Home Economia Ataque hacker: bloqueada conta com R$ 270 milhões

A fintech Soffy Soluções de Pagamentos, com sede em Atibaia (SP), teve bloqueada pelo Banco Central (BC) uma conta com R$ 270 milhões sob sua gestão. A medida faz parte das investigações que tentam esclarecer o furto de, pelo menos, R$ 541 milhões realizado por meio de um ataque hacker à empresa C&M Software, que conecta ao sistema do Pix instituições financeiras como a Soffy.

Em nota, a Soffy nega responsabilidade pela transação de R$ 270 milhões e diz que a conta foi aberta por um cliente parceiro, mas não revela quem é ele.

Fundada há cinco anos, a Soffy foi comprada há dois meses pelo ex-cozinheiro Stevan Paz Bastos. Formado em gastronomia no Senac, ele tem formação acadêmica em Contabilidade pela Uniderp, de acordo com informações do seu perfil no LinkedIn – ele não tem seguidores na rede social.

Segundo o perfil, Bastos tem apenas experiência profissional como cozinheiro, além de se apresentar como diretor da distribuidora de alimentos Peixe Boi. Entre 2015 e 2019, trabalhou como chef ou prestou consultoria para restaurantes de Campo Grande e São Gabriel do Oeste, em Mato Grosso do Sul, além de prestar uma consultoria de um mês a um restaurante do Paraguai, em 2018. Ele não foi localizado.

“A Soffy realiza apenas uma pré-abertura de conta, aguardando as informações e validações de segurança e conformidade a serem providenciadas pelo cliente parceiro para sua efetivação”, diz a nota da empresa. “Nossa função se limita a disponibilizar infraestrutura tecnológica para que nossos clientes parceiros possam, de forma autônoma e, sob sua exclusiva responsabilidade, realizar a abertura e a gestão de contas para seus próprios usuários finais.”

Em seu site, a Soffy informa prestar serviços de pagamento e recebimento de valores por meio digital e diz ter atendido mais de 3,2 mil clientes.

Desde 13 de junho, a Soffy foi alvo de 13 processos cíveis relacionados a outras fraudes do Pix, pedindo responsabilização por omissão em relação a pedidos para bloquear e devolver quantias desviadas nos golpes.

Em ação da fintech Target contra a Soffy, protocolada em 29 de junho, o advogado Daniel Becker, que representa a Target, anexou documentos indicando que a Soffy negou instantaneamente pedidos de estorno de transferências fraudulentas feitas por meio do MED (Mecanismo de Devolução) do Pix, sistema do Banco Central. Ainda ignorou mensagens enviadas a diversos endereços de email.

Investigação

A decisão da Justiça paulista ocorreu a pedido da Polícia Civil de São Paulo, que investiga a ação criminosa que furtou R$ 541 milhões somente da BMP, uma empresa que fornece serviços bancários a terceiros e mantinha contratos com a C&M Software. Outras sete instituições foram vítimas, mas não registraram boletim de ocorrência.

De acordo com a investigação da Polícia Civil, uma quadrilha, ao que tudo indica brasileira, infiltrou-se nos sistemas da C&M Software com o auxílio de um funcionário, que recebeu R$ 15 mil, e fez uma série de transferências bancárias —todas via Pix. Houve um grande volume de transações, disse o delegado-geral da Polícia Civil de São Paulo, Artur José Dian.