Relatório Final

MJSP - POLÍCIA FEDERAL
DIRETORIA DE INTELIGÊNCIA POLICIAL

COORDENAÇÃO-GERAL DE INTELIGÊNCIA
Divisão de Contrainteligência Policial
À SUA EXCELÊNCIA O SR. JUIZ FEDERAL DA 10ª VARA DA SEÇÃO JUDICIÁRIA DO

DISTRITO FEDERAL
Referência: Inquérito Policial nº 02/2019-7/DICINT/CGI/DIP/PF

Processo PJE nº 1015706-59.2019.4.01.3400
RELATÓRIO
1 - OBJETO DO INQUÉRITO
O presente Inquérito Policial foi inicialmente instaurado com o objetivo de

apurar a aparente clonagem do telefone celular nº (041)99944-4140/TIM, que era utilizado pelo
Sr. Ministro de Estado da Justiça e da Segurança Pública, Dr. Sérgio Moro, bem como identificar
os autores da possível invasão realizada na conta do aplicativo de comunicação Telegram
vinculada ao referido terminal móvel.
Conforme o ofício de requisição nº 1159/2019/GM (fls. 03/04), no dia 04 de

junho de 2019, por volta das 18 horas, o Ministro Sérgio Moro recebeu três ligações cujo número
chamador era o seu próprio terminal celular (041-99944-4140), tendo atendido a primeira
chamada, que não foi completada, e deixado de atender as outras duas ligações. Narrou o
Ministro que, logo em seguida, recebeu a mensagem de um jornalista informando que alguém
teria ingressado no Telegram a partir de seu número, sendo que até aquele momento referido
aplicativo não estava ativo em seu aparelho celular.
No Laudo Pericial nº 1195/2019-INC/DITEC/PF (Apenso II), os Peritos

Criminais Federais relatam que o Ministro de Estado da Justiça e da Segurança Pública também
teria recebido chamadas de números atípicos, como “000041”, além de mensagens referentes
1
ao código de verificação do aplicativo Telegram e a protocolos da operadora TIM confirmando a

adesão a serviços não solicitados.
Às fls. 21/36 foram juntadas as informações enviadas à Polícia Federal com o

relato das invasões dos aparelhos celulares (smartphones) do Desembargador Federal Abel
Gomes (TRF 2ª Região) e do Juiz Federal Flávio Lucas (18ª Vara Federal do Rio de Janeiro).
Por sua vez, às fls. 37/39 consta a informação a respeito das invasões dos dispositivos de
telefonia do Chefe da Delegacia da Polícia Federal de Campinas, DPF Edson Geraldo de Souza,
e do Chefe do Núcleo de Inteligência daquela unidade, DPF Flávio Vieitez Reis. Tendo em vista
a similitude dos fatos que estavam sendo narrados, avaliou-se que todos os ataques poderiam
ter a mesma origem, tendo sido utilizada a estratégia de apurar todos esses fatos no mesmo
Inquérito Policial.
Posteriormente, foram ainda noticiados à Polícia Federal os seguintes

ataques a telefones celulares de autoridades públicas: i) Delegado de Polícia Federal Rafael
Fernandes, lotado na SR/PF/SP (Apenso I); ii) Deputada Federal Joice Hasselmann (fl. 98); iii)
Ministro de Estado da Economia Paulo Guedes (fls. 188/194); iv) Conselheiro do Conselho
Nacional do Ministério Público (CNMP) Marcelo Weitzel (fls. 462/480); e v) Conselheiro do
CNMP Sílvio Roberto de Oliveira de Amorim Júnior (518/520).
Entretanto, verificou-se que o objeto do presente Inquérito Policial seria muito

mais amplo do que aquele idealizado no início das investigações. As apurações realizadas
levaram à identificação de um grupo criminoso especializado na prática de várias modalidades
de crimes cibernéticos, cujos integrantes participaram, com níveis diferentes de atuação, dos
ataques a milhares de telefones celulares e da interceptação de comunicações de centenas de
pessoas.
A amplitude das ações criminosas praticadas dificulta até mesmo a

qualificação de todas as vítimas do grupo investigado. Conforme o Laudo de Perícia de
Informática nº 580/2019-UTEC/DPF/UDI/MG, foi verificado que os clientes ID 34221, ID 16737,
2
ID 69916 e ID 42680 cadastrados na BRVOZ, uma das operadoras1 de telefonia de voz sobre IP
utilizada por WALTER DELAGATTI NETO, GUSTAVO HENRIQUE ELIAS SANTOS e THIAGO
ELIEZER MARTINS SANTOS como plataforma para as invasões, realizaram 7699 ligações em
que o número de origem era igual ao número de destino, característica principal dos ataques,
alcançando o total de 1727 números telefônicos de vítimas diferentes. Ressalte-se que ainda
estão sendo realizadas diligências visando a identificação de todas as vítimas das invasões de
dispositivos telemáticos.
Entretanto, o Laudo nº 1195/2019-INC/DITEC/PF (Apenso II dos autos) listou

diversos números telefônicos de autoridades, jornalistas e pessoas públicas que tiveram ligações
com número de origem igual ao número de destino, conforme registrado no sistema da empresa
BRVOZ (MEGAVOIP), o que indica terem sido alvos dos ataques:
NÚMERO CONTATO CONTA LIGAÇÕES
MEGAVOIP
1 619928xxxxx Rodrigo Janot Monteiro de Barros 34221 76
2 419840xxxxx Deltan Martinazzo Dallagnol 34221 37
4 119888xxxxx Thamea Danelon Valiengo 34221 22
5 119633xxxxx Orlando Martello Junior 34221 21
6 119833xxxxx Moraes Dr. Alexandre de 34221 13
7 619954xxxxx Nicolao Dino de Castro e Costa 34221 13
Neto
8 619955xxxxx Claudio Dantas 34221 12
9 619811xxxxx João Otávio de Noronha 34221 10
10 619988xxxxx Dep. Eduardo Bolsonaro 34221 10
11 619992xxxxx Dep. Rodrigo Maia 34221 10
12 219926xxxxx José Augusto Simões Vagos 34221 10
13 119632xxxxx Márcio Barra Lima 34221 10
1
Foi verificado que a empresa SETETEL, que presta serviços de telefonia de VoIP, foi também utilizada
nos ataques.
3
14 219920 xxxxx Paulo Gomes Ferreira Filho 34221 10

15 419982 xxxxx Delegado Franscischini 34221 9
16 619811 xxxxx Paulo chefe gan Senador Davi 34221 9
17 419990 xxxxx Andre Duszezak Jf 34221 9
18 419884 xxxxx Roberson Mpf 34221 9
19 619927 xxxxx Raquel Elias Ferreira Dodge 34221 9
20 139912 xxxxx Thiago Lacerda Nobre 34221 9
21 419965 xxxxx Dep. Felipe Franscischini 34221 8
22 169928 xxxxx DPF Edson (Chefe da 34221 8
DPF/CAS/SP)
23 119928 xxxxx Dep. Luiz Philippe O. Bragança 69916 8
24 519924 xxxxx Januario Paludo 34221 8
25 619916 xxxxx Wagner Rosário 34221 7
26 619811 xxxxx Luis Felipe Salomão 34221 7
27 619918 xxxxx Dep. Gleisi Hoffmann 34221 7
28 619999 xxxxx Dep. Paulo Teixeira 34221 7
29 119757 xxxxx Lider Joice Hasselman 34221 7
30 419918 xxxxx Deltan 34221 7
31 619995 xxxxx Eduardo Bolsonaro 34221 7
32 219951 xxxxx Flavio Bolsonaro 34221 7
33 219999 xxxxx Presidente Bolsonaro Reservado 34221 7
34 619912 xxxxx Presidente Bolsonaro Telefone 34221 7
Funcional
35 119767 xxxxx Cel Hideo 34221 6
36 169961 xxxxx Dep. Baleia Rossi 34221 6
37 719864xxxxxx Dr. Tiago Ayres (ADV 34221 6
PSL/Bolsonaro)
4
38 859880 xxxxx Gomes Sen Cid 34221 6

39 219741 xxxxx Marisa Varotto Ferrari 34221 6
40 119819 xxxxx Dep. Kim Kataguiri 34221 5
41 21995 xxxxx Abel Des 34221 5
42 219889 xxxxx Eduardo El Hage MPFRJ Forca 34221 5
Tarefa
43 319923 xxxxx Júlio Carlos Motta Noronha 34221 5
44 119633 xxxxx Isabel Cristina Groba Vieira 34221 5
45 119894 xxxxx Karen Louise Jeanette Kahn 34221 5
46 619929 xxxxx Luiza Cristina Fonseca Frischeisen 34221 5
47 119819 xxxxx DGP SP Youssef 34221 4
48 419994 xxxxx Ministro Sergio Moro 34221 4
50 119937 xxxxx Carlos Alexandre da Costa 34221 4
Secretario do Guedes
51 419915 xxxxx Gabriela Jfs 34221 4
52 119834 xxxxx DPF Rafael Fernandes Souza 34221 4
Dantas
53 119762 xxxxx Andrey Borges de Mendonça 34221 4
54 119887 xxxxx Eduardo Botao Pelella 34221 4
55 419841 xxxxx Flávia Cecília Maceno Blanco / 34221 3
Chefe de Gabinete
56 119962 xxxxx Abraham Bragança de V. 34221 3
Weintraub
57 119928 xxxxx Dep. Luiz Philippe O. Bragança 42680 3
58 219890 xxxxx Eduardo Paes 34221 3
59 119727 xxxxx GE Lamoso AJO Gov SP 34221 3
60 219859 xxxxx Pezao Gov Rio 34221 3
5
61 219880 xxxxx Flávio Lucas 34221 3

62 619937 xxxxx Igor Gadelha Crusoe 34221 3
63 219860 xxxxx Pedro Bial 34221 3
64 169927 xxxxx André Luiz Morais de Menezes 34221 3
65 619957 xxxxx Danilo Pinheiro Dias 34221 3
66 519933 xxxxx Douglas Fischer 34221 3
67 169938 xxxxx Rudson Coutinho da Silva 34221 3
68 119998xxxxxx Abilio Diniz 34221 2
69 619811 xxxxx Alcolumbre Sem Davi 34221 2
72 169970 xxxxx Marcelo Barbieri (SRI/SEGOV) 34221 2
73 319880xxxxx Athayde Ribeiro Costa 34221 2
74 219937xxxxx General Braga Neto 34221 2
75 619819xxxxx MRE Filipe 69916 2
76 119820xxxxx Mario Carvalho Fsp 34221 2
77 219978xxxxx Paulo Guedes 34221 2
78 219998xxxxx Reis Friede Des Trf2 34221 2
79 419980xxxxx Rosangela 34221 2
80 439880xxxxx Diogo Castor de Mattos 34221 2
81 169919xxxxx Gabriel da Rocha 34221 2
82 419881xxxxx Paulo Roberto Galvão de Carvalho 34221 2
83 619953xxxxx Silvio Amorim 34221 2
85 219998xxxxx Oliveira Sen Arolde 16894 1
86 119814xxxxx Sara Fernanda Leme Bandeira 34221 1
87 219870xxxxx Marcelo Bretas 34221 1
88 619914xxxxx Oswaldo Jose Barbosa Silva 34221 1
Entretanto, a listagem incluída no Laudo nº 1195/2019 não é exaustiva, mas

apenas uma amostra das inúmeras vítimas dos ataques elaborada pelos Peritos da Polícia
6
Federal a partir da agenda de contatos armazenada no aparelho celular do Ministro Sérgio

Moro2, bem como da relação de telefones funcionais de membros do MPF fornecida pela
Procuradoria-Geral da República, sendo que diversas outras vítimas foram sendo identificadas
ao longo das investigações.
Assim, dentre as vítimas dos ataques se encontram autoridades públicas dos

três poderes da República e de diferentes esferas da administração, como Ministros de Estado,
Senadores, Deputados Federais, Ministros da Suprema Corte, Ministros do Superior Tribunal de
Justiça, Desembargadores, Juízes Federais e Estaduais, Procuradores da República, dentre os
quais dois ex-Procuradores-Gerais da República, Delegados de Polícia Federal, Delegados e
investigadores da Polícia Civil do Estado de São Paulo e membros do Ministério Público do
Estado de São Paulo.
A seleção dos alvos dos ataques indica, por sua vez, que um dos objetivos
das ações seria causar obstáculos ou embaraçar investigações que visam organizações
criminosas, tendo em vista que os autores do crime procuraram deliberadamente invadir contas
do Telegram de membros do Ministério Público Federal que atuam na Força-Tarefa da Lava Jato
no Estado do Paraná, divulgando para a imprensa informações sigilosas envolvendo
investigações e processos criminais em curso.
Cada vítima pode ter sido alvo de dois tipos de ações que eram promovidas
pelos investigados, que poderiam ocorrer simultaneamente: i) a extração das mensagens,
documentos e agendas de contatos armazenados no aplicativo Telegram; e ii) o monitoramento
em tempo real das mensagens que eram trocadas pelas vítimas com outros interlocutores,
através da ativação de novas seções do aplicativo por meio do programa Telegram Desktop
instalado no computador do atacante. Em algumas situações, também era realizada a ativação
da conta no Telegram vinculada do telefone do alvo, caso o aplicativo não estivesse instalado ou
2
O aparelho celular do Ministro Sérgio Moro foi apresentado e submetido a exame pericial pelo Instituto
Nacional de Criminalística, conforme Laudo de Perícia Criminal Federal nº 1118/2019-INC/DITEC/PF
(fls. 105/109).
7
não fosse utilizado, que passava a ser controlada pelo criminoso para enviar mensagens para
terceiros em nome da vítima.
Por sua vez, verifica-se que a expertise inicial dos integrantes do grupo
consistia na prática de fraudes bancárias eletrônicas, a clonagem de cartões de crédito e furtos
virtuais de contas bancárias. Para a execução de tais crimes eram empregadas diversas
técnicas distintas, tais como a falsificação de documentos, o extravio de cartões bancários, a
introdução de softweres maliciosos e a utilização de engenharia social, termo utilizado para
descrever o uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário,
para obter informações que podem ser utilizadas para ter acesso não autorizado a sistemas de
computadores.
Do mesmo modo, percebe-se que a metodologia utilizada para efetuar a

invasão das contas do Telegram de autoridades públicas foi inicialmente desenvolvida
justamente para a obtenção de dados de vítimas de fraudes bancárias, estelionatos virtuais e
outros crimes cibernéticos, tais como gerentes de instituições financeiras e seus clientes.
Embora o foco principal do presente relatório seja as invasões de dispositivos informáticos e a
interceptação de comunicações de autoridades públicas, bem como a utilização de referidas
mensagens para causar embaraços a investigação de infração penal envolvendo organizações
criminosas, serão mencionadas algumas das fraudes bancárias já identificadas, bem como
ações voltadas à ocultação e dissimulação da origem ilícita dos recursos obtidos movimentados
pelo grupo.
2 – O MECANISMO UTILIZADO NOS ATAQUES A CONTAS DO APLICATIVO TELEGRAM
Foi realizada a perícia no aparelho celular nº (041) 99944-4140/TIM, utilizado

pelo Ministro Sérgio Moro, para apurar um eventual acesso indevido ao dispositivo, conforme
procedimentos e exames descritos no Laudo nº 1118/2019-INC/DITEC/PF (fls. 105/109).
Entretanto, segundo as análises da DITEC/PF, não foram encontradas no aparelho celular
quaisquer evidências acerca da exploração de possíveis vulnerabilidades que permitisse o
8
acesso malicioso do dispositivo. Na realização da perícia foram extraídos os registros de

mensagens e telefonemas recebidos pelo Ministro Sérgio Moro no dia 04/06/2019, que foram
relacionados na tabela abaixo:
Imagem da Tabela 2 do Laudo nº 1195/2019-INC/DITEC/PF.
Conforme Laudo nº 1195/2019-INC/DITEC/PF (Apenso II), após a análise

dos registros de ligações e mensagens ocorridas no período próximo à possível tentativa de
acesso não autorizado do celular número (41) 99944-4140, os Peritos Criminais Federais
puderam chegar às seguintes conclusões:
i) Antes de receber qualquer ligação, o telefone em questão recebeu duas

mensagens SMS informando um código de verificação do aplicativo
Telegram;
9
ii) A primeira das chamadas cujo núrmo de orgiem é o mesmo do de

destino foi transmitida para o telefone celular questionado e atendida
(duração entre 6 e 7 segundos);
iii) O telefone não registrou o recebimento da chamada cuja origem é o

número 17147073350, tendo tal ligação sido encaminhada para a caixa de
mensagens do celular. A partir de testes realizados pelos peritos, verificou-se
o número 17147073350 é utilizado pelo aplicativo para informar o código de
validação por meio de mensagem de voz. Provavelmente o redirecionamento
da chamada se deu porque a linha telefônica do celular nº (41) 99944-4140
estava ocupada pela ligação recebida do próprio número. Ao ser
redirecionado para a caixa de mensagens, o código informado por
mensagem de voz teria sido gravado na caixa de mensagens, o que é
evidenciado pela mensagem SMS com data de recebimento às 17:46:16 do
dia 04/06/2019;
iv) As três chamadas com número de origem igual ao número de destino,

apesar de terem sido registradas no celular nº (41) 99944-4140, não foram
atendidas, mas acabaram sendo direcionadas para a caixa de mensagens, e
tiveram duração de 7, 8 e 58 segundos, respectivamente.
Peritos Criminais Federais também elaboraram Informação detalhando as

tentativas de acesso não autorizado ao aplicativo dos Delegados de Polícia Federal que atuam
no Estado de São Paulo, quando foram reunidas as capturas de tela (prints) com os dados de
seções do aplicativo não reconhecidas pelos seus usuários, conforme figuras abaixo:
10
Pela imagem acima, foi possível observar que as seções atípicas

identificadas estariam presentes em um “iPhone XS Max, iOS 12.3.1” e em um “PC, Windows
10”. Por sua vez, os endereços IP correspondentes foram identificados como provenientes de
serviços VPN, que ocultam o real utilizador da internet. Assim, com base nas informações
reunidas pelos Peritos Criminais da Polícia Federal, determinou-se o mecanismo empregado
pelos criminosos, conforme as subseções III.3.1 a III.3.7 do Laudo nº 1195/2019-INC/DITEC/PF
(Apenso II), que serão detalhadas a seguir:
Em sistemas de telefonia, a “Caixa de Mensagens” é um recurso utilizado

para deixar mensagens de voz para o destinatário da ligação quando este não pode atender.
Tais sistemas têm funcionamento semelhante às antigas “Secretárias Eletrônicas”. Quando este
recurso está ativo, caso o telefone de destino da chamada não esteja registrado na rede
(desligado ou fora da área de cobertura) ou esteja ocupado em outra ligação, é dada a opção
para quem liga de gravar uma mensagem, que pode ser posteriormente ouvida pelo destinatário.
Para o destinatário ouvir as mensagens gravadas em sua caixa de

mensagens o usuário deve ligar para um número específico do serviço, que varia de operadora
11
para operadora (números comuns no Brasil são o *100 ou *555). Ao receber a ligação, a
operadora verifica o número de origem da chamada e seleciona a caixa de mensagens relativas
àquele número. Algumas operadoras disponibilizam outros números de acesso alternativos,
como, por exemplo, para quando o usuário está no exterior ou pretenda acessar sua caixa de
mensagens ligando de outro número que não seja o seu próprio. Neste caso, em geral, é
necessária uma senha para que o acesso seja concedido.
Uma outra forma comumente implementada pelas operadoras de telefonia

para acesso direto à caixa de mensagens é a ligação para o próprio número. Ou seja, se um
indivíduo deseja ouvir as mensagens gravadas em sua caixa de mensagens, ele liga para seu
próprio número e a operadora desvia a ligação para a caixa de mensagens. Assim, os peritos
realizaram testes utilizando seus telefones celulares pessoais, de diversas operadoras, e
conseguiram, geralmente, acesso irrestrito às suas caixas de mensagens utilizando este
procedimento.
Os Peritos da Polícia Federal então verificaram que era possível que o

número de origem de uma ligação fosse alterado para um número falso, ou até mesmo para
números válidos registrados para outros usuários. Foram encontrados sítios na internet ou
aplicativos para celulares que alteram o número de origem da ligação (spoofing), tais como o
“Spoof My Phone” e o “Spoofcard”, permitindo que sejam realizadas ligações configurando
números forjados como a origem das chamadas. Do mesmo modo, tais alterações de números
de origem de chamadas ainda é possível através de operadoras de voz sobre IP (VoIP), uma vez
que muitas empresas oferecem a possibilidade da configuração livre do número de origem das
ligações realizadas por seus sistemas.
Assim, utilizando o método de forjar o número de origem da chamada (seja

por uso de aplicativos ou por meio de operadoras de telefonia VoIP que possibilitem alterar o
número de origem), seria possível a acessar uma caixa de mensagem alheia, realizando uma
ligação para o número de destino e configurando como origem da ligação esse mesmo número.
Ao efetuar este tipo de chamada, a operadora de telefonia celular considera que seria uma
12
ligação para o próprio número e a redireciona para a caixa de mensagens, concedendo acesso
total ao serviço. Desta forma, seria possível ouvir as mensagens gravadas, apagar mensagens,
contratar serviços relacionados, entre outras ações.
Por sua vez, também foi constatado que o aplicativo de mensagens Telegram
utiliza o telefone do usuário como forma de identificá-lo, podendo a validação do número de
telefone vinculado ocorrer através de mensagem de voz. Nesses casos, o usuário recebe uma
ligação telefônica com o código de verificação informado por uma gravação e, caso não atenda a
chamada, por estar desligado ou ocupado em outra chamada, a ligação do aplicativo Telegram é
direcionada para a caixa de mensagens e o código gravado como uma mensagem de voz.
Assim, segundo os Peritos da Polícia Federal, um atacante poderia instalar o

aplicativo Telegram em outro dispositivo e informar como identificação o número de telefone da
vítima. Neste momento, o aplicativo envia o código de verificação, inicialmente para as outras
sessões abertas e, posteriormente, via mensagem de voz, ou seja, por meio de uma ligação
telefônica para o número vinculado. No mesmo instante, o atacante pode realizar diversas
ligações para o número da vítima, de forma a ocupar sua linha e forçar que a ligação com o
código de verificação do Telegram caia na caixa de mensagens da vítima e seja ali gravada
como recado.
Em seguida, o atacante ainda poderia utilizar o recurso de acesso indevido à

caixa de mensagens da vítima realizando uma ligação para o telefone atacado com o número de
origem da chamada adulterado, configurando o número de destino como sendo o utilizado pela
vítima. Acessando a caixa postal do alvo, o atacante poderia então ouvir a mensagem de voz
com o código de verificação, conseguindo, desta forma, o acesso ao aplicativo Telegram,
habilitando-o em outro dispositivo como se fosse da própria vítima.
O aplicativo Telegram armazena todas as mensagens dos usuários em seus

servidores, possibilitando ainda que cada usuário possa ter várias sessões abertas
simultaneamente. Assim, uma vez que o atacante consiga o controle das sessões das contas de
13
terceiros no Telegram, ele poderá ler todas as mensagens trocadas pelo aplicativo em tempo
real, bem como as mensagens antigas que estejam armazenadas no servidor do Telegram, além
de arquivos de mídia e documentos enviados e recebidos.
De acordo com a documentação do Telegram, apenas mensagens

selecionadas com a função Time-bomb não permanecem salvas no backup do servidor. Dessa
forma, é possível ter acesso a mensagens antigas e atuais da vítima, permitindo inclusive o
download das mensagens para uma análise posterior.
Além disso, também foi observado pelo Peritos Criminais que cada chamada
realizada para ouvir integralmente uma mensagem de voz do aplicativo Telgram com o código de
verificação tinha duração mínima de 25 segundos. Este tempo, entretanto, não leva em
consideração o tempo necessário para apagar a mensagem depois de ouvida, podendo também
variar de acordo com a operadora.
Os Peritos Criminais da Polícia Federal, ao elaborarem o Laudo nº

1195/2019-INC/DITEC/PF (Apenso II), realizaram diversas reproduções simuladas das ações
maliciosas visando reproduzir e validar os ataques em um ambiente de laboratório, conforme
descrito no item III.3.8. Segundo os exames, os testes foram bem sucedidos para linhas das
operadoras Claro, TIM e Vivo, que eram a que estavam no escopo dos teste.
Para os testes referentes à operadora TIM, que era a telefônica utilizada na

linha do Ministro Sérgio Moro, foi possível também ativar o serviço de caixa de mensagem,
denominado pela operadora de “TIM Recado Backup”, apenas digitando o número “1” duas
vezes, seguindo instruções do menu. Após a ativação do serviço foi possível ouvir a mensagem
com o código de validação do aplicativo Telegram, que podeira ser também apagada. Verificou-
se que após a ativação do serviço foram recebidas duas mensagens SMS da operadora TIM,
que eram bastante semelhante àquelas recebidas pelo telefone do Ministro, uma com um
número de protocolo e a segunda avisando da ativação do serviço “Tim Recado Backup”.
14
Ressalte-se, por fim, que após a deflagração da Operação Spoofing a

Agência Nacional de Telecomunicações (Anatel) determinou que as operadoras de telefonia
corrigissem a brecha na rede de telefonia que permitiu a invasão dos celulares de centenas de
autoridades do país. De acordo com a determinação da Anatel, agora não é mais possível
acessar a caixa postal ligando para o seu próprio número, recurso que, embora bloqueado, não
era considerada uma falha, mas um padrão da rede das operadoras, também utilizado em outros
países. A mudança deve valer tanto para empresas convencionais, celulares e de VoIP, e vem
como forma de bloquear a prática do spoofing, método usado pelos investigados em suas ações
criminosas.
Do mesmo modo, a Anatel também teria orientado que as empresas de

telefonia realizassem ações educativas para incentivar a adoção de senha para acessar a caixa
postal, uma vez que boa parte dos usuários não altera a senha padrão de acesso à caixa postal,
enviada pelas operadoras, o que facilita a ação de criminosos.
Além disso, a Anatel determinou que empresas de VoIP não poderão realizar
chamadas a partir de números que não as pertençam, outro caminho que permitiu aos
investigados utilizarem telefones que não eram deles para acessar caixas postais. A
possibilidade de mascarar uma chamada com outro identificador ainda permanece disponível,
mas apenas para sequências de uma mesma operadora e que não estejam já sendo usadas por
terceiros.
Também fariam parte das medidas de bloqueio, ainda, os aplicativos e

serviços internacionais que emulam chamadas de celulares ativos no Brasil. Para tanto, as
operadoras teriam implementado filtros para ligações feitas do exterior, por meio da internet ou
rede telefônica convencional, de forma a identificar tentativas irregulares de contatos que
possam levar a ataques por essa metodologia.
Ainda em resposta à Operação Spoofing, a empresa que controla o Telegram

também anunciou que estaria desativando o recebimento de códigos de ativação por meio de
15
ligações telefônicas, a não ser que o usuário esteja usando o sistema de autenticação em duas
etapas. A ausência desse dispositivo de segurança seria um aspecto fundamental que permitiu a
invasão aos celulares do Ministro Sérgio Moro e demais autoridades, ainda que outras brechas
no sistema telefônico brasileiro tenham também sido exploradas.
3 – A LINHA INVESTIGATIVA ADOTADA

A linha investigativa adotada inicialmente consistiu na verificação das rotas e
interconexões das ligações efetuadas para o telefone do Ministro Sérgio Moro, notadamente das
ligações que foram identificadas como originadas do próprio número telefônico que era utilizado
pela vítima. Seguindo o rastreamento das ligações, observou-se que as chamadas utilizadas
para realizar o acesso ao código enviado pelos servidores do aplicativo Telegram para a
sincronização do serviço Telegram Web, relativo ao terminal celular nº 041 99944-4140, foi
recebida na rede da operadora TIM a partir da operadora Embratel (CLARO BRASIL).
Por sua vez, com base nas informações recebidas da operadora Embratel
(CLARO BRSIL), foi possível constatar que as chamadas com destino à rede da operadora TIM,
que tinham como origem (número originador) e destino (número destinatário) o telefone 41
99944-4140, foram recebidas pela operadora EMBRATEL através da rota de interconexão com a
operadora DATORA TELECOMUNICAÇÕES LTDA (Rota de Entrada 8885), conforme
Informação nº 17/2019 – SOI/DICINT/CGI/DIP/PF.
Desta forma, realizou-se diligências na operadora de telefonia DATORA

TELECOMUNICAÇÕES LTDA (DATORA) com o objetivo de levantar as informações sobre as
chamadas que trafegaram na sua rede, com destino ao número 41 99944-4140, no período de
01/06/2019 a 10/06/2019. Em atendimento à requisição da Polícia Federal, realizada com
suporte em ordem judicial, a operadora DATORA confirmou que transportou as chamadas
destinadas ao número do Sr. Ministro Sérgio Moro, tendo informado, por sua vez, que as
mesmas foram recebidas através da rota de interconexão, baseada em tecnologia VOIP, com o
cliente abaixo identificado:
16
 Nome/Razão Social: DANILO BORGES DE BRITO – MEGAVOIP

 CNPJ 11.061.985/0001-81
 ENDEREÇO: RUA MARIA JUSTA 19 – PATOS DE MINAS – MG – CEP: 38701-078
 E-mail: megavoiptelecom@megavoiptelecom.com.br
 Telefone: +55 31 3014-9808
 IP de Origem: 108.61.154.194
Do mesmo modo, foi informado que os CDRs disponibilizados pela operadora

DATORA, referentes às chamadas originadas da MEGAVOIP, foram extraídos do sistema de
tarifação da empresa, e, portanto, não continham nenhuma outra informação que permitisse
identificar o invasor:
megavoip_sip 5541999444140 5541999444140 BRAZIL 2_BR-41_Outras-Cell 6/4/2019 17:46 0:01:00 0.125
A operadora DATORA informou ainda que a rota de interconexão com o

cliente MEGAVOIP é baseada na tecnologia VOIP (voz sobre IP), porém não armazenava os
logs de sinalização das chamadas. O protocolo de sinalização utilizado era o SIP (Session
Initiation Protocol), que se baseia no formato de requisições de texto e possui diversos campos
onde são armazenadas informações que poderiam auxiliar na identificação do Invasor.
Por sua vez, foi verificado que a empresa MEGAVOIP, de propriedade de

DANILO BORGES DE BRITO, possuía como nome fantasia a denominação BRVOZ TELECOM,
com endereço comercial na Rua Maria Justa, 19, Lagoinha, Patos de Minas/MG, de acordo com
a informação nº 20/2019 – SOI/DICINT/CGI/DIP/PF. A empresa DATORA também informou à
Polícia Federal que a rota de interconexão com o cliente MEGAVOIP (BRVOZ) estava ativa,
existindo várias chamadas que estariam trafegando naquele momento.
17
A figura abaixo, extraída do Laudo nº 1195/2019-INC/DITEC/PF (Apenso II)

ilustra as conexões entre operadoras e as possíveis rotas de ligações provenientes da empresa
MEGAVOIP até o destino final (terminais de telefones celulares de diveras operadoras):
Através da análise de fontes abertas, foi constatado que a empresa BRVOZ

disponibilizava serviços de telefonia baseados na tecnologia de Voz sobre IP (VOIP), conforme
site hospedado no endereço http://www.brvoz.com.br/:
Assim, com base em tais informações, a Polícia Federal obteve ordem

judicial para que a empresa BRVOZ fornecesse todas as informações necessárias para a
18
investigação. Com isso foi permitido pela Justiça que os Peritos Criminais Federais tivessem
acesso aos sistemas internos da empresa de telefonia de voz sob IP para o delineamento do
quadro fático e a realização de perícia criminal, com o objetivo de identificar a autoria da invasão
realizada na conta do aplicativo Telegram vinculada ao terminal celular nº 041 99944-4140/TIM,
que era utilizado pelo Ministro Sérgio Moro, bem como de qualquer outro terminal telefônico que
tivesse sido ilegalmente duplicado e invadido a partir da rede da MEGAVOIP (BRVOZ).
Do mesmo modo, foi determinado pelo juízo da 10ª Vara Criminal da Seção
Judiciária do Distrito Federal que a empresa BRVOZ (MEGAVOIP) fornecesse à Polícia Federal
todas as informações cadastrais, contratuais e bancárias dos clientes que realizaram ou
receberam ligações por meio do telefone nº (041) 99944-4140, ou de quaisquer outros clientes
que tivessem utilizado/duplicado indevidamente números telefônicos de terceiros, bem como os
IPs de origem de todas as ligações suspeitas.
Visando identificar o modo de agir dos responsáveis pelos ataques às contas

do Telegram de diversas autoridades públicas do país, e em cumprimento à determinação
judicial expedida pela 10ª Vara Criminal Federal da Seção Judiciária do Distrito Federal, foi
realizada diligência na sede da microempresa Megavoip Telecom (BRVOZ), quando o
proprietário da firma individual MEGAVOIP disponibilizou-se a repassar todas as informações
para a equipe de policiais designada, conforme Informação nº 006/2019 –
SEPINF/DPER/INC/DITEC/PF (fls. 67/72).
4 – O FUNCIONAMENTO DO SISTEMA DA BRVOZ (MEGAVOIP)
A BRVOZ era uma microempresa que prestava serviços de telefonia de voz

sobre IP (VOIP), permitindo que um cliente possa utilizar computadores, telefones convencionais
ou celulares para fazer ligações de qualquer lugar do mundo, bastando estar conectado na
internet. Segue abaixo o diagrama da solução da BRVOZ verificado em consulta ao site
http://www.brvoz.com.br/como-funciona/funcionamento :
19
Para utilizar os serviços da BRVOZ cada cliente deve realizar o pagamento

do valor do plano escolhido através de um boleto bancário a ser emitido pela empresa
PagSeguro, após o preenchimento de alguns dados como e-mail, CEP, nome e número de
celular. Ressalte-se que não havia qualquer mecanismo utilizado pela BRVOZ para verificar a
autenticidade dos dados informados pelos clientes para a PagSeguro na emissão de cada boleto
de pagamento.
Após a confirmação do pagamento, o cliente/usuário recebe um e-mail da

BRVOZ, no endereço que foi informado no cadastro da empresa PagSeguro, solicitando
informações para a criação de login no sistema da BRVOZ. Após o login, cada cliente/usuário
recebe uma identificação única, denominada ID (ID BRVOZ), no banco de dados da BRVOZ.
Ressalte-se, novamente, que o ID de cada cliente gerado nos cadastros da

BRVOZ era alimentado com dados fornecidos pela PagSeguro e pelo próprio cliente através de
mensagem de e-mail, tais como nome, CPF, telefone, endereço, os quais em sua maioria não
eram verdadeiros, pois não havia nenhum mecanismo de checagem por parte da BRVOZ. Pode-
se afirmar, assim, que somente os e-mails informados pelos clientes da BRVOZ nos cadastros
ID suspeitos possuíam relevância para as investigações, pois este era o canal de comunicação
utilizado entre a BRVOZ e seus usuários.
Por sua vez, também foi verificado que no sistema utilizado pela BRVOZ
podiam ser concedidas permissões de funcionalidades distintas para a realização de ligações
20
por cada grupo de usuários/clientes, que são individualmente identificados por meio de número
ID (ID BRVOZ). Dentre estas funcionalidades permitidas, destaca-se a função denominada
IDENTIFICADOR DE CHAMADAS, que, caso fosse habilitada, fazia com que o usuário ID
BRVOZ pudesse editar em cada ligação o número do telefone chamador.
Com a ativação da função IDENTIFICADOR DE CHAMADAS, as ligações

realizadas pelo usuário da respectiva conta ID BRVOZ passavam a ser identificadas pelo
recebedor da ligação (número chamado) com o número informado pelo usuário (número
chamador) no sistema da BRVOZ. Ou seja, utilizando a função IDENTIFICADOR DE
CHAMADAS, o cliente/usuário da BRVOZ podia realizar ligações telefônicas simulando o
número de qualquer terminal telefônico como origem das chamadas.
Do mesmo modo, conforme o Laudo nº 1195/2019-INC/DITEC/PF (Apenso

II), foi esclarecido pelo proprietário da BRVOZ TELECOM que o sistema usado na empresa
permitia que o cliente escolhesse livremente o número de origem das ligações, bastando que o
usuário acessasse a érea correspondente na página da empresa na internet. Foi esclarecido
ainda que, para alguns clientes empresariais que contrataram o serviço de “0800” reverso,
também chamado de “0800” via site ou “click-to-call”, este tipo de ligação era realizado
automaticamente: o cliente que contratava o serviço digitava um número de telefone para ser
chamado, e o sistema fazia uma ligação com número de origem igual ao número de destino para
este telefone.
Considerando que a ação maliciosa investigada somente seria possível

mediante a realização de ligações com número de origem igual ao número de destino, os Peritos
da Polícia Federal fizeram um levantamento na empresa BRVOZ para obtenção dos registros de
todas as ligações desse tipo. A planilha com a listagem das contas que realizaram ligações com
número de origem igual ao número de destino (A = B) foi copiada para mídia que está em
apenso ao Laudo nº 1195/2019-INC/DITEC/PF (Apenso II), contendo colunas com a quantidade
de ligações e a quantidade de números de telefones diferentes que foram alvo deste tipo de
chamada por meio do sistema BRVOZ (“Ligacoes\Totaliza_Ligacoes_AB.xlsx”).
21
Conforme a Informação nº 006/2019-SEPINF/DPER/INC/DITEC/PF (fls.

