A Polícia Federal tomou conhecimento da invasão ao sistema de administração financeira do governo federal dois dias após o governo identificar o ataque, em 1º de abril. A corporação foi alertada do ataque ao Siafi no dia 3 de abril, quando o Tesouro Nacional alertou o órgão sobre o desvio de R$ 2 milhões do MGI (Ministério da Gestão e Inovação). No total, R$ 3,8 milhões foram subtraídos da pasta.
Em nota divulgada na segunda-feira (22), a PF informou inicialmente que foi acionada no dia 5 de abril, mas a Folha apurou que o primeiro contato foi antes. Procurada novamente, a corporação confirmou que "a comunicação formal do crime no dia 3 e, após os trâmites regulares, instaurou o inquérito no dia 5".
"Cumpre destacar que medidas iniciais e urgentes necessárias para minimizar os danos ao funcionamento do sistema foram tomadas imediatamente após o recebimento das informações iniciais", diz a PF.
Os criminosos aproveitaram a última hora de funcionamento do sistema no dia 28 de março, véspera de feriado (Sexta-feira Santa), para fazer as primeiras tentativas de pagamento irregular. O desvio só foi identificado pelo MGI na segunda-feira, 1º de abril.
Na terça (2) à tarde, o MGI avisou o Tesouro Nacional, órgão gestor do Siafi, sobre o ocorrido. Documento obtido pela Folha mostra que a pasta também acionou uma das instituições financeiras que mantinham a conta que recebeu os valores desviados.
O Tesouro Nacional acionou a PF na quarta (3). O órgão também pediu apoio do Banco Central para tentar bloquear os valores.
Dos R$ 3,8 milhões desviados do MGI nessas operações, R$ 2 milhões foram recuperados até agora. Como mostrou a reportagem, o pagamento foi feito para uma conta em nome de um estabelecimento comercial em Campinas (SP) e originalmente estava reservado a um contrato do governo para manutenção de software. O empresário nega ter recebido o dinheiro e diz que seus dados foram roubados.
Segundo interlocutores com conhecimento do caso, o governo acreditou, num primeiro momento, se tratar de um episódio pontual, restrito ao âmbito do MGI e decorrente do uso indevido de credenciais de servidores da pasta. Só neste ministério, os criminosos tentaram movimentar ao menos R$ 9 milhões.
Novas tentativas de desvios na Câmara dos Deputados e no TSE (Tribunal Superior Eleitoral) entre os dias 3 e 5, porém, dispararam um sinal de alerta no Tesouro de que se tratava de uma ação articulada contra o sistema de pagamentos da União.
O órgão acionou novamente a PF no dia 5. Desde então, a investigação ficou a cargo da Diretoria de Combate a Crimes Cibernéticos. As diligências são conduzidas em segredo de Justiça.
A invasão ao Siafi foi revelada pela Folha. O Tesouro implementou medidas adicionais de segurança para autenticar os usuários habilitados a operar o sistema e autorizar pagamentos.
Em nota divulgada na segunda, o órgão confirmou a "utilização indevida de credenciais obtidas de modo irregular" e disse que "as tentativas de realizar operações na plataforma foram identificadas". O Tesouro afirmou ainda que as ações "não causaram prejuízos à integridade do sistema".
Segundo interlocutores que auxiliam nas investigações, gestores habilitados para fazer movimentações financeiras dentro do Siafi tiveram seus acessos por meio do gov.br utilizados por terceiros sem autorização.
A suspeita é que os invasores coletaram os dados via sistema de pesca de senhas (com uso de links maliciosos, por exemplo). Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema.
Na prática, os criminosos conseguiram alterar a senha de outros servidores, ampliando a escala da ação.
Em poder dessas credenciais qualificadas, eles acessaram ordens bancárias e alteraram os dados do destinatário dos pagamentos.
