Ataque hacker a C&M: Justiça bloqueou R$ 270 mi de Soffy – 04/07/2025 – Tec

Do cerca de R$ 1 bilhão que se estima ter sido desviado em ataque cibernético à empresa C&M Software, que opera o sistema Pix em nome de terceiros, R$ 270 milhões tiveram como destino a fintech Soffy, segundo decisão do Tribunal de Justiça de São Paulo que bloqueou os valores na quinta-feira (3).

No mesmo dia, o Banco Central suspendeu o acesso ao sistema de pagamentos instantâneos da Soffy e de outras duas instituições de pagamento por desrespeito às normas do Pix. O ataque, que começou na madrugada de segunda-feira (30), desviou valores de contas reservas de oito clientes da C&M Software para mais de 40 instituições financeiras.

Por volta das 13h, a reportagem tentou contato com a empresa por email e telefonou para o seu dono, Stevam Paz Bastos, mas não obteve retorno até a publicação deste texto.

A decisão da Justiça paulista ocorreu a pedido da Polícia Civil de São Paulo, que investiga a ação criminosa que furtou R$ 541 milhões somente da BMP, uma empresa que fornece serviços bancários a terceiros e mantinha contratos com a C&M Software. Outras sete instituições foram vítimas, mas não registraram boletim de ocorrência.

De acordo com a investigação da Polícia Civil, uma quadrilha, ao que tudo indica brasileira, infiltrou-se nos sistemas da C&M Software com o auxílio de um funcionário, que recebeu R$ 15 mil, e fez uma série de transferências bancárias —todas via Pix. Houve um grande volume de transações, disse o delegado-geral da Polícia Civil de São Paulo, Artur José Dian.

Do montante furtado pelo grupo criminoso, R$ 270 milhões foram parar na conta da Soffy, de acordo com o pedido da Polícia Civil à Justiça paulista.

Desde 13 de junho, a Soffy foi alvo de 13 processos cíveis relacionados a outras fraudes do Pix, pedindo responsabilização por omissão em relação a pedidos para bloquear e devolver quantias desviadas nos golpes.

Em ação da fintech Target contra a Soffy, protocolada em 29 de junho, o advogado Daniel Becker, que representa a Target, anexou documentos indicando que a Soffy negou instantaneamente pedidos de estorno de transferências fraudulentas feitas por meio do MED (Mecanismo de Devolução) do Pix, sistema do Banco Central. Ainda ignorou mensagens enviadas a diversos endereços de email.

A Soffy não indicou advogado ou apresentou defesa em nenhuma das 13 ações localizadas pela reportagem. A empresa também não tem funcionários celetistas.

COMO ACONTECEU

A polícia diz que o funcionário da C&M Software João Nazareno Roque, 48, afirmou ter sido cooptado em março e ter conversado com ao menos quatro pessoas diferentes, que não se identificaram. De acordo com o delegado, ele afirma ter se encontrado pessoalmente com apenas um deles, em um bar, em Pirituba, na zona norte da capital paulista.

Segundo o delegado responsável pela investigação, Renato Topan, o funcionário detido era técnico em informática da C&M Software, tem renda declarada de R$ 2.500 e mora no conjunto habitacional City Jaraguá, em Pirituba. “Assim que se deu mandado de busca e apreensão, foram apreendidos celulares, computadores, uma agenda com scripts, mas não havia indicativo de criptoativo”, afirma.

Ainda de acordo com Topan, o CEO da BMP, Carlos Benitez, foi alertado de uma grande transação às 4h de segunda. As transferências fraudulentas continuaram até as 7h. A BMP foi a única empresa afetada que registrou boletim de ocorrência.

A Smartpay, fintech que integra o sistema Pix à compra de criptomoedas e também ajudou a identificar o golpe, diz que as movimentações suspeitas na segunda-feira começaram 0h18.

De acordo com o fundador dessa fintech, Rocelo Lopes, os invasores tentaram adquirir criptoativos de diversas fontes, incluindo a Smartpay.

Ao notar uma explosão de abertura de contas em sua fintech e uma demanda acima do normal por USDT, uma criptomoeda que usa o dólar como âncora de preço, e bitcoins, Rocelo decidiu bloquear movimentações ainda na madrugada de segunda-feira, quando aconteceu o ataque.

A polícia diz que a C&M Software, segundo o que foi apurado até o momento, não pode ser acusada criminalmente pelo incidente cibernético.

Em nota, a C&M Software afirma que “segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025”.