L'uomo che ha dato accesso agli hacker alla truffa Pix ha ricevuto 15.000 R$; scopri passo dopo passo il crimine

Il dipendente di C&M Software che ha fornito l'accesso agli hacker che hanno condotto l'attacco, che potrebbe ammontare a miliardi di dollari in trasferimenti illegali nell'ambito di una truffa Pix, ha dichiarato alla Polizia Civile di San Paolo di aver ricevuto 15.000 R$ per facilitare l'accesso dei criminali ai sistemi. L'atto è considerato dalle autorità il più grande crimine informatico finanziario mai registrato in Brasile.

Attualmente ci sono almeno due fronti investigativi: uno guidato dalla Polizia Civile di San Paolo e un altro dalla Polizia Federale, con un'indagine aperta a Brasilia.

Il 48enne, poco dopo aver confessato il crimine ed essere stato arrestato giovedì sera (3), è accusato di aver fornito credenziali di accesso ad hacker che hanno invaso il sistema dell'azienda presso cui lavorava, che mette in contatto banche, fintech e operatori del credito per realizzare operazioni come TED e Pix.

La polizia ha accertato che l'attacco è avvenuto nelle prime ore del 30 giugno, con un conseguente diversivo che potrebbe variare da 800 milioni a 1 miliardo di R$. Gli investigatori sottolineano che almeno sei delle 22 aziende servite da C&M sono state danneggiate.

Il sospettato, che al momento non ha un avvocato, ha riferito di essere stato avvicinato da alcuni criminali in un bar vicino a casa sua, dove ha inizialmente ricevuto 5.000 R$ e poi altri 10.000 R$ per fornire i dati che hanno permesso ai criminali di accedere ai sistemi informatici. La polizia non ha spiegato quando ciò sia avvenuto.

L'indagine indica che la truffa prevedeva l'uso di credenziali di un'azienda abituata a movimentare grandi volumi finanziari, il che inizialmente ha impedito che le transazioni destassero sospetti.

I criminali hanno impiegato meno di tre ore per effettuare le transazioni

Gli ordini falsi per la truffa tramite Pix sono stati eseguiti in sequenza, dalle 4:30 alle 7:00 del mattino del 30, e sono stati identificati solo dopo aver superato il modello storico delle transazioni giornaliere.

Il capo della polizia Renan Topan, del Dipartimento di Investigazioni Criminali dello Stato (Deic), della Polizia Civile di San Paolo, ha dichiarato durante un'intervista rilasciata venerdì mattina (4) che, nonostante la sua gravità, la truffa non ha causato danni diretti alla Banca Centrale, al sistema finanziario nazionale o agli utenti di Pix. La Banca Centrale non ha ancora comunicato se abbia avviato un'indagine interna per acquisire maggiori dettagli sulla frode.

La polizia sta ora concentrando i propri sforzi sull'analisi dei cellulari e dei computer sequestrati al sospettato per identificare gli altri coinvolti e recuperare i fondi sottratti. Il sospettato arrestato avrebbe dichiarato alla polizia che il coinvolgimento riguardava almeno quattro persone, ma gli investigatori non hanno escluso l'esistenza di una rete molto più ampia e integrata, con esperienza in questo tipo di attività. L'uomo arrestato potrebbe essere accusato di associazione a delinquere e furto.

Passo dopo passo della truffa tramite Pix

Le indagini in corso rivelano un'evoluzione graduale del crimine. La polizia non ha specificato la data in cui il 48enne è stato avvicinato per la prima volta dai criminali, ma ha dichiarato di aver avuto contatti personali con una delle persone solo quando ha ricevuto parte del denaro. Le altre trattative si sono sempre svolte telefonicamente. Si ritiene che il crimine sia avvenuto nel seguente ordine:

Approccio al dipendente C&M

Un operatore IT, dipendente dell'azienda tecnologica C&M Software, è stato avvicinato da alcuni criminali in un bar. I truffatori sapevano già dove lavorava e inizialmente gli hanno offerto 5.000 R$ per fornire le credenziali di accesso ai sistemi aziendali. In seguito, ha ricevuto altri 10.000 R$ per fornire maggiori dettagli sulle operazioni interne dell'azienda.