Para tentar coibir novos desvios, o governo endureceu as exigências de segurança e acesso ao sistema de pagamentos. Primeiro, passou a exigir certificado digital. No entanto, o governo identificou que os criminosos falsificaram certificados digitais emitidos por empresas privadas para continuar efetuando os desvios.
Desde a última segunda-feira (22), o Tesouro exige que o certificado digital seja emitido pelo Serpro, empresa pública federal do setor de tecnologia. A medida tem gerado reclamações dos ministérios, que enfrentam maior burocracia para realizar seus pagamentos regulares.
Dadas as características da ação, interlocutores do governo afirmam que o ataque foi muito bem articulado, pois apenas alguns servidores têm nível de acesso elevado o suficiente para emitir ordens bancárias em nome da União. Isso indica uma atuação direcionada por parte dos invasores.
Além disso, técnicos observam que o Siafi é um sistema complexo, pouco intuitivo, e operá-lo requer conhecimento especializado sobre a plataforma.
O TCU (Tribunal de Contas da União) vai fazer uma fiscalização para verificar as providências adotadas pelo governo para solucionar o problema.
A corte de contas já vinha realizando uma auditoria no Tesouro Nacional com o objetivo de promover a melhoria na gestão de riscos de segurança da informação, por meio da avaliação dos controles administrativos e técnicos existentes na organização.
A auditoria, ainda em curso, está quase na metade dos trabalhos, mas a equipe apresentou no fim de março aos gestores do Tesouro Nacional um relatório parcial em que apontou evidências de vulnerabilidades.
Não há ainda qualquer indício de que essas vulnerabilidades identificadas e comunicadas ao Tesouro abriram caminho para a invasão ao Siafi. O TCU ainda vai decidir se a fiscalização sobre o episódio se dará no âmbito deste mesmo processo, ou se ensejará a abertura de uma nova auditoria.
ENTENDA O CASO
O que é o Siafi?
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.
É por meio dele que o governo realiza o empenho de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das dotações orçamentárias via emissão de ordens bancárias.
Quem usa o Siafi?
Gestores de órgãos administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mista que estiverem contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.
O que está sob investigação?
Invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos.
CRONOLOGIA DOS ATAQUES
28 de março
Criminosos efetuam um pagamento de R$ 2 milhões, via Pix, para uma comércio de Campinas (SP) usando recursos que originalmente eram de um contrato do Ministério da Gestão com o Serpro. A operação foi feita às 21h42, 48 minutos antes do fechamento do Siafi numa véspera de feriado (Sexta-feira Santa). Ao todo, R$ 3,8 milhões foram desviados da pasta.
1º de abril
O MGI detecta a realização de pagamento irregular e inicia as tratativas internas
2 de abril
O MGI notifica o Tesouro Nacional, órgão gestor do Siafi, sobre o uso indevido do sistema de pagamentos da União
3 de abril
Após avaliação interna, o Tesouro Nacional aciona a Polícia Federal para investigar o caso. O órgão também busca apoio do Banco Central para tentar bloquear e recuperar os valores
5 de abril
O Tesouro Nacional aciona a PF novamente após receber novos comunicados de tentativa de pagamento irregular no Siafi. O caso passa a ser investigado pela Diretoria de Combate a Crimes Cibernéticos
8 de abril
O Tesouro Nacional passa a exigir, além da autenticação de acesso via gov.br, o uso de certificado digital para autorizar emissão de ordens bancárias em nome da União
17 de abril
Órgão gestor do Siafi adota nova medida e passa a cobrar habilitação da verificação de acesso em duas etapas, na qual um código de segurança é enviado ao servidor para concluir o acesso ao sistema
22 de abril
O Tesouro Nacional confirma, em nota, o uso indevido de credenciais de servidores para fazer pagamentos irregulares no Siafi, após caso ser revelado pela Folha. O órgão também endurece as medidas de segurança e passa a cobrar o uso de certificado digital emitido pelo Serpro, empresa pública federal do ramo de tecnologia