67/72), dados fornecidos pela BRVOZ indicaram que todas as ligações suspeitas (com número
de origem igual ao número de destino) para o número (41) 99944-4140 partiram da conta ID
34221. Assim, concluiu-se que o sistema da empresa BRVOZ foi utilizado para editar o número
chamador e efetuar ligações para o mesmo número (número chamador = número chamado),
sendo a plataforma que propiciou a invasão das contas do Telegram do Ministro Sérgio Moro,
bem como de inúmeras outras vítimas de ataques semelhantes.
Conforme já mencionado, para ter o acesso às senhas do serviço Telegram

Web os autores dos ataques criminosos conseguiram explorar uma vulnerabilidade comum a
todas as operadoras de telefonia: as chamadas em que o número de origem é igual ao número
de destino são direcionadas diretamente para a caixa postal sem necessidade de inserção de
senha para acesso ao conteúdo das mensagens gravadas.
Entretanto, verificou-se que o sistema utilizado pela empresa BRVOZ

(MEGAVOIP) gravava registros de log (informações gerais de eventos do sistema de aplicações
em execução), dentre os quais endereços IP relacionados às atividades nas contas dos clientes
(Informação nº 006/2019-SEPINF/DPER/INC/DITEC/PF - fls. 67/72). Assim, com a obtenção da
listagem de endereços IP com a respectiva data e hora das atividades de cada conta de clientes
da empresa de VoIP, foi possível à Polícia Federal identificar os responsáveis pela utilização do
sistema da BRVOZ para realizar a invasão de contas do Telegram de diversas autoridades
públicas do país, além de diversas outras vítimas, que tiveram suas comunicações interceptadas
de forma ilegal.
Deve ser ressaltado, entretanto, que após a deflagração da Operação

Spoofing foram encontrados registros nos computadores apreendidos do uso do programa de
telefonia sobre IP (VoIP) denominado “Zoiper5”, software que é utilizado para realizar e receber
chamadas através da internet utilizando um computador pessoal, ao invés de usar um hardware
dedicado. Por sua vez, em referido programa foi encontrada configurada, além das contas da
22
empresa BRVOZ, uma conta da empresa denominada SETETEL, indicando que os investigados
também utilizariam outras plataformas de telefonia VoIP para realizar os ataques.
5 – A IDENTIFICAÇÃO DAS PESSOAS EM TORNO DOS FATOS
Após a análise do sistema e logs da BRVOZ foi possível apontar que todas a
ligações efetuadas para o telefone nº (41) 99944-4140, utilizado pelo Sr. Ministro Sérgio Moro,
partiram do usuário cadastrado no sistema BRVOZ pelo ID 34221, registrado em nome de
Anderson José da Silva (CPF 089.144.179-48).
Foi igualmente verificado que partiram do mesmo usuário BRVOZ ID 34221

as ligações destinadas a outras autoridades públicas que também tiveram o aplicativo Telegram
invadido de forma ilícita, tais como o Desembargador Abel Gomes (TRF 2ª região), o Juiz
Federal Flávio Lucas (18ª Vara Federal do RJ) e os Delegados de Polícia Federal Rafael
Fernandes (SR/PF/SP) e Flávio Vieitez Reis (DPF/CAS/SP).
Por sua vez, outras informações fornecidas pela BRVOZ demonstraram que
o cliente BRVOZ ID 34221 possuía correlação com o cliente BRVOZ ID 69616. Nas declarações
prestadas por Danilo Borges de Brito (Anexo 03 da medida cautelar nº 1017553-
96.2019.4.01.3400), proprietário da BRVOZ, foi afirmado que após ter bloqueado a conta ID
34221, tendo em vista reclamações recebidas da empresa DATORA sobre a existência das
chamadas suspeitas, ele recebeu uma ligação originada da conta ID 69916, cadastrada em
nome de Marcelo Alexandre Thomaz (CPF 153.588.678-13). Nesta ligação, o interlocutor do ID
69616 se identifica como Anderson (nome registrado para o usuário BRVOZ ID 34221) e reclama
do bloqueio de sua conta ID 34221.
Do mesmo modo, ao analisar os logs do sistema da BRVOZ, que realiza a

gravação dos registros de IP das ligações, dentre outros dados, verificou-se que os ID 34221 e
ID 16737, este último cadastrado em nome de Manoel C. Tenório (CPF 088.459.644-34),
utilizaram o mesmo IP 189.33.65.37 várias vezes, em dias diferentes ou mesmo
23
concomitantemente. Por outro lado, analisando os logs das ligações foi possível identificar que
os clientes BRVOZ ID 34221 e ID 16737 possuíam vários registros de ligações originadas e
recebidas do número.
Conforme o Laudo de Perícia de Informática Laudo nº 1195/2019-

INC/DITEC/PF, foi verificado que os clientes BRVOZ ID 34221, ID 16737 e ID 69916 realizaram
6.508 ligações em que o número de origem era igual ao número de destino, chamadas estas
relacionadas a 1.330 números diferentes. Ainda estão sendo realizadas diligências visando a
identificação de todas as vítimas dos ataques.
Por tais evidências, concluiu-se que os clientes BRVOZ ID 34221, ID 69916 e

ID 16737 teriam algum tipo de relacionamento, tendo partido da conta ID 34221 todas as
ligações de VoIP que permitiram o acesso às contas do aplicativo Telegram vinculadas a
telefones utilizados pelo Ministro Sérgio Moro, pelo Desembargador Abel Gomes (TRF 2ª
região), pelo Juiz Federal Flávio Lucas (18ª Vara Federal do RJ) e pelos Delegados de Polícia
Federal Rafael Fernandes (SR/PF/SP) e Flávio Vieitez Reis (DPF/CAS/SP).
Conforme mencionado anteriormente, os cadastros dos usuários da BRVOZ

identificados nos sistemas internos da empresa de telefonia, tais como os IDs 34221, 69916 e
16737, foram realizados com base em dados lançados pelos clientes no momento do
preenchimento do sistema de emissão de boletos pela empresa PagSeguro, bem como em
informações fornecidas à microempresa de telefonia em mensagens por e-mail.
Entretanto, verificou-se que não seriam verdadeiras as informações

constantes nos sistemas da BRVOZ em relação ao cadastro das contas ID 34221, registrado em
nome de Anderson José da Silva (CPF 089.144.179-48), ID 69616, cadastrada como sendo de
Marcelo Alexandre Thomaz (CPF 153.588.678-13) e ID 16737, em nome de Manoel C. Tenório
(CPF 088.459.644-34). Somente os dados relativos aos e-mails vinculados às referidas contas
teriam alguma utilidade para as investigações, pois este seria o canal principal de comunicação
entre a BRVOZ e os seus clientes.
24
Deste modo, para a identificação dos verdadeiros clientes BRVOZ ID 34221,

ID 69916 e ID 16737 foi necessário verificar os endereços de protocolo da internet (endereço IP)
atribuídos aos dispositivos (computador ou smartphone) que se conectaram ao serviço de
telefonia VoIP da empresa BRVOZ no momento dos ataques.
Foram informados pelas provedoras os seguintes endereços IP como sendo

aqueles utilizados pelos usuários BRVOZ ID 34221, ID 69916 e ID 16737 para realizar diversas
ligações com o número de origem igual ao número discado:
a) Endereço IP e porta 189.5.225.166:7966,5852,6297: cadastro em nome

de DANILO CRISTIANO MARQUES, CPF370.074.428-54, localizado no
endereço da Av. Leão XIII, 1700, apto. 162, Ribeirania, Ribeirão
Preto/SP, e-mail tadanado@icloud.com;
b) Endereço IP e porta 189.33.65.37:7190,8532,8317,8130 e

201.6.142.37:38021: cadastro em nome de MARTA MARIA ELIAS, CPF
034.843.538-05, endereço Rua Enga Amália Perola Casab, 415, BL 2,
apt. 306, Parque Munhoz, São Paulo/SP, e-mail
fernandotpsilva@hotmail.com;
c) Endereço IP 179.182.157.130 e 191.250.245.225: cadastro em nome de

SUELEN PRISCILA DE OLIVEIRA, CPF 427.742.138-51, localizado no
endereço da Rua Maria do Carmo F Granato, nº 155, Jardim Roberto
Selmi Dei, Araraquara/SP.
Em seguida, com base nos dados fornecidos pelos provedores de internet,

foram realizadas diligências de campo visando a identificação dos moradores dos endereços
onde estariam localizados os IPs de onde partiram os ataques. Assim, segundo a Informação nº
023/19 – DICINT/CGI/DIP/PF, foi identificado que no endereço da Av. Leão XIII, 1700, apto. 162,
Ribeirania, Ribeirão Preto/SP, residia WALTER DELGATTI NETO (CPF 378.676.428-03),
25
pessoa natural de Araraquara/SP, mesma cidade de nascimento de DANILO CRISTIANO

MARQUES (CPF370.074.428-54), em nome de quem estava cadastrado o IP utilizado pelo
usuário da BRVOZ ID 34221 para a realização das invasões dos dispositivos telefônicos das
vítimas.
Por sua vez, segundo a Informação nº 023/19 – DICINT/CGI/DIP/PF, no

endereço da Rua Enga Amália Perola Casab, 415, BL 2, apt. 306, Parque Munhoz, São
Paulo/SP, residia GUSTAVO HENRIQUE ELIAS SANTOS (CPF 389.864.308-51), filho de
MARTA MARIA ELIAS, pessoa em nome de quem estava cadastrado o IP também utilizado
pelos clientes BRVOZ ID 34221 e ID 69916.
Ainda conforme a Informação nº 023/19 – DICINT/CGI/DIP/PF, foi constatado

que SUELEN PRISCILA DE OLIVEIRA, também natural de Araraquara/SP, era namorada de
GUSTAVO HENRIQUE ELIAS SANTOS e residia com ele naquele endereço da cidade de São
Paulo/SP. Entretanto, o IP localizado na Rua Maria do Carmo F Granato, nº 155, Jardim Roberto
Selmi Dei, Araraquara/SP também estava registrado em nome de SUELEN PRISCILA, conforme
Informação nº 24/2019-DICINT (Anexo 07 da medida cautelar nº 1017553-96.2019.4.01.3400),
tendo sido tal endereço selecionado também como de interesse para as investigações.
6 – DEFLAGRAÇÃO DA OPERAÇÃO SPOOFING
Em cumprimento à ordem judicial expedida no âmbito da medida cautelar em

referência, no dia 23/07/2019 foi deflagrada a denominada Operação Spoofing, com a realização
do cumprimento dos mandados de prisão temporária de WALTER DELGATTI NETO, DANILO
CRISTIANO MARQUES, GUSTAVO HENRIQUE ELIAS SANTOS e SUELEN PRISCILA DE
OLIVEIRA, além de ações de busca e apreensão nos seguintes locais de interesse para as
investigações:
26
a) EQUIPE 01: AV. LEÃO XIII, Nº 1700, APTO. 162, RIBEIRANIA, CEP
14096-190 - RIBEIRÃO PRETO/SP (endereço de instalação de protocolo
IP de onde partiram os ataques);
b) EQUIPE 02: RUA ENGA AMÁLIA PEROLA CASAB, Nº 415, BL 2, APT.

306, PARQUE MUNHOZ, CEP 05782 - SÃO PAULO/SP (endereço de
instalação de protocolo IP de onde partiram os ataques);
c) EQUIPE 03: AVENIDA CATHARINA SUCCINI BOCCUCI, Nº 211 - CASA

- JARDIM DAS PAINEIRAS, CEP 14807-280 - ARARAQUARA/SP
(endereço vinculado a DANILO CRISTIANO MARQUES);
d) EQUIPE 04: AVENIDA SANTA INES, Nº 838, VILA SANTA MARIA (VILA
XAVIER), CEP 14810-033 - ARARAQUARA/SP (endereço vinculado a
WALTER DELGATTI NETO);
e) EQUIPE 05: RUA PROF MANOEL CERQUEIRA LEITE, Nº 642, JARDIM

IMPERADOR, CEP 14806-267 - ARARAQUARA/SP (endereço vinculado
a GUSTAVO HENRIQUE ELIAS SANTOS);
f) EQUIPE 06: RUA MARIA DO CARMO F GRANATO, Nº 155, JARDIM

ROBERTO SELMI DEI, ARARAQUARA/SP (endereço de instalação de
protocolo IP de onde partiram os ataques);
Os dados e informações obtidas na ação de busca e apreensão no endereço

vinculado a WALTER DELAGATTI NETO confirmaram que a Polícia Federal, ao executar a
Operação Spoofing, havia de fato localizado os dispositivos utilizados nas invasões de contas do
Telegram de diversas autoridades. As capturas de tela (prints) enviados à Polícia Federal
indicavam que as seções do aplicativo não reconhecidas pelas vítimas estariam presentes, de
forma geral, em um “iPhone XS Max, IOS 12.3.1” e em um “PC, Windows 10”, modelos e
sistemas compatíveis aos aparelhos apreendidos com o investigado. Também foi verificado de
27
imediato que tais dispositivos etavam configurados para acesso a múltiplos perfis do aplicativo
Telegram de terceiros, sendo o iPhone XS Max por meio dos aplicativos Telegram e Telegram X
e o notebook Lenovo por meio do aplicativo Telegram Desktop.
Também sobre a mesa ao lado da cama foi encontrado, desligado, um

computador portátil da marca Apple, modelo Macbook Pro A1706, número de série
C02WL1FUHV2N, arrecadado como item 1 do Auto Circunstanciado de Busca e Apreensão.
Uma vez introduzida a senha, foi possível visualizar a área de trabalho do usuário “Red
Redinho”. Segundo os Peritos Criminais da Polícia Federal, uma das janelas de aplicativo
abertas exibia uma imagem datada de 4 de junho de 2019, cuja análise inicial indicou tratar-se
de fotografia ou captura de tela de dispositivo que exibia lista de contatos de determinado perfil
não identificado do Telegram, dentre os quais Ministro Osmar Terra, Ministro Paulo Guedes,
Ministro Sérgio Moro e Ministro Tarcísio Freitas (figura abaixo):
O investigado espontaneamente orientou os Peritos Criminais Federais a

localizar as pastas com arquivos de dados de diversas pessoas, que teriam sido obtidos por
meio de acesso indevido a contas do aplicativo Telegram. Os Peritos não acessaram o conteúdo
dos referidos arquivos, no entanto foi possível constatar, ao menos no caso do perfil vinculado
ao número +55(41)984014762, que o tipo e a estrutura das pastas de arquivos eram compatíveis
28
com uma extração realizada a partir dos servidores do aplicativo Telegram, por meio de
ferramenta similar ao programa por linha de comandos “Telegram_Backup”, conforme figuras
abaixo:
Foram ainda reunidas outras evidências da participação direta de WALTER

DELGATTI NETO nas invasões de dispositivos informáticos de inúmeras autoridades públicas do
país. Em suas declarações à Polícia Federal (fls 80/83), WALTER DELGATTI NETO confirmou
ter obtido o código de acesso do Telegram e criado uma conta no referido aplicativo vinculada ao
número telefônico do Ministro da Justiça e Segurança Pública Sérgio Moro, além de admitir ser
também o responsável pela invasão de contas do aplicativo de diversas outras autoridades
públicas.
Do mesmo modo, WALTER DELGATTI NETO confirmou que repassou ao

jornalista Glenn Greenwald, editor do The Intercept Brasil o conteúdo de mensagens do
Telegram referentes a conversas realizadas entre os Procuradores da República que atuam na
força-tarefa da operação Lava Jato, no estado do Paraná, tendo ressaltado que nunca recebeu
29
qualquer valor, quantia ou vantagem em troca do material que disponibilizou. Também foi
relatado por WALTER DELGATTI NETO que não conheceu pessoalmente Glenn Greenwald ou
qualquer outro jornalista da equipe do The Intercept e que em nenhum momento teria repassado
seus dados pessoais.
Também foram encontrados indicativos do envolvimento de WALTER

DELGATTI NETO, DANILO CRISTIANO MARQUES, GUSTAVO HENRIQUE ELIAS SANTOS e
SUELEN PRISCILA DE OLVIERIA no cometimento sistemático de fraudes bancárias e
estelionatos eletrônicos, inclusive com a apreensão de valores em espécie e diversos cartões
bancários em nome de terceiros, além da localização de inúmeros arquivos e programas
utilizados na obtenção de senhas e dados de suas vítimas, bem como ações voltadas à
ocultação ou dissimulação da origem dos recursos de origem ilícita, configurando em tese o
delito de lavagem de dinheiro, conforme disposto no artigo 1º da Lei nº 9.613/98.
Assim, para a conveniência da instrução criminal e para assegurar a

aplicação da lei penal, foi determinada a prisão preventiva de WALTER DELGATTI NETO,
DANILO CRISTIANO MARQUES, GUSTAVO HENRIQUE ELIAS SANTOS e SUELEN
PRISCILA DE OLIVEIRA.
Entretanto, mesmo com a apreensão dos equipamentos utilizados no ataque

a contas do Telegram de autoridades públicas, ainda caberia às investigações o preenchimento
de algumas lacunas informacionais, como a identificação de outros envolvidos nas invasões, o
período em que os crimes foram cometidos ou a existência de possíveis mandantes, coautores
ou mentores intelectuais dos crimes, com a delimitação de suas condutas de forma
individualizada.
7 – SEGUNDA FASE DA OPERAÇÃO SPOOFING
Em suas declarações iniciais, WALTER DELGATT NETO alegou ter sido o

único responsável pelo desenvolvimento e aplicação da técnica utilizada para invadir contas do
30
Telegram de autoridades públicas. Entretanto, após a análise dos arquivos armazenados nos
dispositivos telemáticos apreendidos com WALTER NETO, foi possível perceber o envolvimento
de ao menos outras duas pessoas nos fatos investigados:
i) LUIZ HENRIQUE MOLIÇÃO, que teria atuado diretamente na

invasão, na interceptação e divulgação de comunicações realizadas
pelas vítimas através do aplicativo Telegram; e
ii) THIAGO ELIZER MARTINS SANTOS, que atuaria no

desenvolvimento de técnicas voltadas à invasão de redes de
computadores e comunicação e teria conhecimento e participação
nos crimes cibernéticos cometidos por WALTER DELGATTI NETO.
A participação de LUIZ HENRIQUE MOLIÇÃO nos fatos foi percebida após a

análise do arquivo “áudio_2019-06-07_20-22-05.ogg”, datado de 07/06/2019, três dias após o
ataque ao celular do Senhor Ministro Sérgio Moro, que foi encontrado no Macbook Pro de
WALTER NETO (item 01 da Equipe 01 – Operação Spoofing) conforme Informação nº 32/2019-
DICINT/CGI/DIP (anexo 01 da medida cautelar nº 1015706-59.2019.4.01.3400),
Referido arquivo contém uma gravação em áudio da conversa realizada entre

um homem até então não identificado (HNI) e o jornalista GLEENN EDWARD GREENWALD, do
portal de notícias The Intercept, autor de várias reportagens elaboradas com base em material
obtido através da invasão de contas do aplicativo Telegram. Na referida gravação, o HNI,
aparentemente bastante jovem, trava um diálogo com Glenn Greenwald, e menciona que “a
gente” ou o “grupo” pegou o Telegram de várias pessoas no ano passado (2018):
GLENN GREENWALD: Tudo bom?

HNI: Então é.,., a gente...eu estava discutindo com o grupo... eu queria falar com você um
assunto.
GLENN: Hã...
HNI: É... como tá agora tá saindo muita notícia sobre isso, a gente chego... nós..
31
GLENN: Sim
HNI: ...chegamos à conclusão que eles estão fazendo um jogo pra tentar desmoralizar o
que tá acontecendo.
GLENN: Hã ham
HNI: Igual o que aconteceu com o Danilo Gentile, é... o MBL, o Holiday... a gente pegou
outubro do ano passado. Eles estão começando a falar isso agora. ... (segue)
Por sua vez, conforme Informação nº 33/2019-DICINT/CGI/DIP/PF (anexo

02 da medida cautelar nº 1027025-24.2019.4.01.3400), durante as análises do celular
apreendido com WALTER DELGATTI foram encontradas mensagens do aplicativo WhatsApp
trocadas com a pessoa identificada como “MOLIÇÃO”, vinculado ao celular de nº +55(16)99111-
8526. Nessas mensagens, datadas de 15/07/2019, WALTER NETO envia para MOLIÇÃO fotos
de tela (prints) de uma conversa que teria ele realizado com Gregório Duvivier, conhecido ator e
escritor, sobre a publicação do material repassado para Glenn Greenwald, além de tratarem
sobre um assunto que envolveria a pessoa denominada “PAVÃO”:
32
Com base na análise dessas mensagens, foram realizadas pesquisas que

permitiram a identificação do interlocutor de WALTER NETO como sendo LUIZ HENRIQUE
MOLIÇÃO (CPF 498.486.768-05), que possuiria no Twitter o perfil “@LuizMolicao” e no
Instagram a conta “@luiz.molicao”. Pesquisas em fontes abertas também identificaram o site
https://forum.politz.com.br/threads/bondedaoposicao-orcrim-se-blinda-camara-aprovalei-anti-
lava-jato-lei-de-abuso-de-autoridade-lider-do-pcc-diz-ter-mantido-dialogo-com-opt.266/page-
6586, onde o nome e o perfil do Twitter de LUIZ MOLIÇÃO eram citados, juntamente com o perfil
do Twitter de WALTER DELGATTI, com referência ao episódio da “clonagem” da conta do
Telegram do Ministro Paulo Guedes:
33
Analisando o perfil de Instagram “@luiz.molicao” foi identificado um vídeo

no stories no qual foi possível ouvir a voz de LUIZ MOLICÃO, que segundo a equipe policial,
aparentava ter semelhança com a voz do interlocutor do jornalista Glenn Greenwald na gravação
de áudio acima mencionada (Informação nº 33/2019-DICINT/CGI/DIP/PF - anexo 02 da medida
cautelar nº 1027025-24.2019.4.01.3400). Por tais informações, verificou-se a existência de
indícios razoáveis da participação de LUIZ HENRIQUE MOLIÇÃO nos fatos investigados.
Já o nome de THIAGO ELIEZER MARTINS SANTOS surgiu nas

investigações como um dos suspeitos de participar do grupo de fraudadores cibernéticos
(hackers) investigado, tendo em vista as diversas evidências que foram reunidas na Informação
nº 32/2019-DICINT//DIP/PF (anexo 01 medida cautelar nº 1027025-24.2019.4.01.3400). A
equipe de análise policial verificou que o telefone celular nº (61)99103-1432, que segundo bases
de dados da Polícia Federal pertence a THIAGO ELIEZER MARTINS SANTOS, aparece como
destinatário de várias ligações realizadas pelo cliente da BRVOZ ID 34221, número de usuário
34
vinculado a WALTER DELGATTI NETO na empresa de telefonia de voz sobre IP (VoIP)

denominada BRVOZ (MEGAVOIP).
Ressalte-se novamente, que partiram do ID 34221 as ligações em voz

sobre IP (VoIP), realizadas por WALTER DELGATTI NETO através do sistema da BRVOZ com a
alteração do número chamador, que permitiram o acesso à caixa postal dos telefones das
vítimas e a consequente obtenção dos códigos das contas do Telegram que foram invadidas.
Por sua vez, verificou-se que WALTER DELGATTI NETO realizou ligações para o número
(61)99103-1432 sem manipular o número chamador no sistema da BRVOZ, ou seja, o cliente
BRVOZ ID 34221, que realizou a maioria dos ataques a dispositivos informáticos de autoridades
públicas, também teria efetuado diversas chamadas para THIAGO ELIEZER MARTINS
SANTOS, porém sem mascarar o número verdadeiro que originou as chamadas.
Ainda segundo a Informação nº 32/2019-DICINTI/DIP/PF (anexo 01 da

medida cautelar nº 1015706-59.2019.4.01.3400), o telefone de THIAGO ELIEZER MARTINS
SANTOS (61- 99103-1432) aparece em vários registros de ligações originadas e/ou recebidas
pela conta ID 42680, que é cadastrada na empresa BRVOZ em nome de João Rodrigues Filho
(CPF 103.715.245-04), com endereço residencial em Brasília-DF. Porém, diversos bancos de
dados apontam que João Rodrigues residiria no Estado de Sergipe, fato que indicava que o
cadastro na BRVOZ do usuário ID 42680 havia sido realizado com nome falso, assim como
ocorreu em relação às contas na BRVOZ que também eram utilizadas por WALTER DELGATTI
NETO e GUSTAVO HENRIQUE ELIAS SANTOS para realizar ligações VoIP com a edição do
número chamador.
Verificou-se, do mesmo modo, que os registros de ligações da conta

BRVOZ ID 42680 possui histórico muito semelhante daquelas contas na empresa de telefonia de
VoIP que eram utilizadas por WALTER DELGATTI NETO e GUSTAVO HENRIQUE ELIAS,
quando a grande maioria dos números de origem eram manipulados e substituídos por números
de instituições bancárias. Esses registros de chamadas indicavam, assim, que o cliente BRVOZ
35
ID 42680 também estaria envolvido com fraudes bancárias eletrônicas e outros crimes
cibernéticos.
De acordo com a informação nº 32/2019-DICINT//DIP/PF (anexo 01 da

medida cautelar nº 1015706-59.2019.4.01.3400), foi informado pelo provedor de acesso à
internet que o usuário BRVOZ ID 42680 acessou no dia 23/05/2019 a mesma rede IP (protocolo
de endereço da internet) que era utilizada por WALTER DELGATTI NETO
(2804:14D:5883:A0AF:D832:F4D6:A133:7292”, instalado na Av. Leão XIII, 1700, apto 162
Ribeirinha, Ribeirão Preto/SP). Por sua vez, conforme informação enviada pela empresa
provedora de internet (anexo 12), outros IPs utilizados pelo usuário BRVOZ ID 42680 (IP
189.6.22.182 - Porta 27530) estavam registrados no endereço da QNB, Qd 13, casa 22,
Taguatinga Brasília/DF - CEP 72.115-130, em nome de DENISE MARIA MARTINS SANTOS,
que é mãe de THIAGO ELIEZER MARTINS SANTOS.
Em sua primeira oitiva à Polícia Federal, WALTER DELGATTI NETO foi

questionado sobre quem seria THIAGO ELIEZER MARTINS SANTOS, tendo se reservado ao
direito de permanecer em silêncio (anexo 02 da medida cautelar nº 1015706-59.2019.4.01.3400).
Por sua vez, na segunda declaração que prestou a este órgão policial (30/07/2019), WALTER
NETO confirmou que de fato conheceu pela internet THIAGO ELIEZER MARTINS SANTOS, de
quem teria comprado um veículo Land Rover por volta de dezembro de 2018 (anexo 03 da
medida cautelar nº 1015706-59.2019.4.01.3400). WALTER NETO alegou que somente se
encontrou pessoalmente com THIAGO ELIEZER quando veio a Brasília/DF buscar o veículo que
teria adquirido, tendo THIAGO ELIEZER o levado do aeroporto para o hotel em Brasília/DF.
Entretanto, WALTER NETO não soube dizer qual seria o nome ou o endereço do hotel em que
teria ficado hospedado, detalhe que impediu a confirmação dessa versão dos fatos pela Polícia
Federal.
Em razão da execução da fase ostensiva da Operação Spoofing, seria

natural que envolvidos ainda não alcançados pelas investigações adotassem contramedidas
visando a ocultação e/ou a eliminação de evidências, do mesmo modo que, pelas características
36
de atuação do grupo, novos suspeitos provavelmente iriam se evadir caso fossem simplesmente
intimados a comparecer à Polícia Federal, em data e local previamente agendados. Assim, foi
considerada a adoção de medida cautelar de interceptação de comunicações telefônicas e
telemáticas visando aumentar o grau de eficácia das diligências investigativas em relação ao
envolvimento de THIAGO ELIEZER MARTINS SANTOS e LUIZ HENRIQUE MOLIÇÃO nos fatos
sob apuração.
As circunstâncias concretas do presente caso exigiam um esforço

concentrado para a conclusão das apurações com celeridade e eficiência, tendo a interceptação
das comunicações telefônicas de THIAGO ELIEZER se mostrado uma medida bastante útil para
as investigações, na medida em que possibilitou a identificação da residência de sua namorada,
ANA BEATRIZ MACHADO D’ALMEIDA, como local de interesse para as investigações, tendo
em vista os fortes indícios de que o investigado utilizava o local para ocultar da Polícia Federal
provas ou evidências de suas participação nos crimes.
Assim, em cumprimento à ordem judicial expedida no âmbito da medida

cautelar nº 1027025-24.2019.4.01.3400, foi deflagrada a Operação Spoofing II, com o
cumprimento dos mandados de prisão temporária de LUIZ HENRIQUE MOLIÇÃO e THIAGO
ELIEZER MARTINS, bem como a realização de ações de busca e apreensão nos seguintes
locais de interesse para as investigações:
a) EQUIPE 01: QNB13, CASA 22, TAGUATINGA NORTE – BRASÍLIA/DF

(endereço de Denise Maria Martins Santos (mãe), local onde THIAGO
ELIEZER estaria residindo atualmente, conforme informações do
NO/DICINT. Ressalta-se também, que o IP que acessou a conta da BRVOZ
ID 42680 estaria instalado neste endereço).
b) EQUIPE 03: RUA SANTO AMARO, 341, EDIFÍCIO FORTUNA,

APARTAMENTO 1605 ou 1065, BELA VISTA, SÃO PAULO/SP
(endereço residencial, de ANA BEATRIZ MACHADO, namorada de
37
THIAGO ELIEZER MARTINS SANTOS. Foi verificado que THIAGO

ELIEZER viaja constantemente para a cidade de São Paulo/SP e, nas
oportunidades verificadas, ele se hospeda neste endereço);
c) RUA GIACOMO MERITANO CORTEZE, 481, SERTAOZINHO – SP:

(endereço residencial de LUIZ HENRIQUE MOLIÇÃO)
Após a oitiva dos investigados e análise do material arrecadado, foram

reunidos diversos elementos de prova que reforçaram o envolvimento de LUIZ HENRIQUE
MOLIÇÃO nas invasões de dispositivos informáticos de autoridades públicas brasileiras. Por sua
vez, THIAGO ELIEZER MARTINS SANTOS confirmou que tinha conhecimento da técnica
utilizada por WALTER DELGATTI NETO para invadir contas do Telegram de outras pessoas,
sendo também usuário dos mesmos softwares e serviços de voz sobre IP (VOIP) da empresa
BRVOZ (MEGAVOIP) que foram utilizados na interceptação de comunicações de autoridades
públicas.
Também foram encontradas durante as investigações evidências do

envolvimento de THIAGO ELIEZER no cometimento sistemático de crimes cibernéticos, além de
fraudes bancárias por meio de ataques realizados via internet, quando são utilizados diversos
métodos visando a obtenção de senhas e dados de suas vítimas. Assim, para a conveniência da
instrução criminal e para assegurar a aplicação da lei penal, foi igualmente determinada a prisão
preventiva de LUIZ HENRIQUE MOLIÇÃO e THIAGO ELIEZER MARTINS SANTOS.
8 – ELEMENTOS DE PROVA COLETADOS NAS DUAS FASES DA OPERAÇÃO SPOOFING
Com a deflagração das duas fases da Operação Spoofing, fora coletado

vasto material de interesse para as investigações, com destaque para os diversos dispositivos
eletrônicos contendo dados armazenados. Ao todo, foram reunidos cerca de 7 TB de dados
eletrônicos, que se encontravam em dispositivos diversos, tais como smartphones, notebooks,
hard disks (HD), pen drives, tablets e outros dispositivos de mídia de armazenamento de dados.
38
Todos os dispositivos arrecadados foram submetidos a exames pelo Serviço

de Perícias em Informática do Instituto Nacional de Criminalística da Polícia Federal, que
objetivaram a extração e análise do conteúdo do material, com a elaboração de Laudo Pericial
de Informática específico para cada item apreendido. Os arquivos das mídias passaram por um
processo de garantia de integridade baseado no algoritimo Secure Hash Algorithm (SHA) de 256
bits, cujos resultados foram registrados em arquivos denominados “hashes.txt” e anexados em
mídia ótica a cada um dos Laudos. Dessa forma, qualquer alteração do conteúdo em anexo aos
Laudos (remoção, acréscimo, alteração de arquivos ou parte de arquivos), bem como sua
substituição por outro com teor diferente, pode ser detectada.
A extração de dados dos aparelhos e dispositivos de armazenamento

eletrônico foi realizada exclusivamente de forma automatizada, por meio de ferramenta forense
apropriada. Para a extração dos dados dos aparelhos celulares, notebook e tablets foi utilizado o
equipamento Cellebrite UFED 4PC, bem como o software Cellebrite Physical Analyzer para a
geração de relatórios. Por sua vez, os relatórios gerados foram submetidos a processamento por
meio do programa Indexador e Processador de Evidências Digitais – IPED, o qual realiza a
categorização dos dados, permite buscas indexadas, a pré-visualização do conteúdo dos
arquivos, bem como apresenta diversos atributos dos arquivos categorizados, tais como datas
de criação e acesso, localização no sistema de arquivos, valor da função de resumo
criptografado MD5 e se o arquivo encontra-se com o status de apagado ou não, dentre outras
funcionalidades.
O conteúdo dos dispositivos de armazenamento computacional foi duplicado

para arquivos de imagem forense, juntamente com a ferramenta gráfica para a análise de dados
gerados pelo IPED (IPED-SearchApp.exe), sendo então copiado para mídias encaminhadas em
anexo aos laudos. Por motivo segurança, foram enviadas à equipe policial de investigação e
análise somente as cópias dos materiais, preservando-se os originais. Com a finalidade de
materializar as informações obtidas durante as análises dos dados armazenados nos
dispostivos, e após serem confrontados e complementados com outros dados que guardam
39
relação com os fatos em investigação, foram elaborados dois tipos de documentos específicos: i)
Informações de exploração de material apreendido, contendo fato relevante de interesse
investigativo, que tem como finalidade formalizar a atribuição de sentido aos dados apreendidos
e sua vinculação com a hipótese criminal; e ii) e o Relatório de Análise de Material Apreendido,
referente ao resumo das evidências encontradas em um determinado ítem apreendido na ação
de busca e apreensão.
Segue abaixo tabela com informações referentes aos itens de

armazenamento de dados apreendidos, o Laudo Pericial a que está vinculado, descrição do
dispositivo periciado e o Relatório de Análise de Material Apreendido (RAMA) respectivo, caso
tenha sido elaborado:
ALVO Eq. Item Laudo Descrição RELATÓRIO DE

