O ex-cozinheiro de Campo Grande Stevan Paz Bastos é o dono da Soffy Soluções de Pagamentos, que recebeu valores milionários desviados em ataque hacker à empresa de tecnologia C&M Software, que conecta instituições financeiras aos sistemas do Banco Central.
Natural do Rio Grande do Sul, ele fez carreira trabalhando como chef de cozinha na capital de Mato Grosso do Sul. De acordo com informações disponíveis no LinkedIN, no perfil de Stevan Paes Bastos, conta que ele se graduou em contabilidade em uma universidade de Campo Grande, onde estudou de 2005 a 2010, e depois como chef de cozinha no Senac-MS.
Nas experiências profissionais, ele foi auxiliar administrativo, comerciante, cozinheiro e chef de cozinha em empresas da Capital e também do interior do Estado, atuando em vários restaurantes de 2015 a 2020.
Ele nunca foi ligado a instituições financeiras até assumir a fintech, fundada há cinco anos e com sede na Avenida Paulista, em São Paulo, que teve 270 milhões de reais bloqueados nesta semana. No registro, consta que a companhia tem um capital social de R$ 1 milhão e conta com Stevan Paz Bastos como sócio-administrador.
O bloqueio é referente ao valor desviado do banco BMP no ataque hacker, onde a Soffy Soluções de Pagamentos é suspeita de receber o dinheiro, o banco teve um prejuízo estimado em R$ 541 milhões com a invasão à C&M.
A empresa do ex-chef de MS é uma das seis instituições que foram suspensas pelo Banco Central (BC) do arranjo do Pix após o caso.
Conforme informações divulgadas pelo Valor Econômico, desde 13 de junho deste ano, a fintech foi alvo de 13 processos cíveis relacionados a outras fraudes do Pix, pedindo responsabilização por omissão em relação a pedidos para bloquear e devolver quantias desviadas nos golpes.
Em nenhum dos processos, a Soffy indicou advogado ou apresentou defesa. A fintech também não respondeu ao pedido de posicionamento da reportagem.
Ataque hacker
O ataque hacker a C&M Software ocorreu na noite de terça-feira (1º), que resultou no desvio de, ao menos, R$ 800 milhões, sendo considerado um dos maiores já registrados no sistema financeiro do País.
A ação criminosa prejudicou pelo menos seis instituições financeiras, como a BMP, a Credsystem e o Banco Paulista.
A empresa presta serviços de tecnologia para instituições financeiras de pequeno porte, que não têm meios de conexão próprios.
Algumas organizações, como os grandes bancos, conseguem se conectar diretamente com o Sistema de Pagamentos Brasileiro (SPB) – o regulador do BC para as transações brasileiras -, mas outras dependem de intermediários, como a C&M, para viabilizar essa integração.
A C&M afirmou que foi vítima de uma “ação criminosa externa”, originada a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas.
“Não houve invasão direta aos sistemas da CMSW. Os sistemas críticos seguem íntegros e operacionais”, disse a empresa.
Segundo a prestadora de serviços, o ataque foi executado a partir de uma simulação fraudulenta de integração, em que um terceiro usou as credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.
A empresa afirma, ainda, que algumas funcionalidades do “Corner”, o seu sistema de integração para a infraestrutura de pagamentos, ajudam a evitar esse tipo de incidente, mas que seus clientes têm autonomia para não usar todos os seguranças.
A C&M ainda diz que monitora o funcionamento técnico e os acessos à sua infraestrutura, mas que a responsabilidade pelo uso das credenciais é das instituições que as detêm.
Logo após ser informado do episódio, o Banco Central determinou que a C&M desligasse o acesso das instituições às suas infraestruturas. Com isso, algumas das empresas afetadas ficam sem acesso ao Pix, por exemplo, que foi restabelecido na última quinta-feira (3).
O crime é investigado tanto pelo próprio BC quanto pelas polícias Civil de São Paulo e Federal. A C&M afirmou que está colaborando ativamente e que respeitará o sigilo das investigações em curso.
A prestadora de serviços diz ainda que contratou uma auditoria externa independente para avaliar, reforçar e certificar seus controles de segurança e que pretende intensificar as revisões internas de governança e arquitetura para evitar novos incidentes.