Era pouco depois das 2 horas da manhã do dia 30 de junho de 2025 quando Patrick Dioney Pereira de Morais pegou o celular e começou a filmar. Ele estava num quarto de hotel em Aparecida de Goiânia, no interior de Goiás. Naquele momento, acontecia um dos maiores assaltos da história do sistema financeiro brasileiro.

Nas imagens daquele quarto de hotel, Patrick filmou a si mesmo e os dois homens ao seu lado: Gustavo Morais Souza, conhecido como “Gustavo Soffy”, e Amir Sena Bahmad. Nenhum deles usava máscara. Nenhum carregava arma.

O trabalho deles era olhar para telas, aprovar transações, mover dinheiro. Em outro hotel em Brasília, a poucos metros da residência oficial do presidente da República, pelo menos outros cinco comparsas participavam do crime. Entre eles, Ítalo Jordi Santos Pirineus, conhecido entre os amigos como “Breu do Pix”. Nesse hotel de luxo na capital federal, Ítalo comandava o maior ataque hacker do Brasil até aquele momento. Com seu planejamento, a quadrilha levou R$ 813.793.086,00 (oitocentos e treze milhões de reais) de oito instituições financeiras brasileiras por meio de transferências PIX fraudulentas.

O dinheiro não foi roubado de correntistas comuns. Saiu das chamadas “contas reserva” — contas que os próprios bancos e fintechs mantêm no Banco Central para liquidar as transações do sistema PIX. É parecido com o dinheiro que fica no cofre de um banco tradicional, que naquele momento não pertence a nenhum cliente, mas à própria instituição. Nesse caso, essas contas são os “cofres digitais” do sistema. Todas elas eram gerenciadas por uma empresa de tecnologia que foi o principal alvo do ataque.

Após o roubo, tudo estava planejado. Cinco dias depois do ataque, um jatinho foi fretado para levar parte da quadrilha à Argentina, de onde fugiram para países europeus. Mas Patrick não viajou. Continuou vivendo sua vida de luxo em sua casa em Goiânia.

Ele seria o elo que, apenas 15 dias após o assalto, a Polícia Federal usaria para desmontar todo o esquema.

Logo após o ataque, o Banco Central enviou à Polícia Federal uma planilha com chaves PIX vinculadas a centenas de pessoas e empresas. Usando o sistema do Projeto Tentáculos — uma iniciativa que centraliza e monitora transações bancárias suspeitas em parceria com a Caixa Econômica Federal — os investigadores chegaram a carteiras de moedas digitais.

Nas horas durante o ataque, os maiores operadores de criptomoedas do mundo já registravam movimentações fora do normal na compra de moedas digitais como Bitcoin, Ethereum e USDC. Em uma dessas movimentações, a Polícia Federal identificou US$ 37 milhões que tinham sido movimentados por duas empresas de troca de criptomoedas.

“Muitos dos valores eram direcionados para pessoas que gerenciavam, manuseavam contas, carteiras de criptomoedas. Então, os olhos foram voltados para essas pessoas inicialmente”, explica o dr. Isalino Giacomet, Coordenador de Repressão a Fraudes Bancárias e Eletrônicas da Polícia Federal.

Com esse trabalho de rastreamento e inteligência, em menos de 15 dias após o roubo, a PF já tinha um nome: Patrick Dioney. Ele já era investigado pelo Cyber Gaeco — Núcleo de Crimes Cibernéticos do Ministério Público de São Paulo — justamente por crimes cibernéticos. No dia 15 de julho, a Polícia Federal deflagrou a primeira operação dessa grande investigação e cumpriu os mandados de prisão e de busca e apreensão na residência de Patrick em Goiânia. Com ele, estavam mais de R$ 5 milhões em carteiras de criptomoedas.

Mas foi no trabalho de perícia do celular apreendido que todo o esquema viria a ruir. O celular de Patrick Dioney revelou dois meses de planejamento detalhado do crime. No aparelho, foram encontradas conversas com Ítalo Jordi desde 25 de abril de 2025. Elas mostravam Patrick combinando listas de laranjas, ajustando comissões, testando a capacidade das mesas de câmbio e recebendo o alerta na véspera do crime.

Havia ainda vídeos gravados dentro do hotel na madrugada do ataque, mensagens com outros envolvidos sobre como lavar Bitcoin para evitar rastros e uma das provas mais cruciais: 43 prints de transações enviados por Ítalo Jordi que somavam R$ 155 milhões. Todo o crime estava documentado ali.

Com o avanço da investigação, o núcleo duro da organização revelou três figuras com papéis distintos e complementares.

Ítalo Jordi Santos Pirineus, o “Breu do Pix”, 29 anos, era o maior articulador da operação: coordenou o acesso técnico ao sistema, definiu as datas do ataque, articulou as mesas de câmbio para lavar o dinheiro e fugiu de jatinho para a Argentina cinco dias depois.