ANÁLISE DE
MATERIAL - RAMA
Walter Delgatti 1 1 1409/2019 Nootebook marca Apple, modelo 04/2019
Neto e MACBOOK Pro A1706 EMC3163, DICINT/CGI/DIP/PF
1458/2019 serial C02WL1FUHV2N, FCC ID:
BCGA1706, IC: 579C-A1706,
com uma fonte de alimentação
Walter Delgatti 1 2 1409/2019 Um notebook marca LENOVO, cor 29/2019
Neto e preto, modelo I520-15IKBN 80 WK, DICINT/CGI/DIP/PF
1458/2019 série nº PF0RV8MR - MTM
80WK003QCL, ID: JVHFC1, com
uma fonte de alimentação
Walter Delgatti 1 3 1409/2019 Um PenDrive preto com proteção 15/2019
Neto e metálica semelhante a cor cinza DICINT/CGI/DIP/PF
1458/2019 prata, com capacidade de 8G
Walter Delgatti 1 4 1409/2019 Um mini Compact Disc Recordable NÃO SE APLICA

Neto e High Speed de capacidade de 25
1458/2019 minutos e 225 MegaBytes
Walter Delgatti 1 16 1409/2019 Um HD externo marca SEAGATE, 23/2019

Neto e série nº NAA87W8D, P/Nº 1TEAPS- DICINT/CGI/DIP/PF
1458/2019 500, com capacidade de
armazenamento de 1 Terabyte
40
Walter Delgatti 1 17 1409/2019 Um case com HD externo marca CB 24/2019

Neto e TECH, case USB 2.0, modelo CH- DICINT/CGI/DIP/PF
1458/2019 200,
série número WDE69EBW, mobile
HDD, ostentando a capacidade de
armazenamento de 1TB
Walter Delgatti 1 20 1409/2019 Um Chip da Operadora VIVO sem NÃO SE APLICA
Neto numeração, localizado no interior do
veículo JIPE Discovery NQT 7141
Walter Delgatti 1 21 1409/2019 Um Pen Drive da marca ScanDisk, 15/2019
Neto vermelho e preto, Cruzer Blade, DICINT/CGI/DIP/PF
ostentando a capacidade de 8GB
com as incrições SDCZ50-008 G
D33724 B 11604255058, Mande in
China
Walter Delgatti 1 18 1488/2019 Um aparelho celular da marca Apple, 43/2019
Neto e modelo iPhone XS Max nº DICINT/CGI/DIP/PF
1690/2019 T552BZ1A, série nº
Inf Tec F2LXHEA8KPH6, IMEI
161/2019 357287092232596 e IMEI
57287092443441, o qual continha em
seu interior o Chip da operadora
CLARO 89550 53297 02009 81594
AAC 006 HLRQOA, sem carregador.
Senha de acesso: 1804.
Walter Delgatti 1 5 1515/2019 Um telefone celular da marca Apple, 14/2019
Neto e modelo iPhone A 1533, com DICINT/CGI/DIP/PF
1690/2019 identificação FCC ID: BCG E2642A,
Inf. Tec IC579C E2642B, IMEI 013 988
161/2019 000262163, contendo instalado no
interior um Chip da Operadora Vivo
4G, identificação 8955101943
900136375838, sem carregador.
Senha de acesso: 9196
Walter Delgatti 1 6 1515/2019 Um celular da marca Samsung, 17/2019
Neto e modelo SM G9201, cor branca, DICINT/CGI/DIP/PF
1690/2019 identificação FCC ID: A3LSMG9201,
Inf Tec SÉRIE Nº RQ8GB4028Z9Z, IMEI
161/2019 59590/06/038556/1, sem carregador.
Gustavo e Suelen 2 44 1410/2019 Um drone marca MAVIC, modelo NÃO SE APLICA

e M1P, série nº 08QCEC4022Q4U6,
1459/2019 password: 317e2c38, com case e kit
contendo carregador de baterias, 05
baterias e um controle remoto,
acondicionado em uma mala prata
metalica da VONDER
41
Gustavo e Suelen 2 48 1410/2019 Um notebook da marca Apple, CRIPTOGRAFADO

e modelo MACBOOK A534, na cor
1459/2019 prata dourado,Serial
C02Q13HBGF84, com um
carregador
Gustavo e Suelen 2 49 1410/2019 Um notebook da marca DELL, 16/2019
e modelo INSPIRION N5110, na cor DICINT/CGI/DIP/PF
1459/2019 black piano, Serial J571751, com um
carregador
Gustavo e Suelen 2 50 1410/2019 Um notebook da SAMSUNG, modelo 25/2019
e NP800G6H, na cor preta, serial DICINT/CGI/DIP/PF
1459/2019 08839QAK400167V, com um
carregador
Gustavo e Suelen 2 51 1410/2019 Um notebook da marca DELL, 44/2019
e modelo P53G, na cor preto,Serial DICINT/CGI/DIP/PF
1459/2019 G99P442, com um carregador
Gustavo e Suelen 2 34 1475/2019 Um Tablet azul, da marca Multilaser, 18/2019

modelo M7, - 3G Plus, contendo uma DICINT/CGI/DIP/PF
etiqueta adesiva com o numero
manuscrito 773.491.568-04
Gustavo e Suelen 2 36 1493/2019 Um tablet azul, da marca Multilaser, 20/2019
modelo M7-3G PLUS, constando DICINT/CGI/DIP/PF
uma etiqueta de papel com o
manuscrito CPF 277.099.508-17
Gustavo e Suelen 2 39 1497/2019 Um iPhone branco sem IMEIs. 08/2019
e Localizado no quarto com Gustavo DICINT/CGI/DIP/PF
1704/2019 Henrique Elias Santos
Inf Tec
161/2019
Gustavo e Suelen 2 31 1510/2019 Um aparelho de telefone celular da 09/2019

e marca Apple, modelo iPhone, DICINT/CGI/DIP/PF
1704/2019 ostentando o IMEI 3591 430 7065
Inf Tec 1992.
161/2019
Gustavo e Suelen 2 33 1521/2019 Um aparelho telefonico celular da 03/2019

e marca Apple, modelo iPhone DICINT/CGI/DIP/PF
1704/2019
Inf Tec
161/2019
Gustavo e Suelen 2 32 1523/2019 Um aparelho telefonico celular da 22/2019
e marca Apple, modelo iPhone, cor DICINT/CGI/DIP/PF
1704/2019 preta, ostentando o IMEI
Inf Tec 3520530685229976
161/2019
42
Gustavo e Suelen 2 38 1528/2019 Um tablet preto, da marca Multilaser, 10/2019

modelo M7-3G PLUS, constando a DICINT/CGI/DIP/PF
identificações em etiqueta com os
IMEIS 3531740994440886 e
353174094440894
Gustavo e Suelen 2 35 1509/2019 Um tablet dourado, da marca 19/2019
Multilaser, modelo M7-3G PLUS, DICINT/CGI/DIP/PF
constando duas identificações a
primeira com os IMEIS
353280090569154 e
353280090599151 e a segunta
etiqueta, de papel constando o
telefone e (31) 99815-3024 e
006.904.496-15
Gustavo e Suelen 2 37 1516/2019 Um tablet dourado, da marca 21/2019
Multilaser, modelo M7-3G PLUS, DICINT/CGI/DIP/PF
constando duas identificações a
primeira com os IMEIS
353280090569741 e
353280090599748 e a segunta
etiqueta, de papel constando o
telefone (21) 97207-2808 e
105.842.137-94
Danilo Cristiano 3 1 1446/2019 Um SSD, S/N 50026B777300F556 05/2019
Marques e KINGSTON - 240 GB (retirado do DICINT/CGI/DIP/PF
1590/2019 Desktop)
Danilo Cristiano 3 2 1446/2019 Um HD WESTERN DIGITAL 500GB, 06/2019

Marques e 16MB DICINT/CGI/DIP/PF
1590/2019 cache S/N WCAYUF848172 (retirado
dos desktop)
Danilo Cristiano 3 3 1446/2019 Um SSD (retirado do notebook), S/N 07/2019
Marques e S1C6J56Q745945, DICINT/CGI/DIP/PF
1590/2019 MODEL HH160HI, marca SEMP
TOSHIBA
Danilo Cristiano 3 7 1548/2019 Um celular IPHONE 8 12/2019
Marques (ou 1550 - (possivelmente) registrado na Anatel DICINT/CGI/DIP/PF
verificar) sob o nº 051481701993
Inf Tec
161/2019
Gustavo Henrique 6 24 1402/2019 Relógio da marca aparente ROLEX NÃO SE APLICA
Gustavo Henrique 6 1 1432/2019 Um Modem TP-Link, mode TL- NÃO SE APLICA
Elias Santos e Wa855RE,
1588/2019 SN: 217556008038 BR/2.0
Gustavo Henrique 6 3 1432/2019 Um Notebook Sony Vaio 45/2019

Elias Santos e modelo SVF152C29X com fonte DICINT/CGI/DIP/PF
1588/2019
43
Gustavo Henrique 6 13 1432/2019 Um Modem MitraStar GPT- NÃO SE APLICA

Elias Santos e 2541GNAC
1588/2019 s/n S150y44002505 nome REPE
WiFi Fibra-sF1C
Gustavo Henrique 6 15 1432/2019 Sete Pen-drives 39/2019
Elias Santos e DICINT/CGI/DIP/PF
1588/2019
Gustavo Henrique 6 16 1432/2019 Um CD-R Multilaser 700MB NÃO SE APLICA

Elias Santos sem inscrição.
Gustavo Henrique 6 33 1432/2019 Um Modem USB 3G + NÃO SE APLICA

Elias Santos Wn31 IMEI 356360045208228
Gustavo Henrique 6 34 1432/2019 Três Chips de memória das câmeras NÃO SE APLICA
Elias Santos da casa com a identificação
frente-lado direito, frente-lado
esquerdo. garagem, fundo, sala.
Gustavo Henrique 6 39 1432/2019 Um Roteador Wireless 150MBps NÃO SE APLICA

Elias Santos LinkOne 9O671018442112572.
Gustavo Henrique 6 40 1432/2019 Um Modem FiberHome com a NÃO SE APLICA

Elias Santos inscrição 4211
Gustavo Henrique 6 41 1432/2019 Um DVD-R 16X sem inscrição NÃO SE APLICA
Elias Santos
Gustavo Henrique 6 44 1432/2019 Um HD Seagate 250GB n 6VYD4kBV NÃO SE APLICA
Elias Santos
Gustavo Henrique 6 51 Inf Tec Um iPhone rosa modelo 8 plus NÃO SE APLICA
Elias Santos 157/2019 (equivale ao Item 28
devido a um erro na numeração do
auto circunstanciado de arrecadação)
Wisllen Francisco 4 1 1550/2019 Aparelho celular iPhone XR cor azul 40/2019
Delgatti e com IMEI 357368094369055 com DICINT/CGI/DIP/PF
Inf Tec senha: 100390
161/2019
SPOOFING II
ALVO Equipe Item Laudo Descrição RAMA
Luiz Henrique 4 2 1785/2019 01 Aparelho celular identificado 35/2019

Molição marca APPLE, modelo A1586, DICINT/CGI/DIP/PF
IMEI 352068064785513 - senha de
desbloqueio 829786
Luiz Henrique 4 1 1820/2019 01 notebook identificado marca 42/2019
Molição ACER , cor cinza, mod ASPIRE F5- DICINT/CGI/DIP/PF
573, número de série
NXGJLAL00371933CF69501
44
Luiz Henrique 4 3 1820/2019 01 Notebook identificado marca 42/2019

Molição LENOVO, cor preta, modelo 80AC, DICINT/CGI/DIP/PF
número de série PE00PGTF
Thiago Eliezer 1 1 1773/2019 Um aparelho celular IPhone X, IMEI 30/2019 DICINT/CG
Martins Santos 354861090034924, I/DIP/PF
cor prata,
com capa de proteção azul, modelo
nº MQAD2BZ/A,
N/S F2LW98JXJCLJ, senha: 0000,
localizado no quarto
de THIAGO.
Thiago Eliezer 1 2 1811/2019 Um relógio APPLE WATCH, preto, NÃO SE APLICA
Martins Santos serial FHLQ7MGGG9J6
Thiago Eliezer 1 3 1811/2019 Um HD SEAGATE S/N W931ST1E, 1 CRIPTOGRAFADO

Martins Santos TB
Thiago Eliezer 1 4 1811/2019 Um HD 500GB, S/N: 36/2019

Martins Santos WCC2EM789118 WD - DICINT/CGI/DIP/PF
WD5000AAKX, SATA/16MB Cache
Thiago Eliezer 1 5 1811/2019 Um Sandisck Ultra 30MB/s*, 4 GB, 36/2019
Martins Santos cores preta, vermelha e cinza DICINT/CGI/DIP/PF
Thiago Eliezer 1 6 1811/2019 Um notebook lenovo, cor preta, NÃO SE APLICA

Martins Santos modelo 6881, S/N: PEC F099,
Lenovo IDEAPAD 7400 TOUCH
Thiago Eliezer 1 7 1811/2019 Um notebook em más condições, NÃO SE APLICA
Martins Santos sem bateria, S/N: D06Q4R1, cores
vermelha e preto
Thiago Eliezer 1 9 1811/2019 Um microchip com "adapter", com 36/2019
Martins Santos tamanho 32 GB DICINT/CGI/DIP/PF
Thiago Eliezer 1 12 1811/2019 Um notebook DELL, cores cinza e CRIPTOGRAFADO

Martins Santos preto, INSPIRON, S/N 2 COJYR2,
Reg. Model P61F
Thiago Eliezer 1 15 1811/2019 Um modem 4G, dispositivo c WIFI NÃO SE APLICA
Martins Santos Vivo
Thiago Eliezer 1 16 1811/2019 Um pendrive vermelho DT 101, 8GB 36/2019

Martins Santos DICINT/CGI/DIP/PF
Thiago Eliezer 1 17 1775/2019 Um IPAD prata, modelo 37/2019

Martins Santos MGNV2BR/A, N/S DV6P700EG5V2, DICINT/CGI/DIP/PF
localizado no quarto da mãe de
THIAGO.
45
Thiago Eliezer 1 10 / 1786/2019 (item 10) Um chip VIVO 4G NÃO SE APLICA

Martins Santos 11 e 895506566239 00222050439,
14 localizado no quarto de THIAGO.
(item 11) Um chip OI, 8955 312929
927888842,
localizado no quarto de THIAGO.
(item 14) Um chip da VIVO 4G
8955066363 9003584779, localizado
no quarto de THIAGO.
Thiago Eliezer 3 3 1794/2019 Um telefone celular marca 27/2019 DICINT/CG
Martins Santos SAMSUNG, I/DIP/PF
(São Paulo) modelo DUOS SSN - I9192GSMH
Thiago Eliezer 3 14 1795/2019 Um telefone celular marca 38/2019
Martins Santos SAMSUNG, modelo DUOS DICINT/CGI/DIP/PF
(São Paulo) IMEI 1: 357739061786895
IMEI 2: 357740061786893
s/n: RX1G50DPK3X
sem a tampa traseira
Thiago Eliezer 3 8 1815/2019 Um notebook marca SAMSUNG, S/N 41/2019

Martins Santos HX0G9QED500861V, com DICINT/CGI/DIP/PF
(São Paulo) carregador
Thiago Eliezer 3 9 1815/2019 Um HD marca SEAGATE s/n CRIPTOGRAFADO
Martins Santos 5YX1GCYP
(São Paulo)
Thiago Eliezer 3 10 1815/2019 Um HD marca WD, sem o serial CRIPTOGRAFADO
Martins Santos number aparente, com etiqueta 1227-
(São Paulo) B5N-AD F1 A3502FB
Thiago Eliezer 3 11 1815/2019 Dois HD de computador: 41/2019
Martins Santos - marca WD, 1TB, s/n DICINT/CGI/DIP/PF
(São Paulo) WXP1A68K1278 na caixa com o
pedido número 1255 da empresa
DOUTOR HD e cliente THIAGO
MARTINS SANTOS
- SSD NVME 960 evo s/n
S3ESNX0K122162Z
Thiago Eliezer 3 13 1815/2019 Um HD marca SEAGATE s/n CRIPTOGRAFADO
Martins Santos NA8HNX10
(São Paulo)
Empresa 2 1 1806/2019 Um HD Seagate , 1TB, S/N 26/2019
Financeira 6VP06P0Z DICINT/CGI/DIP/PF
Além de dispositivos eletrônicos de armazenamento de dados, também foram

apreendidos diversos materiais físicos, tais como cartões bancários e boletos em nome de
terceiros, máquinas de leitura de cartão de crédito/débito, chips de celulares, dentre outros, que
46
também foram submetidos a procedimento de exploração e análise com a finalidade de

formalizar suas vinculações com a hipótese criminal sob exame.
Do mesmo modo, além da arrecadação de material durante a deflagração

das duas fases da Operação Spoofing, foram solicitadas medidas de afastamento de sigilo
telemático de e-mails vinculados aos investigados, bem como de dados armazenados em
sistemas de arquivo em nuvem. Assim, elaborou-se relatórios de análise contendo a síntese das
evidências e elementos obtidos, os quais serão mencionados na individualização das condutas
de cada um dos investigados.
Por fim, deve ser mencionado o Laudo de Perícia Criminal Contábil-

Financeiro nº 2161/2019-INC/DITEC/PF, que analisou dados bancários relacionado às 06 (seis)
pessoas físicas e 01 (uma) pessoa jurídica, que constam das decisões de afastamento de sigilo
bancário listadas na tabela abaixo:
CPF/CNPJ Nome Período de quebra
17.599.733/0001-97 AME RESTAURANTE LTDA 01/01/2018 a 31/12/2018
370.074.428-54 DANILO CRISTIANO MARQUES 01/01/2018 a 17/07/2019
389.864.308-51 GUSTAVO HENRIQUE ELIAS SANTOS 01/01/2018 a 17/07/2019
498.486.768-05 LUIZ HENRIQUE MOLIÇÃO 01/01/2019 a 17/07/2019
427.742.138-51 SUELEN PRISCILA DE OLIVEIRA 01/01/2018 a 17/07/2019
026.158.451-01 THIAGO ELIEZER MARTINS SANTOS 01/01/2018 a 17/07/2019
378.676.428-03 WALTER DELGATTI NETO 01/01/2018 a 17/07/2019
Com relação às movimentações bancárias no ano de 2018, referentes a

DANILO CRISTIANO MARQUES, GUSTAVO HENRIQUE ELIAS SANTOS, SUELEN PRISCILA
DE OLIVEIRA e WALTER DELGATTI NETO, será elaborado laudo complementar após a
transmissão completa dos dados bancários por parte das instituições financeiras. Por sua vez, as
movimentações financeiras abordadas no Laudo Contábil-Financeiro nº 2161/2019-
INC/DITEC/PF, e que sejam do interesse das investigações, serão mencionadas na descrição
das hipóteses criminais sob apuração, bem como na contextualização e individualização das
condutas de cada investigado.
47
Seguem abaixo as principais evidências reunidas, organizadas de forma

individualizada em relação a cada um dos investigados.
9 – CRIMES APURADOS
A presente investigação criminal tem por objetivo final realizar o

enquadramento legal dos dados apurados, atribuindo o tipo penal aos eventos que chegaram ao
conhecimento da Polícia Federal. Assim, o trabalho de preparação dos enunciados fáticos que
serão submetidos ao Ministério Público Federal e ao Poder Judiciário somente é possível
mediante a análise de crimes específicos, com a consequente subsunção dos eventos à norma.
O sentido legal dos fatos em apuração é obtido a partir dos tipos penais que
lhes conferem relevância criminal. Por sua vez, tendo em vista a multiplicidade de eventos que
compõem o fluxo temporal da presente investigação criminal, devem ser ressaltados apenas os
elementos que possuem relevância jurídica para cada crime específico. Assim, as evidências
reunidas no curso do presente Inquérito Policial serão apresentadas de acordo com o tipo penal
a que estão vinculadas e que servem como elemento de corroboração.
Entretanto, deve ser ressaltado que, por óbvio, a captulação realizada em

sede policial não vincula o titular da ação penal, podendo o membro do Ministério Público
adequar ou complementar o enquadramento jurídico dos fatos, conforme outros entendimentos
levandos em consideração.
9.1 - ORGANIZAÇÃO CRIMINOSA
Os fatos investigados no presente Inquérito Policial foram apresentados de

em linguagem coloquial pela imprensa como sendo ações de “hackers”, termo importado
da língua inglesa e que pode ser traduzido por decifrador. Por sua vez, o verbo "hackear
costuma ser usado para descrever modificações e manipulações não autorizadas em sistemas
de computação. Assim, os hackers, de uma forma geral, seriam programadores de
computadores habilidosos, em sua maioria jovens estudantes, e por dedicarem muito tempo a
48
pesquisa e experimentação, possuiriam reduzida atividade social e se encaixariam no

estereótipo do chamado “nerd”.
Entretanto, a palavra “hacker” também pode ser associada ao chamado

criminoso virtual, sendo esta a definição correta a ser aplicada nesta investigação criminal. Na
realização de crimes virtuais, muitos hackers compartilham informações e colaboram em ações
em comum, de acordo com a habilidade demonstrada por cada um. Em alguns casos, esta
colaboração entre os criminososs pode ocorrer apenas de modo virtual, sendo também comum a
utilização de codinomes (nicknames) para serem identificados em chats na internet ou em
grupos de aplicativo de comunicação.
Neste sentido, foram encontrados diálogos realizadas por WALTER

DELGATTI NETO através do aplicativo “Skype” (usuário Skype goextremehardorgohome), que
versavam, em sua maioria, sobre fraudes bancárias, bem como registros de conversas por meio
do programa “Adium 2.0” com conteúdo semelhante. Segundo o Laudo nº 1458/2109-
INC/DITEC/PF (fls. 435/440), essas conversas foram realizadas partir de tal programa utilizando
os protocolos Internet Relay Chat (IRC) e (ICQ).
A análise dos referidos diálogos, materializada no RAMA 04/2019, traz um

quadro do funcionamento do submundo do crime virtual, com a intensa comercialização de
informações e instrumentos para a prática dos crimes em grupos e chats especializados,
conforme os exemplos a seguir:
i) “Toguro vendas CC ON”: neste grupo de mensagens, as conversas são

claras e objetivas. Os integrantes, inclusive WALTER NETO, que utiliza o usuário
“goextremehardorgohome”, negociam a venda de cartões de créditos em nome de terceiros e
malwares, solicitam e oferecem informações sobre placas de veículos, pessoas físicas e outros
serviços. Trata-se, efetivamente, de um grupo de comércio, inclusive com ofertas e promoções,
praticados por criminosos. Segue trecho das extensas mensagens verificadas neste grupo:
49
ii) Grupo “W0rk”: chat com finalidade similar ao anterior, que conta também
com a participação de WALTER NETO:
iii) “Ximia__CdD”: foram registradas conversas entre o usuário “ximiapriv8” e

WALTER NETO, que se identificava como PAULO MENDES (nickname2
goextremehardorgohome). O interlocutor de WALTER inicia a conversa oferecendo “infect” 3.
WALTER, em resposta, afirma que necessitará atualizar a “kl” 4, e complementa “mas vou
precisar de infect sim”. Logo após, WALTER pergunta sobre o valor do infect oferecido,
referência a softwares maliciosos, bem como cartões de créditos. Num determinado momento da
conversa, “ximiapriv8” afirma que eles já fizeram “negócio” antes, tendo WALTER afirmado ter
depositador R$ 1.400,00 “de cc5 acho”:
50
iv) “IGR”: o usuário “igr.gov” foi repassado pelo “Ximia__CdD”, reportado no

item 3.1.4, como o contato para vender dados de clientes do Banco do Brasil a WALTER. O
interlocutor “igr.gov” afirma ter “123 BB” para vender, inclusive com senhas de 4 dígitos, por
“2500$”. WALTER questiona se ele tem o “plástico”6 ou a “info” e afirma possuir a URA (Unidade
de Resposta Audível) de todos os bancos, informando que tem o interesse em comprar
“plástico”. Estas gravações, utilizadas pelos bancos em seus atendimentos automatizados
(URA), foram, de fato, encontradas em um pendrive (item 3 do auto de apreensão) que estava
em posse de WALTER:
51
v) Chat “João Estrela*: na conversa WALTER e o interlocutor joaopestrela100

afirma que consegue ligar para as vítimas através do número do próprio banco. Esta
manipulação do número chamador também foi utilizada para acessar os correios de voz das
vítimas e ouvir o código enviado pelo Telegram. A mensagem em que WALTER afirma ligar do
número do banco é de 19/06/2018 e a conta ID 34221 da BRVOZ, principal conta utilizada nas
invasões, foi criada em 22/06/2019. Este cenário poderia sugerir que WALTER já utilizava este
mecanismo de manipular o número chamado antes até da criação da conta ID 34221 na BRVOZ:
9.1.1 – GRUPO DE ARARAQUARA
A associação criminosa investigada possui um grupo inicial específico que foi

formado na cidade de Araraquara/SP, composto por WALTER DELGATTI NETO, GUSTAVO
HENRIQUE ELIAS SANTOS, SUELEN PRISCILA DE OLIVEIRA e DANILO CRISTIANO
MARQUES, os quais possuíam histórico de crimes praticados em conjunto.
Segundo a Informação nº 076/2018 – DFIN/DICOR/PF, foi verificado que

WALTER DELGATTI NETO, também conhecido pela alcunha “VERMELHO”, responderia na
Justiça de São Paulo pelos seguintes crime:
52
Foro de Araraquara:
i) 0013971-19.2015.8.26.0037
Ação Penal - Procedimento Ordinário / Furto Qualificado
Réu: Walter Delgatti Neto
Recebido em: 07/12/2015 - 1ª Vara Criminal
ii) 0004334-44.2015.8.26.0037
Ação Penal - Procedimento Ordinário / Tráfico de Drogas e Condutas Afins
iii) 0018495-30.2013.8.26.0037
Ação Penal - Procedimento Ordinário / Crimes contra o Patrimônio
Foro de Ribeirão Preto
iv) 0013056-57.2011.8.26.0506 (412/2011)

Ação Penal - Procedimento Ordinário / Estelionato
Foro de Rio Claro
v) 0016724-87.2012.8.26.0510 (510.01.2012.016724)
Ação Penal - Procedimento Ordinário / Estelionato
WALTER DELGATTI NETO também responderia ao seguinte processo

criminal perante a Justiça Santa Catarina:
vi) 0001229-80.2015.8.24.0048
Classe: Termo Circunstanciado
Área: Criminal 2ª Vara criminal – Balneário Piçarras/SC
Assunto: Uso de documento falso
53
Ressalte-se, também, que no momento da deflagração da Operação

Spoofing WALTER DELGATTI NETO se encontrava evadido da justiça, motivo pelo qual
utilizava imóvel alugado em nome de DANILO CRISTIANO MARQUES para se esconder dos
órgãos policiais encarregados do cumprimento do mandado de prisão expedido pela 1ª Vara
Criminal da Comarca de Araraquara/SP, referente ao processo nº 0013971-19.2015.8.26.0037
que condenou WALTER NETO em sentença definitiva pelo cometimento de crime contra o
patrimônio.
Em pesquisas realizadas no Cadastro Nacional de Informações Sociais –

CNIS, não foi encontrado qualquer vínculo formal de trabalho em nome de WALTER DELGATTI
NETO. Entretanto, verificou-se no material apreendido inúmeros registros de imagens em que
WALTER DELGATTI NETO ostenta sinais incompatíveis de riqueza, como as que foram
registradas na Informação nº 50/2019-DICINT/CGI/DIP/PF:
Por sua vez, existem diversas evidências que indicam a participação de

WALTER DELGATTI NETO na realização sistemática de fraudes bancárias. Como exemplo,
pode-se citar o arquivo denominado “envia.php”, encontrado na pasta raiz do computador de
WALTER NETO, que seria utilizado para carregar a página “eng.html” a sugerir um tipo de
ataque conhecido no meio cibernético como phising, técnica de fraude on line utilizada por
criminosos para roubar senhas de bancos e demais informações de vítimas:
54
Ainda segundo a Informação nº 29/2019-DICINT/CGI/DIP, o arquivo

“UNADJUSTEDNONRAW_thumb_1e2f.jpeg”, também localizado no computador WALTER
DELGATTI NETO, apresenta conversas de interlocutores em que são repassadas informações
que aparentam ser de cartões de possíveis vítimas, conforme imagem abaixo:
Também foram verificados elementos de prova que demonstram ser

WALTER DELGATTI NETO um especialista na aplicação de técnicas de engenharia social,
possuindo forte poder de persuasão para obter informações que são utilizadas para o acesso
não autorizado a sistemas de computadores.
55
Segundo a Informação nº 50/2019-DICINT/CGI/DIP/PF, foi encontrado no e-

mail tadanado@icloud.com, que era utilizado por WALTER DELGATTI NETO, o arquivo de uma
gravação de áudio na qual WALTER NETO se apresenta como sendo o responsável pela área
técnica de segurança de determinada instituição financeira e orienta uma cliente do banco, de
nome FERNANDA, a efetuar a atualização do computador, provavelmente para instalação de
programa malicioso para captura de senhas e dados bancários. Na gravação é possível ouvir
barulhos de teclado, o que seria uma estratégia de WALTER para imitar uma central de
atendimento bancário.
FERNANDA: oi.
WALTER: oi, pois não senhora.
FERNANDA: heim FERNANDO aqui tem muita... tem muito hacker... sei lá esses trem a
gente fica meio com medo
WALTER: ah sim!
....
WALTER: agora a senhora faz o acesso, conta corrente, consultas e tira o extrato.
Automaticamente ele vai começar novamente a atualização.
FERNANDA: e, aí eu tenho que fazer nas minhas duas empresas essa atualização?
WALTER: acredito que sim senhora, porém, o meu contato é pra fazer nessa empresa! A
outra empresa da senhora... só um minuto, deixa eu vê se eu tenho acesso aqui... a outra é
Loucuras de Amor né?
FERNANDA: Isso.
WALTER: Ah sim! Acredito que a senhora receberá um novo contato para fazer a
atualização na outra. Porém, com esse contato a senhora já toma conhecimento de como faz
e pode fazer sozinha senhora.
FERNANDA: ah tá! Não porque, realmente é..., assim pediu várias vezes para fazer isso, só
que foi esquecendo
WALTER: ah sim...
FERNANDA: eu fiquei achando que era hacker, vírus, alguma coisa. Então tinha pedido
esse mesmo procedimento aí, só que eu não deixava finalizar, que eu tava com medo
WALTER: ah entendi
FERNANDA: eu esqueci de ligar pro meu gerente entendeu?
WALTER: entendi
56
FERNANDA: pra verificar com ele

WALTER: ah... mas como ele autorizou agora tudo bem! É como eu te disse senhora por
esse motivo que a senhora não fez antes, hoje é o último dia né... no caso do prazo
FERNANDA: entendi.
WALTER: por esse motivo a senhora teria de fazer hoje porque se esperasse até segunda
feira só seria possível com um técnico indo até a empresa da senhora. Isso demora até sete
dias úteis e a senhora poderia ficar sem acesso a conta on line por sete dias
FERNANDA: ah entendi...
FERNANDA: FERNANDO, apareceu aqui pra eu digitar uma senha
WALTER: é a senha do certificado né.
FERNANDA: isso.
WALTER: a senhora digita a senha, não me informe tá senhora!
FERNANDA: oi?
WALTER: a senhora digita a senha não me informe ela tá!
FERNANDA: ok.
FERNANDA: e aí, e agora qual que vai ser o procedimento na hora que reiniciar?
WALTER: senhora, agora com a finalização, o seu computador faz o reiniciamento e, logo
em seguida, a senhora tem acesso normal à sua conta como antes
FERNANDA: aí vai mudar é... o... banco tá mudando? Assim é... a forma de trabalhar, como
é que é? O que que é...
WALTER: na realidade o design do banco não afeta em nada, porém, esse guardião, ele
defende as movimentações da sua conta e acessos irregulares feitos por terceiros. Caso
aconteça um acesso que não é da senhora, exemplo, num outro computador, na hora,
automaticamente ele manda uma notificação pro seu gerente e o seu gerente entra em
contato com a senhora, confirmando se realmente foi a senhora que fez esse acesso ou não.
Caso não foi a senhora ele faz um bloqueio preventivo da sua conta, entendeu senhora?
FERNANDA: ahm... entendi.
WALTER: ele na realidade é um guardião mesmo, ele toma conta da sua conta. Caso seja
feito algum pagamento, alguma transferência que não é da senhora automaticamente ele faz
o bloqueio da transferência, do pagamento, entra em contato com o seu gerente e aguarda
uma autorização dele. Caso ele fale: não, realmente foi minha cliente ele faz a liberação,
caso não, ele faz o bloqueio e a senhora nunca será lesada com isso, com esse guardião...
WALTER: olha senhora, aqui no sistema já consta como finalizado, ele vai reiniciar aí e eu
agradeço a sua atenção...
57
FERNANDA: mais eu tô fazendo aqui, ele falou assim: “não FERNANDA pode...” ele me
ligou, que tava passando whatsapp pra ele e ele me ligou e falou, “não FERNANDA pode
fazer que sem isso não tem problema”
WALTER: não tudo bem, como eu te disse, eu não vou confirmar nada com a senhora, agora
a senhora fica tranquila né!
FERNANDA: ah é, porque sei lá...
WALTER: Não! É normal.
FERNANDA: É normal né?
WALTER: Isso senhora!
FERNANDA: Ruim é quando a pessoa vai fazendo sem falar nada né?
WALTER: Não, com certeza é até bom a senhora sempre procurar um gerente, coisa do tipo,
aí a senhora fica mais segura né?
FERNANDA: anh ham...
Em outro arquivo de áudio, que também foi encontrado no e-mail

tadanado@icloud.com, WALTER NETO, novamente passando-se por responsável de área
técnica bancária, orienta e tenta persuadir o cliente, homem não identificado (HNI), a efetuar a
atualização de software do computador, provavelmente também com o intuito de instalar
programa malicioso para captura de senhas e dados bancários. Segue abaixo transcrição de
partes relevantes do áudio:
WALTER: acontece o seguinte senhor...

