PEDRO S. TEIXEIRA
SÃO PAULO, SP (FOLHAPRESS)
Quarenta dias após o maior ataque hacker registrado no Brasil, que causou um prejuízo estimado em cerca de R$ 1 bilhão, a instituição financeira BMP Moneyplus conseguiu recuperar metade dos R$ 541 milhões que foram desviados.
A quantia recuperada é de aproximadamente R$ 270 milhões, segundo informou a própria BMP.
O Banco Central está coordenando esforços para devolver o dinheiro às vítimas. Como as empresas afetadas foram desconectadas do sistema Pix, não é possível fazer a devolução pelo processo tradicional. Por isso, as autoridades precisam confirmar as informações contábeis e parte dos valores está sob custódia dos órgãos responsáveis pela investigação.
A investigação e o rastreamento do dinheiro estão sendo realizados por uma operação conjunta entre o Ministério Público, a Polícia Federal, o Banco Central e empresas de criptoativos.
Paralelamente, a Polícia Civil de São Paulo também abriu inquérito após a denúncia da BMP.
Os responsáveis pelo ataque usaram uma rede de contas falsas e moedas digitais para dispersar o dinheiro. Isso é possível porque o sistema Pix registra todas as transações, facilitando auditorias, e as empresas de criptoativos cooperam com as investigações.
O ataque explorou falhas no sistema da empresa de tecnologia em que pelo menos seis clientes tiveram suas contas invadidas. Um funcionário da empresa C&M Software participou da ação criminosa e já está preso.
Em comunicado, a C&M Software afirmou que o ataque ocorreu por meio de técnicas usadas para enganar funcionários, levando-os a fornecer informações de acesso, e não por falhas tecnológicas da empresa. O Banco Central autorizou a C&M a retomar seus serviços em 3 de julho.
A BM, o Banco Industrial do Brasil, a cooperativa CrediAliança e o CorpX Bank foram algumas das instituições afetadas e que registraram queixas à polícia. Restam ainda duas vítimas sem identificação pública.
O que se sabe sobre o paradeiro do dinheiro
Segundo a Polícia Civil de São Paulo, inicialmente a quadrilha transferiu os R$ 541 milhões roubados em mais de cem contas bancárias, que pertencem a 29 instituições financeiras diferentes.
Oito dessas empresas confirmaram o bloqueio dos valores e informaram o Banco Central.
Principais destinos dos valores desviados
- Soffy: recebeu mais de R$ 271 milhões em uma conta de um cliente parceiro não identificado.
- Transfeera: recebeu mais de R$ 89 milhões divididos em 22 transferências.
- Monexa (empresa criada apenas 19 dias antes do golpe): recebeu R$ 45 milhões em cinco transferências durante a madrugada.
- Nuoro Pay (mantinha a conta da Monexa): bloqueou 390 transações suspeitas no valor de R$ 25 mil provenientes da Transfeera e Soffy.
De acordo com o CEO da Nuoro Pay, Ricardo Sinval, a empresa inicialmente não bloqueou os Pix da BMP por ser uma instituição considerada grande, mas suspendeu as transações suspeitas posteriormente.
A Monexa possui uma única sócia, uma jovem de 24 anos, sobre quem as autoridades investigam se atuava como laranja. A empresa não respondeu aos contatos da imprensa.
A Soffy teve suas contas bloqueadas pela Justiça de São Paulo após receber mais de R$ 271 milhões. Parte dessas contas estava vinculada a pessoas que negam ter aberto tais contas, como a empresária Vanessa Rittaco, e a empresa é alvo de diversas ações judiciais por uso de contas laranjas.
A Transfeera declarou que o caso está sob investigação e que não pode comentar detalhes para não atrapalhar as apurações.
As três empresas tiveram suas operações com o sistema Pix suspensas pelo Banco Central.
