Promotoria denuncia hacker por furto de R$ 479 milhões via transferências Pix

O Ministério Público de São Paulo denunciou à Justiça o operador de sistemas João Nazareno Roque, apontado como o hacker que executou sofisticado esquema criminoso para consumar o furto de R$ 479,3 milhões da conta de liquidação do Banco BMP por meio de transferências eletrônicas fraudulentas via sistema PIX.

Segundo a acusação, Roque se valeu de sua condição profissional e do acesso privilegiado aos sistemas internos da empresa.

O golpe foi executado entre os dias 22 e 30 de junho. O promotor criminal Rafael Adeo Lapeiz destaca que o operador violou o mecanismo de segurança e subtraiu, para si e para terceiros, por meio de dispositivo eletrônico conectado à rede de computadores, com violação de mecanismo de segurança e utilização de programa malicioso, R$ 479,3 milhões, de propriedade do Banco BMP Instituição de Pagamento S.A.

A C&M Software, anota o promotor, é uma empresa responsável pela intermediação técnica das transações entre o Banco BMP e o Banco Central. Segundo Lapeiz, o acusado executou um sofisticado esquema criminoso.

Roque foi preso temporariamente pela Polícia Civil de São Paulo e confessou sua participação na fraude mediante uma comissão de R$ 15 mil.

O promotor pediu a conversão do regime temporário em prisão preventiva para o hacker. Ele destaca a gravidade do crime, o vulto do prejuízo causado e os indícios de reiteração criminosa, pela conveniência da instrução criminal, tendo em vista o risco concreto de destruição de provas eletrônicas.

Lapeiz vê, ainda, riscos de que, em liberdade, o hacker promova interferência em sistemas e comunicação com os demais membros da organização criminosa ainda não identificados.

Também sustenta que a custódia preventiva de Roque vai assegurar a aplicação da lei penal, considerando que o denunciado ainda não recebeu sua parcela dos valores prometidos, o que potencializaria sua capacidade de fuga.

"A custódia cautelar é indispensável para quebrar o sistema comunicativo da associação criminosa e garantir a eficaz identificação de todos os envolvidos", argumenta o promotor.

Lapeiz pediu que os autos sejam encaminhados à 1.ª Vara de Crimes Tributários, Organização Criminosa e Lavagem de Bens e Valores da Capital. Ele concordou com o pedido da Polícia para instauração de um inquérito à parte, destinado à investigação do crime de associação criminosa.

"A medida se justifica pela complexidade da operação criminosa, que envolveu múltiplos agentes em diferentes núcleos (intelectual, operacional e financeiro), bem como pela necessidade de individualização das condutas e aprofundamento das investigações para identificação dos demais partícipes", assinala o promotor.

Em seu entendimento, a cisão investigatória atende aos princípios da eficiência administrativa e da economia processual, evitando o tumulto procedimental e permitindo a persecução penal adequada de todos os envolvidos.

O promotor descarta a possibilidade de um acordo com Roque. "Em que pese a primariedade do denunciado, não se mostra cabível a propositura de acordo de não persecução penal. Nesse sentido, a pena mínima cominada ao delito de furto qualificado excede o limite máximo previsto no artigo 28-A, caput, do Código de Processo Penal, que estabelece a possibilidade do acordo apenas para infrações penais com pena mínima inferior a quatro anos."

"Ademais, a gravidade concreta do fato, envolvendo prejuízo de quase meio bilhão de reais e violação de dever profissional, torna inadequada a aplicação do instituto despenalizador", adverte Lapeiz.

A denúncia ressalta que, segundo esclarecido por Kevin Venâncio SantAna, coordenador de Operações da C&M Software, as funções atribuídas a Roque eram limitadas ao atendimento de clientes e monitoramento das aplicações onde rodam os softwares que fazem todas as operações fornecidas pela empresa, como transferências PIX, TEDs e pagamento de boletos.

"Destaca-se que a empresa não realizava nenhum tipo de programação, limitando-se apenas ao cuidado do sistema, podendo restartar o sistema em casos de travamentos ou erros e realizar pequenas manutenções", anota o promotor.

Segundo ele, João Nazareno Roque, bem como todos os outros funcionários e jovens aprendizes, executava exatamente esses procedimentos operacionais básicos, não possuindo autorização nem competência técnica para inserir códigos de programação ou executar comandos avançados nas máquinas da empresa.

"Dessa forma, a execução de scripts maliciosos pelo denunciado extrapolou completamente suas atribuições funcionais legítimas, caracterizando clara violação dos protocolos internos e uso indevido de seu acesso privilegiado aos sistemas", diz a denúncia.

O promotor relata que no dia 27 de junho, os agentes externos, utilizando-se da porta de entrada criada pelo denunciado, instalaram uma VPN (Ligolo Proxy) no sistema, mascarando o tráfego de dados e preparando a infraestrutura necessária para a execução das transferências fraudulentas.