HNI: agora eu tenho uma gerente que não me liga pra nada e eu não sei nada do que
acontece, quando eu ligo lá não atende o telefone
WALTER: é
HNI: eu tô mal assessorado
WALTER: é por esse motivo que a gente tem uma central específica pra resolver isso
HNI: anh ham
WALTER: senhor acontece o seguinte: como o senhor havia dito, toda vez que começa
atualização acontece alguma fraude na conta do senhor. Porém, como o senhor disse: o
vagabundo né, ele usa a atualização do banco que existe como uma desculpa para pode
fazer também a atualização, entendeu senhor?
HNI: anh ham
58
WALTER: por esse motivo que o banco também atualiza, o banco atualiza e o vagabundo
também senhor
HNI: não eu entendi, mais, mais...é que é assim... só pra você entender o meu ponto de vista
WALTER: sim
HNI: eu tô com um dinheiro lá na conta e eu preciso pagar um boleto hoje, eu preciso usar o
dinheiro hoje, cê entendeu? Aí quando eu vi que que entrou essa merda dessa atualização
WALTER: entendi
HNI: e eu não tô sabendo de nada, minha gerente não me fala nada, não sabe nada, pra
mim é alguém querendo hackear a minha conta
WALTER: ah entendi
HNI: aí eu peguei e fui lá e desliguei tudo, cê entendeu?
WALTER: é que essa atualização está sendo feita em todos os computadores, em todas as
contas
HNI: não, positivo. Isso Você tá me falando, só que assim, a minha gerente nunca me falou
nada que tem que fazer atualização e tem isso, tem aquilo e aquilo outro
WALTER: com certeza!
HNI: quando eu vi acontecendo isso e, e... foi semelhante ao que aconteceu da outra vez eu
desliguei tudo
WALTER: não, com certeza
HNI: eu vou falar meu, eu vou me ferrar aqui, eu vou perder onze conto, o banco vai demorar
uma semana pra me devolver o dinheiro e eu não consigo mais pagar as minhas contas
WALTER: entendi senhor, mas dessa vez não é fraude senhor!
A conversa continua com HNI pedindo o telefone de contato da central de

atendimento para WALTER DELGATTI NETO, que é identificado pelo nome de FERNANDO.
WALTER informa os supostos telefones de contato para HNI e diz aguardar pela ligação.
Demonstrando ainda sua habilidade em praticar crimes valendo-se de

técnicas de engenharia social, em outra gravação WALTER NETO se passa por empregado da
área de segurança do banco Santander e liga para o gerente de uma agência da instituição com
o objetivo de descobrir os procedimentos internos do banco, confome RAMA nº
4/DICINT/CGI/DIP/PF.
59
Também foi encontrado no e-mail gutodubra@icloud um vídeo em que

GUSTAVO HENRIQUE filma WALTER NETO realizando uma ligação para uma possível vítima
de fraude bancária. Seguem imagem e transcrição do arquivo IMG_1041.mov:
WALTER: Senhora, a senhora está no [ináudivel] melhor né?!

WALTER: A senhora colocou o "www"?
Ressalte-se que a capacidade demonstrada por WALTER NETO de

improvisar histórias, conforme as diversas gravações de golpes que foram encontradas no
material probatório reunido, foi também percebida durante as suas oitivas realizadas ao longo da
investigação, reforçando a necessidade da Polícia Federal de se basear em exames periciais e
provas materiais para realizar a reconstituição fidedigna dos fatos ocorridos.
60
Conforme Relatório de Análise Bancária nº 01/2019/NO/DICINT/CGI/DIP/PF,

WALTER DELGATTI NETO movimentou, no período de 08/06/2019 a 04/12/2018, em operações
registradas no banco NU o total bruto (sem expurgos) de R$ 46.664,45 (créditos). As
movimentações referentes ao período de 01/01/2019 a 17/07/2019 foram lançadas Laudo nº
2161/2019, ressaltando-se que WALTER DELGATTI NETO utilizava contas em nome de
DANILO CRISTIANO para realizar transferências bancárias:
Ano Créditos [R$] Débitos [R$]

Brutos Expurgos Líquidos Brutos Expurgos Líquidos
2019 107.702,54 26.350,00 81.352,54 116.055,07 26.350,00 89.705,07
Por sua vez, em relação a GUSTAVO HENRIQUE ELIAS SANTOS foram

localizados em bancos de dados da Secretaria de Segurança Pública do Estado de São Paulo
vários registros criminais referentes aos crimes de ameaça, falsificação de documentos,
receptação, uso de documento falso e furto, além da prisão em flagrante ocorrida em 2015 após
GUSTAVO HENRIQUE ter sido encontrado pela Polícia Militar portando um revólver calibre 357,
juntamente com 5 cartuchos intactos, conforme a Informação nº 023/19 – DICINT/CGI/DIP/PF:
i) IPL 23/2013 - D.P. Araraquara: Tipo: Flagrante por falsificação de documento público e
utilização de papéis falsificados (Art. 297 e 304 do CP);
ii) IPL 094/2014 - D. P. Panorama. Tipo: Portaria. Furto (art. 155).
iii) IPL 023/2015 - D. S. Taboão da Serra. Tipo: Flagrante. Porte ilegal de arma de fogo.
iv) Ação Penal nº 966/2013 - Vara Criminal de Araraquara. Denunciado por adulteração de
chassi (art. 311 CP), fazer uso de papéis falsificados (art. 304 CP) e alterar documento público
(art. 297). Sentença: Condenado. Pena: 6 anos em regime semiaberto.
Existem inúmeros elementos de prova indicando que GUSTAVO HENRIQUE

ELIAS SANTOS possui atividades criminais cotidianas. Conforme Relatório de Análise de
Conteúdo em Nuvem nº 001/2019 SOI/DICINT/CGI/DIP e Informação nº
49/2019/DICINT/CGI/DIP, foram encontrados nos e-mails gutodubra@icloud.com e
61
djgutodubra@icloud.com diversos arquivos de foto e vídeos em que o investigado ostenta

dinheiro e outros recursos obtidos de forma ilícita. Seguem abaixo alguns exemplos:
Transcrição do áudio vinculado ao vídeo:
GUSTAVO: Bom dia grupo! Vamo focar, vamo focar no golpe.
Em outro vídeo mencionado no Relatório de Análise de Conteúdo em Nuvem

nº 001/2019, GUSTAVO HENRIQUE conta quantia em espécie através de uma máquina de
contar cédulas e filma uma folha de papel onde anota a contabilidade de 27/03/2019. Das
anotações contábeis depreende-se: 245.640,00 (Itaú), 102.800,00 (Bradesco), 70.450,00
(Brasil), 129.250,00 (Santander), 19.900,00 (Original), 55.000,00 (Western Union):
62
O investigado também realizou uma filmagem em que desembala grande

quantia de dinheiro, explicando que alguém teria enviado as notas de forma a ocultá-las em
embalagens de macarrão, torradas, sacolas plásticas:
Transcrição Vídeo
GUTO: Ele manda assim, em sacolinha de... ou é caixa ou é, ou é sacola de pão, de
macarrão, de arroz.
Em outro vídeo, feito no interior de um veículo, GUSTAVO revela que estaria

transportando grande quantia de dinheiro para Ribeirão Preto:
63
Transcrição (IMG 3100)

GUTO: Ô viado, tô indo pra porra de Ribeirão Preto. Olha aqui fio, não tem nem onde...
não cabe mais dinheiro. Oh, oh.
Guto abre o console do veículo e mostra os maços de nota.
GUTO: Ó o que eu tô tendo que fazer aqui. Fora o banco de trás. Não tem, não tem... vai
vai segurando essa porra aí, veado. Ó, não dá nem pra fechar a mão mano. Tá
chapando?
Também foram encontrados vídeos e fotos em que GUSTAVO HENRIQUE

expõe a posse de armas de fogo:
64
Também foram mencionadas na Informação nº 49/2019/DICINT/CGI/DIP

imagens e vídeos que evidenciaram o envio e recebimento, por GUSTAVO HENRIQUE, de
cartões bancários pelos Correios:

GUSTAVO HENRIQUE ELIAS SANTOS movimentou, no período de 08/06/2019 a 04/12/2018,
em operações no Banco Inter S/A, Banco Original, Banco do Brasil e Caixa Econômica Federal o
total bruto (sem expurgos) de R$ 1.063.955,62 (créditos).
Por sua vez, segundo o Laudo Contábil-Financeiro nº 2161/2019, GUSTAVO

HENRIRQUE ELIAS SANTOS movimentou, no período de 01/01/2019 a 17/07/2019, os valores
mencionados na tabela abaixo:
GUSTAVO HENRIQUE ELIAS SANTOS (389.864.308-51)

2019 440.826,78 273.802,67 167.024,11 471.762,58 169.660,00 302.102,58
Em suas atividades ilícitas, GUSTAVO HENRIQUE contaria com a

participação e cumplicidade de SUELEN PRISCILA DE OLIVEIRA, tendo sido encontrado no
imóvel ocupado pelo casal farto material indicativo do cometimento de crimes e fraudes
bancárias em diversas modalidades, tais como cartões bancários e boletos em nome de
terceiros, além de diversas máquinas de leitura de cartão de crédito/débito. Do mesmo modo, foi
65
apreendida com GUSTAVO HENRIQUE e SUELEN a quantia de R$ 99 mil reais em espécie,

não tendo sido apresentados documentos que comprovariam sua origem lícita.
Conforme Informação nº 025/2019 – DICINT/CGI/DIP/PF (anexo 8 da medida

cautelar nº 1017553-96.2019.4.01.3400), o RIF/COAF nº 43564/2019 apontou diversas
transações financeiras suspeitas em nome de GUSTAVO HENRIQUE ELIAS SANTOS e sua
companheira SUELEN PRISCILA DE OLIVEIRA. Pelo referido RIF/COAF, verifica-se que
GUSTAVO HENRIQUE movimentou em sua conta no Banco Original (agência 0001, conta
7669429), entre os dias 18/04/2018 e 29/06/2018, o montante de R$ 424.000,00, sendo que o
mesmo informou em seu cadastro bancário possuir a renda mensal de R$ 2.866,00 e exercer a
atividade de empresário.

SUELEN PRISCILA DE OLVIVEIRA realizou operações financeiras, no período de 10/01/2018 a
18/10/2019, no Banco Original e Banco Itaú, que alcançaram o total bruto (sem expurgos) de R$
827.555,17 (créditos).
Por sua vez, de acordo como Laudo de Análise Contábil-Financeira nº

2161/2019-INC/DITEC/PF, SUELEN PRISCILA movimentou no período de 01/01/2019 a
17/07/2019, o valor bruto de R$ 204.409,32, conforme tabela abaixo:
SUELEN PRISCILA DE OLIVEIRA (427.742.138-51)

2019 204.409,32 100.797,32 103.612,00 103.955,57 100.000,00 3.955,57
GUSTAVO afirmou à Polícia Federal que utiliza o nome de SUELEN

PRISCILA DE OLIVEIRA para movimentar seus recursos financeiros, mas que ela
desconheceria suas atividades comerciais ou negócios que realizava. SUELEN PRISCILA
também alegou desconhecer o envolvimento de GUSTAVO HENRIQUE ELIAS SANTOS com
fraudes bancárias e outros golpes realizado pela internet, afirmando que seu companheiro
66
possuiria como fonte de renda os pagamentos que recebe como DJ e os rendimentos

conseguidos com a comercialização de criptomoedas.
Entretanto, foram encontradas informações nos aparelhos celulares

apreendidos na residência do casal a evidenciar que SUELEN PRISCILA DE OLIVEIRA tem
conhecimento e auxilia nas fraudes bancárias praticadas por GUSTAVO HENRIQUE ELIAS
SANTOS. Segundo a Informação nº 027/2019-DICINT/CGI/DIP, foram encontrados diálogos no
aplicativo WhatsApp entre GUSTAVO HENRIQUE, identificado como “Guto Amor” (11-
972798093) e SUELEN, identificada como “Suélen Priscila” (11-973792405), onde GUSTAVO
informa resultados de consultas de CPF e Suelen encaminha fotos de cartões de créditos de
terceiros.
Também no e-mail djgutodubra@icloud.com foram encontradas algumas

imagens que indicam provável falsificação de um comprovante em nome de SUELEN, que foi
alterada para Kaio Alves Higor:
A relação criminosa entre WALTER DELGATTI NETO e GUSTAVO

HENRIQUE ELIAS SANTOS foi inicialmente constatada pela instauração do IPL nº 38/2016, que
tramitou na Delegacia da Polícia Federal em Araraquara/SP. No referido inquérito policial,
WALTER DELGATTI NETO compareceu na Polícia Federal para relatar ter recebido de
GUSTAVO HENRIQUE ELIAS SANTOS dinheiro falsificado, tendo apresentado uma cédula de
R$ 100 aparentemente falsa (Informação nº 023/19 – DICINT/CGI/DIP/PF).
67
Esta notícia-crime feita por WALTER DELGATTI NETO contra GUSTAVO

HENRIQUE ELISAS SANTOS aparentemente seria apenas um pequeno desentendimento entre
parceiros no crime. Em notícia publicada no em maio de 2013, foi informado que a Polícia
Rodoviária da PM/SP havia apreendido estelionatários em um veículo, com placa de
Araraquara/SP, no qual foram encontrados vários documentos e cartões de crédito de débito
falsos, folhas de cheques e um extrato bancário falso constando na conta o valor de R$
1.834.111,83. Ainda segundo referida reportagem3, WALTER DELGATTI NETO foi recolhido ao
Centro de Triagem e seus parceiros liberados, sendo que um deles foi identificado na matéria
pelas iniciais GHES (GUSTAVO HENRIQUE ELIAS SANTOS).
Outros elementos de prova encontrados durante as investigações reforçam o

envolvimento criminoso entre WALER DELGATTI NETO e GUSTAVO HENRIQUE ELIAS
SANTOS. Por exemplo, de acordo com a Informação nº 027/2019-DICINT/CGI/DIP, foram
encontradas conversas em aplicativo (iMessage) entre GUSTAVO, identificado como “Guto
Dubriss” (11-975770849) e WALTER DELGATTI NETO, identificado como
“walterdelgattineto@icloud.com”. Nos diálogos WALTER NETO descreve métodos de fraudes
bancárias que pratica, usando coleta de códigos SMS usando uma “KL”. No ambiente
cibernético, “KL” se refere à abreviação de Key Logger, que indica ferramenta usada para
registrar informações digitadas por vítimas com o intuito de obtenção de números de acesso de
contas bancárias e senhas.
Do mesmo modo, WALTER NETO, após negociar a obtenção de “chip”

(cartões SIM para smartphones) da empresa Claro por R$ 400 reais, pergunta a GUSTAVO se
um “Lara” (Laranja) que “rodou” (foi preso) do Banco do Brasil era do GUSTAVO, mencionando
que o referido foi preso sacando R$ 40.000,00 em Araraquara/SP. WALTER diz ainda que iria
em uma agência do Itaú sacar dinheiro com um RG, ao que GUSTAVO responde para não falar
este tipo de coisa por mensagem. Por fim há menção ao aplicativo WICKR, que é um conhecido
aplicativo de mensagens criptografadas.
3
http://saocarlosnews.com/noticias_sub.php?id=920&fb=1
68
Analisando o conteúdo do e-mail djgutodubra@icloud.com, utilizado por

GUSTAVO HENRIQUE, foram ainda encontradas imagens relacionadas à falsificação de um
documento de identidade em nome de Antônio Moreira Mendes, no qual colocada a foto de
WALTER DELGATTI NETO:
Do mesmo modo, deve ser ressaltado que os dois arquivos de áudio que
registraram WALTER DELGATTI NETO realizando técnicas de engenharia social visando
acessar contas bancárias de duas vítimas, acima mencionados, foram enviados ao e-mail
tadanado@icloud.com (WALTER) por GUSTAVO HENRIQUE ELIAS SANTOS, através do e-
mail djgutodubra@hotmail.com:
Pode-se afirmar, também, que SUELEN PRISICILA teria conhecimento dos

crimes praticados por WALTER DELGATTI NETO e seu parceiro GUSTAVO HENRIQUE ELIAS
69
SANTOS. O vínculo entre os três foi inicialmente identificado em razão de matéria jornalística
que reportou a prisão de WALTER DELGATTI NETO na cidade de Penha/SC, ocorrida em maio
de 2015, quando este tentou se passar por delegado da DEIC de São Paulo ao entrar em um
parque de diversões, tendo sido apreendidos armas e munições em seu veículo. Segundo a
reportagem4, WALTER DELGATTI NETO estava hospedado em um hotel, no centro de Itajaí/SC,
juntamente com o casal GUSTAVO HENRIQUE ELIAS SANTOS e SUELEN PRISCILA DE
OLIVEIRA, sendo estes encaminhados para a delegacia de Penha/SC e posteriormente
liberados. No quarto de WALTER DELGATTI também foram encontrados 80 pacotes com 200
comprimidos que seriam anabolizantes.
O último integrante do “Grupo de Araraquara” seria DANILO CRISTIANO

MARQUES, que atuaria como interposta pessoa de WALTER DELGATTI NETO, figura também
conhecida no meio jurídico-policial como “testa-de-ferro”, bem como na arregimentação de
pessoas que pudessem emprestar seus nomes e contas bancárias para receber transferências
de recursos obtidos nos golpes aplicados, conhecidos como “laranjas” ou “lara”, atuando, assim,
diretamente nos crimes.
DANILO CRISTIANO MARQUES relatou ter emprestado sua conta bancária

no Banco do Brasil para WALTER DELGATTI NETO, que passou a ser utilizada exclusivamente
por este para a realização de transferências e pagamentos diversos. Do mesmo modo, DANILO
MARQUES confirmou ter comprado dólares americanos a pedido de WALTER DELGATTI
NETO, transações estas ocorridas em casas de câmbio localizadas em São Paulo/SP, Rio de
Janeiro/RJ e Natal/RN. Segundo afirmou DANILO MARQUES em suas declarações, WALTER
DELGATTI NETO teria efetuado a compra de moeda estrangeira tendo em vista sua intenção de
morar no exterior, sendo que ele não teria revelado qual seria a origem daqueles recursos.
Também de acordo com a Informação nº 076/2018 – DFIN/DICOR/PF (anexo

5 da medida cautelar nº 1017553-96.2019.4.01.3400), foram verificadas diversas operações
4
https://diarinho.com.br/noticias-quentinhas/falso-delegado-e-preso-no-beto-carrero/
70
financeiras suspeitas, ocorridas entre 01/12/2016 e 05/12/2016, efetivadas por WALTER

DELGATTI NETO e DANILO CRISTIANO MARQUES, dentre outras pessoas, relacionadas à
compra de dólares americanos e euros em lojas de câmbio situadas em aeroportos.
A comunicação do COAF anotou que as operações suspeitas de câmbio

tinham o montante associado de R$ 90.712,00 e que além das operações realizadas, outras
operações de câmbio foram tentadas pelos envolvidos, mas frustradas em razão de terem sido
consideradas suspeitas. As operações realizadas de câmbio ocorreram nos aeroportos de
Internacional de Natal/RN e no Aeroporto Internacional do Rio de Janeiro.
DANILO CRISTIANO MARQUES confirmou ter comprado dólares

americanos a pedido de WALTER DELGATTI NETO, transações estas ocorridas em casas de
câmbio localizadas em São Paulo/SP, Rio de Janeiro/RJ e Natal/RN. Segundo afirmou DANILO
MARQUES em suas declarações, WALTER DELGATTI NETO teria efetuado a compra de
moeda estrangeira tendo em vista sua intenção de morar no exterior, sendo que ele não teria
revelado qual seria a origem daqueles recursos.
A atuação de DANILO CRISTIANO como interporsta pessoa de WALTER

DELGATTI poder ser demonstra pelas informações constantes no Laudo de Perícia Criminal
Contábil-Financeiro nº 2161/2019-INC/DITEC/PF. Foi verificado que, no ano de 2018, DANILO
CRINSTIANO transferiu o total de R$ 172.682,50 para a empresa AME RESTAURANTE LTDA,
de propriedade de THIAGO ELIEZER, em uma evidente triangulação de recuros que seriam de
WALTE DELGATTI NETO.
Também foi realizada a análise do conteúdo extraído do aparelho celular

Apple iPhone 8 Plus (A1897), apreendido em posse de DANILO CRISTIANO MARQUES,
materializado no RAMA nº 12/2109 DICINT/CGI/DIP/PF. Após análise dos dados extraídos do
aparelho em questão pela equipe de policiais federais do Instituto Nacional de Criminalística, foi
verificada a presença de conversas nos aplicativos WhatsApp e Telegram que confirmam
vínculos entre DANILO CRISTIANO MARQUES e WALTER DELGATTI NETO, sendo que este
71
último se comunicava com DANILO CRISTIANO MARQUES a partir de três números distintos:
+1 914 8174930; +1 914 4616976; +55 16 997888653.
Nos diálogos pelo aplicativo WhatsApp, pode-se apreender que DANILO

MARQUES cedeu a WALTER DELGATTI NETO seu nome para que este formalizasse o
contrato de aluguel de um imóvel, bem como para formalizar cadastro de consumidor na CPFL
(Companhia Paulista de Força e Luz) e na empresa NET, provedora de internet. Conforme
trechos abaixo, no dia 22 de maio de 2019 DANILO cobra WALTER sobre uma conta de luz em
atraso:
No dia 27 de maio de 2019, WALTER informa a DANILO que já efetuou o

pagamento da luz, NET e condomínio:
72
Por meio das mensagens do WhatsApp, pode-se concluir que DANILO

MARQUES era parceiro de WALTER NETO nas empreitadas criminosas envolvendo fraudes
bancárias. DANILO tinha a função de encontrar “laranjas” para WALTER NETO depositar o
dinheiro sabidamente oriundo das fraudes, situação que rendia a DANILO valores entre 20% e
50% de cada transferência. Conforme trecho abaixo do diálogo ocorrido em 25 de junho de
2019, WALTER se refere a “laranjas” como “lara”:
Nesta ocasião a preocupação de WALTER era que o dinheiro retornasse

rapidamente, afirmando ter disponível 15k (R$ 15.000,00):
73
WALTER NETO então afirma que teria combinado com CRASH (THIAGO
ELIEZER MARTINS SANTOS) sobre aumentar a comissão de DANILO de 20% para 50%:
74
Depreende-se do diálogo acima que CRASH ocupava posição de decisão na

empreitada criminosa, visto que WALTER o consultou antes de cientificar DANILO sobre esta
decisão. Há outros trechos de diálogos em que DANILO recebe mensagens de WALTER com
referências a CRASH.
Nos diálogos abaixo, fica evidente que WALTER aplica uma fraude bancária
e tenta realizar a transferência para a conta de “laranja”, indicado por DANILO, porém a
transferência foi bloqueada por suspeita de fraude, conforme o código “ERRO 408” do banco
ITAU. Entretanto, a sequência dos diálogos torna inteligível o desenrolar da empreitada, tendo
WALTER perguntado a DANILO se ele possui “laranja” do banco ITAU em funcionamento,
DANILO responde que sim (imagem abaixo):
75
WALTER NETO então informa que tem R$ 3.858,00 para enviar, quando
então DANILO repassa imediatamente o número de conta corrente e agência através da foto de
um cartão magnético de um terceiro para que WALTER realize a transferência do valor:
Cerca de 7 minutos após, WALTER pergunta a DANILO se é possível ver o

saldo:
76
DANILO prontamente responde a WALTER que sim, pois possui a senha de

internet banking da conta enviada anteriormente, o que fornece indícios de que o suposto
“laranja” é uma pessoa com participação na fraude, que fornece seus dados bancários e dados
de acesso ao sistema internet banking para o recebimento do dinheiro e transferência imediata
para outras contas, evitando assim o bloqueio dos valores:
77
WALTER DELGATTI envia mensagem a DANILO informando que a suposta

vítima da fraude possui “12 de cartão”, provavelmente R$ 12.000,00 disponíveis para uso em
cartão de crédito. WALTER informa ainda que “dá pra puxar” este valor, o que DANILO
congratula-se enviado a WALTER o texto “Toppp”:
Por volta de 01h00 da manhã, WALTER continua insistindo com DANILO

para saber se o dinheiro caiu na conta destinatária, porém DANILO somente responde às 07h00
da manhã:
DANILO então lamenta a WALTER, informando que ocorreu o erro 408,

referindo-se ao código do Banco Itaú referente a bloqueio causado por suspeita de fraude:
78
Neste momento em que lamentam a falha na empreitada criminosa,

WALTER faz novamente faz referência a CRASH, dizendo que “Crash vai achar que dei lote”
(calote), ou seja, CRASH iria achar que foi passado para trás, deixando claro que este último
teve papel preponderante na realização da empreitada, possuindo direito sobre valor adquirido
através da fraude:
WALTER continua o diálogo afirmando que às 6h da manhã CRASH já havia

enviando mensagem mandando sacar logo o dinheiro, o que mais uma vez confirma a
preponderância de CRASH sobre os dois, quando então DANILO responde a WALTER que “este
79
foi isolado”, dando certeza da habitualidade e sucesso frequente em outras situações de mesmo
tipo:
Na sequência WALTER diz para tentarem mais tarde e que “tinha 30K” (R$
30.000) e que param “27 de boleto” (R$ 27.000). Estas mensagens formam a convicção da
frequência nas fraudes e sugerem que parte do dinheiro poderia retornar aos fraudadores por
meio de boletos que simulariam pagamentos a pessoas ou empresas por serviços realizados:
80
Também foram extraídas mensagens entre WALTER NETO e DANILO

CRISTIANO pelo aplicativo Telegram. Em diálogo de 17/07/2019, por meio do Telegram,
WALTER pede a DANILO que envie dados de “laranja” para “valor alto”, conforme diálogo
abaixo:
81
DANILO MARQUES, após 4 minutos, responde informando dados bancários,

incluindo senha de internet banking, de três pessoas diferentes, ressaltando-se que DANILO
utilizava do nome de usuário QUEIROZ no Telegram (id 739990517) enquanto WALTER
utilizava o id 753621143:
Por sua vez, também foram identificados elementos que evidenciariam o

relacionamento criminoso entre DANILO CRISTIANO e GUSTAVO HENRIQUE ELIAS SANTOS.
Em declarações prestadas à Polícia Federal (fls. 86/88), DANILO CRISTIANO MARQUES
afirmou que utilizava o codinome “CHACAL”, tendo sido encontrada no arquivo de nuvem da
conta gutodubra@icloud.com a seguinte mensagem entre GUSTAVO HENRIQUE ELIAS e um
interlocutor identificado como “Hhh Chacal”, podendo se tratar de DANILO, referente a saques
bancários:
82
Também foi encontrada no e-mail gutodubra@icloud.com a troca de

mensagens entre GUTO e “DANILO 408”, com imagem de cédulas amarradas e a frase “Esta aki
sua cota parte”:
Do mesmo modo, nos arquivos vinculados ao e-mail gutodubra@icloud.com,

utilizado por GUSTAVO HENRIQUE ELIAS, foram encontradas imagens de comprovantes de
depósito, no valor de R$ 1 mil cada, realizados em 2018 na conta de DANILO CRISTIANO
MARQUES:
83
Ressalte-se que as instituições financeiras ainda não fizeram a transmissão

completa dos dados bancários dos investigados referentes ao ano de 2018, não sendo possível
confirmar a origem ou efetividade dos depósitos acima. Entretanto, em análise preliminar
formalizada no Relatório de Análise Bancária nº 01/2019/NO/DICINT/CGI/DIP/PF, foi informado
que DANILO CRISTIANO MARQUES movimentou em contas nos Bancos Inter S/A e Banco do
Brasil, no período entre 20/08/2018 a 26/12/2018, o montante a crédito de R$ 893.092,43 (sem
expurgos).
Por sua vez, de acordo como Laudo de Análise Contábil-Financeira nº

2161/2019-INC/DITEC/PF, DANILO CRISTIANO MARQUES movimentou no período de
01/01/2019 a 17/07/2019, o valor bruto de R$ 75.129,25 conforme tabela abaixo:
DANILO CRISTIANO MARQUES (370.074.428-54)

2019 75.129,25 11.928,06 63.201,19 75.208,41 11.928,06 63.280,35
Por fim, de acordo com a Informação nº 55/2019-DICINT/CGI/DIP/PF, foram

encontradas imagens que retratam DANILO CRISTIANO MARQUES ostentando quantidade
imprecisa de dinheiro em espécie, bem como arma de fogo ou simulacro:
84
9.1.2 – THIAGO ELIEZER MARTINS SANTOS
THIAGO ELIEZER MARTINS SANTOS, que também é conhecido pelo

apelido “CHICLETE”, somente foi identificado após a primeira fase ostensiva da Operação
Spoofing, o que permitiu que ele pudesse interferir na instrução criminal destruindo as provas da
pratica de crimes que estavam em seu poder. Nas declarações de fls. 495/499, THIAGO ELIZER
confirmou à Polícia Federal que, após a prisão de WALTER DELGATTI NETO, apagou de seus
celulares e demais dispositivos eletrônicos todas as mensagens, arquivos e aplicativos, tendo
também deletado o software da BRVOZ que estava instalado em seu computador.
Entretanto, com base em diversas evidências colhidas na primeira fase da

Operação Spoofing, foi possível comprovar que integrantes do “Grupo de Araraquara” se
relacionavam com THIAGO ELIEZER MARTINS SANTOS, pessoa conhecida no submundo dos
crimes cibernéticos pelo codinome “CRASH” ou “CRASH OVERWING5” (citado erroneamente
por WALTER DELGATTI NETO como “CRASH OVERLONG”).
À Polícia Federal THIAGO ELIEZER negou ou permaneceu em silêncio

quando foi questionado se de fato utilizava o codinome “CRASH”, fato comprovado, entretanto,
por diversas evidências obtidas durante às investigações. Conforme Informação nº 44/2019, foi
encontrado no fórum GUJ, utilizado por profissionais do ramo de tecnologia, o perfil
“Crash_Overwing” vinculado ao nome “Chicleteh”, alcunha assumida por THIAGO ELIEZER,
corroborando a associações entre o codinome CRASH OVERWING e o investigado THIAGO
ELIEZER:
5
Crash Override é o nome do personagem principal do filme Hackers, filmado em 1995, no qual foram
refletidos os ideais estabelecidos no Manifesto Hacker, que é citado no filme.
85
Segue imagem Instagram comprovando que THIAGO ELIEZER utiliza no

Instagram a alcunha “CHICLETEH_”:
Conforme Informação nº 38/2019-DICINT/CGI/DIP/PF (anexo 04 da

medida cautelar nº 1027025-24.2019.4.01.3400), ao se analisar a conversas entre a conta do
Telegram utilizada por WALTER DELGATTI NETO (“E Agora José?”) com um usuário não
identificado (UNKNOWN) de número ID 499571884 (numeração própria do aplicativo de
mensagens Telegram), foram encontradas o total de 737 mensagens trocadas:
Em meio a essa mensagens foram verificadas informações sobre o

cometimentos de fraudes, sendo que em uma sequência de mensagens no dia 22/07/2019,
WALTER DELGATTI NETO (usuário “E agora Jose?”) chama o interlocutor ID 499571884 de
CRASH e, em um segundo momento, de CRASH-OVERLONG:
86
A Informação nº 38/2019-DICINT/CGI/DIP/PF também menciona a

pesquisa física realizada no aparelho telefônico de WALTER NETO, quando foi possível verificar
na imagem produzida por Perito Criminal Federal o contato salvo no aplicativo Telegram com o
nome de usuário “T”. Por sua vez, esse contato traz como nome de usuário (username) a
denominação “@cr_ov”, que pode ser facilmente associado ao nome “crash_overwing” ou
“crash_overring”:
87
Destaca-se também na Informação nº 38/2019-DICINT/CGI/DIP/PF (anexo

04) outra mensagem do Telegram, na qual WALTER DELGATTI NETO envia para o usuário ID
499571884 uma imagem de tela (print) do aplicativo RAPPI, referente à tentativa de envio de R$
10,00 para THIAGO ELIEZER. Essa mensagem seria mais um elemento a corroborar que
THIAGO ELIEZER seria o verdadeiro usuário da conta do Telegram vinculada ao usuário ID
499571884:
Ainda segundo a Informação nº 38/2019-DICINT/CGI/DIP/PF, foram

encontrados no aparelho celular de DANILO CRISTIANO outros elementos de prova indicando o
envolvimento de CRASH (THIAGO ELIEZER) com o “Grupo de Araraquara”. Durante a análise
dos arquivos extraídos do referido aparelho, verificou-se a existência de conversas no WhatsApp
entre DANILO CRISTIANO e WALTER NETO nas quais eles se referem à pessoa de codinome
CRASH. Nesses diálogos, CRASH é mencionado por WALTER NETO como a pessoa para quem
teria feito o adiantamento de valores referentes.
Visando comprovar que de fato já teria realizado o pagamento adiantado para

CRASH, WALTER DELGATTI NETO enviou a DANILO CRISTIANO 3 (três) comprovantes de
transferências bancárias com beneficiários distintos: i) EMIBRA – Empresa Brasileira de
Empreendimentos Imobiliários, realizada em 25/04/2019 no valor de RR 4.000,00; ii) Ronaldo Sores
88
de Moura, realizado no dia 06/03/2019 no valor de R$ 4.000,00 e iii) THIAGO ELIEZER MARTINS
SANTOS, realizada no dia 18/04/2019 no valor de R$ 4.500,00:
Importante ressaltar que por meio de quebra de sigilos bancários, autorizados

pela Justiça Federal, foi possível identificar 14 transferências bancárias entre WALTER DELGATTI
NETO e THIAGO ELIEZER MARTINS SANTOS, incluindo a transferência do dia 18/04/2019 no valor
de R$ 4.500,00 (Informação nº 38/2019-DICINT/CGI/DIP/PF):
Do mesmo modo, THIAGO ELIEZER afirmou à Policia Federal (fls.

