Desarticulação de Fraude de R$ 813 Milhões na 2ª Fase da Operação Magna Fraus

I. Resumo Executivo e Conclusões Estratégicas

I.I. Impacto Imediato da 2ª Fase da Operação Magna Fraus (30/10/2025)

A Polícia Federal (PF), em conjunto com o Ministério Público de São Paulo (MPSP), por intermédio do CyberGAECO, deflagrou a segunda fase da Operação Magna Fraus nesta quinta-feira, 30 de Outubro de 2025, visando a desarticulação de um sofisticado grupo criminoso especializado em fraudes contra o Sistema Financeiro Nacional (SFN).¹ Esta fase representa uma ofensiva coordenada de grande escala, que se estendeu por 11 cidades em 7 estados brasileiros—incluindo epicentros como São Paulo, Brasília, e Goiânia—e contou com apoio policial internacional.²

O esforço resultou no cumprimento de 42 mandados de busca e apreensão e na efetivação de 26 prisões. Destas, 19 foram em caráter preventivo e 7 em caráter temporário.⁴ A alta proporção de prisões preventivas sinaliza que as autoridades consideram a maioria dos detidos peças centrais e duradouras na estrutura da Organização Criminosa, justificando a necessidade de custódia para garantir a ordem pública e o prosseguimento das investigações.⁴

I.II. Síntese do Desvio Financeiro e da Estrutura Criminosa

A investigação confirmou que o esquema resultou no desvio de um montante superior a R$ 813 milhões.³ Este valor qualifica o evento como o maior ataque cibernético já registrado contra o sistema financeiro brasileiro.⁷ A análise da metodologia da fraude é crucial: o alvo dos invasores não foram as contas de clientes finais do PIX, mas sim "contas usadas por bancos e instituições de pagamento para administrar transferências PIX de seus clientes".⁶ Esta natureza institucional do ataque indica que o exploit mirou vulnerabilidades na cadeia de suprimentos B2B (Business-to-Business) do sistema de pagamentos.

I.III. Destaques sobre o Rastreamento de Criptoativos e Recuperação Patrimonial

Em resposta à magnitude do desvio, o Poder Judiciário decretou medidas de bloqueio de bens e valores dos investigados, totalizando até R$ 640 milhões.³ A investigação destacou-se pela utilização de asset tracing digital avançado, uma vez que a quadrilha se utilizava de criptoativos para ocultar e dissimular a origem dos fundos.² Até o momento, a estratégia de rastreamento se mostrou robusta, culminando na recuperação e alienação de aproximadamente R$ 12 milhões em criptoativos, com os valores depositados em conta judicial.² Esse resultado é um marco significativo no combate à lavagem digital no país.

II. Contextualização da Fraude: O Ataque ao Sistema Financeiro (R$ 813 Milhões)

II.I. Definição da Operação Magna Fraus e a Parceria PF/MPSP CyberGAECO

A Operação Magna Fraus foi concebida para desmantelar um complexo esquema de fraude e lavagem de dinheiro que utilizava invasão de dispositivos eletrônicos e transferências via PIX.⁸ A primeira fase da operação foi deflagrada em Janeiro, resultando na apreensão inicial de R$ 5,5 milhões, focada na lavagem de dinheiro.⁸ A segunda fase, lançada em Outubro, teve o objetivo de capturar os operadores logísticos e financeiros da organização.²

A complexidade e a abrangência jurisdicional da fraude exigiram a formação de uma força-tarefa altamente especializada. A colaboração entre a Polícia Federal e o CyberGAECO do Ministério Público de São Paulo ¹, juntamente com o Ministério Público do Rio de Janeiro e a Polícia Civil do Distrito Federal ⁷, evidencia a necessidade de expertise legal e forense especializada em crimes cibernéticos. Essa cooperação multijurisdicional foi fundamental para lidar com a natureza sofisticada da fraude e a conversão de ativos em criptomoedas.

II.II. A Escala do Desvio: Análise do Valor Total Furtado (R$ 813 Milhões) versus Bloqueio Judicial (R$ 640 Milhões)

O valor total do prejuízo apurado pelas investigações, proveniente de fraudes e invasões de dispositivos eletrônicos, é de mais de R$ 813 milhões.³ Em contrapartida, o Poder Judiciário decretou o bloqueio de bens e valores dos investigados na ordem de até R$ 640 milhões.³

A diferença de, no mínimo, R$ 173 milhões entre o valor desviado e o valor máximo bloqueado ilustra uma característica crítica das fraudes financeiras de alta velocidade. Essa lacuna patrimonial sugere que os criminosos conseguiram consumir ou dispersar uma parte significativa dos recursos de forma irrecuperável antes que as ordens judiciais de bloqueio fossem executadas. Isso significa que a velocidade da lavagem digital superou a capacidade de resposta judicial e policial inicial. Essa observação reforça a importância de aprimorar os mecanismos regulatórios e técnicos de comunicação em tempo real para o congelamento imediato de grandes volumes ilícitos em contas de câmbio ou exchanges, garantindo a eficácia máxima da recuperação de ativos.

