Siafi: o que se sabe (e o que falta descobrir) sobre a invasão ao sistema de pagamentos do governo

Os responsáveis pela invasão ao Sistema Integrado de Administração Financeira, o Siafi responsável pelos pagamentos do governo federal, teriam tentado desviar recursos de ao menos três órgãos: Câmara dos Deputados, Ministério da Gestão e Inovação e Tribunal Superior Eleitoral.

A Polícia Federal e a Controladoria-Geral da União instauraram inquérito para apurar o caso, que tramita sob sigilo. Agentes da Abin também atuam nas investigações, com objetivo de rastrear os suspeitos.

Estima-se que cerca de 14 milhões de reais, que deveria ir para o Serviço Federal de Processamento de Dados (Serpro), empresa de tecnologia do governo federal, acabou indo parar em contas abertas em nome de empresas e pessoas físicas aleatórias.

Cerca de 3,8 milhões de reais do Ministério da Gestão, responsável pelo sistema Gov.br (que dá acesso ao Siafi) acabaram subtraídos – desse total, 2 milhões foram recuperados até agora. O restante, suspeita a PF, foi sacado ou transferido para outras contas.

O montante recuperado havia sido enviado para a conta de um estabelecimento comercial em Campinas (SP), originalmente reservados a um contrato do governo para manutenção de software. A empresa “Adonai Comércio”, registrada em nome de Eliezer Toledo Bispo, tem como atividade principal cadastrada na Receita Federal o “comércio varejista de móveis”.

Ao jornal Folha de S. Paulo, Bispo negou ter recebido o dinheiro e disse ter sido alvo de um roubo de dados. O empresário também registrou um boletim de ocorrência na Polícia Civil.

A operação foi feita por meio de uma chave aleatória do Pix às 21h42 do dia 28 de março, uma quinta-feira véspera de feriado (Sexta-Feira Santa). A irregularidade só foi percebida pelo ministério na segunda-feira, 1º de abril.

Na última sexta-feira, a pasta chefiada por Esther Dweck voltou a detectar uma tentativa de fraude de 9 milhões de reais no sistema. A transferência, revelou o jornal O Globo, não foi concluída porque a operação foi bloqueada após um alerta interno.

Os criminosos fizeram novas tentativas de invasão no TSE e na Câmara entre os dias 3 e 5 de abril. No dia 16, um novo ataque ao Siafi desviou 10,2 milhões de reais da Corte Eleitoral – o dinheiro deveria ter ido ao Sepro, mas foi parar em 14 contas diferentes, a incluir uma empresa que vende água mineral no interior da Bahia.

Na Câmara, a invasão foi logo detectada pelo sistema. A fraude foi identificada porque o CPF do gestor utilizado para tentar emitir uma ordem bancária por meio do Pix era o mesmo da pessoa responsável pela liquidação da despesa.

O sistema de pagamento da União tem duas figuras-chave: o ordenador de despesa, que autoriza o crédito, e o gestor financeiro, que efetua a operação. Ou seja, a conclusão de uma transferência precisa do aval de gestores diferentes.

As apurações preliminares indicam que a ação dos criminosos só foi possível porque houve um ataque hacker ao sistema de autenticação. Com isso, dados pessoais de gestores habilitados a fazer movimentações financeiras na plataforma foram utilizados de forma indevida.

Os donos das senhas dos servidores que foram utilizadas para acesso ao sistema foram identificados. Ainda não se sabe se esses gestores agiram com má-fé ou se foram vítimas de golpe. Uma das suspeitas é que os criminosos utilizaram a técnica chamada phishing, que consiste no uso de um e-mail falso pedindo para a pessoa mudar uma senha.

Nesta quarta-feira 24, a Câmara dos Deputados determinou o recadastramento de funcionários com acesso às senhas do Siafi. Um levantamento interno apontou que quatro mil pessoas, entre atuais e ex-funcionários da Casa, teriam autorização para entrar no sistema.

Para tentar coibir novos desvios, o governo federal endureceu as exigências de segurança e acesso ao sistema de pagamentos. Uma das medidas adotadas pelo Tesouro Nacional é a apresentação de certificado digital emitido pelo Serpro.

O Tribunal de Contas da União informou que fará uma fiscalização para verificar as providências adotadas pelo governo para solucionar o problema.