495/499) que a empresa EMIBRA – Empresa Brasileira de Empreendimentos Imobiliários era a
89
imobiliária que administrava o imóvel alugado por ele, comprovando ser também o beneficiário da
transferência no valor de R$ 4.000,00 que foi realizada por WALTER DELGATTI NETO no dia
25/04/2019.
Em declarações prestadas à Polícia Federal (fls. 241/245), DANILO

CRISTIANO MARQUES disse “acreditar” que THIAGO ELIEZER MARTINS SANTOS seria o
indivíduo conhecido pelo codinome “CRASH”, um programador residente em Brasília/DF que
seria bastante habilidoso na descoberta de bugs em sistemas computacionais. DANILO
CRISTIANO afirmou que os comprovantes de transferência bancária encontrados em seu
celular, entre os quais aquele em nome de THIAGO ELIEZER MARTINS SANTOS, no valor de R$
4,5 mil se referiam ao adiantamento pela venda de itens de jogo on line que lhe foram
repassados por WALTER NETO. Entretanto, nas declarações de fls. 733/734, THIAGO ELIEZER
afirmou não se recordar se teria vendido itens de jogo on line para WALTER NETO, tendo
relatado também que somente teria comercializado itens de jogos on line dentro da própria
plataforma do jogo.
Assim, tendo sido provado que THIAGO ELIEZER utiliza o codinome

CRASH OVERWING no submundo do crime cibernético, foi possível entender qual o papel
desempenhado por ele na presente investigação. Conforme Informação nº 42/2019-
DICINT/CGI/DIP/PF, que analisou mensagens do aplicativo Adium encontradas nos
computadores de WALTER DELGATTI, os dois investigados teriam se aproximado em um chat
frequentado por criminosos cibernéticos, conforme diálogos ocorridos entre os dias 18 e
30/08/2016. Neste chat, WALTER NETO teria utilizado o codinome OVERWING para chamar a
atenção de THIAGO ELIEZER, uma vez que este utilizava o codinome CRASH_OVERWING
(conversas em negrito):
90
Ainda segundo à Informação nº 42/2019-DICINT/CGI/DIP/PF, antes de

prosseguir no diálogo, WALTER pede para que seu interlocutor prove que de fato é o CRASH.
THIAGO envia duas mensagens “apples dollar” e “sp”, quando então WALTER responde com
“ok” e o diálogo continua, o que demonstra que os dois tiveram relações criminosas
anteriormente. Toda a conversa entre WALTER NETO (OVERWING) e THIAGO ELIEZER
(CRASH OVERWING) ocorre no contexto de fraudes bancárias, bem como na relação dos dois
com outros criminosos cibernéticos, como o denominado DEVIL, que teria dado desfalques nos
pagamentos devidos à THIAGO (CRASH OVERWING):
91
THIAGO ELIEZER seria o denominado coder, aquele, dentre os criminosos

virtuais, responsável por desenvolver ferramentas para burlar sistemas computacionais
explorando vulnerabilidades. A especialidade de THIAGO ELIEZER seria o desenvolvimento
malwares6, programas ou softwares criados para serem infiltrados sem sistema
de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo
de informações. O principal malware desenvolvido ou comercializados por THIAGO ELIEZER
para outros criminosos cibernéticos seria a denominada keylogger, ou KL (registrador de teclado
em inglês), um tipo de software nocivo cuja finalidade é registrar tudo o que é digitado, quase
sempre a fim de capturar senhas, números de cartão de crédito e afins. Muitos casos de phising,
assim como outros tipos de fraudes virtuais, se baseiam no uso de algum tipo de keylogger,
6
Abreviação de “malicious software”
92
instalado no computador sem o conhecimento da vítima, que captura dados sensíveis e os envia
a um cracker que depois os utiliza para fraudes.
Segundo a Informação nº 42/2019-DICINT/CGI/DIP/PF, em um diálogo com

outro criminoso cibernético identificado como IDZ, datada de 20/07/2016, WALTER NETO,
utilizando o codinome JANGADA, afirma que adquire KL (keylogger) de CRASH OVERWING:
Também foram encontrados diálogos entre WALTER DELGATTI NETO,

também utilizando o codinome JANGADA, e um interlocutor identificado como PSY, ocorrida em
abril de 2016. Nesta conversa os interlocutores tratam sobre fraudes bancárias, quando
JANGADA diz ter interesse em comprar cartão físico com senha do banco Itaú, tendo também
comentado que “trabalhava com kl remota”. Mais adiante, WALTER NETO (JANGADA) afirmou
ser o responsável por operar as keylloger desenvolvias por THIAGO (CRASH), demonstrando a
divisão de tarefas que existia entre eles. Por fim, “JANGADA” afirma que CRASH não “entra
mais” em chats de criminosos cibernéticos, porque estaria rico e que, em determinada época,
CRASH teria vendido uma kl (keylogger) pelo valor R$ 15 mil por semana (15k):
93
Em outra conversa recuperada do aplicativo Adium, WALTER NETO,

ainda utilizando o codinome JANGADA, afirma para o interlocutor SUBZID que a kl (keylogger)
criada por CRASH OVERWING era a melhor que existia, e que ele (CRASH) teria demorado
um ano para desenvolvê-la:
94
Em outro trecho do diálogo, SUBZID pergunta se o CRASH era do Rio, tendo

WALTER (JANGADA) respondido que o CRASH OVERWING é de Brasília e que possuiria uma
“picanharia” no shopping THIAGO. Foi comprovado que THIAGO era sócio, junto com seu pai,
das franquias do restaurante TOMATZO e e PICANHA MANIA, que funcionaram no Taguatinga
Shopping, cujo nome empresarial era AME RESTAURANTE LTDA, trantando-se de um
esquema para a lavagem do dinheiro obtido nas fraudes:
Como atua na produção e venda de dispositivos e programas maliciosos,

sendo um fornecedor dos instrumentos ilícitos operados por outros criminosos cibernéticos,
THIAGO ELIEZER conseguiu se manter fora do alcance dos órgãos de investigação criminal até
o momento, passando impune por todos esses anos de atuação ilícita. THIAGO ELIEZER,
responde a apenas um processo judicial, de número 010/2.12.0011289-7, na comarca de Caxias
do Sul/RS que se originou do Boletim de Ocorrência nº 27151/151008/2012 na Polícia Civil deste
estado. Nesta ocorrência, THIAGO teria fraudado uma conta em nome de ANTÔNIO VALMOR
GOMES LAURINDO, realizando pagamentos e transferindo valores para sua conta no banco
Itaú (Ag. 1584, conta 224594) que posteriormente foi encerrada em 26/09/2012 por indícios de
fraude. Ressalta-se que as movimentações financeiras suspeitas teriam ocorrido no dia
22/08/2012, revelando que o envolvimento de THIAGO ELIEZER com fraudes bancárias ocorre
há muitos anos.
95
Um exemplo do envolvimento do investigado com outros criminosos

cibernéticos foi verificado a partir da análise do RIF/COAF nº 44031, onde consta registrado que
THIAGO ELIEZER recebeu de DANIEL RAW, no ano de 2015, o valor R$ 82,5 mil. DANIEL
RAW possui três passagens criminais por furto qualificado mediante fraude e já foi alvo da
Operação Replicante da SR/PF/GO, quando foram presos 48 hackers que sequestravam as
credenciais de acesso de usuários de internet banking e com isso desviavam os valores das
vítimas. Segundo o RIF nº 44031, DANIEL era sócio da empresa FREEBHOBBY MODELISMO
LTDA – ME, tendo movimentado no período de 03/10/2013 até 25/06/2015 o montante de R$
3.456.469,00
De acordo com o Laudo de Perícia Criminal Contábil-Financeiro nº

2161/2019-INC/DITEC/PF, no período de 01/01/2018 a 17/07/2019, THIAGO ELIEZER
MARTINS SANTOS movimentou nas contas de sua titularidade o valor bruto de R$ 940.147,80,
conforme tabela abaixo:

2018 812.783,69 122.400,58 690.383,11 706.574,80 130.500,58 576.074,22
2019 127.364,11 17.710,00 109.654,11 230.351,24 18.310,00 212.041,24
TOTAL 940.147,80 140.110,58 800.037,22 936.926,04 148.810,58 788.115,46
Por sua vez, a empresa AME RESTAURANTE LTDA movimentou no de

2018, o total de R$ 207.922,63, sendo que, deste montante, o valor de R$ 172.682,50 foi
depositado pelo outro investigado DANILO CRISTIANO MARQUES, conforme tabela abaixo:
Origens CPF /CNPJ Qtd Total por Remetente [R$]

DANILO CRISTIANO MARQUES 37007442854 11 172.682,50
GABRIEL V S RIBEIRO 48628437860 2 35.000,00
TRANSF VLRS P/OUTRAS DESPESAS OPER 1 139,24
DEPOSITO EM DINHEIRO NO CAIXA 1 100,00
JUROS 1 0,89
Total Geral 16 207.922,63
96
A empresa AME RESTAURANTE LTDA teria sido aberta por THIAGO

ELIEZER com o investimento de R$ 300 mil, conforme declarações do investigado de fls.
495/499, tendo encerrada suas atividades no ano de 2017 (fls. 733/734). Assim, a transferência
realizada em favor da empresa AME RESTAURANTE LTDA no ano de 2018, que alcançaram o
valor total de R$ 207.922,63, estão relacionadas a operações visando dissimular a origem e o
destino de recursos ilícitos recebidos por THIAGO ELIEZER.
Conforme Relatório de Análise de Conteúdo em Nuvem nº 001/2019

SOI/DICINT/CGI/DIP, referente à conta gutodubra@icloud.com, foi encontrado um arquivo de
vídeo gravado por GUSTAVO HENRIQUE ELIAS SANTOS em que WALTER DELGATTI NETO
aparece deitado manuseando um celular:
Neste vídeo, GUSTAVO e WALTER conversam sobre o um “esquema” que

teria sido desenvolvido para “pegar” números de gerentes de banco, citando como prováveis
associados para o cometimento de crimes cibernéticos VERMELHO (WALTER), CHACAL
(DANILO), CRASH (THIAGO) e DEVILl (ainda não identificado).
GUTO: Então merece. Mano, mas faz assim... faz um pouco de sentido, um pouco faz...
WALTER: O que?
GUTO: Ele procurar outra pessoa. Quanto mais gente ele tiver, melhor pra ele.
WALTER: Tá, mas é... mas o... ô Guto, o esquema é inteiro meu, mano. Eu que descobri
pegar chip, eu que que... e outra coisa, e esse monte de...
GUTO: E eu?
97
WALTER: E esse, e esse...

GUTO: Então cê me deve. Vou cobrar.
WALTER: E esse monte de gerente que eu mandei pra ele o número e ele fala que não
pegou? E se tiver pegando pra fazer com outro cara?
GUTO: Aí cê dá calote nele de novo. É um dando calote no outro né? Só, só eu que não
ganho nada.
WALTER silencia e mexe no celular.
GUTO: Todo mundo ganha, CRASH e DEVIL, VERMELHO e o CHACAL. O GUTO
nada..O pai, o fundador do Zoiper e do Soundpland (softphone)... e da Ura.
WALTER: Não, mas eu...
GUTO: O inventor dos BB cartão. Opa! Não tava bloqueado?
WALTER: O mais importante nem é isso. O mais importante é o... é o chip do gerente.
Quando GUSTAVO HENRIQUE afirma que “é o pai fundador” da URA e do

Zoiper ele está se referindo a dois sistemas que, juntos, podem ser utilizados para a realização
de engenharia social visando a captura de dados de vítimas de fraudes bancárias e outros
crimes cibernéticos. URA, Unidade de Resposta Audível, também chamado de IVR (Interactive
Voice Response), é um equipamento para um call center que provê serviços automáticos para os
clientes que ligam para responder a dúvidas e fornecer informações sem a intervenção de um
atendente. Os sistemas URA podem responder com áudio pré-gravado ou dinamicamente
gerado, que orienta os usuários sobre como proceder corretamente. Os sistemas URA podem
ser usados para compras, pagamentos e serviços bancários via dispositivos móveis, compras
em varejo, serviços públicos (como eletricidade, telefonia, etc.), informações sobre viagens e
informações meteorológicas.
Já o Zoiper é um software utilizado para realizar e receber chamadas

através da internet utilizando um computador pessoal, ao invés de usar um hardware dedicado.
Através do programa Zoiper os investigados configuravam as plataformas de telefonia sobre IP
(VoIP) da empresa BRVOZ (e posteriormente SETETEL), para alterar os números chamadores,
como já mencionado. Sobre o programa ZOIPER, citado por Gustavo, foi encontrada nos
98
arquivos de nuvem do e-mail gutodubra@icloud.com imagem de tela de celular ou computador

com aparente discador de telefonia VoIP vinculado à cona 16737@brvoz (empresa BRVOZ),
configurado com o número 40040800 do Banco Original, conforme imagem abaixo:
Assim, com a URA e o Zoiper os criminosos poderiam simular ligações como

se estivessem partindo de instituições financeiras, inclusive com a utilização de áudios pré-
gravados simulando atendentes eletrônicos, fazendo com que as vítimas fornecessem seus
dados pessoais, como números de contas e senhas bancárias, de forma inadvertida. Ressalte-se
que no RAMA 15/2019 são analisados 2 pen drives encontrados em poder de WALTER
DELGATTI que contém “mapas” numéricos de URA de diversos bancos, além de arquivos de
áudio que simulam as opções da URA onde o cliente/vítima digita seus dados, inclusive senhas.
De fato, verifica-se que GUSTAVO HENRIQUE ELIAS SANTOS foi o

primeiro dos investigados a abrir uma conta ID 69916 na empresa BRVOZ em 17/12/2017, tendo
sido posteriormente seguido por WALTER DELGATTI NETO, que também cadastrou a conta ID
34221 em 22/06/2018, na mesma empresa de telefonia VoIP. Por sua vez, THIAGO ELIEZER
99
MARTINS SANTOS declarou à Polícia Federal (fls. 495/499) que no final de 2018 ou início de
2019, WALTER NETO teria lhe contato que sabia como realizar ligações de voz sobre IP com a
edição do número chamador, tendo também aberto uma conta na empresa BRVOZ, que foi
cadastrada com o ID 42680, em 23/10/2018.
Por sua vez, THIAGO ELIEZER declarou que foi o responsável por orientar
WALTER DELGATTI NETO sobre como operar o programa PIA (Private Internet Acess),
também foi utilizado na invasão de contas do Telegram de diversas autoridades públicas. Assim,
ao compartilharem informações e conhecimentos que cada um dos investigados possuía, foi
possível o desenvolvimento da técnica utilizada na invasão do aplicativo de comunicação
Telegram, dentre outros aplicativos.
O diálogo em vídeo entre GUSTAVO HENRIQUE e WALTER NETO,

mencionado no Relatório de Análise de Conteúdo em Nuvem nº 001/2019 SOI/DICINT/CGI/DIP,
também é relevante para demonstrar que a metodologia utilizada na invasão de dispositivos
informáticos e na interceptação ilegal de comunicações de inúmeras autoridades públicas do
país, como será mencionado no ponto a seguir do presente relatório, foi inicialmente
desenvolvida pelo grupo criminoso para a obtenção de informações de gerentes de bancos e
outras vítimas de fraudes bancárias.
A utilização da técnica em fraudes bancárias pode ser verificada pelos

elementos reunidos na Informação nº 44/2019, quando foi analisada algumas das ligações
realizadas por THIAGO ELIEZER a partir da conta na BRVOZ ID 42680, nas quais o número
chamador era igual ao chamado (A=B). Para comprovar que a conta ID 42680 de fato era
utilizada por THIAGO ELIEZER foram obtidos os dados cadastrais de alguns endereços IP
registrados no momento em que eram realizaram referidas ligações de A=B, sendo que todos
eles estavam registrados em nome de DENISE MARIA MARTINS SANTOS, mãe de THIAGO
ELIEZER MARTINS SANTOS, com endereço na QNB 13, casa 22, Taguatinga/DF.
100
Dentre os telefones que receberam ligações do próprio número estava o

telefone nº (61) 9859XXXXX, em nome de Hernandes Amorim de Oliveira, tendo sido verificado
que se tratava de um gerente do banco Santander, agência do Núcleo Bandeirantes. Ouvido em
sede policial (fls. 719/720), Hernandes Amorim relatou que em maio de 2019 realmente recebeu
durante a madrugada três ligações de seu próprio número, tendo logo em seguida recebido uma
mensagem do WhatsApp informando sobre um novo código de acesso ao aplicativo. Hermes
Amorim forneceu o print da mensagem recebida do WhatsApp, a indicar que a técnica
empregada pelos investigados para invadir contas do Telegram pode ser utilizada em qualquer
aplicativo que faça o envio de códigos de acesso via mensagem de voz. Neste sentido, deve ser
também destacada a informação contida no RAMA 43/2019 sobre mensagens enviadas por
WALTER NETO a LUIZ HENRIQUE MOLIÇÃO dizendo que ele teria “hackeado” o aplicativo
Snapchat de várias colegas de turma, tendo sido encontrado, de fato, imagens e vídeos com
originados deste aplicativo de comunicação.
Ainda de acordo com a Informação nº 44/2019, foram também identificados

309 registros de ligações da conta ID 42680 em que ocorreu a manipulação do número
chamador para o número 4004-3535, do banco Santander, contrariando as declarações de
THIAGO ELIEZER de que nunca teria utilizado o sistema da BRVOZ para efetuar ligações
simulando a origem da chamada.
9.1.3 - INDICIAMENTO
Em conclusão, a atuação habitual, organizada, estruturalmente ordenada e

com divisão de tarefas, ainda que informalmente, de WALTER DELGATTI NETO, GUSTAVO
HENRIQUE ELIAS SANTOS, SUELEN PRISCILA DE OLIVEIRA, DANILO CRISTIANO
MARQUES e THIAGO ELIEZER MARTINS SANTOS para a prática dos crimes descritos no
presente relatório se encontra caracterizada em todo acervo probatório que será detalhado nos
itens abaixo, sob o aspecto dos crimes de furto qualificado mediante fraude virtual, interceptação
indevida de comunicações telemáticas, invasão de dispositivos informáticos alheios e lavagem
de dinheiro.
101
Assim, tendo procedido de modo livre e consciente, na forma do artigo 29 do

Código Penal, determino que seja formalizado o INDICIAMENTO de THIAGO ELIEZER
MARTINS SANTOS, WALTER DELGATTI NETO, GUSTAVO HENRIQUE ELIAS SANTOS,
DANILO CRISTIANO MARQUES e SUELEN PRISCILA DE OLIVEIRA como incursos nos crimes
do artigo 1º da Lei nº 12.850/2013 (organização criminosa).
9.2 - INTERCEPTAÇÃO ILEGAL DE COMUNICAÇÕES

TELEMÁTICAS E INVASÃO DE DISPOSITIVO INFORMÁTICOS
ALHEIOS
Como já mencionado, os investigados, de forma geral, realizavam duas

modalidades de ataques cibernéticos, que, entretanto, poderiam ocorrer de forma simultânea: i)
a invasão de dispositivos informáticos (smartphone e computadores) para a extração das
mensagens, documentos e agendas de contatos armazenados no aplicativo Telegram, que
guardavam as informações em servidores online sempre disponível (armazenamento em
nuvem); e ii) o monitoramento em tempo real das mensagens que eram trocadas pelas vítimas
com outros interlocutores, através da ativação de novas seções do aplicativo por meio do
programa Telegram Desktop instalado nos equipamentos dos criminosos. Ressalte-se, também,
que em algumas situações, após a ativação de uma conta no Telegram vinculada do telefone do
alvo, caso o aplicativo não estivesse instalado ou não fosse utilizado, os criminosos assumiam o
controle da conta e passavam a enviar mensagens para terceiros como sendo a própria vítima.
A conduta do agente que invade dispositivo informático alheio, violando os

mecanismos de segurança e obtendo dados ou informações sem autorização do proprietário do
referido dispositivo, está tipificada no artigo 154-A do Código Penal, conforme alterações trazias
pela Lei nº 12.727/2012. Há, no mesmo artigo, formas qualificadas para a hipótese da invasão
resultar em obtenção de conteúdo de comunicações eletrônicas privadas, bem como nos casos
em que o crime for praticado contra o Presidente do Senado Federal, como é o caso verificado
nesta investigação.
102
Por sua vez, o monitoramento em tempo real das mensagens que eram
trocadas pelas vítimas com outros interlocutores, através do aplicativo Telegram, acarretaria a
incidência do artigo 10 da Lei nº 9.296/96, que tipifica o crime de interceptação indevida de
comunicações de informática ou telemáticas. O enquadramento a esse crime ocorre pelo fato da
técnica desenvolvida pelos investigados permitir a apreensão de conteúdo em tempo real de
informações ou dados de comunicação em trânsito pelo aplicativo Telegram, e não apenas a
obtenção de mensagens já armazenadas nos dispositivos informáticos das vítimas. Nestes
casos o bem jurídico tutelado é a própria inviolabilidade do sigilo das comunicações, que tem
assento no art. 5º, inciso XII, da Constituição Federal.
Segundo Cristiano Falk Fragoso7, as comunicações de informática ou

telemática são comunicações que combinam telecomunicação e dispositivos de informática,
somente existindo o crime quando a captação é feita no momento em que a comunicação está
sendo realizada. Em relação à comunicação telefônica, que é instantânea, não há duvida de que
a interceptação somente pode ocorrer concomitantemente à fala. Entretanto, como decidiu o
STJ, “as comunicações informática e telemática, por sua vez, contêm desdobramentos entre as
etapas de emissão e receptação da mensagem, podendo ser interceptada em qualquer das
etapas do processo comunicativo, desde que antes da efetiva recepção da mensagem pelo
destinatário” (REsp nº 1.428.961/SP, 6ª Turma, Min. Maria Thereza de Assis Moura, j.
16/06/2015).
Conforme Laudo de Perícia nº 1339/2019 – INC/DPF/PF (fls. 279/295),

referente ao exame de local realizado no endereço de WALTER DELGATTI NETO (Equipe 01:
Avenida Leão XIII, nº 1.700, Residencial Premium, apto. 162, Ribeirania, Ribeirão Preto/SP),
verificou-se que o investigado acompanhava em tempo real a comunicação telemática de
inúmeras vítimas. Foi localizado no quarto, ao lado da cama de WALTER NETO, um aparelho
celular da marca Apple, modelo iPhone XS Max, número de série F2LXHEA8KPH6 (item 18 do
7
FRAGOSO, Christiano Falk. Os crimes de interceptação indevida de comunicação telefônica,
informática ou telemática e de quebra de segredo de justiça. Belo Horizonte: Editora D`Pllácido, 2016.
103
auto de apreensão), que se encontrava ligado e bloqueado por FaceID. O modelo do aparelho
apreendido era o mesmo identificado nas seções atípicas verificadas nas contas do Telegram
das vítimas atacadas, sendo que em sua tela estavam visíveis as notificações reproduzidas
abaixo:
104
De acordo com o Laudo de Perícia de Informática nº 1488/2019-

INC/DITEC/PF (fls. 357/361), que extraiu o conteúdo do celular Apple, modelo iPhone XS Max
(item 18 do auto de apreensão), foram encontradas 33 contas ativas do aplicativo Telegram,
conforme tabela abaixo:
Account Nome Username Telefone (sem os últimos Registro de

A=B*
Alyne 55 19 9716xxxxx Sim
Atividade FE Atvfe 55 81 9829xxxxx Não
Brow r0x 55 11 9823xxxxx Sim
Bruna Chaves Brunaignis 55 11 9586xxxxx Sim
Bruna Gama BruhGama 55 11 9426xxxxx Sim
Bruna Queiroz 55 11 9709xxxxx Sim
Bruna Rafaela 55 11 9560xxxxx Sim
E agora José? eagorajosee 12048098503 Não
Empresas 55 85 9810xxxxx Sim
Fabiana Rodrigues Rodriguesfa 55 15 9984xxxxx Sim
Gabi Camargo 55 11 9502xxxxx Sim
Galo Elite Priv Galopriv8 55 11 9778xxxxx Sim
Harrison Ford harrisonford2 19495317010 Não
Hodara Carvalho 55 11 9473xxxxx Sim
105
Ingryd Delfino Ingryddwift13 55 11 9586xxxxx Sim

Kath 55 11 9882xxxxx Sim
Lari Machado 55 11 9871xxxxx Sim
Luiz Silva 55 41 9976xxxxx Sim
Ma 55 19 9969xxxxx Sim
Márcio Villela 55 41 9881xxxxx Sim
MIRROR1986 55 99 9912xxxxx Sim
Natali 55 11 9878xxxxx Sim
Nathalia Araujo araujonath 55 62 9829xxxxx Sim
Paula Souza 55 11 9993xxxxx Sim
Paulo Guedes 55 21 9978xxxxx Sim
REY DAS BB R.J 55 11 9592xxxxx Sim
RR22 55 61 9826xxxxx Sim
Sac 55 21 9810xxxxx Sim
Thalita 55 19 9834xxxxx Sim
Ubirajara (Celso 55 61 9997xxxxx Sim
Russomano)
vitoria moser 55 47 99707xxxxx Sim
X-coder-X vaikarai- 55 83 9916xxxxx Sim
info
Ze 55 81 9969xxxxx Sim
Para facilitar a visualização das contas, os peritos realizaram a captura de

tela do aparelho celular, com todas as informações de contas ativas e números e usuários
vinculados, contidas no relatório de mídia anexo ao Laudo nº 1488/2019-INC/DITEC/PF. Dentre
as contas ativas do aplicativo Telegram que eram monitoradas em tempo real por WALTER
DELGATTI NETO através do iPhone XS , destaca-se a que era utilizada pelo Ministro de Estado
da Economia Paulo Guedes:
Segundo o RAMA 43/2019, dos 33 perfis do Telegram que estavam ativos no

aparelho celular de WALTER, apenas 3 não teriam sido de fato invadidos, tendo em vista que as
106
linhas telefônicas vinculadas não receberam ligações do próprio número (A=B), conforme
pesquisas realizadas nos registros de ligação por VoIP da BRVOZ e SETETEL reunidos na
presente investigação. Assim, pode-se afirmar que os perfis de nome “Atividade Fe”, “E Agora
José” e ‘Harisson Ford” teriam sido criados pelo próprio WALTER DELGATTI NETO, sendo que
os outros 30 perfis do Telegram, que tiveram registros de ligação “A=B”, foram de fato ativados
no aparelho telefônico de WALTER após terem sido invadidos. A qualificação completa dos
titulares de cada um dos terminais interceptados foi relacionada no RAMA nº 43/2019
DICINT/CGI/DIP/PF.
Segundo o Laudo de Perícia nº 1339/2019 – INC/DPF/PF (fls. 279/295),

referente ao exame de local realizado no endereço de WALTER DELGATTI NETO, também foi
encontrado sobre a mesa da sala um notebook marca Lenovo, modelo Y 520-151KBN,
arrecadado como item 2 do Auto Circunstanciado de Busca e Apreensão. Por sua vez, ao ser
carregada a área de trabalho do usuário Windows, foi possível visualizar a existência de 177
ícones cujas propriedades indicava se tratar de atalhos de acesso a perfis do aplicativo Telegram
Desktop:
Ainda durante o cumprimento dos mandados, WALTER DELGATTI NETO

mencionou que em maio de 2019 havia criado uma conta no serviço de armazenamento em
107
nuvem DROPBOX, para armazenar cópia de parte dos dados que teria obtido por meio do
acesso a perfins do Telegram com o intuito de compartilhá-los com terceiros, tendo informado à
equipe policial as credenciais de acesso à essa conta. Assim, considerando a necessidade
urgente de preservação dos dados e a impossibilidade de realiza-lo no local, os Peritos Criminais
da Polícia Federal imediatamente repassaram as credenciais de acesso à chefia do Serviço de
Perícias em Informática do Instituto Nacional de Criminalística, a qual realizou a preservação dos
arquivos.
A corroborar o exame realizado ainda no local de busca e apreensão, foi

também elaborado o Laudo nº 1458/2019-INC/DITEC/PF (fls.553/565) visando identificar as
características do material apreendido na residência de WALTER DELGATTI NETO, bem como
realizar a extração e análise do seu conteúdo, buscando dados relacionados a aplicativos de
troca de mensagens, de telefonia VoIP, arquivos armazenados em nuvem, programas de VPN,
além de outros dados por ventura encontrados.
Assim, foi encontrado instalado no notebook Lenovo (item 2, do auto de

apreensão) o aplicativo Telegram Desktop, sendo que tal programa não mantém o histórico de
conversas armazenado no computador, mas apenas os dados necessários para acessá-los a
partir do referido serviço. Por sua vez, havia um grande número de atalhos (arquivos “.link”) para
contas do aplicativo Telegram autenticadas. Tais atalhos, todos presentes na “Área de Trabalho”
do computador examinado (pasta “C:\Users\User\Desktop”), apontavam para o aplicativo
localizado em “C:\Users\User\AppData\Roaming\Telegram Desktop\Telegram.exe”, com pasta de
trabalho apontada para “C:\Users\User\Desktop\Telegram Data\<NÚMERO>, onde o valor
“<NÚMERO>” corresponde a um número sequencial entre 1 a176.
Entretanto, dos 176 atalhos do Telegram existentes na área de trabalho do

computador de WALTER DELGATTI NETO, foi verificado que 110 estariam ativos no momento
da realização da perícia (Informação nº 56/2019), conforme tabela abaixo:
Nome atalho Nome conta Número vinculado

108
ABILIO DINIZ.lnk Abilio Diniz +55 11 9998xxxxx

ABRAHAM MIN.lnk Abraham +55 11 9962xxxxx
ADVOGADO FAVETTI.lnk GF +55 61 9933xxxxx
ALCOLUMBRE.lnk Davi Alcolumbre +55 61 9811xxxxx
ALTINHA HA.lnk ALTINHA PROGRESSO +55 11 9484xxxxx
Sempre
AMANDA LIMA Amanda Lima +55 11 9722xxxxx
GLOBO.lnk
ANA FERRARI SAFRA.lnk Ana Ferrari +55 11 9877xxxxx
ANDRE MENEZES PGR André Menezes +55 16 9927xxxxx
RP.lnk
ANNELISE MP.lnk (Ícone Borboleta) +55 11 9583xxxxx
ARAUJO UNA.lnk João Araujo Jr +55 16 9824xxxxx
BALEIA ROSSI DEP.lnk BR +55 16 9961xxxxx
BETA MP.lnk (Ícones Corações) +55 27 9986xxxxx
BRENDA MP.lnk Brenda +55 61 9967xxxxx
BRUNO BIANCO LEAL.lnk Bruno Bianco Leal +55 14 9910xxxxx
CAMI MP.lnk (Ícone Animal) +55 11 9617xxxxx
CARLOS GASPARETTI Carlos Gasparetti +55 16 9886xxxxx
MPF.lnk
CARLOS ZAHER.lnk Carlos Zaher +55 16 9978xxxxx
CARMONA USP.lnk Maria Carmona +55 11 9964xxxxx
CAROL MP INTER.lnk Carol +55 11 9525xxxxx
CHAIM ZAHER.lnk CZ +55 11 9806xxxxx
CHECKBUSCA.lnk Check-atendimento +55 51 9846xxxxx
CI MP.lnk Ci +55 11 9594xxxxx
CID GOMES.lnk Cid F Gomes +55 82 9880xxxxx
CLEITON NETELLER.lnk Cleiton Gomes +55 61 9836xxxxx
CONSULTA CRED.lnk Consultacred.net +55 47 9972xxxxx
COY.lnk C.Oy +55 41 9950xxxxx
DAMASIO AQ.lnk Damásio Araraquara +55 16 9964xxxxx
DAMASIO SC.lnk Damásio Educacional +55 16 9823xxxxx
Unidade São Carlos
DANIEL CIVIL FDP.lnk Daniel +55 16 9816xxxxx
DANIELE TRF1.lnk Daniele Costa +55 61 9924xxxxx
DEAVILLA FERREIRA Deavilla Ferreira +55 61 9961xxxxx
MP.lnk
DEBORA LOUISE.lnk Débora Louise +55 41 9962xxxxx
DELEGADO EDSON Edson Souza +55 16 9929xxxxx
FUNCIONAL.lnk
DELEGADO RAFAEL Nayara Leão +55 11 9829xxxxx
DANTAS.lnk
DESEMBARGADOR pedro aurelio Paurelio +55 61 9814xxxxx
AURELIO.lnk
DIANA WANDERLEI Diana Wanderlei +55 61 9826xxxxx
JF.lnk
DORA FIGUEREDO.lnk Turu pom? +55 11 9878xxxxx
109
edmun fuvest.lnk Edmund Baracat +55 11 9814xxxxx

EDUARDO PHILLIP Eduardo +55 51 9913xxxxx
JFRS.lnk
EMILY RIO CLARO.lnk Emilym Santos +55 16 9975xxxxx
ESTELA CLIENTE.lnk Estela +55 15 9813xxxxx
EUGENIO MPF.lnk Eugenio +55 61 9984xxxxx
EXPRESSO SAO LUIS.lnk Atendimento – +55 62 9969xxxxx
Diferenciado
FERNANDO C.Oy +55 41 9950xxxxx
FRANCISCHINI.lnk
FERNANDO Fernando Marcolongo +55 11 9555xxxxx
MARCOLONGO.lnk
FERNANDO PKS.lnk fernando Pks POKAS +55 41 9994xxxxx
FLAVIO BOLSONARO Sbz +55 18 9963xxxxx
2018.lnk
FLAVIO BRITO TSE.lnk Flávio Britto +55 61 9845xxxxx
GABI SANTOS Gabi Santos +55 11 9818xxxxxx
CLIENTE.lnk
GALLO PKS.lnk Galo Elite Priv +55 11 9778xxxxx
GEGE ELIT PRIV8.lnk GeGe Elite Priv +55 34 9980xxxxx
GERIEL.lnk Geriel +55 16 9812xxxxx
GODINHO MP.lnk Ana Paula Godinho +55 62 9815xxxxx
GOLDEN CCS.lnk GOLDEN CCS GOLDEN +55 11 9751xxxxx
GREGORIO DUVIVIER.lnk gregorio duvivier +55 21 9876xxxxx
HERACLITO UNA.lnk Heraclito Mossim +55 16 9922xxxxx
JACKELINY GONZAGA Jakeline Gonzaga +55 62 9961xxxxx
MP.lnk
JAMILA ARAUJO Jamila Araujo +55 11 9827xxxxx
GLOBO.lnk
JANOOOT.lnk Rodrigo Janot +55 61 9933xxxxx
JULIANO NOBREGA Juliano +55 11 9914xxxxx
ODE.lnk
KAREN MP.lnk Karen +55 11 9598xxxxx
KIKO POLICIA CIVIL Kiko +55 16 9974xxxxx
AQA.lnk
LEO ALVES.lnk Leo Alves +55 11 9515xxxxx
LEO DEP.lnk Leo +55 16 9963xxxxx
loen.lnk Paula Souza +55 11 9993xxxxx
LUCIANA LOSSIO.lnk Luciana Lossio +55 61 9811xxxxx
LUCIO SANTOS PKS.lnk Lucio Santos +55 11 9865xxxxx
LUIZ FELIPE FAMOUS.lnk Luiz Felipe +55 11 9910xxxxx
LUIZA.lnk Luiza +55 16 9979xxxxx
MADARA CC.lnk MARADA CC’S FUZIL +55 11 9962xxxxx
MAIA 2.lnk CD +55 61 9992xxxxx
MAMEDE AQA.lnk Mamede Ameduro +55 16 9979xxxxx
MANUELA ALMEIDA Ci +55 11 9594xxxxx
GLOBO.lnk
110
MARCEL PROMOTOR.lnk Marcel +55 16 9978xxxxx

MARCELO BARBIERI.lnk Marcelo Barbieri +55 16 9970xxxxx
MARCELO NOBRE Marcelo Nobre +55 61 9998xxxxx
ADV.lnk
MARCIO ALMEIDA Marcio Almeida +55 15 9811xxxxx
CLIENTE.lnk
MARINA GAECO.lnk Marina Magalhaes +55 16 9822xxxxx
MAURICIO TJRJ.lnk Mauricio +55 21 9844xxxxx
MILANE MP.lnk Milane +55 11 9877xxxxx
MONA MORAES MP.lnk Mona Moraes +55 12 9829xxxxx
MORO.lnk Sérgio +55 41 9994xxxxx
NAYARA DANTAS MP.lnk Nayara Leão +55 11 9829xxxxx
NINA.lnk Nina +55 16 9978xxxxx
NRUNA MEU.lnk Bruna Queiroz +55 11 9709xxxxx
PASTEL PKS.lnk Pastel +55 11 9833xxxxx
PATRICIA MARINO.lnk Patricia Marino +55 11 9818xxxxx
PAULA NOGUEIRA Paula Nogueira +55 21 9964xxxxx
TRF.lnk
PAULA SOUZA MP.lnk Paula Souza +55 11 9993xxxxx
PAULO GAMA.lnk Paulo Gama +55 11 9993xxxxx
PEDRO HENRIQUE Pedro Henrique +55 11 9537xxxxx
ANDREUCCI.lnk
PEZAO.lnk LFP +55 21 9859xxxxx
PUTA 1.lnk (Ícone Estrelas) +55 31 9711xxxxx
RF MORO.lnk RF +55 21 9998xxxxx
RM LOGISTICA MP.lnk RM Logistica +55 11 9780xxxxx
ROBERTA VIZEU Roberta Vizeu +55 21 9816xxxxx
GLOBO.lnk
ROBERTO CHEFE DIG Roberto Souza +55 16 9978xxxxx
SAO CARLOS.lnk
SEBASTIAO.lnk Sebastião +55 16 9917xxxxx
SENADOR Valadares +55 61 98116xxxxx
VALADARES.lnk
SUBZID.lnk Sbz +55 18 9963xxxxxx
TAINARA PUTA.lnk Tainara +55 11 9480xxxxx
TERMINAL 109.lnk Lucio Santos +55 11 9865xxxxx
TERMINAL 110.lnk Atendimento – +55 62 9969xxxxx
Diferenciado
TERMINAL 111.lnk Vem Comigo Eventos +55 11 94881xxxxx
TERMINAL 71.lnk Sérgio +55 41 9994xxxxx
THOMAS PALADINO Thomas Paladino +55 47 9995xxxxx
CC.lnk
VAZ.lnk Rogerio +55 16 9972xxxxx
111
Após materialização de todos os atalhos, com a retirada de links de telefones

repetidos, verifica-se o número de 99 vítimas de interceptação on line. A qualificação completa
dos titulares de cada um dos terminais interceptados foi relacionada no RAMA nº 29/2019
DICINT/CGI/DIP/PF.
Verifica-se, assim, que WALTER DELGATTI NETO, ao ser preso pela Polícia
Federal, estava captando em tempo real as comunicações telemáticas de 99 pessoas, através
do notebook Lenovo onde estava instalado o aplicativo Telegram Desktop, e de mais 30 pessoas
por meio do aparelho celular iPhone XS Max, através dos aplicaivos Telegram e Telegram X.
Ressalte-se, entretanto, que dentre os links ativos encontrados no notebook Lenovo, os
telefones nº +55(11)9709xxxxx (Bruna Queiroz), +55(11)9778xxxxx (Galopriv) e +55(11)
9993xxxxx (Paula Souza) também possuíam contas ativas do Telgram no celular iPhone XS Max
perfazendo, assim, o total de 126 vítimas do crime de interceptação indevida de
comunicações telemáticas.
Deve-se reconhecer, por sua vez, que o crime de interceptação ilegal de

comunicações somente se consuma quando o autor, alheio aos interlocutores, toma
conhecimento do teor da comunicação das vítimas, o que pode ocorrer no momento da gravação
ou registro, bem como em momento posterior8. Conforme descrito no Laudo nº 1458/2019-
INC/DITEC/PF, além das contas ativas do aplicativo Telegram acima descritas, os peritos
criminais da Polícia Federal também encontraram no notebook Lenovo exportações de dados
realizadas através do aplicativo “Telegram Desktop”. Estas exportações incluem todo o histórico
de mensagens do dono da conta até o momento da exportação, sendo que tais exportações se
encontravam na pasta “C:\Users\User\Desktop\EXPORTADOS”, em subpastas com nome
alusivo ao dono da conta exportada.
Segundo a Informação nº 041/2019, o “Telegram Desktop”