II.III. O Alvo Institucional: Fraude Contra Contas de Gerenciamento de Transferências PIX de Clientes

O modus operandi da quadrilha não consistiu em ataques diretos a clientes finais, mas sim na exploração de vulnerabilidades em entidades que atuam como intermediárias críticas no sistema.⁶ A PF apurou que o dinheiro foi desviado de "contas usadas por bancos e instituições de pagamento para administrar transferências PIX de seus clientes".⁶

Este tipo de ataque, que visa a infraestrutura periférica de instituições financeiras (IFs) e Instituições de Pagamento (IPs), expõe uma vulnerabilidade de terceirização (risco B2B) na cadeia de suprimentos do PIX. O sistema do Banco Central (BC) se manteve seguro em sua arquitetura central; contudo, a falha de segurança operacional em terceiros permitiu o acesso e o desvio maciço de contas institucionais. A magnitude do desvio demonstra que as falhas na gestão de credenciais e no controle de acesso de terceirizados podem gerar perdas que superam as grandes fraudes de varejo, exigindo um foco regulatório maciço em Gestão de Risco de Terceiros (TPRM) e Due Diligence cibernética em todo o ecossistema de pagamentos.

III. Dissecação do Modus Operandi Cibernético

III.I. O Ponto de Entrada: A Invasão da C&M Software

A investigação aponta que o vetor de ataque crítico foi a invasão do sistema da C&M Software.⁷ Esta empresa atua como prestadora de serviços, sendo responsável por "interligar bancos menores ao Banco Central".⁷ Essa função posiciona a C&M como um gateway de acesso institucional, tornando-a um Ponto Único de Falha (SPOF) cujo comprometimento poderia, e de fato permitiu, o acesso a múltiplas instituições financeiras simultaneamente.

O sucesso da quadrilha em desviar centenas de milhões de reais dependeu exatamente da capacidade de comprometer essa entidade crítica. Isso expõe um risco sistêmico no modelo de terceirização e agregação de serviços de pagamento, onde a segurança da infraestrutura de liquidez de várias IFs fica concentrada e dependente da resiliência cibernética de um único fornecedor de tecnologia.

III.II. Vulnerabilidade de Terceirizados e a Gestão de Acesso Institucional ao PIX

A C&M Software informou publicamente que foi vítima de uma ação criminosa que envolveu o "uso indevido de credenciais de clientes em tentativas de acesso fraudulento".⁹ Pelo menos R$ 100 milhões foram subtraídos nos estágios iniciais desse ataque.¹⁰ O uso indevido de credenciais sugere que a invasão pode ter explorado falhas na Gestão de Identidade e Acesso (IAM), possivelmente por meio de phishing direcionado (Spear Phishing) ou engenharia social para obter informações sensíveis de algum usuário privilegiado.¹¹

Em resposta ao incidente, o Banco Central (BC) agiu cautelarmente, ordenando inicialmente a suspensão integral dos serviços PIX da C&M e, posteriormente, autorizando o restabelecimento sob "regime de produção controlada".⁹ Além disso, pelo menos seis instituições, incluindo a BMP, relataram ter sofrido acesso não autorizado às suas contas reserva.⁹ O incidente forçou o BC a suspender três instituições do PIX para proteger a integridade do sistema.¹³

III.III. Tipologia do Crime: Furto Mediante Fraude Eletrônica vs. Invasão de Dispositivo Informático

Os investigados estão sendo indiciados por um conjunto de crimes que refletem a complexidade técnica e organizada do esquema: Organização Criminosa, Invasão de Dispositivo Informático, Furto Mediante Fraude Eletrônica e Lavagem de Dinheiro.⁴

A acusação de "Furto Mediante Fraude Eletrônica" (Art. 155, § 4º-B, do Código Penal) é particularmente relevante. Ela define a subtração patrimonial sem violência física, utilizando meios eletrônicos para enganar o sistema e burlar a vigilância, o que se enquadra precisamente no desvio de fundos institucionais via PIX.⁶ A "Invasão de Dispositivo Informático" (Art. 154-A, CP) configura o meio utilizado para a obtenção das credenciais. O caso Magna Fraus servirá como um divisor de águas na jurisprudência brasileira, solidificando a aplicação cumulativa destas tipificações penais para ataques sofisticados a infraestruturas B2B. O reconhecimento da elevada lesividade social e econômica desses crimes cibernéticos organizados reforça a capacidade do Estado de aplicar penas severas.