Uso improprio delle credenziali per le transazioni tramite Pix

Con le password in mano, gli hacker hanno avuto accesso all'ambiente interno di C&M, che collega diversi istituti al Sistema di Pagamento Brasiliano (SPB), tra cui Pix. Con credenziali valide e ufficiali, gli aggressori sono riusciti a impersonare istituti legittimi e hanno avviato trasferimenti di denaro massivi tramite Pix, in particolare dal conto di una delle società, BMP, che da sola ha subito perdite confermate dalla polizia per 541 milioni di R$.

Esecuzione di transazioni fraudolente

Le transazioni sono avvenute nelle prime ore del 30 giugno, dalle 4:30 alle 7:00. Si è trattato di operazioni sequenziali, con ordini Pix falsificati emessi come se provenissero da BMP e altri operatori, movimentando fondi rapidamente e in volumi elevati. Inizialmente, l'attività è passata inosservata perché la società, per sua natura, operava già con elevati volumi di trasferimento.

Disconnessione e reazione

Dopo aver notato movimenti insoliti la mattina del 30, C&M ha istituito un gruppo di contenimento di emergenza e segnalato l'incidente alla Banca Centrale, che ha ordinato l'immediata disconnessione dell'azienda dai suoi sistemi. Ciò ha causato la sospensione temporanea delle operazioni Pix in alcuni istituti.

Destinazione delle risorse e conversione in criptovalute

Parte dei fondi sottratti sarebbe stata trasferita a piattaforme di criptovalute. Una di queste transazioni è stata intercettata da una società che ha identificato un insolito tentativo di acquisto di 100.000 R$ e ha bloccato la transazione, allertando l'istituto finanziario.

Arresti e indagini sulla truffa Pix

Il tecnico informatico di C&M Software è stato l'unico finora arrestato. L'arresto è avvenuto a San Paolo. Ha confessato il suo coinvolgimento, ma ha affermato di non conoscere gli altri coinvolti. Telefoni cellulari e computer sono stati sequestrati e la Polizia Civile continua a indagare sulla sorte dei fondi. Finora sono stati congelati circa 270 milioni di R$, oltre a 15 milioni di R$ sequestrati in criptovalute.

Posizionamento di C&M e della Banca Centrale

C&M sostiene di non essere stata l'origine dell'attacco e che i suoi sistemi sono rimasti intatti, sottolineando che l'incidente è stato il risultato di un'operazione di ingegneria sociale (manipolazione psicologica) e non di un guasto tecnologico. La Banca Centrale ha dichiarato che i suoi sistemi non sono stati compromessi e che C&M non ha alcun rapporto contrattuale diretto con l'agenzia, agendo solo come fornitore di servizi per gli istituti finanziari.

L'indagine è in corso e la Polizia Federale sta monitorando circa 140 conti utilizzati per i trasferimenti. Le forze dell'ordine devono ora concentrarsi sull'identificazione degli altri membri del sistema e sul recupero delle somme rimanenti sottratte.

Vedi nota della società C&M

C&M Software comunica che continua a collaborare in modo proattivo con le autorità competenti nelle indagini relative all’incidente avvenuto nel luglio 2025.

Fin dall'inizio sono state adottate tutte le misure tecniche e legali applicabili, mantenendo i sistemi aziendali sotto stretto monitoraggio e controllo di sicurezza.

La solida struttura di protezione del CMSW è stata fondamentale per identificare la fonte dell'accesso improprio e contribuire al progresso delle indagini in corso.

Finora, le prove suggeriscono che l'incidente sia stato causato dall'uso di tecniche di ingegneria sociale per condividere in modo improprio le credenziali di accesso e non da guasti nei sistemi o nella tecnologia di CMSW.

Vorremmo sottolineare che CMSW non è stata la fonte dell'incidente e rimane pienamente operativa, con tutti i suoi prodotti e servizi che funzionano normalmente.

Nel rispetto del lavoro delle autorità e della riservatezza richiesta per le indagini, la società manterrà la propria discrezione e non rilascerà alcuna dichiarazione pubblica durante lo svolgimento delle procedure. CMSW ribadisce il proprio impegno per l'integrità, la trasparenza e la sicurezza dell'intero ecosistema finanziario di cui fa parte, principi che guidano le sue azioni etiche e responsabili nei suoi 25 anni di storia.