(https://desktop.telegram.org/) é um programa disponível para Windows, macOS e Linux, que
8
FRAGOSO, Christiano Falk. Os crimes de interceptação indevida de comunicação telefônica,
informática ou telemática e de quebra de segredo de justiça. Belo Horizonte: Editora D`Pllácido, 2016.
112
permite visualizar e exportar os diálogos de uma conta do serviço Telegram. Ele possui uma
interface semelhante ao do aplicativo para smartphones e permite exportar as mensagens em
um formato específico. A exportação das mensagens pode ser realizada utilizando uma opção
dentro do programa, conforme tutorial presente no endereço https://telegram.org/blog/export-
and-more. Como resultado, considerando o formato HTML, o programa gera um conjunto de
pastas conforme abaixo, e um arquivo de nome “export_results.html”, que contem o índice das
conversas e pode ser visto com qualquer navegador internet:
A partir dessa estrutura de arquivos e pastas, foi possível buscar em todo o

material apreendido os aquivos com denominação “export_results.html”, verificando quais
extrações foram realizadas, onde se encontram e a qual usuário elas pertencem. Assim, no
notebook Lenovo de WALTER DELGATTI NETO foram descobertas exportações de dados
referentes a 48 contas do Telegram, conforme tabela abaixo:
Pasta Nome / Usuário Telefone Data de criação Chats Contatos

FERNANDO PKS fernando Pks POKAS +55 41 9994xxxxxx 02/07/2019 15:02:11 UTC 15 547
MILANE MP Milane +55 11 9877xxxxx 23/06/2019 17:38:29 UTC 29 1303
ALCOLUMBRE David Alcolumbre +55 61 9811xxxxx 04/06/2019 18:13:19 UTC 112 2513
ARAUJO FACULDADE João Araujo Jr +55 16 9824xxxxx 04/06/2019 19:45:40 UTC 28 635
CRASH/ESTELLA Estela +55 15 9813xxxxx 05/06/2019 21:54:15 UTC 8 239
CRASH/MARCIO ALMEIDA Marcio Almeida +55 15 9811xxxxx 13/06/2019 12:57:52 UTC 2 219
ABILIO DINIZ Abilio Diniz +55 11 9998xxxxx 05/06/2019 23:32:50 UTC 24 1129
ABRAHAM MIN Abraham +55 11 9962xxxxx 04/06/2019 18:39:15 UTC 43 5128
CARMONA USP Maria Carmona +55 11 9964xxxx 04/06/2019 18:45:55 UTC 61 2713
CRUZOÉ Igor Gadelha +55 61 9937xxxxx 04/06/2019 18:50:54 UTC 113 2206
BALEIA ROSSI BR +55 16 9961xxxxx 06/06/2019 20:22:12 UTC 34 5092
BRUNA QUEIROZ PUTA Bruna Queiroz +55 11 9709xxxxx 16/06/2019 05:55:15 UTC 36 458
CRASH/GERENTE SAFRA Ana Ferrari +55 11 9877xxxxx 13/06/2019 12:59:56 UTC 6 1380
DAMASIO SC Damásio Educacional +55 16 9823xxxxx 23/06/2019 17:33:25 UTC 108 3022
Unidade São Carlos
FAVETTI ADV GF +55 61 9933xxxxx 18/06/2019 18:31:24 UTC 9 1389
113
MARCELO BARBIERI Marcelo Barbieri +55 16 9970xxxxx 06/06/2019 20:18:15 UTC 92 3929
MARCELO WITZEL Marcelo +55 61 9998xxxxx 06/06/2019 20:24:45 UTC 22 510
DEBORA LOUISE GLOBO Débora Louise +55 41 9962xxxxx 05/06/2019 23:34:37 UTC 15 1454
DESEMBARGADOR AURELIO pedro aureio Paurelio +55 61 9814xxxxx 05/06/2019 04:08:53 UTC 47 2375
JULIANO NOBREGA Juliano +55 11 9914xxxxx 05/06/2019 23:35:58 UTC 31 3046
KIKO CIVIL AQA Kiko +55 16 9974xxxxx 04/06/2019 19:47:42 UTC 23 770
LUIZ FELIPE GLOBO Luiz Felipe +55 11 9910xxxxx 04/06/2019 19:35:27 UTC 28 1157
LUIZA Luiza (@luizapdn) +55 16 9979xxxxx 04/06/2019 18:11:07 UTC 2 0
MARCEL EXPORTADO Marcel +55 16 9978xxxxx 04/06/2019 17:52:18 UTC 90 1930
emily rio claro Emilym Santos +55 19 9975xxxxx 12/07/2019 02:58:33 UTC 4 704
ROBERTA VIZEU GLOBO Roberta Vizeu +55 21 9816xxxxx 05/06/2019 23:31:26 UTC 2 1460
LUCIANA LOSSO Luciana Lossio +55 61 9811xxxxx 04/06/2019 18:25:41 UTC 138 4723
LUCIO SANTOS PKS Lucio Santos +55 11 9865xxxxx 02/07/2019 15:07:10 UTC 22 717
PAULA NOGUEIRA TRF1 Paula Nogueira +55 21 9964xxxxx 16/06/2019 06:00:39 UTC 15 564
PEZAO LFP +55 21 9859xxxxx 04/06/2019 17:57:21 UTC 84 5362
GREGORIO DUVIVIER Gregorio duvivier +55 21 9876xxxxx 04/06/2019 19:20:08 UTC 262 2258
(@gduvivier)
JUIZA CAROL GAMA Carol gama +55 16 9813xxxxx 05/06/2019 04:04:59 UTC 19 827
GALLO PKS Galo Elite Priv8 +55 11 9778xxxxx 02/07/2019 15:06:06 UTC 42 735
(@Galopriv8)
PHILLIP JFRS Eduardo +55 51 9913xxxxx 18/06/2019 18:27:43 UTC 28 744
EXPRESSO SAO LUIS Atendimento – Diferenciado +55 62 9969xxxxx 02/07/2019 15:08:41 UTC 1382 12
(@expressoSaoLuiz)
ROBERTO SOUZA DIG SC Roberto Souza +55 16 9978xxxxx 18/06/2019 19:12:07 UTC 10 303
SEBASTIAO SSS Sebastião +55 16 9917xxxxx 04/06/2019 18:31:19 UTC 11 376
CLEITON NETELLER Cleiton Gomes +55 61 9836xxxxx 02/07/2019 15:04:44 UTC 98 1096
MARIANA AREDES Mariana Aredes +55 11 9954xxxxx 05/06/2019 04:00:02 UTC 2 978
RF PILOTO MORO RF +55 21 9998xxxxx 07/06/2019 20:19:17 UTC 47 1185
Destaca-se dentre os nomes constantes na tabela acima, para fins de

enquadramento legal, a presença do nome do Presidente do Senado David Alcolumbre, causa
especial de aumento de pena do crime de invasão de dispositivo informático alheio, nos termos
do inciso III, § 5º, do artigo 154 do Código Penal.
Importante notar, também, a presença das pastas com a denominação

“CRASH”, uma referência a THIAGO ELIEZER, indicando sua relação direta com os ataques
cibernéticos de tais alvos, de modo que as suas subpastas podem ser resultado de algum tipo de
ação específica envolvendo alvos predeterminados. Ressalte-se, ainda, a pequena quantidade
114
de mensagens verificada em alguns dos usuários, o que pode indicar um baixo uso do aplicativo
Telegram.
Por sua vez, das 48 contas do Telegram que tiveram conteúdo baixado no
notebook Lenovo de WALTER DELGATTI, 43 estavam entre os atalhos ativos no “Telegram
Desktop” do computador ou no aplicativo Telegram do aparelho celular iPhone XS Max do
investigado, o que comprova terem tido efetivamente comunicações interceptadas, conforme
relação abaixo:
ABILIO DINIZ +55 11 99981 4794

ABRAHAM MIN +55 11 99628 7662
ALCOLUMBRE +55 61 98118 3231
ANDREUCCI +55 11 95377 6742
ARAUJO FACULDADE +55 16 98241 0770
BALEIA ROSSI +55 16 99616 0015
BRUNA QUEIROZ PUTA +55 11 97094 6557
BRUNO BIANCO LEAL +55 14 99106 7833
Caju +55 16 99369 7699
CARMONA USP +55 11 99645 0293
CLEITON NETELLER +55 61 98369 5300
ESTELLA +55 15 98136 4926
GABI +55 11 98187 8580
GERENTE SAFRA +55 11 98776 6980
MARCIO ALMEIDA +55 15 98112 4851
CRUZOÉ +55 61 99376 3263
DAMASIO SC +55 16 98230 6579
DAMSIO AQA +55 16 99640 8707
DANIELE TRF1 +55 61 99244 5671
DEBORA LOUISE GLOBO +55 41 99623 1797
DESEMBARGADOR AURELIO +55 61 98143 0800
emily rio claro +55 19 99757 3710
EXPRESSO SAO LUIS +55 62 99698 2495
115
FAVETTI ADV +55 61 99339 7762

FERNANDO MARCOLONGO +55 11 95554 0172
FERNANDO PKS +55 41 99943 7131
GALLO PKS +55 11 97789 8425
GREGORIO DUVIVIER +55 21 98767 1232
JUIZA CAROL GAMA RP +55 16 98133 7779
JULIANO NOBREGA +55 11 99148 8887
KIKO CIVIL AQA +55 16 99740 8914
LUCIANA LOSSO +55 61 98118 7600
LUCIO SANTOS PKS +55 11 98654 8326
LUIZ FELIPE GLOBO +55 11 99108 9212
LUIZA +55 16 99793 4015
MARCEL EXPORTADO +55 16 99784 2583
MARCELO BARBIERI +55 16 99706 6869
MARCELO WITZEL +55 61 99981 6577
MARIANA AREDES +55 11 99547 7747
MILANE MP +55 11 98771 3848
PASTEL PJS +55 11 98337 2836
PAULA NOGUEIRA TRF1 +55 21 99646 5894
PEZAO +55 21 98596 6672
PHILLIP JFRS +55 51 99133 7213
RF PILOTO MORO +55 21 99988 4987
ROBERTA VIZEU GLOBO +55 21 98169 4545
ROBERTO SOUZA DIG SC +55 16 99785 6613
SEBASTIAO SSS +55 16 99176 2559
A ingerência em comunicações alheias no momento em que ocorrem,

tomando conhecimento indevido de seus conteúdos sem o conhecimento dos comunicadores, é
ínsita ao conceito de interceptação. Assim, pode-se afirmar que WALTER DELGATTI NETO, ao
ser preso pela Polícia Federal, estava efetivamente realizando a interceptação indevida das
116
comunicações de ao menos 43 pessoas, com o acompanhamento das conversas e mensagens

privadas de suas vítimas no momento em que ocorriam.
Ressalte-se, entretanto, que existem várias outras vítimas da interceptação

ilegal, cujos links das contas do Telegram já haviam sido retirados dos dispositivos de WALTER
DELGATTI NETO no momento da deflaração da Operação Spoofing. Por exemplo, segundo a
Informação nº 45/2019, no computador de WALTER DELGATTI foram encontrados 10 arquivos
de vídeos que foram gravados através do aplicativo oCam, que permite fazer gravações
diretamente da tela do computador registrando o que o usuáro esta acessando no momento.
Dentre as imagens gravadas consta o arquivo “FILHOS DO JANUARIO 4 COMPLETO.mp4”,
com 34 minutos de duração, referente ao vídeo que foi gravado da tela do computador de
THIAGO ELIEZER no momento em que ele estava on line na conta de um dos membros do MPF
que fazia parte do grupo.
Na fase ostensiva da primeira fase da Operação Spoofing foi apreendido na

residência de WALTER DELGATTI NETO um HD Seagate com capacidade de 1 Terabyte (item
16 da Equipe 01). A análise do conteúdo deste dispositivo de armazenamento de dados foi
materializado no RAMA 23/2019, após os arquivos terem sido extraídos e submetidos a
processos de indexação pela Instituto de Criminalística da Polícia Federal, sendo posteriormente
submetido à equipe de análise policial que verificou cada arquivo com o escopo de buscar
evidências referentes ao objeto das investigações.
No HD analisado, dentre outras informações, foi encontrada a pasta “Photos

Library.photoslibrary” que, por sua vez, contém a subpasta MASTERS, na qual também foram
encontradas as subpastas 2015, 2016, 2017, 2018 e 2019. Somente na subpasta 2019 é
possível encontrar conteúdo relevante para as investigações, que será descrito a seguir:
117
Na subpasta FOTOSEVIDEOS/PhotosLibrary.photoslibrary/Masters/2019/
constam diversas imagens, printscreens de telas do telefone referentes a contatos de diversas
pessoas, entre elas Procuradores da República, Delegados de Polícia Federal, advogados, além
de prints de conversas de grupos com os nomes “Valoriza MPF”, “Winter is Coming”, “STJ
Operação Saqueador/Calicute”.
Foram identificados, pelas imagens encontradas, alguns nomes de titulares

de contas do Telegram que WALTER NETO teria tido acesso. Essas imagens são cópias de
telas do aplicativo Telegram habilitado em telefone iPhone da marca Apple, com exceção de
uma imagem (Danilo Dias) que foi fotografada de um telefone Samsung. Cabe salientar que,
baseado nessas imagens é possível definir o dia e a hora em que a imagem foi obtida por meio
de cópia da tela do telefone onde o Telegram da pessoa invadida foi habilitado:
Nome Numero Hora que a tela do celular foi Hora que a tela do celular
copiada. (UTC-3) Hora de foi copiada. (UTC) –
Brasília registrado no IPED
Danilo Dias +55 61 9957xxxxx 03/05/2019 15:03:29 03/05/2019 18:03:29
LUIZA +55 61 9929xxxxx 03/05/2019 16:14:22 03/05/2019 19:14:22
FRISCHEISEN
FLAVIA BLANCO +55 61 9841xxxxx 03/05/2019 17:05:50 03/05/2019 20:05:50
Ro +55 41 9980xxxxx 03/05/2019 17:44:56 03/05/2019 20:44:56
Flavio Bolsonaro +55 21 9951xxxxx 03/05/2019 17:58:45 03/05/2019 20:58:45
Tracy Reinaldet +55 41 9884xxxxx 03/05/2019 18:15:57 03/05/2019 21:15:57
RM + 55 61 9983xxxxx 05/05/2019 04:17:21 05/05/2019 07:17:21
Joao Otavio +55 61 9811xxxxx 05/05/2019 04:57:44 05/05/2019 07:57:44
Noronha
Luiz neto +55 31 9966xxxxx 05/05/2019 05:12:11 05/05/2019 08:12:11
118
André Godinho +55 71 9917xxxxx 05/052019 05:58:39 05/052019 08:58:39

Giseli Nascimento +55 16 9996xxxxx 05/05/2019 07:34:54 05/05/2019 10:34:54
Thaméa Daneion +55 61 988xxxxx 06/05/2019 20:27:21 06/05/2019 23:27:21
Fernando Cardia +55 11 9942xxxxx 06/05/2019 22:01:30 07/05/2019 01:01:30
N. +55 61 9954xxxxx 06/05/2019 23:38:53 07/05/2019 02:38:53
Deltan (numero +55 41 9918xxxxx 07/05/2019 07:16:04 07/05/2019 10:16:04
inativo no telegram)
– 07/05/2019
Gilmar Mendes +55 61 9842xxxxx 07/05/2019 11:09:28 07/05/2019 14:09:28
Segue algumas da imagens encontradas de telas de perfis ativos :
119
Por sua vez, a Informação nº 063/2019/DICINT/CGI/DIP/PF foi também

encontrada no MacBook de WALTER NETO a cópia de tela do aplicativo Telegramcom um perfil
de nome “Presidente” onde a foto é o Brasão da República contando o número + 55 61
9912xxxxx. (IMG_1246.PNG) 9:
9
EQ_01_IT_01.ad1/Arquivos:F:\Eq01_Item01\Arquivos/Users/walterneto/Pictures/Photos
Library.photoslibrary/Masters/2019/05/27/20190527-192913/IMG_1246.PNG
120
Do mesmo modo, sengundo Informação nº 62/2019, foram encontrados no

MacBook de WALTER DELGATTI NETO (item 01 da Equipe 01), uma pasta a de arquivo
denominada “MARCEL”, onde foram encontras subpatas com o nome de “OPERAÇÃO
SEVANDIJA”. A Operação Sevandija foi uma operação deflagrada em Ribeirão Preto em
setembro de 2016, que teve como alvo desvios de recursos públicos na Prefeitura de Ribeirão
Preto/SP, na qual teria participado o Promotor Marcel Zanin:
Nestas subptas é possível encontrar vasto material referente àquela

operação, como cópias de depoimentos de alvos da operação, relatórios detalhados produzidos
no âmbito da investigação, documentos preparativos contendo composição das equipes e nomes
121
dos policiais que participaram da operação, Relatórios de Infomação Financeira como

demonstrado na figura abaixo:
Já o RAMA 24/2019/DICINT/CGI/DIP/PF analisou o HD externo marca CB

também apreendido com WALTER DELGATTI NETO (item n° 17, da equipe 01). Não obstante
as pesquisas terem sido realizadas na maioria das pastas e subpastas da extração, devido ao
grande número de dados, é importante pontuar que a referida verificação não exauriu por
completo a análise do conteúdo da mídia de armazenamento externo.
O conteúdo do HD analisado no RAMA 24/2019 DICINT/CGI/DIP/PF estava

em “vol4 [EFI System Partition] (200MB)” e “vol5 [Unknown] (931GB)”, sendo que na primeira
partição não foram encontradas evidências que pudessem trazer informações relevantes à
presente investigação. As sete primeiras pastas armazenadas na partição “vol5 [Unknown]
(931GB)” não possuem arquivos de relevo:
122
Em relação à pasta “FUDEU”, foram encontradas 15 subpastas que, em

primeira análise, referem-se a dados obtidos através da invasão perpetrada pelos investigados,
as quais foram examinadas em subtópicos integrantes do RAMA nº
24/2019/DICINT/CGI/DIP/PF:
i) Subpasta “+55419840xxxxx”: refere-se ao número telefônico

“+55419840xxxxx”, que era utilizado pelo Procurador da República Deltan Dalagnol. Referida
subpasta “+55419840xxxxx” contém diversos arquivos, dentre eles, uma pasta de arquivos
denominada “dialogs” que revela diversas conversas de aplicativo de troca de mensagens, onde
foram armazenados pelos investigados o total de 1.297 documentos HTML que se dividem entre
trocas de mensagens particulares e trocas de mensagens em grupos (chats). Ressalte-se que a
integridade das mensagens não pode ser verificada por esta análise em questão:
123
ii) Subpasta “26-04-2019”: contém 03 arquivos “pdf” que se referem à

“clippings” de assuntos diversos. Ressalta-se que são assuntos afetos ao Procurador da
República DELTAN DALAGNOL, que podem ter sido obtidos através da invasão de seu
dispositivo eletrônico:
iii) Subpasta “castor”: contém 12 arquivos de áudio, que, em primeira análise,

possuem conteúdo de voz que se assemelha à voz do Procurador da República DELTAN
DALAGNOL, que podem ter sido obtidos através da invasão de seu dispositivo eletrônico.
Ressalta-se que o nome da subpasta em análise seria uma referência ao Procurador da
República Diogo Castor Matos.
iv) Subpasta “Danilo Dias”: provavelmente essa pasta foi criada em

referência ao Procurador Regional da República Danilo Pinheiro Dias. Segundo notícias
veiculadas na mídia, datadas de 11.06.2019, Gabriel Mascarenhas, repórter do jornal “O Globo”,
teria tido sua conta no Telegram hackeada e utilizada para envio de mensagens intimidadoras ao
Procurador Regional da República Danilo Pinheiro Dias. A subpasta contém 753 arquivos, em
sua maioria “pdf’s” relacionados a temas jurídicos, boletos, demonstrativos de pagamento
124
relacionados ao Procurador Regional, que podem ter sido obtidos através da invasão de seu
dispositivo eletrônico.
v) Subpastas Deltan2” e “Deltan22”: estas subpastas possuem conteúdos

idênticos, contendo 27 arquivos “pdf”, relacionados a decisões jurídicas, solicitações, pareceres,
geralmente vinculados ao Procurador da República Deltan Dalgnol, provavelmente obtidos
através da invasão de seu dispositivo eletrônico.
vi) Subpasta “Diogo”: provavelmente em referência ao Procurador Geral da

República Diogo Castor Matos, a subpasta em foco possui 587 arquivos diversos, em sua
maioria relacionados a temas jurídicos, além de documentos.
vii) Subpasta “ESTADO DE SITIO OKKKK”: contém 12.920 arquivos

diversos, em sua grande maioria, relacionados ao Procurador da República Deltan Dalagnol,
provavelmente obtidos através da invasão de seu dispositivo eletrônico.
viii) Subpasta “JANOT”: com 250 arquivos, a subpasta traz documentos

jurídicos diversos, além de documentos particulares do Ex-procurador Geral da República
Rodrigo Janot. Tendo em vista o nível de privacidade de alguns arquivos, podem ter sido fruto da
invasão ora investigada.
ix) Subpasta “Janu”: provavelmente em referência ao membro da força-

tarefa da lava jato em Curitiba, Januário Paludo, a subpasta contém 1098 arquivos, em sua
maioria relacionados a denúncias, decisões, materiais jurídicos, que em sua maioria envolvem o
Procurador mencionado. Trata-se de mais uma subpasta que pode ter sido fruto da invasão ora
investigada.
x) Subpasta “LUIZA SUBPROCURADORA”: mais uma subpasta que faz

referência a membro do Ministério Público, neste caso a Subprocuradora-Geral da República
Luiza Cristina Fonseca Frischeisen. A subpasta contém 1283 arquivos, demonstrando que ter
sido produzida após a invasão da conta do aplicativo Telegram da vítima. Subpasta “MAIS
125
ANTIGOS 23-04-2019”: também estaria relacionada ao Procurador da República Deltan

Dalagnol, provavelmente obtidos através da invasão de seu dispositivo eletrônico. Possui
arquivos de outras subpastas no total de 3959 itens.
xi) Subpasta “MEIRELLES”: subpasta com conteúdo de 128 arquivos,

diversos deles relacionados ao Ex-ministro da Fazenda Henrique Meirelles, arquivos estes, que
foram, provavelmente, obtidos através de invasão de dispositivo eletrônico.
xii) Subpasta “N”: novamente uma subpasta contendo diversos documentos,

ao total de 1356, afetos quase em sua totalidade ao Ministério Público Federal e seus
integrantes. Inserido no âmbito da investigação ora perpetrada, tudo indica terem sido fruto das
invasões de dispositivos eletrônicos.
xiii) Subpasta “Orlando”: provavelmente em referência ao Procurador

Regional da República Orlando Martello, esta subpasta contém 3255 arquivos, em sua grande
maioria, documentos afetos ao Ministério público e seus menbros.
xiv) Documentos “PDF”: por fim, foram encontrados 03

documentos/planilhas “PDF” relacionados a termos da Odebrecht, novamente com grande
indicativo de terem sido fruto das invasões de dispositivos.
9.2.1 - COAUTORIA E PARTICIPAÇÃO DOS DEMAIS INVESTIGADOS

NOS CRIMES DE INTERCEPTAÇÃO ILEGAL DE COMUNICAÇÕES E
INVASÃO DE DISPOSITIVO INFORMÁTICOS ALHEIOS
Pelos elementos expostos no ponto anterior, verifica-se farto conjunto

probatório que comprova o envolvimento de WALTER DELGATTI NETO nos ataques a
autoridade públicas do país, notadamente Procuradores da República com atuação na Operação
Lava Jato do Paraná. Entretanto, pode-se afirmar que WALTER NETO não estava sozinho em
sua empreitada criminosa, conforme será demonstrado nos pontos abaixo.
126
GUSTAVO HENRIQUE e DANILO CRISTIANO tiveram atuação acessória,

não exercendo o controle sobre a efetivação dos crimes de interceptação ilegal de comunicações
e invasão dos dispositivos informáticos de autoridades públicas. Entretanto, esse não seria o
caso de THIAGO ELIEZER MARTINS SANTOS, que é o maior especialista em tecnologia dentre
todos aqueles que foram investigados no presente Inquérito Policial, bem como de LUIZ
HENRIQUE MOLIÇÃO, que atuava na seleção de alvos e na análise do conteúdo das
mensagens privada obtidas de forma ilegal.
9.2.1.1 - THIAGO ELIEZER MARTINS SANTOS
Nas declarações prestadas à Polícia Federal, WALTER NETO e THIAGO

ELIEZER apresentaram versões contraditórias e inverossímeis sobre o tipo de relacionamento
que mantinham. Na primeira vez em que foi ouvido pela Polícia Federal, WALTER NETO se
reservou ao direito de permanecer em silêncio quando foi questionado se conhecia THIAGO
ELIEZER (fls. 80/83). Posteriormente, WALTER NETO afirmou se lembrar que, na verdade,
havia comprado um veículo de THIAGO ELIEZER no final do ano de 2018, tendo buscado o
automóvel na cidade de Brasília/DF, quando então conheceu THIAGO pessoalmente
(fls.149/153).
THIAGO ELIEZER, por sua vez, declarou à Polícia Federal (fls. 495/499) que
conheceu WALTER DELGATTI NETO no início do ano de 2018, após anunciar a venda de um
veículo pelo site OLX, tendo recebido uma mensagem dele pelo WhatsApp. THIAGO ELIEZER
não soube precisar em nome de quem o veículo estaria ou tampouco o ano de fabricação do
automóvel, indicando claramente tratar-se de uma versão inverossímil. Alegou que, mesmo sem
fechar a venda do veículo para WALTER, continuou mantendo contato com ele, tendo em vista
que WALTER tinha interesse em questões de computação e informática.
THIAGO ELIEZER afirmou ter falado para WALTER NETO que desenvolvia
aplicativos automatizados para realizar aplicações na bolsa de valores, mas que referido
programa até hoje não estaria funcionando na prática. Posteriormente, THIAGO disse que
127
WALTER NETO passou a lhe prestar consultorias jurídicas na área trabalhista, mas sempre
verbalmente, não elaborando nenhum tipo de documento formal, outra versão dos fatos sem
qualquer embasamento na realidade. THIAGO ELIEZER também disse desconhecer qual era
fonte de renda de WALTER NETO, que apenas dizia que “conseguia se virar” para obter
recursos para sobreviver.
Em seguida, THIAGO ELIEZER relatou algo ainda mais inusitado, ao afirmar

que, mesmo sem conhecer WALTER NETO pessoalmente, teria permitido que ele acessasse
remotamente o seu computador. THIAGO ELIEZER disse que WALTER entrava em seu
computador através dos programas de acesso remoto TeamViewer e Remote Desktop Protocol
(RDP), mas sem explicar por qual motivo permitia esta liberdade a uma pessoa praticamente
desconhecida.
Entretanto, em sua primeira oitiva THIAGO ELIEZER já começou a indicar

que, de fato, auxiliou WALTER DELGATTI NETO nos ataques a contas do Telegram de
autoridades públicas, ao afirmar que foi o responsável por orientar WALTER sobre como utilizar
o programa PIA (Private Internet Access), provedora de serviços de VPN anônima utilizada nos
ataques. Conforme Laudo nº 1195/2019-INC/DITEC/DIP, as sessões atípicas do Telegram que
foram indentificadas nos dispositivos das vítimas, tiveram os endereços IP correspondentes
identificados como provenientes do serviço VPN justamente do programa PIA.
THIAGO ELIEZER também disse que, no final de 2018 ou início de 2019,

WALTER NETO teria comentado que sabia como realizar ligações de voz sobre IP (VoIP), com
edição do número chamador, explicando que através da edição do número de origem era
possível ligar para o mesmo número, ou seja, o número chamador ficava igual ao número
chamado (A=B). Entretanto, THIAGO disse à Polícia Federal não saber qual interesse haveria
em fazer uma ligação em que o número chamador ficasse igual ao número chamado, sendo que
no “primeiro momento” desconhecia que, se fosse realizada uma ligação A=B, a chamada seria
direcionada para a caixa postal.
128
Nestas primeiras declarações, THIAGO ELIEZER afirmou que WALTER

NETO cadastrou um novo usuário na empresa BRVOZ, de telefonia VoIP, e deixou “auto salvo”
os dados de usuário e senha para que ele pudesse usá-lo, tendo ainda baixado o software da
BRVOZ. THIAGO também alegou que nunca usou ligações VoIP com a edição do número
chamador para acessar a caixa postal de telefones de terceiras pessoas, bem como não teria
utilizado o número de instituições financeiras em chamadas do sistema BRVOZ.
Entretanto, como já mencionado, essa afirmação de THIAGO ELIZER foi

desmentida pela Informação nº 44/2019, que analisou algumas das ligações realizadas por
THIAGO ELIEZER a partir da conta na BRVOZ ID 42680, tendo sido identificadas inúmeras
ligações em que o número chamador era igual ao chamado (A=B). Do mesmo modo, para
comprovar que a conta ID 42680 de fato era utilizada por THIAGO ELIEZER, foram obtidos os
dados cadastrais de alguns endereços IP registrados no momento em que eram realizaram
referidas ligações de A=B, sendo que todos eles estavam registrados em nome de DENISE
MARIA MARTINS SANTOS, mãe de THIAGO ELIEZER, com endereço na QNB 13, casa 22,
Taguatinga.
Ainda de acordo com a Informação nº 44/2019, foram também identificados

309 registros de ligações da conta ID 42680 em que ocorreu a manipulação do número
chamador para o número 4004-3535, do banco Santander, contrariando as declarações de
THIAGO ELIEZER de que nunca teria utilizado o sistema da BRVOZ para efetuar ligações
simulando a origem da chamada.
Por sua vez, a partir da planilha denominada “Totaliza_Ligacoes_AB.xlsx”

disponibilizada através do Laudo nº 1195/2019-INC/DITEC/PF, foi verificar que a conta ID 42680,
utilizada por THIAGO ELIEZER, realizou o total de 1191 ligações A=B, que tiveram como alvo
362 números diferentes (Informação nº 58/2019-DICINT/CGI/DIP/PF), sendo que a conta
BRVOZ ID 34221, utilizada por WALTER DELGATTI NETO, teria efetuado 5812 ligações A=B,
em um total de 1162 números diferentes.
129
Entretanto, a afirmação de THIAGO ELIEZER de que WALTER NETO

acessava remotamente seu computador, inclusive para salvar as credenciais de acesso de sua
conta da BRVOZ, demonstra uma total simbiose entre os dois investigados. Do mesmo modo,
segundo a Informação nº 48/2019, no cadastramento da conta ID 34221 junto à BRVOZ foi
informado o e-mail kelldantasss@gmail.com, sendo que, segundo informações fornecidas pela
empresa Gmail, este e-mail estaria vinculado ao número +55(61)99921-3255, que era utilizado
por THIAGO ELIEZER:
Segundo a Informação nº 48/2019, foi verificado que o terminal celular nº (61)

99921-3235, apesar de estar cadastrado em nome de outra pessoa, é utilizado por THIAGO
ELIEZER MARTINS SANTOS, conforme contato salvo no e-mail tadanado@icloud.com, utilizado
por WALTER NETO:
Assim, o fato de que a maioria dos ataques contra autoridades públicas ter
partido da conta BRVOZ ID 34221 não pode servir como argumento da não participação de
THIAGO ELIEZER nas invasões de dispositivos e interceptações de comunicações investigadas,
130
mesmo porque, como afirmado à Polícia Federal em suas declaraçoes, os dois investigados
compartilhavam seus computadores através de aplicativos de acesso remoto.
Como já mencionado, em razão de THIAGO ELIEZER ter sido identificado

pela Polícia Federal somente após a deflagração da primeira fase da Operação Spoofing, a
reunião de provas contra foi prejudicada, sendo que próprio investigado declarou que, após a
prisão de WALTER DELGATTI NETO, interferiu na instrução criminal reiniciando seus celulares
e computadores, apagando de seus dispositivos eletrônicos todas as mensagens, arquivos e
aplicativos que possuía, tendo também deletado o software da BRVOZ que estava instalado em
seu computador.
Mesmo a Polícia Federal tendo descoberto que THIAGO ELIEZER havia

ocultado dispositivos de armazenamento de dados na residência de sua namorada, na cidade de
São Paulo/SP, não foi possível acessar o conteúdo armazenados, tendo em vista que a maioria
dos equipamentos apreendidos no local, durante a fase ostensiva da Operação Spoofing II,
estão protegidos por criptografia. Assim, demostrou-se ser de utilidade para as investigações as
declarações prestadas por LUIZ HENRIQUE MOLIÇÃO, o qual trouxe diversos esclarecimentos
sobre o envolvimento direto de THIAGO ELIEZER com os ataques às autoridades públicas
investigados neste Inquérito Policial.
Entretanto, vários outros elementos também comprovam a participação de