Patrick Dioney Pereira de Morais, 38 anos, dono do celular fatal para a investigação, era o operador financeiro central — responsável por receber os criptoativos oriundos da fraude, gerenciar carteiras digitais em múltiplas redes blockchain, recrutar laranjas e coordenar a conversão do dinheiro roubado em ativos com aparência lícita.

Já Henrique Magnavita Lins, o “Russo”, 26 anos, era um dos líderes com poder de mando sobre Patrick: cobrou repasses de valores, articulou transferências internacionais e fugiu num voo comercial de primeira classe para Frankfurt três dias após o crime.

Um segundo grupo era formado pelos executores e operadores da infraestrutura financeira. Gustavo Morais Souza, o “Gustavo Soffy”, 19 anos, controlava a fintech de mesmo nome e recebeu, sozinho, R$ 362,4 milhões da fraude em 95 transações — foi quem “recebeu” a maior parte do dinheiro desviado. Mateus Medeiros Silva, o “Lobo”, 28 anos, coordenava a prestação de contas interna do grupo pelo WhatsApp e exercia pressão sobre os demais com ameaças, monitorando para onde e com quem estava o dinheiro furtado. E Flávio Lima de Brito, 45 anos, operava uma instituição de pagamento usada para escoar parte dos valores, negociava comissões e ficou travado em sucessivos bloqueios durante a execução da fraude.

Segundo o doutor Giacomet, a estrutura criminosa se consolidou por uma divisão de tarefas muito organizada entre os integrantes. “Cada um com sua missão de fazer com que o fruto dos valores obtidos ilicitamente tivesse destino.”

Ainda havia um terceiro grupo que reunia os que deram suporte logístico, facilitaram a fuga e ajudaram a esconder o dinheiro desviado no ataque hacker.

“Dentre esse grupo criminoso, foram identificados envolvidos que já tinham passagens, antecedentes criminais, por fraudes bancárias anteriores. Apesar de serem jovens na sua grande maioria, há registros de crimes anteriores de 5, 6 anos atrás. Vários deles faziam das fraudes, desses ilícitos digitais, o seu modo de vida, o seu estilo de vida, e nunca tinham sido pegos anteriormente”, explica o delegado da Polícia Federal sobre os antecedentes dos integrantes da quadrilha.

Rastrear R$ 813 milhões pulverizados em centenas de contas, convertidos em criptoativos e movimentados por pelo menos quatro países é uma tarefa que parece impossível. Mas a Polícia Federal a fez de forma metódica, usando uma combinação de análise forense digital, inteligência financeira e cooperação internacional.

O celular de Patrick Dioney foi a peça central. A quantidade de material era tão grande que deu origem a pelo menos dez relatórios distintos, cada um analisando um aspecto diferente. O Coaf (Conselho de Controle de Atividades Financeiras) enviou RIFs (Relatórios de Inteligência Financeira) que permitiram rastrear a movimentação de vários investigados. Com esse levantamento, os investigadores da Polícia Federal cruzaram esses dados com informações de carteiras de criptoativos, registros de viagens aéreas, fichas de hotéis e dados cadastrais de empresas.

A Operação Tentáculos centralizou toda a análise das contestações das transações fraudulentas. Nesse trabalho, foram recuperados R$ 186 milhões, conforme confirmado pelo Banco Central até setembro de 2025, três meses depois do crime. Somados os valores em carteiras de criptomoedas e bens apreendidos, o montante recuperado pela investigação chegou a R$ 263 milhões — cerca de 32% do valor desviado.

Para entender como R$ 813 milhões podem ser roubados sem que um único gerente de banco perceba em tempo real, é preciso compreender uma peça do sistema financeiro que a maioria das pessoas jamais ouviu falar: o PSTI — Provedor de Serviços de Tecnologia da Informação.

Quando o Banco Central criou o PIX, em 2020, precisou resolver um problema técnico: nem todo banco e fintech tem infraestrutura própria para se conectar diretamente ao sistema de pagamentos instantâneos. Para isso, passaram a existir empresas intermediárias, os PSTIs, que fazem essa ponte. Elas gerenciam os certificados digitais, os protocolos de comunicação, as mensagens padronizadas. Em linguagem simples: quando um banco menor usa o PIX, quem efetivamente “fala” com o Banco Central, muitas vezes, não é o banco — é o PSTI contratado por ele.

A empresa C&M Software Licenciamento de Sistemas Ltda era um desses PSTIs. Uma empresa pouco conhecida fora do meio técnico, mas que tinha um portfólio extraordinário de clientes: oito das maiores fintechs e bancos médios do país confiavam a ela a conexão com o coração do sistema PIX. Foi exatamente aí que a quadrilha bateu.