IV. Ações de Cumprimento e Repressão (Fase II)

IV.I. Detalhamento dos Mandados e Distribuição Geográfica

A segunda fase da Operação Magna Fraus demonstrou uma capacidade logística de repressão coordenada em larga escala. Foram cumpridos 42 mandados de busca e apreensão e 26 mandados de prisão.² A operação abrangeu 11 cidades em 7 estados: Goiás (Goiânia), Distrito Federal (Brasília), Santa Catarina (Itajaí, Balneário Camboriú), São Paulo (São Paulo, Praia Grande), Minas Gerais (Belo Horizonte, Betim, Uberlândia), Paraíba (João Pessoa) e Bahia (Camaçari).⁴ Essa dispersão geográfica dos mandados no Brasil confirma que a Organização Criminosa utilizava tentáculos logísticos e financeiros em diversos centros regionais para movimentar os fundos desviados.

IV.II. Análise das Prisões e Classificação Legal

Dos 26 mandados de prisão, 19 são preventivos e 7 temporários.⁴ Os alvos da operação incluem os hackers responsáveis pela invasão da C&M Software, os operadores responsáveis pela lavagem digital e os indivíduos que cederam contas bancárias para movimentar o dinheiro (mulas financeiras).⁷

A investigação demonstrou maturidade ao priorizar o desmantelamento da liderança financeira da organização. A prisão de figuras-chave responsáveis pela ocultação dos ativos é mais difícil de substituir do que a captura dos executores técnicos.

IV.III. Estratégia de Cooperação Policial Internacional (Interpol)

A natureza transnacional da lavagem de dinheiro exigiu uma coordenação policial internacional extensa. As prisões foram executadas simultaneamente no exterior com o apoio da Interpol, da Brigada Central de Fraudes Informáticos da Polícia Nacional da Espanha, e de autoridades policiais da Argentina e de Portugal.¹

O envolvimento da Brigada Central de Fraudes Informáticos da Espanha ⁴ é notável, sugerindo que o fluxo de lavagem de dinheiro para a Europa e a ocultação de ativos digitais naquela jurisdição foram pontos centrais da investigação internacional. A rota internacional de lavagem e a localização de operadores-chave na Europa e na América do Sul confirma que a organização possui uma estrutura especializada para i) cometer o ciberataque, ii) converter o lucro em criptoativos, e iii) realizar a lavagem em jurisdições favoráveis.

IV.IV. Perfis Chave Capturados e Foragidos

Entre os detidos no exterior, destaca-se Ítalo Jordi Santos Pirineus, conhecido como "Breu", preso na Espanha.⁷ "Breu" é apontado como o intermediário crucial entre os hackers e os operadores responsáveis por lavar o dinheiro roubado por meio de criptomoedas.⁷ Sua prisão é estratégica para desarticular a camada de off-ramping digital da quadrilha.

Adicionalmente, Patrick Zanquetim foi identificado como suspeito de movimentar mais de R$ 200 milhões em ativos virtuais.⁷ Um foragido identificado é Gabriel Bernardes Ferreira, com suspeita de estar na Alemanha.⁷

Os dados logísticos da operação estão resumidos a seguir.

Tabela 1: Execução Operacional da 2ª Fase (30/10/2025)

Tipo de Ação	Quantidade	Detalhes/Contexto
Mandados de Prisão	26	19 Preventivas e 7 Temporárias 4
Mandados de Busca e Apreensão	42	Cumpridos em 11 cidades de 7 estados [2, 4]
Jurisdições Internacionais	3	Espanha (prisão de Breu), Argentina e Portugal (Apoio Interpol) 1
Principais Apreensões	Diversas	Veículos de luxo, joias, armas, munições, computadores e criptomoedas 2

V. O Rastreamento e a Complexidade da Lavagem de Dinheiro Digital

V.I. O Papel Central dos Criptoativos na Ocultação e Dissimulação de Valores Ilícitos

A Organização Criminosa utilizou "técnicas avançadas de negociação de criptoativos" para ocultar e dissimular a origem e a titularidade dos mais de R$ 813 milhões ilícitos, com o objetivo claro de dificultar sua rastreabilidade.¹ A instantaneidade do PIX, utilizada para desviar o dinheiro, foi imediatamente seguida pela conversão em ativos virtuais, que, devido à natureza transfronteiriça e, em alguns casos, anônima, anularam as vantagens da transparência inerentes ao sistema de pagamentos brasileiro.