THIAGO ELIEZER nos crimes investigados. Segundo o Laudo nº 1458/2019-INC/DITEC/PF, foi
encontrado no computador MacBook de WALTER DELGATTI NETO (item 1 equipe 01) uma
pasta relacionada ao aplicativo de armazenamento de dados em nuvem “Dropbox”
(“/Users/walterneto/Dropbox) na qual continha, entre outros dados, uma exportação de
conversas do aplicativo Telegram, em formato idêntico ao programa “telegrama_backup”. As
conversas exportadas estavam com nome configurado “Deltan Dallagnol” e, segundo WALTER
DELGATTI NETO, essa conta Dropbox era utilizada para compartilhar os materiais colhidos com
o jornalista Glenn Greenwald.
131
Por sua vez, segundo a Informação nº 45/2019, em subpastas relacionadas

ao armazenamento de dados em nuvem “Dropbox”, foram encontrados 10 arquivos de acordo
com o seguinte caminho: “/Users/walterneto/Dropbox/NOVOOOOS/NOVO/”. Referidos vídeos
foram realizados através do aplicativo oCam, que permite fazer gravações diretamente da tela do
computador, registrando o que o usuáro esta acessando no momento. As imagens gravadas
mostram conversas de membros do MPF pelo aplicativo Telegram, sendo que início do arquivo
“FILHOS DO JANUARIO 4 COMPLETO.mp4”, com 34 minutos de duração, é possível identificar
que o vídeo está sendo gravados no caminho do diretório “C:\Users\Chiclete\Documents\oCam”:
Assim, ressaltando que “Chiclete” é uma alcunha conhecida de THIAGO

ELIEZER MARTINS SANTOS, é possível afirmar que ele foi o responsável pela gravação em
vídeo das mensagens entre membros do MPF que estavam sendo acompanhadas através do
monitoramento do Telegram das vítimas, que teriam sido enviadas ao jornalista Glenn
Greenwald. Ouvido em sede policial (fls. 751/752), THIAGO ELIEZER confirmou que sempre
utilizou o usuário “Chiclete” em suas máquinas virtuais e que o diretório
“C:\Users\Chiclete\Documents\oCam” provavelmente estaria no seu computador físico ou
remoto, tendo também reconhecido a imagem gravada como sendo do seu computador.
Entretanto, THIAGO ELIEZER afirmou desconhecer que o arquivo “FILHOS DO JANUÁRIO
132
COMPLETO.mp4” algum dia esteve arquivado em seu computador físico. Pelas imagens, é
possível ver que os arquivos estavam sendo gerados num computador remoto.
Outras provas do envolvimento direto de THIAGO ELIEZER com os ataques

foram reunidas na Informação nº 41/2019, que analisou os mecanismos de extração de
mensagens do Telegram que foram utilizadas por WALTER DELGATTI NETO. Em relação às
exportações de mensagens realizadas por meio do programa “Telegram Desktop” foram geradas
um conjunto de pastas e um arquivo de nome “export_results.html”, tendo sido identificada no
notebook Lenovo de WALTER DELGATTI NETO três pastas com menção ao nome CRASH,
todas referentes a empresários ou empregados de instituições financeiras:
Pasta Nome / Usuário Telefone Data de criação Chats Contatos

CRASH/ESTELLA Estela +55 15 9813xxxxx 05/06/2019 21:54:15 UTC 8 239
CRASH/MARCIO ALMEIDA Marcio Almeida +55 15 9811xxxxx 13/06/2019 12:57:52 UTC 2 219
CRASH/GERENTE SAFRA Ana Ferrari +55 11 9877xxxxx 13/06/2019 12:59:56 UTC 6 1380
Por sua vez, ainda segundo a Informação nº 41/2019, foram encontradas no

MacBook de WALTER arquivos “dc.dat” referentes ao número celular +55419840xxxxx,
pertencente ao procurador Deltan Dallagnol, os quais possuíam mesmo hash, indicando que
todas as cópias se referem à mesma informação. Dentre as pastas encontradas, duas possuíam
referência ao codinome CRASH, demonstrando que WALTER NETO compartilhou com THIAGO
todas as informações referentes ao referido Procurador:
Caminho Data de modificação

/Users/walterneto/Downloads/NEWS/CRASH/dc.dat 27/04/2019 09:26:56 UTC
/Users/walterneto/Downloads/NEWS/tudo/CRASH/dc.dat 27/04/2019 09:26:56 UTC
Por sua vez, em conversa realizada pelo Telegram ocorrida no dia

22/07/2019 (anexo RAMA 43/2019), THIAGO ELIEZER afirma para WALTER DELGATI NETO
que teria descoberto que seria possível usar a mesma sessão do aplicativo Telegram no desktop
133
do computador para “injetar no Java Telegram BKP”, sem ter que entrar novamente, criando
assim uam “central de escuta em tempo real”:
134
Como já tratado na Informação 0038/2019 – DICINT/CGI/DIP/PF, o ID

499571884 do aplicativo Telegram pertence THIAGO ELIEZER MARTINS SANTOS. Esse
diálogo, além de demonstrar o envolvimento de THIAGO ELIEZER diretamente nos ataques,
também seria mais uma demonstração de que a contuda dos investigados devem ser
enquadradasno artigo 10 da Lei nº 9.296/96, que tipifica o crime de interceptação indevida de
comunicações telemáticas.
Outra prova do envolvimento de THIAGO ELIEZER com os ataques

realizados por WALTER NETO foi obtida graças às informações fornecidas por LUIZ HENRIQUE
MOLIÇÃO, que em declarações à Polícia Federal (fls. 505/509), afirmou que utilizava um e-mail
do provedor “riseup.net”, com nome de usuário brasil_baronil@riseup.net, para se comunicar
com o jornalista Glenn Greenwald. Após a obtenção de ordem judicial de afastamento do sigilo
telemático de referida conta, foi realizada a análise das mensagens, cujo resultado foi
formalizado na Informação nº 46/2019.
Em suas declarações, LUIZ MOLIÇÃO afirmou ter enviado uma mensagem,

às 02:00 do dia 24/07/2019, para Glenn Greenwald (destinatário: nczx@riseup.net) comunicando
sobre a prisão de WALTER DELGATTI pela Polícia Federal: “Só avisando, prenderam mesmo o
menino. Fica em off isso”. Foram encontrados registros de que, de fato, o jornalista Glenn
Greenwald utilizaca a conta nczx@riseup.nete, como uma mensagem em que ele pergunta
sobre o contato que os investigados teriam tido com o ator e escritor Gregório Duvivier:
MOLIÇÃO relatou à Polícia Federal que não recebeu nenhuma resposta de

Glenn Greenwald, tendo, no entanto, recebido uma mensagem 48 minutos depois por meio do
135
próprio e-mail brasil_baronil@riseup.net (mensagem encaminhada do usuário

brasil_baronil@riseup.net para ele mesmo), na qual o remetente afirma estar lendo “em
rascunho” e diz achar que MOLIÇÃO deve saber quem ele é, tendo também perguntado sobre a
forma como poderiam ajudar WALTER. Para fazer como que LUIZ MOLIÇÃO pudesse identificá-
lo, o interlocutor faz menção ao fato de que ele seria a pessoa que “estava virtualmente no
primeiro do 1º venvanse que tomou”:
LUIZ MOLIÇÃO afirmou à Polícia Federal que sabia que a única pessoa que
ajudava diretamente WALTER nas invasões de contas do Telegram era THIAGO, motivo pelo
qual tinha a certeza que a mensagem havia sido enviada por ele. Em outra mensagem, LUIZ
MOLIÇÃO relata para THIAGO que ficou assustado pelo fato de WALTER NETO ter se “auto
acusado”, referindo-se às publiciações que WALTER NETO fazia em redes sociais, tendo
perguntado a THIAGO se teria conhecimento se WALTER guardava “alguma coisa em casa que
ligava diretamente as coisas”. Em resposta, THIAGO ELIEZER afirma que que vai entrar em
contato com alguns advogados amigos para acompanhar WALTER, tendo sugerido a LUIZ
MOLIÇÃO que jogasse fora “qualquer coisa”, bem como deletasse “posts de twiter” e que
tentasse “limpar todo o vínculo. Para a gente poder ajudar ele de alguma forma”.
Em mensagem do dia 24/07/2019, THIAGO ELIEZER afirma para LUIZ

MOLIÇÃO que um advogado vai ver qual é a situação de WALTER e pergunta se MOLIÇÃO
está acessando de forma segura o canal de comunicação. LUIZ MOLIÇÃO responde que não
tem o contato de ninguém próximo a WALTER e que acessa o e-mail por meio de seu notebook
com a PIA (Private Internet Access), programa de VPN oculta que foi utilizado nos ataques.
136
Em mensagem do dia 26/07, pela manhã, THIAGO ELIEZER diz a LUIZ

MOLIÇÃO que teve acesso a todo inquérito, mas que ainda não leu, mas afirma estar “mais
tranquilo” e fala para MOLIÇÃO que ele “pode ficar também”. Em outra mensagem às 17h57 do
dia 28/07/2019, THIAGO pergunta a LUIZ MOLIÇÃO: “Jogou fora mesmo? voce estava com a
peca principal de tudo. Nao tem como pegar de volta? vai fazer falta viu”, tendo LUIZ MOLIÇÃO
respondido que deletou tudo que tinha: “Me livrei de tudo que podia ser usado como prova, mas
a conta do Brasil no tele continua ativa, só n tenho mais acesso e nem o número”. Essa
mensagem confirma que tudo teria sido descartado, porém existiria a conta Brazil Barnonil no
Telegram, tendo THIAGO ELIEZER respondido: “puts, perdemos tudos que tinhamos de trunfo
entao =\”.
Assim, as mensagens verificadas no e-mail brasil_baronil@riseup.net indica

claramente que tanto THIAGO ELIEZER e quanto LUIZ MOLIÇÃO tinham relação direta aos
ataques a contas do Telegram de autoridades públicas, além de possuírem a senha do e-mail
que era utilizada como canal de comunicações com o jornalista Glenn Greenwald.
9.2.1.2 - LUIZ HENRIQUE MOLIÇÃO
Conforme Informação nº 35/2019 – DICINT/CGI/DIP/PF, foi verificado que

WALTER DELGATTI NETO realizava constantes diálogos com LUIZ HENRIQUE MOLIÇÃO por
diversos aplicativos de comunicação como WhatsApp, Business, Signal e Telegram. Assim,
foram extraídos arquivos de conversas que permitiram determinar que LUÍZ HENRIQUE
MOLIÇÃO utilizava uma conta no Telegram com o codinome “PEÇANHA”, associação realizada
pós a verificação de uma mensagem no aplicativo pela qual MOLIÇÃO encaminha sua ficha de
inscrição na universidade.
Ainda segundo a Informação nº 35/2019 – DICINT/CGI/DIP/PF, no dia

21/07/2019, logo após a meia noite (00h06m), WALTER NETO encaminha para LUIZ MOLIÇÃO
a imagem da lista de contatos de uma conta do Telegram, indicando possivelmente a invasão de
um novo usuário. Assim, pelas imagens trocadas entre WALTER NETO e LUIZ MOLIÇÃO,
137
verificou-se que a vítima do novo ataque era a Deputada Federal Joice Hasselmann (PSL-SP),
que, no mesmo dia 21/07/2019, postou um vídeo em redes noticiando que o seu celular havia
sido de fato invadido, a corroborar a veracidade do diálogo analisado.
Em uma das imagens divulgadas por Joice Hasselmann, é possível ver no

registro de chamadas do aparelho telefônico da parlamentar o número de telefone internacional
do Telegram, que é utilizado para realizar as ligações automatizadas que informam o código de
acesso do aplicativo, fato consistente com o modo de ataque empregado por WALTER NETO.
Na mesma imagem, também é possível verificar o registro de uma ligação telefônica do jornalista
Lauro Jardim, que foi o responsável por informar a parlamentar sobre invasão de sua conta no
Telegram, conforme reportagens que repercutiram o ataque.
De fato, foram encontradas conversas do aplicativo Telegram em que LUIZ

HENRIQUE MOLIÇÃO instrui WALTER NETO a enviar uma nota para um jornalista através da
conta da Deputada Federal Joice Hasselmann, sendo que, após uma breve troca de opiniões, os
dois escolhem Lauro Jardim como o destinatário da mensagem falsa. Pelos diálogos analisados,
foi possível constatar que realmente WALTER NETO encaminhou para o jornalista Lauro Jardim,
por meio da conta do Telegram da deputada federal, uma nota intitulada “O governo já deixa
vazar que considera o MPF como inimigo”, texto que teria sido elaborado pelo próprio LUIZ
MOLIÇÃO:
138
Pela análise das mensagens seguintes, Lauro Jardim aparentemente

desconfiou da nota e pediu para que a suposta Deputada Joice Hasselmann se explicasse
melhor. Na sequência, WALTER NETO faz uma filmagem da tela do Telegram com o objetivo de
mostrar para LUIZ MOLIÇÃO a nota enviada para o jornalista, tendo percebido, entretanto, que o
aplicativo havia notificado o jornalista sobre a geração da imagem de tela.
Segundo a Informação nº 35/2019 – DICINT/CGI/DIP/PF, com a notificação

gerada pelo aplicativo Telegram, LUIZ MOLIÇÃO e WALTER NETO percebem que o repórter
provavelmente iria ficar ainda mais desconfiado em relação à mensagem enviada em nome da
Deputada Federal Joice Hasselmann, motivo pelo qual WALTER pediu a LUIZ MOLIÇÃO para
que abrisse o programa PIA – Private Internet Access, usado pelo grupo para dificultar o
rastreamento da conexão aos aparelhos. Após MOLIÇÃO responder que já estava ligando o
programa PIA, WALTER envia o número telefônico de Joice Hasselmann além dois códigos
numéricos, que seriam os códigos de acesso do aplicativo da parlamentar.
Após LUIZ MOLIÇÃO confirmar ter acessado o Telegram da Deputada

Federal Joice Hasselmann, WALGER NETO mostra a mensagem do telefone da parlamentar
indicando que um novo login havia sido detectado na conta. Conforme Informação nº 35/2019 –
DICINT/CGI/DIP/PF/P, a mensagem enviada pelo aplicativo de comunicação mostra a presença
de 3 aparelhos conectados na conta da parlamentar, sendo duas nos Estados Unidos, referentes
aos endereços IP do provedor PIA utilizados simultaneamente por WALTER DELGATTI NETO e
LUIZ HENRIQUE MOLIÇÃO:
139
Por fim, LUIZ MOLIÇÃO ainda envia outras mensagens informando que
Lauro Jardim estava ligando para o Telegram da parlamentar, mas que não iria atender, tendo
WALTER DELGATTI NETO orientado a responder ao jornalista dizendo que não poderia falar.
Assim, pelos elementos de prova encontrados, é possível inferir que WALTER DELGATTI NETO
e LUIZ HENRIQUE MOLIÇÃO invadiram conjuntamente o aplicativo Telegram da Deputada
Federal Joice Hasselmann e tentaram plantar uma notícia jornalística falsa junto ao repórter
Lauro Jardim.
O RAMA 42/2019 formalizou a análise dos 02 notebooks aprrendidos na

residência de LUIZ HENRIQUE MOLIÇÃO, tendo sido locoalizada a pasta “FUDEU” da lixeira do
notebook marca Acer (item 1 da apreensão). Vale ressaltar que o RAMA nº 24/2019
DICINT/CGI/DIP/PF faz referência a tal pasta, que estava presente em um dos notebooks de
WALTER, tendo como conteúdo as diversas exportações realizadas a partir das invasões, objeto
deste inquérito. O endereço para visualização desta pasta na extração é:
/img_Item01.E01/vol_vol6/$Recycle.Bin/S-1-5-21-608332781- 2747259221-104049307-
1001/$RRL2038/FUDEU.
140
Segundo a Informação nº 41/2019, por sua vez, foram encontrados no

MacBook de WALTER arquivos “dc.dat” referentes ao número celular +55419840xxxxx,
pertencente ao procurador Deltan Dallagnol, os quais possuíam mesmo hash, indicando que
todas as cópias se referem à mesma informação. Dentre as pastas encontradas, havia uma com
referência a LUIZ HENRIQUE MOLIÇÃO, demonstrando que WALTER NETO compartilhou com
ele todas as informações referentes ao Procurador, sendo este, provavelmente, o arquivo
encontrado na lixeira do notebook marca Acer mencionado no RAMA 42/2019:
Caminho Data de modificação

/Users/walterneto/MOLISSAUM/Dropbox/FUDEU/+5541984014762/dc.dat 30/05/2019 20:44:52 UTC
9.2.1.3– GUSTAVO HENRIQUE ELIAS SANTOS
Embora não participasse diretamente dos ataques, GUSTAVO HENRIQUE

foi o primeiro a utilizar a plataforma de telefonia de voz sobre IP (VoIP) da empresa BRVOZ,
tendo também realizado ligações em que número chamador era igual ao chamado (A=B).
Segundo informação nº 58/2019/DICINT/CGI/DIP/PF, das contas ID BRVOZ 16737 e 69916,
ambas controladas por GUSTAVO HENRIQUE, foram originadas o total de 696 ligações em que
o número telefônico de origem era igual ao número chado (A=B), as quais tiveram como destino
203 alvos diferentes.
Por sua vez, conforme o Laudo nº 580/2019/UTEC/DPF/UDI/MG (fls.

768/774), constata-se que a primeira ligação tendo como origem e destino o mesmo número
(A=B) foi realizada para o telefone nº (11) 99916-0775, que segundo as agendas dos celulares
apreendidos pertencia a GUSTAVO HENRIQUE ELIAS SANTOS (“Guto”, na agenda). Referida
ligação foi realizada no dia 15/06/2018, às 18h27, através da conta BRVOZ ID 16737
(16737@brvoz.net.br no Zoiper).
Por sua vez, de acordo com a tabela 3 do no Laudo nº 1195/2019-

INC/DITEC/PF (apenso II), teriam partido da conta BRVOZ ID 69916 os ataques direcionados ao
141
Deputado Federal Luiz Philippe O. Bragança e ao assessor especial da Presidência Filipe

Martins, embora não tenha sido confirmado que o IP utilizado nas ligações estava instalado em
um dos endereços de GUSTAVO HENRIQUE ELIAS SANTOS. Segundo GUSTAVO HENRIQUE
e WALTER DELGATTI, os dois costumavam compartilhar as contas que eles possuíam na
empresa de telefonia VoIP BRVOZ, demonstrando uma certa cumplicidade que haveria entre os
dois. Por sua vez, no depoimento de fls. 248/252 WALTER DELGATTI NETO afirmou que de
fato telefonou para os números do Deputado Federal Luiz Philippe O. Bragança e de Filipe
Martins utilizando a conta da BRVOZ ID 69916, de GUSTAVO HENRIQUE, porque estava sem
saldo na sua conta 34221.
Conforme Laudo Pericial nº 1459/2019-DITEC/INC/PF (III.5), foi encontrado

no notebook Dell de GUSTAVO HENRIQUE ELISAS SANTOS (item 51 Equipe 2) o programa de
telefonia sobre IP (VoIP) Zoiper5, onde estavam cadastradas tanto a conta 16737@brvoz.net.br
(ID 16737) quanto a conta 34221@brvoz.net.br (ID 34221). Do mesmo modo, estava cadastrada
no mesmo aplicativo Zoiper a conta 45989@sip.setetel.com.br, que também foi utilizada nos
ataques a diversas autoridades públicas. Por sua vez, deve ser ressaltado que não foram
encontrados no dispositivo computacional apreendido programas de VPN (Virtual Private
Network), ferramenta essencial para a realização dos ataques, a indicar que o investigado de
fato não realizaria diretamente os ataques.
Entretanto, ficou demonstrado que GUSTAVO HENRIQUE sabia das ações

de WALTER NETO, bem como recebeu pequena parte do conteúdo ilícito obtido por WALTER
NETO. Conforme Relatório de Análise de Conteúdo em Nuvem nº
001/2019/SOI/DICINT/CGI/DIP, foi encontrado nos arquivos em nuvem vinculados ao e-mail
gutudubra@icloud.com foto do documento do ator e escritor Gregório Duvivier, uma das vítimas
dos ataques promovidos pelo grupo, que foi tirada diretamente da tela do computador de
WALTER DELGATTI NETO:
142
WALTER DELGATTI NETO também teria enviado para GUSTAVO

HENRIQUE ELIAS SANTOS prints da tela de seu computador MacBook, contendo imagens das
contas do aplicativo Telegram diversos outros artistas:
Na pasta CloudDocs do conteúdo fornecido pela Apple Brasil vinculado à

conta gutodubra@icloud.com foi também encontrado documento confidencial proveniente da
Força Tarefa Greenfield, do Ministério Público Federal no Distrito Federal, referente à Divisão de
Tarefas e o Plano de Ação da FT, sendo que o documento completo segue em midia anexa ao
Relatório de Análise de Conteúdo em Nuvem nº 001/2019/SOI/DICINT/CGI/DIP:
143
9.2.1.4 – DANILO CRISTIANO MARQUES
Por fim, DANILO CRISTIANO MARQUES, integrante do Grupo de

Araraquara/SP, teria acobertado as ações ilícitas de WALTER NETO durante todo o período dos
ataques. Embora não demonstre possuir maiores conhecimentos sobre tecnologias de
comunicação ou computação, concorreu para que as invasões de dispotivos e monitoramento
das comunicações telemáticas fossem praticadas. Atuando cotidianamente como “testa-de-ferro”
de WALTER DELGATTI NETO, inclusive em fraudes bancárias e esquemas de lavagem de
dinheiro, forcenceu seu nome para que ele contratasse o serviço do provedor de internet e assim
pudesse ter acesso anonimamente à rede mundial de computadores.
Verifica-se, por sua vez, que o auxilio prestado a WALTER NETO, fornecndo
instrumento essencial para os crimes, ocorreu de forma dolosa. Segundo o RAMA nº
12/2019/DICINT/CGI/DIP/PF, foram encontradas no aparelho celular de DANILO CRISTIANO
mensagens trocadas entre ele e WALTER DELGATTI NETO, através do aplicativo WhatsApp,
pelas quais é possível verificar que os dois conversaram sobre a obtenção e vazamento de
informações sigilosas privadas de autoridades públicas. Segundo diálogo abaixo, verifica-se que
144
DANILO CRISTIANO foi informado por WALTER NETO que ele havia divulgado o conteúdo das
conversas:
Ainda segundo o RAMA nº 12/2019/DICINT/CGI/DIP/PF, no dia 10 de abril de

2019, cerca de dois meses antes da veiculação na mídia sobre o conteúdo das mensagens
privadas das contas TELEGRAM de autoridades, DANILO é informado por WALTER que
“acabou a tempestade”, “veio a bonança”, sugerindo a melhora financeira do grupo:
145
Entretanto, deve ser ressaltado que essa melhora financeira poderia estará
relacionada a esquemas envolvendo a fraudes bancárias. Verifica-se, assim, que a participação
de DANILO CRISTIANO nos ataques praticados por WALTER DELGATTI NETO teria sido
acessória, não exercendo o controle sobre a efetivação dos crimes de interceptação ilegal de
comunicações e invasão dos dispositivos informáticos de autoridades públicas
9.2.1.3 - INDICIAMENTO
Tendo os investigados atuado de modo livre e consciente, na forma do artigo

29 do Código Penal, determino que seja formalizado o INDICIAMENTO de WALTER DELGATTI
NETO, THIAGO ELIEZER MARTINS SANTOS, LUIZ HENRIQUE MOLIÇÃO GUSTAVO
HENRIQUE ELIAS SANTOS e DANILO CRISTIANO MARQUES como incursos nos crimes
tipificados no artigo 154, § 5º, III do Código Penal (invasão de dispositivo informático alheio na
forma qualificada) e artigo 10 da Lei nº 9.296/1996 (interceptação ilegal de comunicações
telemáticas).
10 - DIVULGAÇÃO DAS MENSAGENS OBTIDAS ILICITAMENTE
Em suas declarações à Polícia Federal, WALTER DELGATTI NETO disse

que, para publicar o conteúdo das mensagens do Telegram obtidos de membros do MPF do
Estado do Paraná, teria escolhido o jornalista Glenn Greenwald, editor do The Intercept Brasil,
146
tendo em vista seu histórico de reportagens relacionadas ao caso do whitleblower Eduard

Snowden. O investigado disse, em seu segundo depoimento (fls. 149/153), que para tentar
encontrar o editor do The Intercept Brasil teria ligado para a ex-Deputada Manuela D´Ávila, após
ter descorbe seu telefone em um flyer de campanha. Na na primeira versão apresentada à
Polícia Federal (fls. 80/83), WALTER NETO afirmou que teria obtido o telefone de Manuela
DÁvila da lista de contatos do Telegramm da ex-presidente Dilma Rousseff.
Na verdade Manuela D`Ávila foi fambém uma das vítimas dos ataques
realizados pelos investigados, tendo sua conta no aplicativo Telegram invadia no dia 12/05/2019.
Ao ser questionado pela Polícia Federal, WALTER DELGATTI NETO negou que tivesse invadido
a conta da ex-Deputada Federal, afirmando que apenas teria enviado uma mensagem para o
seu Telegram. Entretanto, Manuela D´Ávila entregou à Polícia Federal as imagens capturadas da
tela de seu celular com as mensagens do aplicativo informando que um novo dispositivo havia
sido logado na conta do Telegram (fl. 198):
Ao prestar depoimento à Polícia Federal (fls. 398/401), Manuela Pinto Vieira

D`Ávila apresentou voluntarimente seu aparelho de telefonia celular para que Peritos Criminais
Federais realizassem a extração dos prints das mensagens e outras informações de interesse
das investigações, confomque Laudo nº 1637/2019/INC/DITEC/PF (fls. 483/486). Pelas
147
conversas analisadas, verifica-se que o interlocutror de Manuela D`Ávila invadiu e utilizou a

conta do Telegram do Senador Cid Gomes10 para fazer o contato incial, migrando depois para
um perfil do Telegram denominado “Brazil Baronil”. Assim, através do registro das conversas, é
possível reconstituir a abordagem realizada pelo interlocutor junto à Manuela DÀvila, com
seguidas mensagens enviadas a partir da conta “Brazil Baronil” em um domingo do Dia das
Mães:
Segundo WALTER DELGATTI, a princípio Manuela DÀvila não estava

acreditanto que ele possuíra de fato informações sobre membros do MPF que atuam na Força-
Tarefa da Lava Jato de Curitiba/PR. Assim, foram enviadas à ex-parlamentar um arquivo de
áudio de uma conversa entre os Procuradores da República ORLANDO e JANUÁRIO PALUDO:
10
Para provar que teria de fato invadido a conta do Telegram de Manuela D´Ávila, o interlocutor, ainda
por meio da conta do Senador Cid Gomes no aplicativo, enviou uma print de uma mensagem entre a ex-
Deputada Federal que estava armazenada em sua conta no Telegram.
148
Os elementos de prova apresentados por Manuela DÁvila contradizem a

versão dos fatos que foi narrada pelo investigado em seus depoimentos. WALTER DELGATTI
disse que procurou Manuela D`Ávila após já ter escolhido o jornalista Glenn Greenwald, tendo
em vista a sua atuação no caso Snowden, como a melhor opção para receber o conteúdo
capturado das contas do Telegram de Procuradores da República do Paraná. Entretanto, pelas
evidências apresentadas, partiu da ex-parlamentar a sugestão para a pessoa que se identificava
como “Brazil Baronil” procurasse um jornalista, tendo indicado o nome do editor do The Intercept
Brasil:
149
WALTER DELGATTI NETO afirmou que no mesmo domingo do Dia das

Mães (12/05/2019), recebeu uma mensagem no Telegram do jornalista Glenn Greenwald, que
afirmou ter interesse no material, que possuiria interesse público. Segundo se depreende pelas
mensagens apresentadas por Manuela D`Ávila, no início o jornalista Gleen Greenwald teria
proposto a utilização do aplicativo Sgnal como canal de comunicação para o recebimento do
conteúdo ofertado pelo interlocutor:
Segundo Informação nº 63/2019/DICINT/CGI/DIP/PF, foi encontra no

computador MacBook de WALTER DELGATTI11 uma imagem com cópia de tela
(IMG_3102.PNG) de mensagem do aplicativo Signal enviada por Glenn Greenwald, onde, após
uma série de tentativas de ligações, ele encaminha um link informando sobre como utilizar o
“Secure Drop” disponibilizado pelo The Intercept, sendo este provalmente um dos primentos
contatos que o jornalista manteve com os investigados:
11
EQ_01_IT_01.ad1/Arquivos:F:\Eq01_Item01\Arquivos/Users/walterneto/Pictures/Photos
Library.photoslibrary/Masters/2019/05/27/20190527-192913/IMG_3102.PNG
150
Em suas declarações à Polícia Federal, WALTER DELGATTI NETO afirmou

que em razão do acervo muito volumoso ele optou, juntamente com o Glenn Greenwald, para
que fosse alterado o método de envio do material. Assim, teria sido criada uma conta no
aplicativo Dropbox para o envido do material, repassando a senha de acesso para Glenn
Greenwald. Tendo em vista decisão proferida pelo Supremo Tribunal Federal no âmbito da
medida cautelar na Arguguição de Descumprimento de Preceito Fundamental (ADPF) nº 601,
não foi possível obter maiores esclarecimentos junto ao jornalista sobre a forma de recebimento
das mensagens, tendo em vista o reconhecimento da “proteção constitucional do preceito
fundamental de liberdade de expressão e de imprensa (art. 5º, inciso XIV, e art. 220 da
Constituição)”.
Conforme Laudo de Local de Crime nº 1339/2019/INC/DITEC/PF, ainda

durante o cumprimento do mandado de busca e apreensão em sua residência, WALTER
DELGATTI NETO mencionou que em maio de 2019 havia criado uma conta no serviço de
151
armazenamento em nuvem Dropbox, com login files1a2wqaws@gmail.com, para armazenar

cópia de parte dos dados que teria obtido por meio do acesso a perfis do Telegram com o intuito
de compartilhá-los com outras pessoas, tendo informado à equipe as credenciais de acesso a
essa conta.
Assim, considerando a necessidade urgente de preservação dos dados

armazenados e a impossibilidade de se realizar o procedimento no local, os Peritos Criminais da
Polícia Federal que estavam no local da busca e apreensão, a equipe de policiais imediatamente
repassou as credenciais de acesso à Chefe do Serviço de Perícias em Informátia do Instituto
Nacional de Criminalística, a qual realizou a preservação dos arquivos visíveis, conforme Laudo
nº 1397/2019/INC/DITEC/PF. Segue abaixo a tela da conta Dropbox
“files1q2wqaws@gmail.com”:
152
Conforme Laudo Pericial nº 1458/2019/DITEC/INC/PF, no MacBook de

WALTER DELGATTI NETO havia uma pasta relacionada ao aplicativo de armazenamento de
dados em nuvem Dropbox (“/Users/walterneto/Dropbox”), que continha, entre outros dados, uma
exportação de conversas do aplicativo Telegram, em formato idêntico ao gerado pelo programa
“telegrama_backup”. As conversas exportadas estavam relacionadas ao usuário com o nome
configurado “Deltan Dallagnol”, sendo que na pasta havia outros arquivos, aparentemente
estraídos de outras contas do aplicativo “Telegram”. Os nomes de pastas encontrados,
aparentemente relacionado a dados extraídos de invasões de contas do Telegram foram
relacionados na tabel 1 do Laudo:
153
Ainda segundo o Laudo nº 1458/2019/DITEC/INC/PF, as datas de

modificação dos arquivos e subpastas da pasta
“/Users/walterneto/Dripbox/FUDEU/+5541984014762”, tal cópia das mensagens foi efetuada
entre os dias 28/04/2019 e 29/04/2019, tendo sido encontrados um total de 952.753 mensagens.
Assim, foi realizado um procedimento para a comparação desses dados com os arquivos
armazenados na conta Dropbox files1q2wqaws@gmail.com, conforme preservação dos arquivos
em nuvem registrado nos Laudos nº 1339/2019/INC/DITEC/PF e 1397/2019/INC/DITEC/PF.
Posteriormente, foram calculados os hashes SHA-256 para os arquivos

presenteas na pasta “/Users/walterneto/Dripbox/FUDEU/+5541984014762” e tais dados foram
compardos aqueles calculados para os dados na nuvem (Laudo nº 1937/2019/INC/DITEC/PF).
Assim, verificou-se que os hashes coincidiam para todos os arquivos, exceto algns que puderam
ser verificados devido a erros durante o cálculo destes hashes causados por caracteres
especiais em nomes de arquivos e pastas. Entrento, como mencionado anteriormente, não foi
possível obter junto ao jornalista Glenn Greenwald a confirmação de que ele recebeu os arquivos
dos investigados por meio da conta Dropbox files1q2wqaws@gmail.com.
Ainda em relação à atuação do jornalista Glenn Greenwald, dever ser

mencionado o arquivo de ádio encontrado armazenado no MacBook de WALTER DELGATTI
NETO com a denominação áudio_2019-06-07_20-22-05.ogg. De acordo com os metadados do
Indexador utilizado pela perícia, este seria o caminho para encontrar o áudio:
154
Foi elaborada a Informação nº 30/2019/NO/CGI/DICINT/CGI/DIP/PF com a

transcrição do áudio, referente a uma conversa realizada entre LUIZ HENRIQUE MOLIÇÃO e o
jornalista Glenn Greenwald. Referido diálogo teria ocorrido após a divulgação pela imprensa da
invasão do celular do Sr. Ministro de Estado da Justiça e Segurança Pública Sérgio Moro, mas
antes da publicação pelo The Intercept da primeira matéria sobre às mensagens do Telegram de
Procuradores da República do Estado do Paraná.
Pela conversa, verifica-se que LUIZ HENRIQUE MOLIÇÃO busca

orientações com Glenn Grenwald sobre se deveriam baixar ou não o conteúdo de contas do
Telegram de outras pessoas antes da publicação das matérias pelo The Intercept, tendo em
vista que os investigados estariam monitorando diversas vítimas e elas poderiam apagar o
conteúdo de suas contas:
GLENN GREENWALD: Tudo bom?

LUIZ MOLIÇÃO: Então, é... a gente... eu tava discutindo com o grupo, eu queria falar com
você um assunto.
GLENN GREENWALD (Gleen): Hã?
MOLIÇÃO: É... como tá agora, tá saindo muita notícia sobre isso, a gente Chegou... nós
chegamos à conclusão que eles tão fazendo um jogo pra tentar desmoralizar o que tá
acontecendo.
GLENN GREENWALD: Uhum.
MOLIÇÃO: Igual, o que aconteceu com o Danilo Gentilli, é... o MBL, o Holiday, a gente
pegou outubro do ano passado. Eles tão começando a falar disso gora.
GLENN GREENWALD: Pegou o quê?
MOLIÇÃO: A gente puxou o Telegram deles ano passado. Eles tão falando disso agora.
GLENN GREENWALD: Ah, sim sim.
MOLIÇÃO: Então, tudo o que eles, que já aconteceu...
GLENN GREENWALD: Ah sim.
MOLIÇÃO: Eles tão puxando pra agora.
GLENN GREENWALD: Eu vi isso que alguém publicou alguma coisa falando que o Holiday e
MBL “foi hackeado”.
155
MOLIÇÃO: Isso. Eles tão usando isso agora. Então, a gente crê que é um jogo que eles tão
fazendo.
GLENN GREENWALD: Mas com com... qual motivo?
MOLIÇÃO: Porque é... como agora tá vindo também notícia do... dos ata... dos ataques ao
Moro, ao MPF, já, já tão pre... prevendo que vai acontecer alguma coisa.
GLENN GREENWALD: Com certeza, mas eu, isso depende... a a dificuldade é entender o
motivo com que eles tão tentando... porque... que que estamos pensando é que quando
publicamos, obviamente, todo mundo “vou” utomaticamente pensar que “essa material” é
enganação como por exemplo tudo o que aconteceu “no semana” passada com Moro.
MOLIÇÃO: Sim.
GLENN GREENWALD: E nós vamos deixar muito claro que nós recebemos tudo muito antes
disso, e não tem nada a ver com isso, entendeu?
MOLIÇÃO: Uhum. Mas o que acontece? O que eles tão falando também é que o celular, ele
foi hackeado. Não! O que a gente faz é pegar o Cloud do Telegram. A gente não pegou nada
do celular.
GLENN GREENWALD: Entendi. Então, eu sei, eu sei. Mas, é possível que tenha um “outro
pessoa” fazendo isso?
MOLIÇÃO: É provável.
GLENN GREENWALD: Isso é uma coin... é é... é uma coin... é uma coincidência que...no
tempo que estamos prontos para publicar que isso está acontecendo eram outras pessoas.
MOLIÇÃO: Sim, mas igual a gente falou, nosso perfil não é de é... fazer... chamar atenção.
GLENN GREENWALD: Eu sei, eu sei , eu sei disso. Então, tem duas opções obviamente
são: um, tem “outro pessoas” tentando hackear ou hackeando eles, ou o outro é que elas tão
mentindo. Mas eu não posso entender o motivo para mentir.
MOLIÇÃO: Uhum.
GLENN GREENWALD: Porque, por exemplo, se eles soubessem que... alguém está
preparando de publicar ou que, ou pior ainda, que nós “estamos pronto” para publicar, “eles
ia” pra Tribunal, pegam um ordem do Judiciário proibindo qualquer publicação ou
reportagens com esse material, mas ainda ninguém fez isso. Então, isso está me deixando a
impressão que eles não sabem quem tem “essa material”.
MOLIÇÃO: Não, saber eles sabem.
GLENN GREENWALD: Porque... oi?
MOLIÇÃO: O Deltan, ele sabe que pegaram. Tanto que ele...
GLENN GREENWALD: Ele sabe que alguém pegou, mas ele não sabe quem tem.
156
MOLIÇÃO: Sim, isso é certo, eles não sabem quem pegou.