Investigações da Polícia Federal em Roraima
Coordenada pelo Ministério Público de São Paulo com apoio do Banco Central, a Polícia Federal descobriu uma rede de lavagem de dinheiro usada pelos autores do ataque. A investigação foi divulgada pela Rede Amazônica e confirmada pela Folha.
Detalhes da movimentação financeira
- Esther Assets (gestora de fundos em Contagem-MG): recebeu R$ 11 milhões e enviou quantias para Sis Pagamentos e Creditag.
- Rich Beauty (distribuidora de cosméticos em Brasília): recebeu R$ 1 milhão e transferiu parte para o Bank Ben.
- Sis Pagamentos e Bank Ben transferiram R$ 2,45 milhões para a conta de Jackson Renei Aquino de Souza, assessor parlamentar em Roraima.
- Jackson Souza sacou R$ 1 milhão em espécie e foi preso com R$ 700 mil.
A defesa de Jackson Souza afirmou que ele desconhecia a origem do dinheiro, que teria sido recebido para a compra de um imóvel para terceiros.
A Creditag não confirmou se conseguiu bloquear valores sob sua responsabilidade.
Criptomoedas também foram usadas
Parte do dinheiro roubado foi convertida em criptomoedas. No dia do ataque, 30 de junho, ocorreram transações recordes de bitcoins e USDT, uma criptomoeda ligada ao dólar.
A fintech Smartpay, que integra o Pix ao mercado de criptomoedas e colaborou na identificação do golpe, relatou que as movimentações suspeitas começaram pouco após a meia-noite do dia do ataque.
O fundador da Smartpay, Rocelo Lopes, afirmou que bloqueou as movimentações suspeitas ainda na madrugada para evitar maiores prejuízos.
A Voluti, empresa associada à Smartpay, recebeu R$ 13 milhões em transferências do BMP e bloqueou as contas relacionadas, comunicando as autoridades e efetuando devoluções via Pix.
No dia 15 de julho, as autoridades recuperaram R$ 5,5 milhões em criptomoedas, com base em mandados de prisão e busca nos estados de Goiás e Pará.
A chave privada para acessar esses ativos digitais foi encontrada em um dos endereços, facilitando a recuperação.
A empresa Tether, emissora do USDT, auxiliou as investigações fornecendo dados sobre as transações.
Pessoas presas
A Justiça de São Paulo decretou prisão preventiva para João Nazareno Roque, de 48 anos, investigado pelo ataque à C&M Software em 11 de julho.
O advogado de Roque, Jonas Reis, afirmou que aguarda um pedido de liberdade e que seu cliente foi também vítima da quadrilha.
João Nazareno Roque está preso desde 3 de julho, acusado de envolvimento no ataque que causou prejuízo estimado em R$ 1 bilhão.
Segundo o acusado, ele foi contatado por um homem em março, em um bar na zona norte de São Paulo, que o recrutou. Roque também manteve comunicação com outras três pessoas suspeitas, cujas identidades ainda não foram reveladas.
A Polícia Federal prendeu em flagrante o assessor parlamentar Jackson Renei Aquino de Souza, encontrado com R$ 700 mil em espécie.
Cronologia das investigações
- 30 de junho: Criminosos invadem contas de clientes da C&M Software e desviam cerca de R$ 1 bilhão.
- 1º de julho: Instituições comunicam o Banco Central sobre o roubo.
- 2 de julho: Polícia Federal abre inquérito.
- 3 de julho: Polícia Civil prende João Nazareno Roque; Justiça bloqueia contas da Soffy; Banco Central suspende Pix de três instituições.
- 4 de julho: Banco Central suspende Pix de mais três instituições.
- 11 de julho: Justiça decreta prisão preventiva de João Nazareno Roque.
- 15 de julho: PF e Ministério Público recuperam R$ 5,5 milhões em criptoativos.
- 22 de julho: PF prende o assessor Jackson Renei Aquino de Souza em flagrante.
- 23 de julho: Justiça decreta prisão preventiva de Jackson Renei Aquino de Souza.