O que começou como um expediente comum de final de mês transformou-se, na madrugada do dia 30 de junho de 2025, no maior ataque hacker já documentado contra o sistema financeiro brasileiro. O prejuízo, calculado inicialmente em R$ 541 milhões, é resultado de uma fraude altamente sofisticada executada por um grupo criminoso com conhecimento técnico avançado, acesso privilegiado e uso articulado de plataformas bancárias, criptomoedas e empresas de fachada. Entre os alvos da investigação, desponta a fintech Soffy Soluções de Pagamentos, que teria recebido parte expressiva dos recursos desviados, e cujo sócio principal é o empresário campo-grandense Stevan Paz Bastos.
Bastos, de 36 anos, é conhecido na capital sul-mato-grossense por sua atuação no ramo gastronômico e, mais recentemente, como proprietário da Distribuidora Peixe Boi. Sem qualquer histórico na área financeira, surpreendeu ao adquirir a Soffy em maio deste ano, por R$ 1 milhão, pouco mais de um mês antes do crime. O envolvimento da fintech no esquema foi detectado após investigações apontarem que a empresa recebeu ao menos 69 transferências oriundas do golpe — o que equivale a dezenas de milhões de reais, parte dos quais já havia sido transformada em criptomoedas ou redistribuída a diversas contas de terceiros.
Estrutura do crime revela rede organizada e tecnológica
O golpe, segundo apuração da Polícia Civil de São Paulo, foi possível graças ao comprometimento de credenciais de acesso do sistema bancário utilizadas por instituições financeiras de pequeno e médio porte. O responsável por fornecer esse acesso, João Nazareno Roque, técnico de TI da empresa C&M Software, confessou ter vendido seus dados a criminosos por R$ 15 mil. A empresa atua como intermediária entre bancos e o Banco Central e é essencial para o funcionamento da plataforma Pix.
O ataque não se limitou à invasão e execução de transferências. Após o envio dos valores, os criminosos utilizaram uma complexa rede de contas bancárias, empresas de fachada e exchanges de criptomoedas para realizar a chamada “dispersão” — etapa que visa dificultar o rastreamento dos recursos. A Soffy teria atuado neste ponto, servindo como receptora de parte dos valores, que posteriormente foram redirecionados para contas de pessoas físicas e convertidos em ativos digitais como USDT, conhecidos por sua resistência ao rastreamento por órgãos reguladores.
Com a identificação dos movimentos, o banco BMP, um dos mais afetados, solicitou judicialmente o bloqueio das contas envolvidas. A Justiça determinou o congelamento imediato de R$ 270 milhões depositados em nome da Soffy — um valor inédito para bloqueio judicial relacionado a crimes financeiros digitais no Brasil.
De cozinheiro a investigado em megafraude
A trajetória de Stevan Paz Bastos é marcada por reviravoltas. Atuando entre 2015 e 2020 como cozinheiro em bares e restaurantes de Campo Grande, ele abriu, em 2018, a Distribuidora Peixe Boi, empresa voltada ao fornecimento de bebidas e alimentos. A repentina entrada no setor financeiro e aquisição de uma fintech instalada em São Paulo por valor expressivo, levantou suspeitas entre os investigadores.
Embora ainda não haja acusação formal contra Bastos, seu nome aparece em documentos da Junta Comercial e no contrato social da empresa como único sócio após a transação de compra. Os investigadores trabalham agora para entender o grau de envolvimento do empresário no crime. Até o momento, ele não se manifestou sobre o caso. Reportagens da imprensa nacional, como do portal Metrópoles, tentaram contato, sem retorno.
Impacto institucional e alerta à segurança do sistema financeiro
O crime expõe não apenas a fragilidade das integrações bancárias digitais, mas também a dificuldade de fiscalização sobre o crescente universo das fintechs no Brasil. Muitas dessas empresas operam sem estruturas robustas de compliance ou controle interno, tornando-se alvos ou veículos para a atuação de organizações criminosas.
O uso de criptomoedas no escoamento dos valores roubados levanta outra questão crítica: a necessidade de regulamentação mais rígida do setor de ativos digitais. As exchanges, mesmo com mecanismos de segurança e verificação, ainda enfrentam limitações legais que dificultam a cooperação imediata com autoridades judiciais e policiais em investigações urgentes.
Autoridades do Ministério Público, do Banco Central, da Receita Federal e da Polícia Federal estão agora envolvidas no esforço conjunto para rastrear a cadeia de transferências e identificar todos os beneficiários finais dos recursos desviados. Novas quebras de sigilo bancário, fiscal e telemático foram autorizadas judicialmente, e outras empresas e pessoas físicas devem ser incluídas no inquérito nos próximos dias.
O futuro da segurança bancária digital
O ataque de junho de 2025 já figura entre os maiores da história em termos de prejuízo financeiro direto e volume de dados comprometidos. Para especialistas em segurança da informação e economia digital, o caso representa um divisor de águas. A estrutura do sistema financeiro brasileiro, considerada uma das mais avançadas do mundo com a criação do Pix e a implementação de Open Banking, mostrou-se vulnerável quando não acompanhada por medidas de fiscalização, governança e formação de pessoal técnico especializado.
Enquanto a apuração avança, o caso se transforma também em símbolo das novas ameaças da era digital. Golpes antes possíveis apenas em fraudes físicas ou em pequenas escalas, agora se concretizam em minutos, movimentando centenas de milhões com poucos cliques, e exigindo do Estado capacidade tecnológica compatível com a audácia dos criminosos.
A investigação segue em curso, e a sociedade brasileira aguarda respostas. Mais do que culpados, o país cobra garantias de que o sistema não voltará a ser alvo fácil de quadrilhas digitais.
#MegaFraudeFinanceira #CampoGrandeEFintech #CrimeDigitalNoBrasil #AtaqueMilionárioViaPix #FraudeComCriptomoedas #SistemaFinanceiroEmAlerta #FintechEmInvestigação #JustiçaFinanceiraJá #CorrupçãoDigital #GolpeDoSéculo #BrasilContraOCrimeCibernético #SegurançaBancáriaUrgente