De acordo com o relatório de incidente entregue pela própria C&M à Polícia Federal, o sistema da empresa sofreu um ataque cibernético que comprometeu suas credenciais de acesso e seus certificados digitais — os equivalentes digitais das chaves do cofre. Com esses certificados em mãos, quem atacou podia se passar pela empresa junto ao Banco Central, autorizar transações como se fossem legítimas e esvaziar as contas reserva das instituições clientes. O Banco Central confirmou tudo em ofício formal: a C&M foi invadida, as credenciais foram comprometidas e as transferências fraudulentas foram autorizadas pelo próprio sistema. Do ponto de vista técnico, as ordens pareciam completamente legítimas.

“Esta quadrilha identifica a falha, faz os testes. Previamente, ela já tinha definido a forma com que iria desviar os valores. A partir do momento que consegue invadir o sistema, esses valores passam para fintechs e para pessoas físicas e jurídicas que foram utilizadas como meio para que a quadrilha tivesse lucro. Isso não foi algo inusitado, foi algo devidamente planejado para que desse certo”, diz Daniel Leão Bialski, advogado da BMP Money Plus, principal instituição financeira vítima do ataque.

Há ainda um detalhe que os investigadores consideram um dos mais graves da história: há fortes indícios de que a quadrilha teve ajuda de dentro. A própria C&M identificou nas imagens de seus sistemas um funcionário suspeito, João Nazareno Roque, que teria facilitado o acesso e entregado as credenciais aos invasores.

João Nazareno não era um especialista em tecnologia. Era operador de computador júnior. Mas estava num ponto estratégico: tinha acesso direto ao coração operacional da empresa. A quadrilha o identificou da maneira mais analógica possível.

“Ele era um frequentador habitual de um bar. Ali, foi procurado por criminosos interessados no trabalho dele. Sabiam que ele trabalhava nessa empresa, que prestava serviços de forma indireta para o Banco Central. Através de uma proposta, fizeram a primeira oferta, no valor de R$ 5 mil, para que ele apenas fornecesse uma credencial”, explica o delegado Paulo Barbosa, da Divisão de Crimes Cibernéticos da Polícia Civil de São Paulo, que fez a prisão de Nazareno apenas cinco dias após o crime.

Nazareno recebeu R$ 15 mil, no total, pelos atos preparatórios. Havia combinado uma participação maior nos lucros do crime, que nunca foi paga. A Polícia Civil chegou até ele em menos de 36 horas após o ataque.

Segundo o delegado Barbosa, ele ficou surpreso quando foi preso. “Quando chegamos até ele, ele perguntou: ‘Como vocês me encontraram? O que vocês estão fazendo aqui? Alguém me entregou?’ Ele tinha acabado de sair do bar -o mesmo onde foi cooptado.”

Ao todo, oito instituições financeiras clientes da C&M Software tiveram valores desviados. A BMP Money Plus foi a instituição que mais sofreu com o ataque, perdendo R$ 541 milhões.

“Ela só não fechou as portas porque efetivamente conseguiu suportar esse prejuízo e dar continuidade às suas atividades. Não deixou nenhum cliente na mão. Esse dinheiro pertencia à instituição financeira, mas um dinheiro dessa monta levaria qualquer pessoa à falência”, afirma Daniel Bialski, advogado da empresa.

A ousadia da organização criminosa também ficou registrada no celular de Patrick Dioney. A Polícia Federal encontrou uma confissão completa em voz e vídeo.

No aparelho, foram encontrados áudios de Patrick ensinando Magnavita a lavar dinheiro com criptomoedas — especificamente, como apagar o rastro usando moedas digitais completamente sigilosas e sem rastreio, comuns no submundo da internet, a deep web. Em uma conversa, Ítalo Jordi descreveu a infraestrutura técnica montada para o ataque:

Em um vídeo, um dos envolvidos filma uma central com painéis mostrando contas com limites de R$ 100 milhões preparados para receber o dinheiro. O ambiente parecia um escritório normal. As pessoas ao redor não demonstravam nervosismo. Era como se esvaziar R$ 813 milhões fosse mais um dia de expediente. A violência também fazia parte do repertório.

Quando a distribuição do dinheiro gerou disputas internas, um integrante não identificado filmou a fachada do prédio de um dos comparsas e mandou ao grupo com a ameaça: “Se quiser logo que nos estoure os vidros aqui, dá um bocado de tiro aqui, eu fico esperando ele aqui, parceiro.” O “Lobo”, Mateus Medeiros Silva, pressionava Patrick sobre valores retidos no exterior com tom de quem tem poder de vida ou morte sobre o interlocutor: “Se esse dinheiro não voltar de Dubai, você sabe, né.”

“Não eram hackers trocando mensagens educadas. Era uma organização criminosa com hierarquia, cobranças e disposição para o uso da força”, frisou a Polícia Federal no inquérito do caso.

