clientes.
Isso levou empresas como a BMP, que utilizava os serviços da C&M, a perderem em torno de R$ 400 milhões no ataque. Desse montante, apenas R$ 150 milhões foram recuperados até então.
“Você não vê esse tipo de problema acontecer em grandes bancos, porque possuem infraestrutura de proteção dessas chaves dentro de hardwares, com criptografia, que não permite invasão. Se você não se proteger desse jeito, fica vulnerável e essas chaves podem ser copiadas por alguém. Nesse caso, foi pura negligência da C&M”, disse o especialista.
Na leitura de Zanini, juridicamente, se for comprovado que as chaves vazaram dentro da C&M, a responsabilidade é dela — e a obrigação de arcar com o prejuízo do roubo também.
“Se eu deixei a empresa custodiando minha chave e me foi provado que minha chave vazou dentro dela e isso fez com que a fraude acontecesse, na minha leitura, a responsabilidade é dela. Me parece que a responsabilidade vai cair em cima da C&M”, disse o executivo.
Ataque sem sofisticação, mas com muita coordenação
Não se tratou de um ataque sofisticado. Na avaliação de Zanini, foi um ataque muito simples, tecnologicamente falando. “Não foi nada de missão impossível.”
“Houve um alinhamento neste ataque. Ele é muito simples, tecnologicamente falando, porque foi um ataque com posse da chave. O difícil era conseguir essa chave. O sofisticado foi montar a engenharia social e conseguir sincronizar todos os acessos que precisava até chegar a essa chave e, depois, para converter esse dinheiro”, disse o especialista.
Em um paralelo simples, seria como realizar uma transação já tendo em mãos a agência, o número de conta e a senha para sacar o dinheiro. Nada extravagante.
Por meio do suposto inside job, os hackers já tinham o caminho pronto para conseguir acessar esses arquivos de credenciais de clientes da C&M com o Banco Central.
“A partir de ter as chaves, foi um passeio de criança. Assim que esse dinheiro bateu nas contas, ele já foi para exchanges para se transformar em criptomoeda”, acrescentou.
A perspectiva é que o dinheiro desviado no roubo potencialmente foi convertido em criptomoedas e stablecoins — como o bitcoin (BTC) e a Tether (USDt) —, que possuem mais liquidez, para garantir que o fraudador conseguisse liquidar rapidamente o montante.
Na madrugada do dia 30 de junho, o CEO da SmartPay e criador da carteira de autocustódia Truther, Rocelo Lopes, detectou movimentos atípicos nas plataformas da empresa e elevou os filtros de validação nas compras de USDT e bitcoin.
“Foram mais de 30 tentativas de transações, preferimos não divulgar os valores para preservar as empresas, mas nos colocamos totalmente à disposição das autoridades e instituições para apoiar operações envolvendo criptoativos”, disse o executivo, em nota.
Segundo Lopes, essa ação rápida permitiu reter grandes somas de dinheiro e iniciar a devolução dos valores às instituições envolvidas.