A função especializada de intermediários como "Breu" ⁷ ilustra que a lavagem de R$ 813 milhões exigiu um sistema profissional, possivelmente utilizando mixers de criptoativos ou plataformas P2P (peer-to-peer) internacionais para fragmentar e quebrar o rastro do dinheiro original.

V.II. Detalhamento da Recuperação de Ativos: Apreensões e Alienação

O esforço de rastreamento de ativos (asset tracing) demonstrou eficácia. Na primeira fase da Operação Magna Fraus, foram apreendidos R$ 5,5 milhões.⁸ Na segunda fase, o CyberGAECO conseguiu apreender cerca de R$ 1 milhão em criptoativos até o momento.²

Um avanço significativo foi a capacidade da força-tarefa de localizar a chave privada de acesso a criptomoedas vinculadas ao grupo, um passo técnico que permitiu a transferência segura dos recursos para a custódia do Ministério Público paulista.² Esse procedimento culminou na recuperação e alienação de cerca de R$ 12 milhões em criptoativos, sendo que R$ 1 milhão desse total já foi convertido em reais.² Além dos ativos digitais, foram apreendidos diversos veículos de luxo e joias.² A apreensão desses bens representa a fase de integração da lavagem, na qual os lucros ilícitos são reintroduzidos na economia legal por meio de bens duráveis.

A capacidade de localizar a chave privada e realizar a transferência para custódia judicial estabelece um precedente legal e operacional robusto para a apreensão e alienação de ativos virtuais no Brasil. Isso valida o investimento em ferramentas de blockchain analytics para o monitoramento de transações suspeitas e confirma que, mesmo diante da sofisticação da lavagem via cripto, a inteligência forense pode garantir a rastreabilidade on-chain.

Os dados financeiros de recuperação e bloqueio estão consolidados abaixo.

Tabela 2: Status da Recuperação e Bloqueio de Ativos (Magna Fraus Fases 1 e 2)

Métrica Financeira	Valor (R$)	Status/Contexto
Valor Total Desviado (Estimado)	> R$ 813 milhões	Maior ataque cibernético contra o SFN [6, 7]
Valor Máximo Bloqueado Judicialmente	R$ 640 milhões	Bens e valores sob ordem de indisponibilidade judicial 3
Valor Apreendido na 1ª Fase	R$ 5,5 milhões	Apreensões iniciais em bens e cripto 8
Criptoativos Totais Alienados e em Custódia	R$ 12 milhões	Recuperação obtida pela localização de chaves privadas, depositado em conta judicial 2

VI. Implicações Legais e o Quadro Punitivo

VI.I. Análise da Aplicação dos Crimes de Organização Criminosa, Fraude Eletrônica e Lavagem de Dinheiro

O indiciamento dos investigados sob os crimes de Organização Criminosa, Invasão de Dispositivo Informático, Furto Mediante Fraude Eletrônica e Lavagem de Dinheiro demonstra o compromisso do Estado em aplicar o quadro legal completo para reprimir a criminalidade cibernética organizada.⁴ A acusação de Organização Criminosa é sustentada pela divisão estruturada de tarefas (execução, conversão e lavagem) e pela abrangência multinacional da quadrilha.⁷

A Lavagem de Dinheiro é configurada pela utilização de "técnicas avançadas de negociação de criptoativos" ² para dissimular a origem dos R$ 813 milhões, abrangendo a fase de colocação (desvio inicial), ocultação (criptoativos) e integração (bens de luxo).

VI.II. Jurisdição e Processamento: A Atuação da Vara Criminal Especializada em São Paulo

Os valores recuperados (R$ 12 milhões alienados) foram depositados em conta judicial à disposição da 1ª Vara Criminal Especializada em Crimes Tributários, Organização Criminosa e Lavagem de Bens e Valores de São Paulo.² A centralização do processo em uma vara com essa expertise especializada é fundamental para lidar com a natureza complexa, a prova digital volumosa e as solicitações de cooperação jurídica internacional exigidas pelo caso.

A concentração do conhecimento técnico e financeiro nesta Vara especializada aumenta a probabilidade de um processamento legal eficiente e de sentenças que reflitam a gravidade dos crimes financeiros cibernéticos.

