A empresa Monexa Gateway de Pagamentos recebeu R$ 45 milhões por meio de transferências Pix durante um ataque cibernético a instituições financeiras, segundo investigação em andamento. A empresa foi aberta em 11 de junho, apenas 19 dias antes do golpe, e teve cinco transferências realizadas via Nuoro Pay — sistema suspenso do Pix após o ocorrido. Quatro transferências foram de R$ 10 milhões e uma de R$ 5 milhões, todas vindas do Banco BMP, alvo do ataque.
A Monexa está registrada no nome de Lavinia Lorraine Ferreira dos Santos, única sócia e administradora. No mesmo dia da abertura da Monexa, outras quatro empresas foram registradas com nomes semelhantes, também no nome de Lavinia, todas com sede em São José dos Pinhais (PR). O número de telefone associado às empresas pertence a um advogado com um milhão de seguidores no Instagram. O UOL tentou contato com Lavinia e com o dono do número, mas não obteve resposta.
As transferências ocorreram na madrugada de 30 de junho, entre 4h30 e 7h, segundo a polícia. Um funcionário da C&M Software, João Nazareno Roque, foi preso por facilitar o golpe. Ele trabalhava na empresa havia três anos e teria recebido R$ 15 mil para permitir o uso de “códigos maliciosos” que possibilitaram o desvio milionário. A C&M afirmou, em nota, que adotou medidas técnicas e legais desde o início e mantém os sistemas sob controle de segurança. A empresa também disse colaborar com as investigações.
O caso está sendo investigado pela Polícia Federal e pela Polícia Civil de São Paulo. Até o momento, foi autorizado o bloqueio de R$ 270 milhões de uma conta utilizada no esquema. As autoridades apuram crimes como furto mediante fraude, invasão de dispositivos, lavagem de dinheiro e formação de organização criminosa.
A C&M Software é responsável pela infraestrutura de funcionamento do Pix para diversos bancos e tinha permissão para operar contas reservas de clientes no Banco Central. Criminosos conseguiram acessar essas contas e realizar transferências fraudulentas. O banco BMP confirmou ter sido atingido, mas afirmou que recursos de clientes não foram afetados. O Banco Paulista também foi impactado, mas declarou que não houve movimentações indevidas nem comprometimento de dados sensíveis.
Empresa aberta 19 dias antes de desvio no Pix recebeu R$ 45 milhões
