Documentos obtidos pelo Bastidor revelam que a investigação conduzida por promotores de São Paulo e do Rio de Janeiro, com auxílio da Polícia Federal, conseguiu chegar ao valor roubado da C&M Software, empresa que presta serviços de processamento de dados bancários para instituições financeiras, e um dos principais alvos do maior ataque hacker ao sistema financeiro do país. Os criminosos conseguiram roubar 813 milhões de reais de oito clientes, entre bancos e cooperativas de crédito.

A C&M foi uma das empresas afetadas no ataque. No total, os investigadores estimam que foram roubados cerca de 3 bilhões de reais ao somar todas as invasões realizadas pelos hackers em dias posteriores. Não há informações sobre os mais de 2 bilhões de reais roubados por meio de outras empresas.

Dos 813 milhões de reais roubados via C&M, o Banco BMP foi o mais prejudicado, com um prejuízo de 541 milhões de reais. Cerca de metade disso, 270 milhões de reais, foram recuperados com o bloqueio das contas da fintech Soffy. Não há informações sobre a recuperação de quantias nas outras instituições financeiras.

A investigação aponta que outros 200 milhões de reais roubados via C&M foram lavados em criptomoedas por Patrick Zanquetim de Morais e Nilla Vitória, presos na operação Magnas Fraus da Polícia Federal, como mostrou o Bastidor. Outro integrante do grupo, Gabriel Bernardes Faria, está foragido, apesar de ter contratado um advogado.

Durante as buscas, a PF e os promotores apreenderam o equivalente a 5,5 milhões de reais em Ethereum — a segunda criptomoeda mais negociada no mundo, atrás apenas do Bitcoin — armazenados em uma carteira física oculta. Além disso, conseguiram o bloqueio judicial de 32 milhões de reais em USDT, um criptoativo atrelado ao dólar. Assim, dos cerca de 200 milhões de reais convertidos em criptomoedas, apenas 37 de reais milhões já foram recuperados.

Se somado o valor total bloqueado com o apreendido em criptomoedas, ainda faltam ser localizados aproximadamente 493 milhões, que estão sob posse dos criminosos em carteiras de criptoativos.

O ataque começou dias antes após João Nazareno Roque, operador de TI da C&M, vender o acesso ao sistema da empresa aos hackers. A intrusão iniciou em um notebook interno, onde os invasores instalaram scripts maliciosos.

Foi criado um sistema espelhado fraudulento que replicava a atuação da plataforma da C&M, que emite e comunica operações financeiras de seus clientes ao Banco Central. Desse modo, os hackers emitiram uma série de comunicações e conseguiram movimentar o dinheiro por meio do Pix para as contas bancárias controladas pela quadrilha.

De lá, o montante foi distribuído inicialmente para contas em fintechs, como a Soffy e a BMB Pagamentos, e posteriormente transferido para contas de pessoas e empresas de fachada controladas pelo grupo. Em seguida, parte do dinheiro foi convertido em criptoativos em plataformas on-line.

Todas as operações de lavagem foram comandadas por Zanquetim, que utilizou tanto suas próprias carteiras de criptomoedas quanto as de Nilla Vitória. A investigação também identificou repasses para outros integrantes do esquema ainda não identificados.

Em depoimento à PF e ao Ministério Público, Zanquetim negou ter conhecimento da origem ilícita dos recursos e afirmou atuar apenas como corretor de criptomoedas.

Segundo a investigação, Nilla forneceu voluntariamente acesso às suas carteiras digitais para que Zanquetim movimentasse os criptoativos do roubo. Ela recebeu aproximadamente 18 milhões de reais em suas carteiras. Em depoimento, negou saber da origem ilícita dos valores.

Já Gabriel Bernardes Faria, que está foragido na Alemanha, recebeu cerca de 32 milhões de reais em 59 transações relacionadas ao esquema, de acordo com a investigação.

Os três foram denunciados pelo Ministério Público de São Paulo por furto eletrônico mediante fraude e lavagem de dinheiro. Zanquetim e Nilla estão presos no complexo prisional de Goiânia e Faria está foragido.

As investigações se concentram em identificar agora o grupo dos hackers intermediadores, que faziam a conexão entre os executores da ação hacker e Zanquetim. E também investigam a participação de donos de fintechs que receberam a primeira leva do dinheiro roubado.

Pedro Bocchi, advogado do casal Zanquetim e Nilla não quis se manifestar. Rodrigo Lustosa, advogado de Gabriel afirma que “ele não tem qualquer vinculação com estes fatos”.

Para receber nossas notícias, clique aqui e acesse o canal do Bastidor no WhatsApp.