Início Reportagens exclusivas

OUTRO LADO

Soffy diz que R$ 50 milhões dos R$ 270 milhões desviados da BMP por hackers foram bloqueados

Em entrevista exclusiva ao Finsiders Brasil, Stevan Bastos diz que comprou a empresa para atuar como 'gateway' de pagamentos para seus clientes

Stevan Bastos/Soffy
Stevan Bastos/Soffy | Imagem: print de tela

Como uma empresa pequena, com apenas dez clientes e dois meses de atividades vai parar nas manchetes dos sites de notícias do dia para a noite?

Parte da “engrenagem” do Pix, a Soffy Soluções de Pagamento foi uma das empresas pelas quais passaram o dinheiro desviado da BMP, uma fintech de Banking as a Service (BaaS), no maior ataque hacker da história do Brasil que veio à tona em 30/6. Ao todo, segundo a própria BMP, os criminosos sacaram indevidamente quase R$ 600 milhões; desse total, R$ 270 milhões foram parar na Soffy. E dessa quantia, R$ 50 milhões teriam sido bloqueados até agora.

Stevan Bastos, um empresário com vários negócios no Mato Grosso do Sul, comprou a Soffy em janeiro. Mas recebeu homologação para atuar como gateway de pagamentos e participante indireto do Pix somente em maio, segundo disse ele em entrevista exclusiva ao Finsiders Brasil em 8/7. No dia 3/7, a Soffy foi suspensa do ambiente do Pix.

Oportunidade ‘caiu no colo’

QI Tech

Stevan afirmou que é consultor de empresas de diversos setores, entre eles de vendas online. Formado em Contabilidade, nunca havia se aventurado pelo segmento financeiro – entre os seus negócios estavam empresas de eventos gastronômicos e uma distribuidora de pescados que, segundo ele, chegou a faturar R$ 500 mil por mês em 2018.

O empresário não revelou quanto pagou pela Soffy, mas disse ter todas as informações e comprovantes para enviar ao BC quando solicitado.

Dos dez clientes atuais da Soffy, metade são do segmento de e-commerce. “Um desses clientes me pediu para encontrar uma empresa parceira para prestar serviços de pagamentos para seu negócio”, disse. “A oportunidade de comprar a Soffy, que foi devolvida ao fundador Guilherme Freitas pelo comprador anterior devido a desavenças comerciais, caiu no meu colo. Decidi comprar e transformá-la em um gateway de pagamentos para prestar serviços a meus clientes de vendas online“.

Leia também

Para isso, porém, precisava da homologação do BC. Segundo Stevan, o trato com Guilherme somente se confirmou depois que a Soffy recebeu a homologação. (Antes da venda, a Soffy operava por meio da BMB Instituição de Pagamento, de Rodrigo de Freitas – irmão de Guilherme.)

Clientes de BaaS

Segundo Stevan, esse dinheiro, por sua vez, teria chegada às contas de dois clientes de BaaS da Soffy por meio da Sociedade de Crédito Direto (SCD) Delcred, participante direta do Pix, e depois transferido a outras 69 contas em 52 diferentes instituições. Ele disse que acionou o Mecanismo Especial de Devolução (MED) do Pix assim que identificou as movimentações suspeitas.

Os R$ 50 milhões bloqueados, conforme informado por algumas dessas 52 instituições, ainda não retornaram à Soffy. “Não podemos receber de volta e devolver às contas originais pois o BC nos desligou do sistema Pix. Em breve teremos uma reunião com eles para resolver isso”, afirmou. Stevan diz que entrou em contato com todas as instituições para onde o dinheiro foi, mas que até agora nem todas responderam se e quanto bloquearam os valores.

Nota oficial

Perguntado se esses clientes de BaaS estariam diretamente ligados aos hackers que cometeram o desvio, Stevan disse que é impossível saber. Ele ainda garantiu que, do que saiu da Soffy, nada foi convertido em criptomoedas, hipótese que vem sendo levantada pelas investigações.

Stevan concorda, porém, que é preciso rever e reforçar a segurança, bem como os gatilhos de alerta para movimentações suspeitas. Em sua defesa, ele lembra que a Soffy ainda é um novíssimo entrante – e a atenção deveria ser redobrada nas instituições maiores e mais antigas.

Em seu site, a empresa publicou uma nota no último dia 7/7 sobre o incidente, informando as ações que implementou “de forma imediata”.

Clique aqui para ler a nota
  • Contato imediato com a instituição envolvida: Assim que identificamos as transações suspeitas, entramos em contato com a BMP Money Plus, informando sobre o ocorrido.
  • Abertura de MED em cadeia: Procedemos com a abertura de solicitações no Mecanismo Especial de Devolução (MED) para todas as instituições envolvidas, buscando o bloqueio e retorno dos recursos desviados.
  • Bloqueio e contenção: As contas diretamente envolvidas foram prontamente bloqueadas e os fluxos operacionais afetados foram suspensos preventivamente.
  • Colaboração com instituições e recuperação de valores: Algumas das instituições receptoras conseguiram realizar o bloqueio dos valores ainda em trânsito, o que pode viabilizar a restituição parcial dos recursos. Para isso, estamos em contato com o Banco Central do Brasil, buscando instruções formais sobre como essas instituições poderão proceder com as devoluções por meio da mensagem STR0004, de forma segura e rastreável.
  • Ações legais e judiciais: Medidas jurídicas estão em curso visando à responsabilização dos envolvidos e à recuperação dos recursos.
  • Auditoria independente: Contratamos uma auditoria externa especializada para revisão dos controles internos e reforço dos mecanismos de segurança e conformidade regulatória.
Assuntos

Mais Notícias

Mais artigos

Nós usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência em nossos serviços, personalizar publicidade e recomendar conteúdo de seu interesse. Ao utilizar nossos serviços, você está ciente dessa funcionalidade. e