O ataque ao sistema de pagamento da administração federal, o Siafi, continua sem solução mais de dois meses após ter sido revelado. A Polícia Federal ainda não aponta os autores do desvio de ao menos R$ 15 milhões e o governo não informa o valor total recuperado.
Os invasores fizeram, em 28 de março, as primeiras transferências ilegais ao mudar o destino de R$ 3,8 milhões de contratos do MGI (Ministério da Gestão e da Inovação em Serviços Públicos).
No dia 16 de abril, foram desviados mais R$ 11,39 milhões do TSE (Tribunal Superior Eleitoral). Contas em nomes de pessoas e empresas que não têm negócios com o governo federal receberam estas verbas.
A invasão ao Siafi foi revelada pela Folha em 22 de abril. Procurada, a Polícia Federal não confirma se localizou os criminosos e qual o valor total recuperado. O órgão diz apenas que não se manifesta sobre investigações em andamento.
Já o TSE declara que a invasão ocorreu no Siafi "e não dentro dos sistemas próprios" da corte. O MGI não se manifestou.
Os invasores usaram credenciais de acesso furtadas de funcionários habilitados a usar o Siafi para autorizar os pagamentos via Pix. Os valores desviados estavam empenhados para o Serpro (Serviço Federal de Processamento de Dados), empresa pública federal do ramo de tecnologia, e para a G4F, companhia que presta serviços de tecnologia da informação.
Os invasores alteraram o destino dos recursos. Ao menos R$ 2 milhões foram recuperados, cifra que havia sido desviada do MGI para conta em nome de uma loja de Campinas.
O dono do estabelecimento diz que foi vítima de fraude, não recebeu o valor e teve dados usados pelos invasores. Técnicos da Gestão notaram o desvio no dia 1º de abril.
Documentos obtidos pela Folha mostram que a pasta pediu, no dia seguinte, o bloqueio de valores da conta que recebeu a cifra desviada. "Nesse sentido, informamos que os 'supostos ataques' ocorreram em notas fiscais devidamente atestadas e apropriadas para contrato firmado com o Serpro", diz mensagem da equipe da ministra Esther Dweck ao banco.
Em 5 de abril, a instituição que administrava a conta encaminhou ao ministério o comprovante da devolução do recurso.
Após o ataque ao Siafi, o governo federal endureceu o acesso aos sistemas da União e montou uma força-tarefa para emitir certificados digitais pelo Serpro, necessários para servidores que precisam autorizar pagamentos.
A medida é exigência de segurança do Tesouro Nacional após a invasão que usou credenciais válidas de funcionários do governo na plataforma gov.br para desviar milhões em recursos federais.
Os invasores chegaram a desviar R$ 6,7 milhões do TSE em oito operações diferentes feitas no intervalo de um minuto, em 16 de abril. Eles usaram credenciais furtadas do ordenador de despesas do órgão para assinar a ordem bancária às 18h23. No minuto seguinte, às 18h24, os criminosos se valiam da senha do gestor financeiro para dar sinal verde ao pagamento.
O secretário do Tesouro Nacional, Rogério Ceron, disse que o maior rigor nos procedimentos tem causado "transtorno operacional" em alguns órgãos, mas viu o cenário como "plenamente justificável" diante da gravidade do episódio. Em declaração dada no fim de abril, Ceron não quis confirmar os valores desviados, sob o argumento de que a PF pediu sigilo sobre o tema.
O Siafi é usado por diversos órgãos da administração federal para o empenho de despesas (a primeira fase do gasto) e pagamentos.
A suspeita é que os invasores conseguiram, sem autorização, os dados de funcionários habilitados por meio de um sistema de pesca de senhas (com uso de links maliciosos, por exemplo).
Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema.
ENTENDA O CASO
O que é o Siafi?
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.
É por meio dele que o governo realiza o empenho de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das dotações orçamentárias via emissão de ordens bancárias.
Quem usa o Siafi?
Gestores de órgãos administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mista que estiverem contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.
O que está sob investigação?
Invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos, mas ao menos R$ 15,2 milhões foram desviados. Até agora, sabe-se que R$ 2 milhões foram recuperados.
CRONOLOGIA DOS ATAQUES
8 de março
Criminosos efetuam um pagamento de R$ 2 milhões, via Pix, para uma comércio de Campinas (SP) usando recursos que originalmente eram de um contrato do Ministério da Gestão com o Serpro. A operação foi feita às 21h42, 48 minutos antes do fechamento do Siafi numa véspera de feriado (Sexta-feira Santa). Ao todo, R$ 3,8 milhões foram desviados da pasta
1º de abril
O MGI detecta a realização de pagamento irregular e inicia as tratativas internas
2 de abril
O MGI notifica o Tesouro Nacional, órgão gestor do Siafi, sobre o uso indevido do sistema de pagamentos da União, e pede bloqueio de valores ao banco que administrava uma das contas usadas no desvio
3 de abril
Após avaliação interna, o Tesouro Nacional aciona a Polícia Federal para investigar o caso. O órgão também busca apoio do Banco Central para tentar bloquear e recuperar os valores
5 de abril
O Tesouro Nacional aciona a PF novamente após receber novos comunicados de tentativa de pagamento irregular no Siafi, desta vez na Câmara dos Deputados. O caso passa a ser investigado pela Diretoria de Combate a Crimes Cibernéticos. Banco informa a devolução de R$ 2 milhões
8 de abril
O Tesouro Nacional passa a exigir, além da autenticação de acesso via gov.br, o uso de certificado digital para autorizar emissão de ordens bancárias em nome da União
16 de abril
O TSE é alvo de nova ação dos criminosos, que conseguem desviar R$ 11,4 milhões em pouco mais de uma hora
17 de abril
Órgão gestor do Siafi adota nova medida e passa a cobrar habilitação da verificação de acesso em duas etapas, na qual um código de segurança é enviado ao servidor para concluir o acesso ao sistema
22 de abril
O Tesouro Nacional confirma, em nota, o uso indevido de credenciais de servidores para fazer pagamentos irregulares no Siafi, após caso ser revelado pela Folha. O órgão também endurece as medidas de segurança e passa a cobrar o uso de certificado digital emitido pelo Serpro, empresa pública federal do ramo de tecnologia
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.