Isso ficou demonstrado também no planejamento da fuga: Henrique Magnavita, o “Russo”, embarcou num assento de primeira classe para Frankfurt três dias após o crime. Mas a maior parte da quadrilha fugiu cinco dias depois do ataque, em um jatinho fretado que decolou de Goiânia para Curitiba e depois para o Aeroporto de San Fernando, na Argentina, levando os nove principais integrantes do grupo.

Alguns chegaram a ficar em Buenos Aires; outros fugiram para a Espanha e para a França. Entre eles, Ítalo Jordi, que chegou a tirar um passaporte de emergência para viajar.

Por quatro meses, os principais fugitivos circularam pela Europa. A Interpol emitiu Difusões Vermelhas — o alerta internacional mais urgente para captura de foragidos. Em 30 de outubro de 2025, a polícia espanhola cumpriu as ordens simultaneamente a uma grande operação deflagrada pela Polícia Federal no Brasil.

A operação que desmantelou a quadrilha foi batizada de Magna Fraus — “grande fraude”, em latim — e foi deflagrada simultaneamente em três países e sete estados brasileiros nos dias 30 e 31 de outubro de 2025, quatro meses após o ataque.

No total, foram cumpridos 42 mandados de busca e apreensão simultâneos e 26 ordens de prisão, sendo nove delas executadas no exterior mediante Difusões Vermelhas da Interpol — na Espanha, na Argentina e no Paraguai. Os mandados de busca autorizavam a apreensão de celulares, laptops, joias, veículos, obras de arte e criptoativos em todos os endereços atingidos, nos estados de SP, GO, DF, MG, SC, PB e BA.

“Em quatro meses de investigação, ao todo, foi possível prender 25 pessoas e sequestrar bens que giram em torno de R$ 150 milhões. Para a gente poder exemplificar esse fenômeno: um dos principais crimes da história do Brasil foi o assalto ao Banco Central, em 2005, quando foram subtraídos R$ 165 milhões em cédulas físicas — o equivalente a 3 toneladas de dinheiro. Nesse crime investigado, os volumes subtraídos chegaram a mais de R$ 800 milhões, de maneira digital, sem que o criminoso precisasse encostar em uma única cédula”, afirmou Giacomet.

E a investigação não parou por aí. Tudo o que foi apreendido está sendo analisado e deve ajudar as autoridades a localizar e identificar o restante dos valores e até identificar outros envolvidos no ataque hacker milionário.

“Impossível fazer essa fraude sem a estrutura que eles montaram para que o desvio fosse feito. A polícia também está investigando qual a real participação das pessoas ligadas a essas fintechs — separar quem de fato foi utilizado pela quadrilha ou quem de fato aderiu a ela. Essas pessoas que aderiram e de alguma forma receberam alguma vantagem também vão ser incluídas em futuras ações penais”, diz Daniel Bialski, advogado da principal instituição financeira vítima do crime.

Uma pergunta natural, diante de tudo isso, é: o meu dinheiro estava em risco? A resposta é: não diretamente.

O ataque não roubou dinheiro de contas de pessoas físicas. O que foi roubado foram as contas reserva que os próprios bancos e fintechs mantêm no Banco Central — o “cofre de liquidez” do sistema, não o saldo do correntista comum.

Mas há um ponto que merece atenção. As fintechs atacadas operam com dinheiro real de clientes reais. Uma perda de R$ 541 milhões numa única instituição de médio porte pode, em tese, comprometer a solvência da empresa e afetar indiretamente quem tem dinheiro depositado lá. O Banco Central não divulgou publicamente como tratou o rombo deixado nas contas reserva das instituições afetadas.

O caso também expôs uma fragilidade preocupante: a concentração de infraestrutura crítica em PSTIs de porte médio — empresas que interligam múltiplas instituições financeiras ao Banco Central, mas que aparentemente podem ter vulnerabilidades sérias em seus sistemas e, o que é talvez mais alarmante, em seus quadros de funcionários.

“Esse caso traz uma lição: não existe sistema inviolável. Mesmo um sistema muito seguro, como o bancário brasileiro, depende de empresas terceiras para infraestrutura. E essas empresas também precisam ser seguras. A prova que se tira desse golpe é que elas não são — ou o compliance falhou ao analisar e cobrar segurança delas. E também que toda fonte de insegurança pode recair na ação de um ser humano que está ali com uma credencial que nem deveria ter”, explica Flávio Filizzola D’Urso, advogado especialista em direito e crimes digitais.

A ideia de que um único funcionário interno, em uma empresa que poucos conhecem, pode desbloquear o acesso a centenas de milhões de reais é o tipo de risco que o Banco Central e as instituições financeiras precisarão analisar e enfrentar para prevenir crimes como esse no futuro.