O que parecia impossível aconteceu: o sistema de transferências instantâneas mais importante do Brasil, o Pix, virou refém de uma fraude bilionária articulada por hackers com a ajuda de um operador de TI que vendia credenciais como quem vende bilhete de loteria. O resultado? Um rombo de R$ 541 milhões, a prisão do suspeito e um duro questionamento à segurança digital do sistema financeiro brasileiro.
A quarta-feira (2) foi de pânico no mercado financeiro. Noticiou-se que um ataque cibernético havia permitido o desvio de R$ 541 milhões em transferências fraudulentas envolvendo pelo menos seis instituições financeiras. Uma falha nos servidores centrais do Banco Central? Um vazamento massivo de dados? Nada disso. Bastou que João Nazareno Roque, 48 anos, operador de TI terceirizado da C&M Software, aceitasse um “agrado” de R$ 15 mil para fornecer seu login e senha corporativos.
João foi preso no bairro City Jaraguá, em São Paulo. Ele confessou à polícia que cedeu às pressões de um grupo criminoso, que o abordou na rua, conhecendo detalhes de sua rotina e trabalho. Pela venda das credenciais que davam acesso aos sistemas de integração bancária, recebeu R$ 5 mil entregues em mãos por um motoboy. Depois, continuou executando comandos remotos, a mando dos hackers, e embolsou mais R$ 10 mil. Tudo em dinheiro vivo.
Segundo o delegado do DEIC, o ataque não se deu por falhas técnicas nos servidores ou brechas de código, mas por uma clássica engenharia social: cooptaram um elo frágil da corrente, o operador humano. João, segundo seu próprio perfil no LinkedIn, era um eletricista com alguma experiência em cabeamento de rede e “pequena experiência com tecnologia”. Ele iniciou um curso de TI aos 42 anos, e trabalhava para a C&M, empresa responsável por conectar bancos menores e fintechs ao sistema Pix do Banco Central.
O grupo criminoso, segundo depoimento, orientou João a abrir uma conta na plataforma Notion para receber instruções, ensinou-o a inserir comandos em seu próprio terminal e a simular operações no sistema corporativo da C&M. As credenciais indevidamente usadas abriram caminho para a invasão e para o redirecionamento de centenas de milhões em transações.
Até agora, as autoridades confirmam que R$ 541 milhões foram transferidos de forma fraudulenta. A polícia ainda não detalhou quantas contas beneficiárias foram utilizadas, quem são os hackers por trás do ataque nem para onde foi parar o dinheiro. E, mais importante: como um sistema que movimenta bilhões de brasileiros, empresários e até governos não tem mecanismos para detectar, em tempo real, acessos indevidos, muito menos para blindar um único operador de entregar sozinho as chaves do cofre?
A C&M Software emitiu nota tentando minimizar o estrago. Disse que suas camadas de proteção foram suficientes para identificar a fraude e colaborar com a investigação. Jogou a culpa no “uso indevido de credenciais” e negou falhas técnicas. O Banco Central, por sua vez, mantém silêncio sobre a necessidade urgente de revisar protocolos e investimentos em segurança cibernética.
O Pix, lançado em 2020, revolucionou a forma como os brasileiros transferem dinheiro. Hoje, é um dos principais sistemas de pagamentos do mundo, com dezenas de bilhões em movimentação diária. Mas também se transformou em alvo preferencial de hackers e criminosos, dada a quantidade astronômica de dados e valores que circulam em suas redes.
O caso João Nazareno revela que o elo mais fraco não é sempre o sistema, mas o humano. No entanto, isso não exime as instituições financeiras e o próprio BC de garantirem blindagens múltiplas e sistemas de detecção sofisticados para mitigar fraudes.
É inaceitável que um sistema central para a economia brasileira dependa da boa vontade - e da vulnerabilidade - de um operador mal pago, exposto a pressões e aliciamentos.
Para João Nazareno, ao menos momentaneamente, parece que sim: por míseros R$ 15 mil ele abriu a porta para um prejuízo de mais de meio bilhão de reais. O maior ataque já registrado contra o Pix escancara a necessidade urgente de políticas mais sérias para a proteção digital de todos nós.
O que será feito agora? Quem vai responder pelo dinheiro desaparecido? Como garantir que amanhã você, empresário, consumidor ou servidor público, não seja vítima indireta de outro operador tentado por um envelope recheado entregue por motoboy?
O Brasil precisa de respostas - e não só para prender João Nazareno. Precisa de transparência, reformas e segurança real para o coração digital da nossa economia.
UM PAÍS À DERIV- Brasil em rota de colisão: a maior nação da América do Sul afunda no empobrecimento e perde sua identidade 
DE PAI PARA FILHO Por que para uns o fisco é cruel e para outros é pai? 
ENTREGAS RÁPIDAS Demanda por galpões cresce e impulsiona mercado logístico 
LEI DA RECIPROCIDADE Reciprocidade ou retaliação? A perigosa aposta de Lula e Alckmin contra os EUA pode custar caro ao Brasil 
TOUR PERMANENTE As viagens de Lula: turismo diplomático ou desperdício de recursos públicos? 
TENSÃO EUA X BRA Confira os principais produtos que o agro brasileiro vende para os EUA — e que agora estão na mira de Trump Mín. 20° Máx. 36°