GLENN GREENWALD: Então, então, para mim que não estou entendendo é o motivo, o
motivo desse jogo. Para fingir com essa é... ou por que por que eles tão plantando “essas
artigos” sobre como Moro e “Dalton” e MBL está sendo hackeado? Eu não entendo o motivo.
Entendeu?
MOLIÇÃO: Sim.
GLENN GREENWALD: Mas é uma coincidência grande. Eu... isso é, tem “um chance” muito
grande que tem uma conexão com tudo, tudo disso, mas... nós estamos trabalhando muito o
mais rápido possível para publicar, ah... três artigos no mesmo tempo que vai ser muito
explosivo, e... isso vai acontecer muito logo.
MOLIÇÃO: Sim. A gente também queria saber a sua opinião a respeito de algo. Como,
assim que você publicar os artigos, todo mundo vai excluir as conversas, todo mudo
vai excluir o Telegram, a gente queria saber se você, o que você recomenda fazer. A
gente tem alguns nomes separados, a gente pegar esse final de semana já puxar a
conversa de todo mundo ou deixar quieto por um tempo. Porque as... tem tem pessoas
que tem um número antigo, ou seja, nem tem mais o número, que dá pra puxar as
conversas que tem.
Em resposta sobre baixar ou não o conteúdo de contas do Telegram de

outras pessoas antes da publicação das matérias pelo The Intercept, o jornalista Glenn
Greenwald explica para LUIZ HENRIQUE MOLIÇÃO que, para não ser acusado de participação
na invasão de dispositivos alheios e interceptação ilegal de comunicações (hackear), ele teria
que provar que somente falou com a “fonte” das informações após a conclusão da ação
criminosa:
GLENN GREENWALD: Sim. Olha, nós vamos, por que que vai acontecer? É que com
certeza eles vão tentar acusar a gente que nós participamos na, na no hack. Eles vão
tentar acusar que “nós formam” parte dessa ah... tentativa de hackear. Eles vão com
certeza acusar. Então para mim, mantendo as conversas, são as provas que você só
falou com a gente depois você tinha tudo. Isso é muito importante para nós como
jornalistas para mostrar que nossa fonte só falou com a gente depois que ele já tinha
tudo.
MOLIÇÃO: Sim.
157
GLENN GREENWALD: Mas nós não vamos oferecer disso, nós não vamos baixar isso para
esse encontro, mas nós precisamos manter isso. Mas você está perguntando se você deve
fazer?
MOLIÇÃO: Não, é que a gente não quer chegar a prejudicá-lo de alguma forma. Mas a
gente pede a sua opinião.
GLENN GREENWALD: Sobre mais exatamente o quê?
MOLIÇÃO: Sobre puxar todas essas pessoas nesse final de semana, pra já manter as
conversas salvas que a gente tiver, ou... esperar. Porque há chances de assim que
você liberar a notícia, todo mundo, todos eles que tem as conversas antigas que
possam ter alguma coisa, eles vão apagar.
GLENN GREENWALD: Entendi. Então, nós temo... é... vou explicar, como jornalistas, e
obviamente eu preciso tomar cuidado como com tudo o que estou falando sobre “essa
assunto”, como jornalistas, nós temos uma obrigação ética para “co-dizer” (?) nossa fonte.
MOLIÇÃO: Sim.
GLENN GREENWALD: Isso é nossa obrigação. Então, nós não podemos fazer nada que
pode criar um risco que eles podem descobrir “o identidade” de nossa fonte. Então, para
gente, nós vamos... como eu disse não podemos apagar todas as conversas porque
precisamos manter, mas vamos ter uma cópia num lugar muito seguro... se precisarmos. Pra
vocês, nós já salvamos todos, nós já recebemos todos. Eu acho que não tem nenhum
propósito, nenhum motivo para vocês manter nada, entendeu?
MOLIÇÃO: Sim.
GLENN GREENWALD: Nenhum... Mas isso é sua, sua escolha, mas estou falando e, isso
não vai prejudicar nada que estamos fazendo, se você apaga.
MOLIÇÃO: Sim. Não, era mais, era mais uma opinião que a gente queria mesmo, pra
gente fazer mais pra... mais pra frente.
GLENN GREENWALD: Sim, sim. É difícil porque eu não posso te dar conselho, mas eu
eu eu eu tenho a obrigação para proteger meu fonte e essa obrigação é uma obrigação
pra mim que é muito séria, muito grave, e nós vamos fazer tudo para fazer isso,
entendeu?
MOLIÇÃO: Sim. É que conforme o... é... se a gente puxar essas conversas, corre o
risco de acabar saindo mais notícia. Então isso pode de alguma forma é... prejudicar,
então isso que é a nossa preocupação.
GLENN GREENWALD: Entendi, entendi. Ah... sim, sim. A nossa nossa, quando publicamos,
única coisa que nós vamos falar é que nossa parte disse que ele está dando esses
158
documentos porque ele descobriu “muito corrupção”, “muitos mentiras”, “muitos coisas” que
ele acreditou, o público tem direito para saber, que ele disse que ele não tem a... ele não
está apoiando uma ideologia, nem um partido, que qualquer corrupção, esses documentos
mostram que ele quer que “nós reportar”, reportarmos, e que nós vamos reportar. E é só
para fortalecer a democracia e limpar a corrupção né? É só isso que estamos falando. E
também nós vamos falar que nós recebemos todos os documentos muito antes
“dessas artigos” da outra semana sobre Moro, sobre outra coisa sobre hackeados.
MOLIÇÃO: Sim. Não, perfeito.
GLENN GREENWALD: Só isso.
MOLIÇÃO: Perfeito.
GLENN GREENWALD: É só isso que vamos falar.
MOLIÇÃO: Certinho, perfeito
GLENN GREENWALD: Tá bom?
MOLIÇÃO: Sim, era só isso que a gente tinha pra discutir.
GLENN GREENWALD: Oi?
MOLIÇÃO: Era só isso que a gente tinha pra discutir com você.
GLENN GREENWALD: Ah, tá bom, tá bom.
MOLIÇÃO: Certo? Obrigado.
GLENN GREENWALD: Tá bom, obrigado você. Qualquer, qualquer dúvidas me liga tá?
MOLIÇÃO: Sim.
GLENN GREENWALD: Tá bom, tchau, tchau.
MOLIÇÃO: Tchau.
Foi também encontrada durante as investigações outra evidência da adoção

por Glenn Greenwald de uma postura cuidadosa e distante em relação à execução das invasões,
bem como da escolha de eventuais alvos pelos criminosos. Conforme Informação nº
34/2019/DICINT/CGI/DIP/PF, após a análise do material apreendido em posse de WALTER
DELGATTI NETO, foram encontradas uma série de diálogos entre o investigado e Gregório
Duvivier, conhecido comediante e apresentador.
Aparentemente o primeiro contato entre WALTER DELGATTI NETO e

Gregório Duvivier ocorreu no dia 14/07/2019, quando o investigado, a partir de uma conta de
nome “Luigi” do aplicativo WhatsApp Business”, envia uma série de prints de mensagens que
159
foram obtidas após a invasão do aplicativo Telegram do ator. Importante ressaltar que no
computador Lenovo de WALTER NETO (item 2 da Equipe 01) foi encontrado um atalho
chamado “GREGORIO DUVIVIER.lnk”, referente ao aplicativo Telegram Desktop, tendo o
mesmo sido criado no dia 12/05/2019. Existe ainda um diretório com o mesmo nome, dentro de
uma pasta “EXPORTADOS”, que aparentemente contém os diálogos obtidos do apresentador no
aplicativo Telegram. Estes arquivos, por sua vez, possuem data de criação de 04/06/2019, por
volta de 16h20m (GMT-3).
As mensagens do usuário Luigi foram enviadas no dia 14/07/2019, por volta

de 11h13m (GMT-3). O apresentador responde por volta de 11h42m, onde o mesmo se diz “feliz
de conhecer o hacker”:
WALTER NETO pede para ligar e conversar por voz, porém o interlocutor diz
que o seu celular está “bichado”, que não daria para ouvir direito. Em seguida WALTER NETO
diz que não tem ideologia, que entregou o material para o Glenn (Greenwald) por “livre e
espontânea vontade” e que o apresentador “endossou a briga”. Gregórido Duvivier responde que
é muito grato e WALTER DELGATTI segue dizendo que vai “mudar o destino do país”, que o
“deltan ia apagar tudo”, se referindo ao procurador Deltan Dallagnol:
160
Em seguida WALTER NETO diz que possui 46 gigas de documentos, que ficou
um mês lendo os mesmos. O Duviver diz que quer conhecê-lo e que “o glenn me falou que você é
foda”. Diversas mensagens são trocadas e posteriormente apagadas, aparentemente de informações
de pessoas que tiveram as contas do aplicativo Telegram invadidas:
161
WALTER NETO menciona que “puxou” as conversas usando “uma shell de

Linux” e que demorou dois dias para baixar 46 gigas de “conversa e documentos”, e que “não foi só
ele não” (possível referência ao Deltan Dallagnol), que “foram todos, até a luiza que na na lista
tríplice, o corregedor Oswaldo, o robalinho”. WALTER NETO também menciona um “áudio do
Orlando” e pede para não postar, pois o “Glenn está esperando a hora certa”:
162
Duviver pergunta sobre a “família bolso” e WALTER NETO diz que não
encontrou nada:
163
A conversa prossegue com mais algumas mensagens apagadas e

WALTER afirmando que mora nos “Eua” (Estados Unidos da América) e que usa um provedor de
VPN chamado PIA – Private Internet Access, que serve para ocultar a origem das conexões. Walter
diz para dizer o nome de alguém para “pegar” o Telegram e Duviver encaminha um contato do
jornalista Bruno Torturra:
Cerca de 30 minutos depois, WALTER retorna o assunto com 2 imagens

para provar que havia invadido o Telegram de Bruno Torturra:
164
Ouvido pela Polícia Federal, Bruno Tortura afirmou que concordou que seu
número telefônico fosse passado por Gregórido para o hacker (WALTER DELGATTI NETO),
conforme depoimento de fls. 617/618, tendo recebido de fato uma notificação do Telegram no
seu celulr informando que sua conta havia sido acessada por um IP no Canadá.
Em seguida, Gregório Duvivier prgunta a WALTER NETO se ele já pegou

alguém da (Rede) Globo. WALTER diz que “tem bastante” e que “pega 50 por dia e acaba não
lendo”. Diz que pegou muita gente da Globo e que havia “pegado” o aplicativo do Bonner, porém
não havia mensagens porque era tudo apagado, sendo que “muita gente” tinha o costume de
apagar a mensagens. Continuando, Gregório ainda sugere nomes como Ali Kamel, Carlos
Henrique Shoroder e afirma que “isso poderia ser bem forte”, bem como fala que Witzel
(Governador do Rio de Janeiro) e Bretas (Juiz Federal) poderiam ser alvos:
165
Cabe destacar que foram feitas pesquisas no material apreendido e nos

sistemas telefônicos utilizados por WALTER NETO e não foram encontrados indícios de que Ali
Kamel, Carlos Henrique Shroeder ou o Governador Witzel teriam sido vítimas das ações
criminosas. Entretanto, foi confirmado que o juiz Marcelo Bretas e o jornalista William Bonner
foram alvos dos ataques, porém em em data anterior à sugestão dada por Gregório Duvivier.
Em declarações à Polícia Federal (fls. 612/614), Gregório Duvivier afirmou

que em nenhum momento solicitou ou sugeriu ao hacker que invadisse a conta de Telegram de
qualquer pessoa, tendo apenas perguntado por curiosidade, se ele tinha em seu material
conteúdo de contas do Telegram já baixados de uma série de pessoas conhecidas. Disse
166
também que sugeriu vários nomes de forma aleatória e que em nenhum momento recebeu
mensagens ou informações dos nomes citados pelo declarante ao hacker. Disse também que o
hacker em nenhum momento afirmou ter invadido a conta do Telegram das pessoas indicadas e
que, de fato, não tinhanenhum interesse em obter o conteúdo de mensagens de contas de
Telegram invadidas.
Gregório Duvivier apresentou à Polícia Federal o copia das um pen drive

contendo cópia de todas as mensagens trocadas entre ele o WALTER DELGATTI NETO
(hacker), em formato “chat.txt”, bem como os conteúdos compartilhados (fls. 616). Examinando o
material apresentado por Gregório Duvivier foi verificado que várias mensagens teriam sido
apagadas do celular de WALTER NETO, tendo em vista que não foram encontradas nos
relatórios de extração realizados pelo Instituto Nacional de Criminalísita da Polícia Federal.
Analisando as mensagens entregues por Gregório Duvivier, verifica-se que

ele teria recebido orientações do jornalista Glenn Greenwald para que não indicasse nomes para
os “hackers” invadirem:
[15/07/2019 13:13:22] G: bom dia hacker

[15/07/2019 13:13:28] G: :)
[15/07/2019 13:13:47] G: passei a manhã com glenn. vou trabalhar junto com ele na
publicação do material
[15/07/2019 13:13:56] G: me fez baixar o signal. to la
[15/07/2019 13:35:04] Luigi: Gahhhhh
[15/07/2019 13:35:09] Luigi: Aí simmmm
[15/07/2019 13:35:13] Luigi: Eu vou baixar signal aqui
[15/07/2019 13:35:41] Luigi: Chegando da faculdade eu vejo os Globo lá
[15/07/2019 13:36:11] Luigi: E encerra as sessões do seu telegram
[15/07/2019 13:36:21] G: Cara
[15/07/2019 13:36:23] G: quanto a isso relaxa
[15/07/2019 13:36:30] Luigi: Hahahaha
[15/07/2019 13:36:35] Luigi: E seu amigo jornalista?
[15/07/2019 13:36:37] Luigi: Curtiu?
167
[15/07/2019 13:36:41] G: nao tava pedindo pra investigar ninguem ta?

[15/07/2019 13:36:42] Luigi: A rapidez e eficácia
[15/07/2019 13:36:49] Luigi: Kkkkk
[15/07/2019 13:36:58] Luigi: Eu investigo porque eu quero
[15/07/2019 13:37:02] Luigi: E pro bem do Brasil
[15/07/2019 13:37:03] G: meu amigo curtiu. ele é o editor do greg news. vai apurar junto
comigo
[15/07/2019 13:37:19] G: claro mas glenn me explicou que nao posso nem falar nomes,
haha
[15/07/2019 13:37:22] Luigi: E como você viu, assuntos particulares eu faço de conta que
nem vi
[15/07/2019 13:37:24] G: tudo tem q partir de vc
[15/07/2019 13:37:27] Luigi: Sim kkkk
[15/07/2019 13:37:34] G: sim vc me provou sua ética
(segue).
Assim, pelas evidências obtidas até o momento, não é possível identificar a

participação moral e material do jornalista Glenn Greenwald nos crimes investigados. Do mesmo
modo, em relação ao crime de receptação, a jurisprudência do Superior Tribunal de Justiça é no
sentido de que, para a configuração do tipo penal, o objeto material do crime deve possuir valor
econômico intrínseco, o que não é verificado no presente caso.
11 - DA CONTINUIDADE DAS INVESTIGAÇÕES
O presente Relório teve por objetivo descrever a metodologia utilizada pelos

criminosos para invadir dispositivos informáticos, com a identificação dos envolvidos e a
individualização das condutas de cada um dos investigados, visando assim, atender
determinação judicial e subsidiar eventual denúncia a ser apresentada contra os investigados,
que se encontram sob restrição de liberdade há algum tempo.
Entretanto, a Polícia Federal não considera estarem encerradas as

investigações sobre as motivações que levaram WALTER DELGATTI NETO, THIAGO ELIEZER
168
MARTINS SANTOS e LUIZ HENRIQUE MOLIÇÃO a interceptar e divulgar as mensagens

obtidas dos Procuradores da República que atuam na Força Tarefa da Operação Lava Jato no
Estado do Paraná.
Ao ser preso pela Polícia Federal, WALTER DELGATTI NETO afirmou que
em março de 2019 teria descoberto sem querer o mecanismo utilizado para acessar a caixa de
correio de voz de outras pessoas, após ter realizado uma ligação para o seu próprio telefone de
número (16) 99994-6662 (fls. 149). WALTER NETO alegou que sempre utilizou serviços de VoIP
(voz sobre IP) por ser um serviço mais barato, tendo contratado a empresa BRVOZ após realizar
uma pesquisa na internet. Disse que, naquele dia, após ligar para o seu médico, realizou uma
chamada para seu mesmo número, tendo em vista que teria deixado no sitema BRVOZ como
telefone de origem o seu próprio número (16) 99994-6662.
WALTER NETO relatou que então precebeu que teria acessado o seu correio
de voz, escutando todas as mensagens que estavam ali gravadas. Por sua vez, como sempre
validava o acesso do seu Telegram por mensagem de voz, logo entendeu que poderia conseguir
os códigos do aplicativo de outras pessoas por meio do acesso às mensagens armazenadas em
caixas de correio de voz.
Após testar esse meio de obtenção de código de acesso em sua própria

conta do Telegram, lingado para seu celular e ouvindo a gravação enviada pelo aplicativo,
resolveu tentar conseguir o código do Telegram da conta vinculada ao número do telefone do
Promotor de Justiça Marcel Zanin Bombardi, do Ministério Público de Araraquara/SP. WALTER
DELGATTI NETO afirmou que escolheu o Promotor Marcel Zanin Bombardi como alvo por ele
ter sido o responsável pelo oferecimento de uma denúncia contra o investigado pelo crime de
tráfico de drogas relacionado a medicamentos que, na verdade, eram prescritos por médicos e
eram consumidos desde a sua infância.
Assim, após ter conseguido invadir o Telegram do Promotor Marcel Zanin

Bombardi, obteve o acesso às mensagens e arquivos armazenados na conta, bem como à
169
agenda de contatos vinculada ao aplicativo. Por sua vez, através da agenda de contatos do
Promotor Marcel Zanin, WALTER NETO teria tido acesso ao número de um Procurador da
República, cujo nome não se recordou, que participava do grupo de Telegam denominado
“VALORIZA MPF”, criado pelo procurador da República José Robalinho. Por sua vez,
prosseguindo em uma sequência de ataques, através da agenda da conta do Telegram de um
dos Procuradores da República que participava do grupo "VALORIZA MPF", conseguiu acesso
ao número telefônico do Deputado Federal Kim Kataguiri e, posteriormente, ao do Ministro do
Supremo Tribunal Federal Alexandre de Moraes.
Após conseguir o código de acesso da conta do Telegram do Ministro

Alexandre de Moraes, WALTER DELGATTI NETO analisou sua agenda de contatos e obteve o
número telefônico do ex-Procurador-Geral da República Rodrigo Janot. Desse modo, por meio
da agenda de contatos do Telegram de Rodrigo Janot, conseguiu finalmente descobrir os
telefones de membros da Força Tarefa da Lava Jato no Paraná, dentre os quais os Procuradores
da República Deltan Dallagnol, Orlando Martello Júnior e Januário Paludo. WALTER NETO
afirmou que todos os acessos às contas do Telegram daquelas autoridades públicas teriam
ocorrido entre março e maio de 2019.
Por sua vez, através da agenda do Telegram do Procurador Deltan Dallagnol,

WALTER DELGATTI NETO afirmou que tomou conhecimento do número do telefone utilizado
pelo Ministro Sérgio Moro, tendo criado uma conta no aplicativo vinculada ao seu número. Do
mesmo modo, por meio da agenda do Procurador Deltan Dallagnol, teve acesso aos números
telefônicos de magistrados federais do Estado do Rio de Janeiro, tais como o Desembargador
Federal Abel Gomes e o Juiz Federal Flávio Lucas, não se recordando como descobriu os
telefones dos Delegados de Polícia Federal Rafael Fernandes (SR/PF/SP) e Flávio Vieitez Reis
(DPF/CAS/SP).
Entretanto, verificou-se mais uma vez que as declarações prestadas por

WALTER DELGATTI NETO não correspondem à verdade. Foi solicitado ao Instituto Nacional de
Criminalística que elaborasse laudo pericial com o objetivo estabelecer uma linha de tempo das
170
invasões (ou tentativas de invasões) a contas do aplicaitivo Telegram 12, mostrando-as em ordem
cronológica. Do mesmo modo, considerando as listas das vítimas que tiveram seus dados do
aplicativo Telegram descarregados (baixados), bem como outras listas de contatos encontrados
no material reunido durante as investigações, solicitou-se também que fosse realizada a possível
correlação entre as vítimas dos ataques, apontando de qual lista de contato teria originado o
número telefônico de cada uma das vítimas das invasões.
Para a realização dos exames visando estabelecer a linha de tempo das

invasões, obtendo-se a possível origem dos números invadidos, foi tilizada a planilha contendo
relação de ligações cujo número de origem chamador era igual ao número chamado (A=B),
gerada a partir dos registros constantas em bancos de dados da empresa BRVOZ (Laudo nº
1195/2019-INC/DITEC/PF), bem como o histórico de ligações do programa Zoiper, encontrados
nos computadores dos investigados GUSTAVO HENRIQUE ELIAS SANTOS e WALTER
DELGATTI NETO (Laudos nº 1458 e 1459/2109/INC/DITEC/PF).
Do mesmo modo, subsidiram os exames as diversas listas de contatos de

contas invadidas do aplicativo Telegram que foram exportadas para os computadores de
WALTER DELGATTI NETO (Laudo nº 1458/2019/INC/DITEC/PF), bem como os números
armazenados nas agendas de contato dos celulares apreendidos com os investigados. Deve ser
ressaltado, entretanto, que os dados disponíveis não estariam completos, tendo em vista que
somente foi possível obter os contados das contas do Telegram que haviam sido exportadas,
sendo que as contas do Telegram que estavam ativadas no computador Lenovo de WALTER
NETO ou seu celutar iPhone XS Max não tiveram as agendas baixadas pelo investigado e,
assim, não foram analisadas.
Conforme o Laudo nº 580/2019/UTEC/DPF/UDI/MG (fls. 768/774), foi

possível constatar que a primeira ligação tendo como origem e destino o mesmo número (A=B)
12
Deve ser ressaltado que o método de ataque pode ter sido utilizado também em outros aplicativos de
comunicação ou mesmo em contas de e-mail que enviam códigos de acesso por meio de mensagem de
voz.
171
foi realizada para o telefone nº (11) 99916-0775, que segundo as agendas dos celulares
apreendidos pertencia a GUSTAVO HENRIQUE ELIAS SANTOS (“Guto”, na agenda). Referida
ligação foi realizada no dia 15/06/2018, às 18h27, através da conta BRVOZ ID 16737
(16737@brvoz.net.br). Ou seja, não é verdadeira a alegação de WALTER DELGATTI NETO de
que teria descoberto o mecanismo utilizado para acessar a caixa de correio de voz de outras
pessoas, após ter realizado uma ligação sem querer para o seu próprio telefone de número (16)
99994-6662 (fls. 149)
Por sua vez, de acordo com a Informação nº 57/2019/DICINT/CGI/DIP/PF, a

linha de tempo estabelecida pelo Laudo nº 580/2019/UTEC/DPF/UDI/MG permite afirmar que a
primeira autoridade pública que sofreu a invasão de seu aplicativo “Telegram”, dentre aquelas
cujo número de telefone foi identificado durante as investigações, teria sido o Deputado Federal
Eduardo Bolsonaro (telefone nº 61-9988xxxxx), conforme chamada registrada às 03h36 do dia
02/03/2019 (ligação A=B).
Através dos dados extraídos do MacBook de WALTER DELGATTI NETO

(Item 1 da Equipe 01), foi possível verificar que a partir das 03h23 do dia 02/03/2019 vários
dados foram salvos no arquivo “Web Data” localizado em Users/walterneto/Library/Application
Support/Google/Profile6/WebData, sendo que esse arquivo armazena o histórico de
preenchimento de formulários (form autofill) de sítios da internet. Pelo arquivo, verifica-se que às
03h23 do dia 02/03/2019, o CPF 10655365770 é preenchido em um formulário que contém um
campo denominado “cpf1”:
172
Após alguns minutos outros dados são preenchidos em formulários da

internet:
 bolsonaroxxxxx@gmail.com
 gab.eduardobolsonaro@gmail.com
 619988xxxxx
 carlosxxxxx@hotmail.com
 219952xxxxx
 bolsonaroeduardofilho04
Do mesmo modo, foi verificado que o site www.checkbusca.com era

comumente utilizado pelos investigados, servindo para realizar consultas de veículos, de crédito
e cobrança. Esse sítio possui entre os seus módulos de busca um módulo denominado Max
Gold Score em que a partir de um número de CPF são retornados dados sobre o indivíduo
pesquisado. O campo de pesquisa por CPF desse módulo é denominado “cpf1” da mesma forma
que o armazenado no arquivo “Web Data” às 03h23 do dia 02/03/2019, como pode ser visualizdo
na figura abaixo:
173
Logo após a busca pelo CPF de Eduardo Bolsonaro às 03h34 do dia

02/03/2019, o histórico de ligações existente no arquivo “HistoryV2.db”, localizado em
Users/walterneto/Library/ Zoiper5/HistoryV2.db, registra a primeira de um total de 8 (oito)
ligações para o número 619988xxxxx. Esse arquivo contém os logs de ligações do aplicativo de
VoIP Zoiper. As ligações efetuadas no mesmo dia 02/03/2019, após a consulta ao CPF de
Eduardo Bolsonaro, podem ser visualizadas resumidamente na figura abaixo:
174
Assim, com base nos dados obtidos pelos Laudos analisados, pode-se
concluir que os dados e telefones pessoais de Eduardo Bolsonaro foram obtidos em consulta ao
ao site da internet denominado CheckBusca. A partir desse telefone e sua agenda vinculada ao
aplicativo Telegram, seria factível obter os números de telefones de outras autoridades e,
consequentemente, realizar invasões sucessivamente ou mesmo obter novos dados a partir de
outras pesquisas no site CheckBusca.
Desta forma, não é verdade a versão de WALTER DELGATTI NETO de

que teria escolhido o Promotor Marcel Zanin Bombardi como alvo por ele ter sido o responsável
pelo oferecimento de uma denúncia injunsta contra ele. Segundo a análise da linha de tempo
das invasões, o telefone do Promotor Marcel Zanin Bombardi foi atacado em uma ligação
ocorrida às 00h23m do dia 01/06/2019, data posterior aos às invasões sofridas pelos
Procuradores que atuam na Operação Lava Jato no Estado do Paraná. Como exemplo, verifica-
se que o Procurador Deltan Dagnol teve a conta de seu Telegram invadadida e monitorada a
patir do dia 26/04/2019.
175
Por sua vez, de acordo com os elementos de prova reunidos, verifica-se que
os investigados tinham a intenção explícita de interferir nas investigações de organizações
criminosos que estão sendo conduzidas pela Força-Tarefa da Operação Lava Jato, tendo por
objetivo final a obtenção de ganhos financeiros. Conforme RAMA nº 43/2019
DICINT/CGI/DIP/PF, foram encontradas conversas em que WALTER NETO encaminha a
THIAGO ELIEZER links de reportagens que falam sobre os vazamentos da Operação Lava Jato
e sobre os recursos recuperados pela Operação Lava Jato:
WALTER NETO continua sua conversa com THIAGO ELIEZER e afirma que
se o áudio “o Glenn nem iria falar com nós”, dando a entender que THIAGO teria se comunicado
com o jornalista Glenn Greenwald. THIAGO em seguida diz gostaria que trocassem “ele”
(Deltan) por LULA, porque “aí o Brasil será um país melhor”, tendo WALTER afirmado desejar
ver o LULA solto e “me beneficiando”.
Ressalte-se, entretanto, pelo perfil de demonstrado por WALTER DELGATTI

NETO e THIAGO ELIEZER MARTINS SANTOS, tais afirmações podem não passar de meras
176
bravatas ou simples desejos irrealizáveis. Entretanto, será aberto na Polícia Federal Inquérito
Policial específico para apurar o possível cormetimento do crime previsto no artigo 2º, § 1º da Lei
nº 12.850/2013 (impedir ou, de qualquer forma, embaraçar investigação de infração penal que
envolva organização criminosa).
Por sua vez, foram reunidas até o momento informações de

aproximadamente 1.500 contas bancárias e cartões de crédito que podem ter sido objeto de
fraudes cibernéticas pela organização criminosa, motivo pelo qual também será aberto
investigação própria para a investigação de tais crimes, bem como a ocultação e dissimulação
da origem e destino dos recuros obtidos.
Expeça-se FOLHAS DE ANTECEDENTES atualizadas em relação aos

indiciados.
Ante o exposto, encaminho a Vossa Excelência o presente relatório juntamente
com as Informações de exploração de evidências e os Relatórios de Análise de Material
Apreendido (RAMA) citados.
Brasília/DF, 18 de dezembro de 2019.
LUÍS FLÁVIO ZAMPRONHA

Delegado de Polícia Federal
177

Relatório Final

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Relatório Final

Caricato da

Copyright:

Formati disponibili

MJSP - POLÍCIA FEDERAL

DIRETORIA DE INTELIGÊNCIA POLICIAL

À SUA EXCELÊNCIA O SR. JUIZ FEDERAL DA 10ª VARA DA SEÇÃO JUDICIÁRIA DO

Referência: Inquérito Policial nº 02/2019-7/DICINT/CGI/DIP/PF

O presente Inquérito Policial foi inicialmente instaurado com o objetivo de

Conforme o ofício de requisição nº 1159/2019/GM (fls. 03/04), no dia 04 de

No Laudo Pericial nº 1195/2019-INC/DITEC/PF (Apenso II), os Peritos

ao código de verificação do aplicativo Telegram e a protocolos da operadora TIM confirmando a

Às fls. 21/36 foram juntadas as informações enviadas à Polícia Federal com o

Posteriormente, foram ainda noticiados à Polícia Federal os seguintes

Entretanto, verificou-se que o objeto do presente Inquérito Policial seria muito

A amplitude das ações criminosas praticadas dificulta até mesmo a

Entretanto, o Laudo nº 1195/2019-INC/DITEC/PF (Apenso II dos autos) listou

14 219920 xxxxx Paulo Gomes Ferreira Filho 34221 10

38 859880 xxxxx Gomes Sen Cid 34221 6

61 219880 xxxxx Flávio Lucas 34221 3

Entretanto, a listagem incluída no Laudo nº 1195/2019 não é exaustiva, mas

Federal a partir da agenda de contatos armazenada no aparelho celular do Ministro Sérgio

Assim, dentre as vítimas dos ataques se encontram autoridades públicas dos

Do mesmo modo, percebe-se que a metodologia utilizada para efetuar a

2 – O MECANISMO UTILIZADO NOS ATAQUES A CONTAS DO APLICATIVO TELEGRAM

Foi realizada a perícia no aparelho celular nº (041) 99944-4140/TIM, utilizado

acesso malicioso do dispositivo. Na realização da perícia foram extraídos os registros de

Imagem da Tabela 2 do Laudo nº 1195/2019-INC/DITEC/PF.

Conforme Laudo nº 1195/2019-INC/DITEC/PF (Apenso II), após a análise

i) Antes de receber qualquer ligação, o telefone em questão recebeu duas

ii) A primeira das chamadas cujo núrmo de orgiem é o mesmo do de

iii) O telefone não registrou o recebimento da chamada cuja origem é o

iv) As três chamadas com número de origem igual ao número de destino,

Peritos Criminais Federais também elaboraram Informação detalhando as

Pela imagem acima, foi possível observar que as seções atípicas

Em sistemas de telefonia, a “Caixa de Mensagens” é um recurso utilizado

Para o destinatário ouvir as mensagens gravadas em sua caixa de

Uma outra forma comumente implementada pelas operadoras de telefonia

Os Peritos da Polícia Federal então verificaram que era possível que o

Assim, utilizando o método de forjar o número de origem da chamada (seja

Assim, segundo os Peritos da Polícia Federal, um atacante poderia instalar o

Em seguida, o atacante ainda poderia utilizar o recurso de acesso indevido à

O aplicativo Telegram armazena todas as mensagens dos usuários em seus

De acordo com a documentação do Telegram, apenas mensagens

Os Peritos Criminais da Polícia Federal, ao elaborarem o Laudo nº

Para os testes referentes à operadora TIM, que era a telefônica utilizada na

Ressalte-se, por fim, que após a deflagração da Operação Spoofing a

Do mesmo modo, a Anatel também teria orientado que as empresas de

Também fariam parte das medidas de bloqueio, ainda, os aplicativos e

Ainda em resposta à Operação Spoofing, a empresa que controla o Telegram

3 – A LINHA INVESTIGATIVA ADOTADA

Desta forma, realizou-se diligências na operadora de telefonia DATORA

 Nome/Razão Social: DANILO BORGES DE BRITO – MEGAVOIP

Do mesmo modo, foi informado que os CDRs disponibilizados pela operadora

megavoip_sip 5541999444140 5541999444140 BRAZIL 2_BR-41_Outras-Cell 6/4/2019 17:46 0:01:00 0.125

megavoip_sip 5541999444140 5541999444140 BRAZIL 2_BR-41_Outras-Cell 6/4/2019 17:46 0:00:30 0.0625

megavoip_sip 5541999444140 5541999444140 BRAZIL 2_BR-41_Outras-Cell 6/4/2019 17:45 0:00:30 0.0625

megavoip_sip 5541999444140 5541999444140 BRAZIL 2_BR-41_Outras-Cell 6/4/2019 17:45 0:00:30 0.0625

A operadora DATORA informou ainda que a rota de interconexão com o

Por sua vez, foi verificado que a empresa MEGAVOIP, de propriedade de

A figura abaixo, extraída do Laudo nº 1195/2019-INC/DITEC/PF (Apenso II)

Através da análise de fontes abertas, foi constatado que a empresa BRVOZ

Assim, com base em tais informações, a Polícia Federal obteve ordem

Visando identificar o modo de agir dos responsáveis pelos ataques às contas

4 – O FUNCIONAMENTO DO SISTEMA DA BRVOZ (MEGAVOIP)

A BRVOZ era uma microempresa que prestava serviços de telefonia de voz

Para utilizar os serviços da BRVOZ cada cliente deve realizar o pagamento