A Polícia Federal identificou que o ataque à C&M Software, o maior roubo ao sistema financeiro do país, foi executado por uma quadrilha especializada em fraudes e invasões bancárias. Há indícios de que o grupo atua nesse tipo de crime desde o ano passado sempre explorando brechas no sistema financeiro, principalmente no Pix.
Documentos da investigação obtidos pelo Bastidor reconstituem a dinâmica do crime, desde o planejamento, o ataque hacker e os passos seguintes, com a lavagem do dinheiro.
Segundo o relatório da PF, os principais coordenadores da quadrilha são Patrick Zanquetim de Morais, Ítalo Jordi Santos Pirineus, conhecido como Breu, Henrique Magnavita Lins, o Russo, todos presos, e Wesley Nascimento de Jesus, Spider, o único ainda foragido. Breu foi identificado pelo Bastidor, após cruzamento de informações da investigação e dados públicos.
O planejamento começou entre abril e maio do ano passado. Em áudio enviado a Patrick Zanquetim ainda em 2024, Henrique Magnavita Lins, o Russo, afirma que compõe uma equipe com Ítalo Jordi Santos Pirineus, o Breu, e Wesley Nascimento de Jesus, o Spider. Russo diz que Breu e Spider serão os responsáveis por cuidar do “resumo” – expressão para lavagem de dinheiro.
As investigações da PF mostram que, durante essa fase preparatória, os criminosos desenvolveram e testaram um sistema próprio de transferências rápidas via Pix. De acordo com investigadores, as transações seguiram um padrão de execução em lote, com códigos e rotinas testadas previamente em ambientes de homologação, o que demonstra alto grau de planejamento técnico. O mecanismo foi criado para acelerar as operações.
Em mensagens, Zanquetim e Breu comentavam testes realizados para avaliar se as contas bancárias sob controle da quadrilha conseguiriam suportar movimentações de alto valor. A PF aponta o vínculo entre Zanquetim e Russo a partir de uma série de trocas de mensagens trocadas durante o ataque, em 30 de junho. Spider aparece como um dos mentores a partir da contratação dos serviços de lavagem de dinheiro de Zanquetim.
No dia do ataque, 30 de junho, a quadrilha se dividiu entre Brasília e Goiânia. A parte do grupo responsável por transformar e distribuir os valores roubados em múltiplas contas e criptomoedas hospedou-se no Hotel Buriti, em Goiânia. Lá estava Zanquetim, apontado como principal lavador da quadrilha.
Entre eles estava Gustavo Morais de Souza, conhecido como Gustavo Soffy, responsável por abrir duas contas e gerar as chaves Pix que receberam cerca de 13 milhões de reais. A fintech Soffy movimentou ao todo mais de 340 milhões de reais provenientes do roubo. Também estava hospedado no mesmo local Amir Sena Bahmad, cuja função no grupo ainda é apurada pelos investigadores.
Enquanto isso, sob o comando de Breu e Russo, os hackers e operadores financeiros encarregados de administrar as contas em instituições de pagamento se hospedaram no Hotel Royal Tulip, em Brasília, de onde o ataque foi efetivamente executado. Segundo registros da C&M Software, as transações começaram às 02h03 da madrugada e ocorreram de forma automatizada ao longo de aproximadamente cinco horas, até às 07h04 da manhã.
Ao todo, o grupo realizou 166 transferências via Pix, que totalizaram 813 milhões de reais, distribuídos entre 29 empresas criadas ou reativadas pela quadrilha. A maior parte das movimentações passou pela fintech Soffy. Em seguida, os valores foram redistribuídos para outras contas de fintechs – processo chamado de segunda camada de pulverização – até serem convertidos em criptomoedas para dificultar o rastreamento.
Durante as transferências do dinheiro roubado para outras contas bancárias, mensagens entre Breu e Patrick indicam que mais de 100 milhões foram bloqueados pelo Mecanismo Especial de Devolução (MED), ferramenta do Banco Central que permite devolução de quantias em caso de fraude. Para burlar essa barreira, a quadrilha falsificou contratos de venda e compra de imóveis para justificar as transações criminosas.
Nos dias seguintes ao roubo, entre 1º e 3 de julho, os integrantes deixaram os hotéis de Brasília e Goiânia, hospedando-se em outros hotéis durante a fuga. Em seguida, viajaram de carro até o Mato Grosso do Sul, onde embarcaram em um voo fretado para a Argentina, no dia 5. Entre os passageiros estava Breu, que mais tarde viajou para a Espanha. Ele foi preso lá em 30 de outubro, após uma operação coordenada com a polícia espanhola.
Segundo registros obtidos na investigação, no dia do ataque Spider também esteve em Brasília, mas não foi possível confirmar se esteve no hotel Royal Tulip. Os investigadores suspeitam que tenha usado documento falso para o cadastro. Spider e Russo saíram juntos do Brasil em 3 de julho para Madrid, na Espanha.
Mensagens descobertas pelos investigadores mostram que Zanquetim e Breu discutiam a possibilidade de novos ataques, aproveitando vulnerabilidades do sistema Pix. Apesar de a PF não ter comprovado ligação direta com as invasões a outras instituições financeiras registradas após o episódio, encontrou coincidências no uso das mesmas empresas de fachada empregadas para dispersar o dinheiro roubado.
A PF também identificou indícios de que integrantes do grupo haviam participado de outras invasões antes do ataque à C&M. Essas ações anteriores teriam servido como ensaio para o golpe de 30 de junho, que resultou no desvio de mais de 800 milhões de reais. Até 10 de setembro, apenas 186 milhões de reais haviam sido recuperados.
O Bastidor tenta contato com a defesa dos envolvidos.
Para receber nossas notícias, clique aqui e acesse o canal do Bastidor no WhatsApp.
