PEDRO S. TEIXEIRA
SÃO PAULO, SP (FOLHAPRESS)
O Ministério Público do Estado de São Paulo argumenta, na Justiça paulista, que o ataque cibernético contra a C&M Software em junho abalou “a segurança do sistema econômico-financeiro e do ambiente cibernético nacional”. O golpe deixou um rombo de R$ 813,79 milhões, segundo os autos.
Esse dano à confiabilidade do Sistema Financeiro Nacional, diz o MP, justifica o pagamento de uma indenização coletiva.
O pedido lembra, afirma o advogado especialista em direito digital penal Spencer Toth Sydow, as multas que o ministro do Supremo Tribunal Federal Alexandre de Moraes impôs aos condenados do 8 de janeiro por atentar contra a democracia.
Os criminosos exploraram uma brecha na comunicação com o Banco Central para movimentar contas de oito instituições financeiras mantidas junto à autoridade monetária. Para isso, invadiram os sistemas da C&M Software, a empresa contratada para enviar ao BC os pedidos de movimentação via Pix.
Relatório da autoridade monetária mostra mais de 400 transações via Pix. Os valores de cada transferência chegam a R$ 10 milhões.
| Vítima | Prejuízo |
|---|---|
| BMP Moneyplus | R$ 541.019.034,00 |
| Pagprime | R$ 2.400.000,00 |
| Credsystem | R$ 15.298.000,00 |
| Credialiança | R$ 101.060.050,00 |
| Cred. Ufes | R$ 38.470.000,00 |
| Conta Pronta | R$ 10.400.002,00 |
| Banco Paulista | R$ 800.000,00 |
| Banco Industrial do Brasil | R$ 104.346.000,00 |
As autoridades investigam os crimes de furto mediante fraude cibernética, lavagem de dinheiro e formação de quadrilha. Até agora, a Polícia Federal executou 23 mandados de prisão e seis pessoas continuam foragidas. O juiz responsável pelo caso trata o incidente como o “maior ataque cibernético da história do país”.
Em denúncia contra 3 dos 29 suspeitos, os promotores mostram que os criminosos escolheram fazer a fraude na madrugada do dia 30, uma segunda, para driblar a segurança do Pix. A execução da fraude seria “no final de semana —nós estamos correndo contra o tempo—, porque fica vazio lá”, disse o jogador de poker Ítalo Jordi Santos Pireneus ao estudante de medicina Patrick Zanquetim de Morais. Na conversa de WhatsApp, Pireneus é identificado pelo apelido Breu.
Segundo o MP, Breu, que cumpre pena em liberdade condicional por outra denúncia de estelionato, é suspeito de articular o crime. Zanquetim, um corretor de criptomoedas (P2P no jargão), estaria encarregado de driblar o mecanismo de devolução do Pix e garantir que o dinheiro chegasse aos suspeitos. Os dois estão em prisão preventiva.
Citado no processo como advogado de Zanquetim, Pedro Felipe Bocchi Silva diz que deixou o caso e não sabe a situação atual do processo. O representante de Breu, Eduardo Moura, não respondeu à reportagem.
A quadrilha realizou os furtos entre 0h e 7h do dia 30. O Banco Central foi informado do ataque na manhã do mesmo dia, por meio de comunicado da C&M Software.
O BC tem dificuldades de monitorar o Pix 24 horas por dia, porque está proibido de pagar horas extras e adicional noturno. A autoridade monetária tenta contornar essas limitações com servidores de sobreaviso.
Procurado, o BC não se manifestou.
A C&M Software disse ao Ministério Público que identificou movimentações suspeitas via Pix por volta das 4h30 e decidiu desligar o sistema, após não conseguir interrompê-las. “Nossa investigação revelou que um sistema espelhado fraudulento estava enviando ordens diretamente ao Banco Central, utilizando certificados de clientes”, disse a empresa nos autos.
Na prática, os criminosos conseguiram reproduzir parte do sistema da C&M e enviar mensagens ao BC como se fosse a companhia.
Ainda segundo os autos, a principal vítima do ataque hacker, a BMP Moneyplus, demonstrara preocupação com o risco de ataques 40 dias antes do incidente.
COMO CRIMINOSOS DRIBLARAM SEGURANÇA
Breu procurou Zanquetim para o trabalho em abril, mostra a denúncia do MPSP. Na ocasião, o contratante relatou que sua quadrilha desviou R$ 50 milhões em um ataque anterior, mas não conseguiu resgatar os valores. O montante foi bloqueado por um gateway, uma empresa que vende criptomoedas via Pix.
Em uma mensagem enviada à Breu, Zanquetim diz que consegue “resumir qualquer valor”. A expressão, usada entre cibercriminosos, quer dizer desbloquear o dinheiro. Ele fazia isso com criptomoedas e cobrava uma comissão de 3% da transação, de acordo com a denúncia.
Para isso, Zanquetim precisou reunir contas de fachada, o que começou a fazer ainda em maio, mostra o diálogo. A quadrilha conseguiu acesso a duas contas de tesouraria de instituições financeiras, as quais têm limites maiores de movimentação.
Segundo a investigação, Breu começou a enviar criptomoedas ao comparsa às 7h29 do dia 30. Eram USDTs, um criptoativo com valor ancorado no dólar. Zanquetim, então, começou um processo para apagar a origem dos USDTs e comprar bitcoins.
De acordo com a denúncia do MP, US$ 37,7 milhões (cerca de R$ 205 milhões) do dinheiro desviado chegaram a carteiras pertencentes a Zanquetim e à sua noiva, Nilla Vitória Ribeiro Campos. Em depoimento, ele diz que abriu contas em nome dela para aumentar o limite de movimentação durante o começo de suas atividades como corretor.
O ex-procurador-geral da República Rodrigo Janot, que impetrou um pedido de habeas corpus em nome de Nilla, afirma que deixou o caso.
Outros US$ 6,5 milhões do valor furtado no ataque hacker acabaram em uma carteira controlada por Gabriel Bernardes de Faria. Ele era sócio de Zanquetim, segundo as investigações. As identidades foram reveladas por meio de ordens de quebra de sigilo a corretoras de criptomoedas.
Em pedido de habeas corpus, os advogados de Faria afirmam que a relação com Zanquetim era “meramente comercial”.
