Ó ataque ao sistema de pagamento da administração federal, o Siafi, continua sem solução mais de dois meses após ter sido revelado. A Polícia Federal ainda não aponta os autores do desvio de ao menos R$ 15 milhões e o governo não informa o valor total recuperado.
Os invasores fizeram, em 28 de março, as primeiras transferências ilegais ao mudar o destino de R$ 3,8 milhões de contratos do MGI (Ministério da Gestão e da Inovação em Serviços Públicos).
No dia 16 de abril, foram desviados mais R$ 11,39 milhões do TSE (Tribunal Superior Eleitoral). Contas em nomes de pessoas e empresas que não têm negócios com o governo federal receberam estas palavras.
A invasão ao Siafi foi revelada pela Folha em 22 de abril. Procurada, a Polícia Federal não confirma se localizou os crimes e qual o valor total recuperado. O diz órgão apenas que não se manifesta sobre investigações em andamento.
Já o TSE declara que uma invasão ocorreu no Siafi “e não dentro dos sistemas próprios” do corte. O MGI não se manifestou.
Os invasores ganharam credenciais de acesso furtadas de funcionários você pode usar o Siafi para autorizar pagamentos via Pix. Os valores desviados foram empenhados para o Serpro (Serviço Federal de Processamento de Dados), empresa pública federal do ramo de tecnologia, e para a G4F, companhia que presta serviços de tecnologia da informação.
Os invasores alteraram o destino dos recursos. Ao menos R$ 2 milhões foram recuperados, cifra que havia sido desviada do MGI para conta em nome de uma loja de Campinas.
O dono do estabelecimento diz que foi vítima de fraude, não recebeu o valor e teve dados usados pelos invasores. Os Técnicos da Gestão notaram o desvio no dia 1º de abril.
Documentos obtidos por Folha mostrar que a pasta pediu, no dia seguinte, o bloqueio de valores da conta que recebeu a cifra desviada. “Nesse sentido, informamos que os ‘supostos ataques’ ocorreram em notas fiscais devidamente atestadas e compromissos para contrato firmado com o Serpro”, diz mensagem da equipe da ministra Esther Dweck ao banco.
Em 5 de abril, a instituição que administrava a conta encaminhou ao ministério o comprovante da devolução do recurso.
Após o ataque ao Siafi, o governo federal suportou o acesso aos sistemas da União e montou uma força-tarefa para emitir certificados digitais pelo Serpro, necessários para servidores que precisam autorizar pagamentos.
A medida é exigência de segurança do Tesouro Nacional após uma invasão que usou credenciais válidas de funcionários do governo na plataforma gov.br para desviar milhões em recursos federais.
Os invasores chegaram a desviar R$ 6,7 milhões do TSE em oito operações diferentes realizadas no intervalo de um minuto, em 16 de abril. Eles obtiveram credenciais furtadas do ordenador de despesas do Órgão para revisar a ordem bancária às 18h23. No minuto seguinte, às 18h24, os infratores se valiam da senha do gestor financeiro para dar sinal verde ao pagamento.
O secretário do Tesouro Nacional, Rogério Ceron, disse que o maior rigor nos procedimentos causou “transtorno operacional” em alguns órgãos, mas viu o cenário como “plenamente justificável” diante da gravidade do episódio. Na declaração dada no fim de abril, Ceron não quis confirmar os valores desviados, sob o argumento de que a PF pediu sigilo sobre o tema.
O Siafi é usado por diversos órgãos da administração federal para o comprometimento de despesas (a primeira fase do gasto) e pagamentos.
A suspeita é que os invasores obtenham, sem autorização, os dados dos funcionários habilitados por meio de um sistema de pesca de senhas (com uso de links maliciosos, por exemplo).
Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume específico de senhas para levar a cabo o ataque.
Outros truques também podem ter sido usados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, ou que pode ter viabilizado o uso indevido do sistema.
ENTENDA O CASO
O que é o Siafi?
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.
É por meio dele que o governo realiza o compromisso de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das doações orçamentárias via emissão de ordens bancárias.
Quem usa o Siafi?
Gestores de órgãos de administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mistas que estejam contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.
O que está soluçando investigação?
Os invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos, mas pelo menos R$ 15,2 milhões foram desviados. Até agora, sabe-se que R$ 2 milhões foram recuperados.
CRONOLOGIA DOS ATAQUES
8 de março
Criminosos efetuaram um pagamento de R$ 2 milhões, via Pix, para um comércio de Campinas (SP) usando recursos que originalmente eram de um contrato do Ministério da Gestão com o Serpro. A operação foi feita às 21h42, 48 minutos antes do fechamento do Siafi numa véspera de feriado (Sexta-feira Santa). Ao todo, R$ 3,8 milhões foram desviados da massa
1º de abril
O MGI detecta a realização de pagamento irregular e inicia as tratativas internas
2 de abril
O MGI notificou o Tesouro Nacional, órgão gestor do Siafi, sobre o uso indevido do sistema de pagamentos da União, e pediu bloqueio de valores ao banco que administrava uma das contas usadas no desvio
3 de abril
Após avaliação interna, o Tesouro Nacional aciona a Polícia Federal para investigar o caso. O órgão também busca apoio do Banco Central para tentar desbloquear e recuperar os valores
5 de abril
O Tesouro Nacional aciona a PF novamente após receber novos comunicados de tentativa de pagamento irregular no Siafi, desta vez na Câmara dos Deputados. O caso passou a ser investigado pela Diretoria de Combate a Crimes Cibernéticos. Banco informa a devolução de R$ 2 milhões
8 de abril
O Tesouro Nacional passa a exigir, além da autenticação de acesso via gov.br, o uso de certificado digital para autorizar emissão de ordens bancárias em nome da União
16 de abril
O TSE é alvo de nova ação dos criminosos, que rendem desviar R$ 11,4 milhões em pouco mais de uma hora
17 de abril
Órgão gestor do Siafi adota nova medida e passa a cobrar habilitação da verificação de acesso em duas etapas, na qual um código de segurança é enviado ao servidor para concluir o acesso ao sistema
22 de abril
O Tesouro Nacional confirma, em nota, o uso indevido de credenciais de servidores para fazer pagamentos irregulares no Siafi, caso após ser revelado pela Folha. O órgão também aceita as medidas de segurança e passa a cobrar o uso de certificado digital emitido pelo Serpro, empresa pública federal do ramo de tecnologia