Uma empresa aberta 19 dias antes dos desvios milionários da intermediadora C&M Software recebeu R$ 45 milhões em transferências Pix de um dos bancos que foi alvo da ação.

O que aconteceu

A Monexa Gateway de Pagamentos recebeu cinco transferências durante a invasão, segundo pedido de investigação do Banco BMP obtido pelo UOL. Foram feitas quatro transferências de R$ 10 milhões e uma de R$ 5 milhões para a empresa por meio do Nuoro Pay — suspenso do Pix após os desvios.

A empresa foi aberta no dia 11 de junho; os desvios ocorreram na madrugada do dia 30. A firma foi registrada no nome de Lavinia Lorraine Ferreira dos Santos, única sócia administradora da Monexa.

Além da Monexa, outras quatro empresas foram abertas no nome de Lavinia no mesmo dia. São elas: Nuvora Gateway de Pagamentos, Pay Gateway de Pagame, Altrix Gateway de Pagame e Veltro Gateway de Pagamentos. Todas as empresas estão registradas em São José dos Pinhais, no Paraná.

O número de telefone das empresas pertence a um advogado com um milhão de seguidores no Instagram. O UOL tentou contato com o dono do número, mas não obteve retorno. O espaço segue aberto para manifestação.

O UOL identificou Lavinia, mas não conseguiu contato. A matéria será atualizada se houver resposta.

Funcional da C&M foi preso

O desvio milionário aconteceu a partir das 4h30 do dia 30 de junho. Uma série de transferências via Pix foi realizada até as 7h do mesmo dia, pouco antes do crime ser notado por funcionários da BMP, de acordo com a polícia.

Um suspeito foi preso na última sexta-feira. João Nazareno Roque foi funcionário da C&M há três anos. Usado como facilitador para o golpe, Nazareno Roque recebeu R$ 15 mil como pagamento, segundo a polícia. Segundo a investigação, ele facilitou, por meio de "códigos maliciosos", que outros criminosos extraíssem o valor milionário de uma instituição financeira.

A C&M Software disse que, desde o início, desenvolveu "todas as medidas técnicas e legais" e deixou os sistemas da empresa "sob rigoroso monitoramento e controle de segurança". A empresa também informou que “segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025”.

“Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.”

— C&M Software, em nota

A Polícia Federal e a Polícia Civil de São Paulo investigam o caso. Como medida reparatória, também foi deferido o bloqueio de R$ 270 milhões de uma conta utilizada para receber os valores milionários desviados, segundo a SSP paulista. A suspeita é de que ocorreu fraude, invasão de dispositivo de informática, lavagem de dinheiro e formação de organização criminosa.

Tentativa de ataque

A C&M Software fornece infraestrutura de funcionamento do Pix para vários bancos. A companhia de tecnologia tinha permissão para operar as contas reservas de seus clientes no Banco Central do Brasil, que são usadas para liquidar operações de Pix entre as financeiras. A confirmação do incidente ocorreu na quarta-feira.

Cibercriminosos acessaram “cofres de reserva”, usados para transações entre bancos, e transferiram dinheiro de clientes bancários da C&M Software. Entre eles, o primeiro que foi impactado foi o banco BMP, o que reforça que os recursos dos clientes não foram afetados. A instituição divulgou hoje uma nota em seu site, confirmando a falha da C&M Software e que suas contas de reservas foram afetadas.

Outra instituição atingida foi o Banco Paulista. Em nota em seu site, a empresa diz que, na segunda-feira, uma falha num provedor terceirizado causou interrupção temporária do serviço de Pix, impactando diversas instituições. A instituição afirma que o problema “não comprometeu dados sensíveis nem gerou movimentações indevidas” e que equipes técnicas atuam “para restabelecer o serviço o quanto antes”.

“Como se fosse a Casa de Papel”, definiu um especialista. Apesar de na série os protagonistas imprimirem dinheiro de um banco central, neste caso, não foram roubados fundos de correntistas, explica Hiago Kin, presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos), mas dos próprios bancos.

“Os cibercriminosos invadiram a infraestrutura da C&M Software e geraram transferências fraudulentas diretamente das contas reservas dos bancos afetados.”

— Hiago Kin, presidente do Ibrinc