Com aval do Ibama, Prio (PRIO3) dá passo importante no projeto Wahoo; BofA vê gatilho para investidores
A próxima etapa para a petroleira é a emissão de licença de instalação no poço localizado na Bacia de Campos, Espírito Santo
BR Partners (BRBI11) cruza fronteiras e leva suas ações para o mercado americano via ADRs
Estreia nos EUA será por meio de ADRs Nível II, lastreado em units
Por que um gigante de Wall Street vê oportunidade de ganho nas ações da Vale (VALE3)
O Bank of America se encontrou com executivos da mineradora e os analistas veem motivos para confiar no crescimento da empresa no médio e longo prazo
Por que as ações da Cosan (CSAN3) e Vibra (VBBR3) estão em queda nesta sexta (18)? Rumor de venda de subsidiária pode ser o motivo
Segundo o Brazil Journal, as empresas iniciaram conversas para negociar a venda de uma subsidiária que atua no setor de lubrificantes automotivos e industriais
Totvs (TOTS3) diz que ainda negocia com a Stone (STNE) a compra da Linx, mas nega busca por financiamento
Empresa rebate reportagem sobre suposta movimentação com bancos e diz que ainda não assinou contrato definitivo
Santander rebaixa recomendação para ações da B3 (B3SA3) e indica que tem opções melhores para se investir; veja quais
Relatório aponta volumes de negociação fracos, apesar do bom desempenho, e sinaliza empresas que oferecem múltiplos mais promissores no cenário atual
Petrobras (PETR4) avalia voltar ao mercado de venda de combustíveis para conter preços ao consumidor, mas há pedras no caminho
A proposta buscaria resolver a insatisfação do presidente Luiz Inácio Lula da Silva em relação ao preço dos combustíveis
Claude, inteligência artificial da Anthropic, ganha versão para o mercado financeiro
Ferramenta foi criada para aproximar IAs generativas do trabalho de analistas e gestores
Nem K-Pop, nem Golden: dólar fraco ajuda, Netflix supera previsão de resultado no 2T25 e projeta receita maior para o ano
O crescimento saudável do número de assinantes e das vendas de anúncios também apoiaram o desempenho da gigante do streaming entre abril e junho; confira os números
Lucro bilionário e liderança isolada: JP Morgan vale mais do que os três maiores concorrentes juntos
O banco norte-americano seguiu em expansão no segundo trimestre e encerrou o período com US$ 1,5 trilhão em ativos — US$ 1 trilhão à frente do segundo colocado
Engie Brasil Energia (EGIE3) levanta R$ 2,2 bilhões em estreia nas debêntures verdes
Recursos serão destinados a parques renováveis, transmissão e modernização hidrelétrica
Totvs (TOTS3) já sobe 60% no ano; entenda os motivos por trás da alta e se ainda há espaço para mais, segundo o Itaú BBA
As ações da Totvs são vistas como escolha de qualidade e defensiva para investidores de longo prazo; entenda
Até o Banco do Brasil (BBAS3) pode pagar a conta das tarifas de Trump: Moody’s revela o impacto da guerra comercial para os bancos brasileiros
Para a Moody’s, o setor financeiro já vivia um cenário complexo, dadas as taxas de juros elevadas e as tendências de inadimplência — e as tarifas dos EUA devem ajudar a complicar a situação
Weg (WEGE3) avança na bolsa: tarifas não assustam mercado, enquanto analistas enxergam papéis “baratos” antes do 2T25
Com queda acumulada no ano e expectativa de alta na demanda, mercado volta a apostar em recuperação das ações ainda em 2025
Gafisa (GFSA3) aumenta oferta de follow-on em R$ 27 milhões e amplia “presente” aos acionistas que participarem; entenda
As modificações atingem a “vantagem adicional gratuita”, que é disponibilizada aos investidores que decidirem participar
Gol (GOLL54) emite mais de 9 trilhões de ações e conclui capitalização bilionária; confira os detalhes da reestruturação
A operação teve como objetivo converter em ações os créditos devidos pela Gol, conforme o plano de recuperação judicial aprovado na Justiça dos EUA
Cade dá sinal verde para Nelson Tanure comprar controle da Braskem (BRKM5) mesmo sem OPA. O que falta para a aquisição sair do papel?
O Cade aprovou, sem restrições, a potencial transação proposta pelo empresário. No entanto, há outras etapas a serem concluídas antes que uma eventual troca de controle se concretize
Um cliente, US$ 52 bilhões a menos: a saída inesperada que derrubou as ações da BlackRock; entenda o que aconteceu
No pregão da última terça-feira (15), as ações da gestora listadas na bolsa de Nova York chegaram a desabar 7% após a divulgação dos resultados
Para o BTG, venda da Santa Elisa mostra pressa da Raízen (RAIZ4) em ganhar eficiência
Analistas enxergam movimento simbólico na reestruturação da companhia e destacam impacto operacional além do financeiro
Usiminas (USIM5): Os seis motivos que explicam por que o Goldman Sachs rebaixou as ações — um deles tem a ver com a CSN (CSNA3)
As ações encerraram o dia com a maior queda do Ibovespa depois de o banco rebaixar as ações citando a China e a CSN entre as razões