VI.III. O Bloqueio de R$ 640 Milhões: Fundamentos Legais e Desafios para a Indisponibilidade Patrimonial

O bloqueio judicial de até R$ 640 milhões tem como principal fundamento garantir o ressarcimento às instituições financeiras lesadas e possibilitar o perdimento de bens em favor da União. Mesmo que a recuperação imediata em criptoativos seja de R$ 12 milhões, o bloqueio substancial de ativos tradicionais (imóveis, contas bancárias) é uma medida de Indisponibilidade Patrimonial prevista na Lei de Lavagem de Dinheiro.

Essa estratégia legal permite que o patrimônio de um investigado seja atingido com base na forte suspeita de conexão com o crime, mesmo que a prova da rastreabilidade direta (link entre o PIX e o bem) seja complexa. Este bloqueio massivo demonstra a eficácia dos instrumentos de repressão patrimonial no combate a fraudes de grande porte.

VII. Consequências Regulatórias e Recomendações Estratégicas

VII.I. Resposta do Banco Central: Suspensão Cautelar de Operações PIX e Reforço de Controles

A resposta regulatória do Banco Central foi imediata e enfática, evidenciando a seriedade do ataque à integridade do sistema de pagamentos. O BC suspendeu cautelarmente os serviços PIX da C&M Software ¹² e, posteriormente, suspendeu três instituições do arranjo PIX.¹³

As ações regulatórias não se configuram como meras punições, mas sim como medidas cautelares vitais para "proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo" ¹³, até que as vulnerabilidades fossem sanadas. Essa postura indica que, para o BC, a segurança do sistema PIX é agora intrinsecamente ligada à resiliência cibernética dos terceirizados. O regulador está sinalizando que as entidades que fornecem infraestrutura crítica, independentemente de serem IFs regulamentadas, deverão cumprir padrões de segurança equivalentes aos exigidos das próprias instituições.

VII.II. Lições Aprendidas sobre a Segurança da Cadeia de Suprimentos do Sistema de Pagamentos

A fraude de R$ 813 milhões demonstrou que a segurança do sistema PIX é tão forte quanto o elo mais fraco de seus parceiros de infraestrutura crítica. O ponto de falha central foi a gestão inadequada de credenciais de clientes ⁹ e o acesso privilegiado em ambientes B2B.

A principal conclusão para as Instituições Financeiras e de Pagamento é que o risco mais significativo não reside em falhas no protocolo do PIX, mas em falhas de segurança operacional e de gestão de risco em seus Technology Providers (TPPs). O fato de o ataque ter explorado um único gateway (C&M) para alcançar múltiplas instituições confirma o risco elevado de um Ponto Único de Falha (SPOF) no modelo de agregação de serviços.

VII.III. Recomendações de Aprimoramento de Controles Internos

Em virtude do cenário exposto pela Operação Magna Fraus, é imperativo que as instituições financeiras e de pagamento implementem as seguintes medidas estratégicas para mitigar riscos de ataques de cadeia de suprimentos cibernética:

1. Reforço do Third-Party Risk Management (TPRM): Reavaliação imediata e aprofundada dos protocolos de segurança de todos os Technology Providers que detêm acesso à infraestrutura de liquidez (contas reserva) ou de processamento de transações do PIX. Essa due diligence deve incluir auditorias de segurança cibernética independentes e contínuas.

2. Gestão de Identidade e Acesso (IAM): Implementação rigorosa de políticas de Mínimo Privilégio (Least Privilege) e de Confiança Zero (Zero Trust), especialmente para credenciais utilizadas por sistemas terceirizados para acessar contas institucionais. A autenticação multifator (MFA) deve ser obrigatória para todos os acessos privilegiados B2B.

3. Monitoramento Transacional Avançado: Desenvolvimento de modelos de machine learning focado em detectar padrões de transação anômalos em contas institucionais (não apenas de varejo). Estes modelos devem ser capazes de identificar picos de volume ou desvios imediatos para endereços de exchanges de criptoativos não listadas ou de alto risco, permitindo a intervenção em milissegundos.

4. Protocolo de Resposta a Incidentes Institucionais (MED Institucional): O sistema financeiro deve pressionar pelo estabelecimento de um protocolo de Comunicação de Incidentes de Segurança Cibernética (CSIRT) de nível 1, de acionamento ultrarrápido, adaptado para fraudes institucionais de alto volume. Esse protocolo deve facilitar o congelamento judicial imediato de grandes somas em contas de liquidez ou câmbio, permitindo que a ação policial e judicial alcance os fundos antes que sejam completamente convertidos e dispersos internacionalmente.