Ataque hacker: fintech que levou milhões está em nome de ex-cozinheiro
Fintech Soffy Soluções de Pagamentos, que recebeu R$ 270 milhões em transações de Pix no dia do ataque hacker, sofreu bloqueio judicial
atualizado
Compartilhar notícia
Alvo de um bloqueio judicial de R$ 270 milhões, valor que teria sido desviado do banco BMP naquele é considerado o maior ataque hacker da história do país, a fintech Soffy Soluções de Pagamentos está registrada em nome de um ex-cozinheiro gaúcho que fez carreira trabalhando em restaurantes no Mato Grosso do Sul.
Documentos da Junta Comercial de São Paulo mostram que Stevan Paz Bastos (foto em destaque) se tornou o único sócio do Soffy no dia 5 de maio deste ano, um mês e meio antes de a empresa receber 69 transações via Pix da conta do BMP, na madrugada do dia 30 de junho. O banco suspeita que a fintech seja uma “empresa de fachada”.
Em um pedido de investigação e bloqueio de bens feito à Justiça paulista, obtido pelo Metrópoles, o BMP afirma que a empresa foi aberta em 2020 com endereço em uma praça na cidade de Atibaia, no interior de São Paulo, e depois teve a sede alterada para um prédio na Avenida Paulista, na capital, sem especificar qual o conjunto ocupa no edifício.
O documento destaca, ainda, que a Soffy Soluções de Pagamentos acumula uma série de reclamações por fraudes via Pix em sites de defesa do consumidor e que o dinheiro furtado por meio do ataque hacker no fim de junho “foi granulado e dissipado na compra de criptomoeda, notadamente, USDT”.
Além disso, o BMP afirma que a fintech transferiu milhões de reais para dezenas de pessoas físicas. Os maiores beneficiários, segundo o banco, foram Carlos Luiz da Silva Júnior, para o qual foram feitas sete transferências, totalizando R$ 44 milhões, e Vanessa Ribeiro Ritacco, para a qual chegaram R$ 20 milhões, fragmentados em quatro transações.
Com a exceção de Vanessa (leia abaixo), cuja defesa se manifestou, por nota ao Metrópoles em 27/7, os advogados dos demais suspeitos não haviam sido localizados até a publicação desta reportagem. O espaço segue aberto para manifestações.
“Utilizada como ‘laranja’”
Por meio da nota, a defesa de Vanessa Ribeiro Ritacco, proprietária da Consultoria Ritacco, afirmou que ela não foi beneficiada, “mas vítima de fraude bancária envolvendo R$ 20 milhões”.
Após consultas no sistema online do Banco Central, segue a nota, não teriam sido localizadas contas bancárias ou chave Pix em nome de Vanessa, “ou qualquer vínculo com a Fintech Soffy ou com o Banco BMP”.
“Se existir alguma conta ou chave Pix em nome da Sra. Vanessa, esta foi criada e utilizada como ‘laranja’ por criminosos sem qualquer autorização ou conhecimento da proprietária”.
Ao ficar ciente da situação, a empresária teria registrado um boletim de ocorrência.
“É importante destacar que Vanessa nunca teve qualquer tipo de relacionamento com as referidas instituições, jamais foi beneficiária de quaisquer valores e não foi procurada por nenhuma autoridade policial, seja da Polícia Civil ou da Polícia Federal, para prestar esclarecimentos”, diz nota enviada pelos advogados Aynã Cabral e Icaro Cabral.
Por fim, a defesa da mulher reitera “sua confiança na apuração das autoridades competentes e se coloca à disposição para colaborar, caso venha a ser solicitada formalmente”.
Quem é o ex-cozinheiro “dono” de fintech envolvida em ataque hacker
- Dono formanl da Soffy Soluções de Pagamento, Stevan Paz Bastos tem 36 anos, nasceu em São Luiz Gonzaga (RS), e era, até pouco tempo, cozinheiro em restaurantes de Campo Grande, capital do Mato Grosso do Sul.
- Em seu perfil no Linkedin, Bastos afirma que atuou como chef de cozinha em diferentes bares e restaurantes do Mato Grosso do Sul entre 2015 e 2020.
- Em maio deste ano, Stevan Bastos se tornou único sócio da empresa, adquirindo todas as cotas pelo valor de R$ 1 milhão transferidas por Guilherme Henrique Bernardes de Freitas.
- A empresa foi aberta em junho de 2020 com o nome Orion Soluções de Pagametos, em Atibaia. Em maio deste ano, quando Bastos assumiu a sociedade, o endereço foi alterado na Receita Federal para um prédio na Avenida Paulista.
- Atualmente em São Paulo, Stevan Bastos nunca tinha tido ligação com o mercado financeiro. Ele também é dono formal da Distribuidora Peixe Boi, aberta em 2018 na capital de Mato Grosso do Sul.
- O Metrópoles tentou, sem sucesso, contato com Bastos por meio de dois números de telefone. O espaço segue aberto para manifestação.
Suspeito por facilitar acesso a sistema para ataque hacker foi preso
Dois dias após o ataque, João Nazareno Roque, de 48 anos, funcionário de TI da C&M, foi preso pela Polícia Civil paulista, suspeito de ter contribuído para o ataque, ao permitir que hackers usassem suas senhas de acesso ao sistema. Para isso, segundo as investigações, ele teria recebido R$ 15 mil dos criminosos.
João Nazareno Roque teria confessado que deu acesso aos hackers ao sistema sigiloso do banco após ser cooptado pelos criminosos na saída de um bar. De acordo com a Polícia Civil, no decorrer das investigações, foi possível identificar que Nazareno facilitava “que demais indivíduos realizassem transferências eletrônicas em massa, no importe de R$ 541 milhões para outras instituições financeiras”.
A Polícia Civil de São Paulo segue as investigações para identificar e prender outros suspeitos de envolvimento no crime. O funcionário de TI da C&M citou aos policiais que os menos outros quatro homens estariam envolvidos nos ataques, que atingiram ao menos cinco instituições financeiras além do BMP. Há ainda um outro inquérito sobre o caso, instaurado pela Polícia Federal (PF).
Como foi o ataque
- O golpe financeiro que atingiu a C&M Software se deu por meio de uma modalidade conhecida como “Supply Chain”, na qual os hackers atacam uma empresa com o objetivo de acessar valores dos clientes.
- Um ataque desse tipo é planejado por um longo período — de seis meses ou mais. Avaliações preliminares apontam que os criminosos já estariam dentro do sistema da C&M há algum tempo.
- Pelo menos seis instituições financeiras foram afetadas pela ação criminosa, com desvios de recursos de contas de empresas e interrupção temporária de operações via Pix. O número divulgado pela Polícia Civil, de R$ 541 milhões, é referente ao prejuízo de uma das instituições financeiras atingidas (a BMP).
- Fontes ligadas à Polícia Federal – que também abriu investigação para apurar o caso – dão conta de que o montante desviado pode ser bem maior.
