Invasores do sistema de pagamentos da administração federal, o Siafi, desviaram R$ 6,7 milhões do TSE (Tribunal Superior Eleitoral) em oito operações diferentes realizadas em um minuto.

As transações, efetuadas em 16 de abril, usaram as credenciais de acesso furtadas de dois funcionários do órgão para autorizar os pagamentos via Pix.

Um dos servidores estava habilitado como ordenador das despesas. O segundo era um gestor financeiro do tribunal.

O aval de funcionários destas funções é necessário para concluir as transferências. Os horários em que as senhas foram usadas estão registrados nas ordens bancárias do Siafi.

Nessas oito operações, o procedimento foi idêntico. Os criminosos usavam o CPF do ordenador para assinar a ordem bancária às 18h23. No minuto seguinte, às 18h24, eles se valiam da senha do gestor financeiro para dar sinal verde ao pagamento.

esplanada-brasília
Foto: Rafa Neddermeyer/Agência Brasil

Ao todo, os registros mostram pelo menos 16 investidas bem-sucedidas num intervalo de uma hora e 12 minutos.

Os autores da ação conseguiram subtrair R$ 11,39 milhões do TSE por meio dessas operações, concentradas em intervalos de um minuto. Eles ainda tentaram desviar outros R$ 2,22 milhões em seis operações adicionais, que foram canceladas após rejeição do Banco Central.

A invasão ao Siafi foi revelada pela Folha. Dados extraídos do sistema mostram que os criminosos desviaram ao menos R$ 15,19 milhões, sendo R$ 3,8 milhões do MGI (Ministério da Gestão e da Inovação em Serviços Públicos), e os demais valores do TSE. Até agora, sabe-se que R$ 2 bilhões foram recuperados.

O Executivo não confirma oficialmente os montantes desviados, sob a justificativa de que o inquérito da Polícia Federal corre sob sigilo.

Na semana passada, a PF colheu o depoimento de servidores que tiveram suas credenciais roubadas pelos criminosos. O procedimento é considerado uma formalidade, dado que a principal hipótese é de que eles foram vítimas do esquema.

Os dados do Siafi mostram que as operações envolvendo recursos do TSE se concentraram em seis horários diferentes, entre 17h49 e 19h01, no dia 16 de abril.

Para os primeiros desvios do tribunal, que somaram R$ 2,5 milhões, os criminosos usaram no mesmo minuto as duas senhas roubadas, primeiro às 17h49, depois às 17h59.

Mais tarde foram autorizadas as transferências de R$ 6,7 milhões, entre 18h23 e 18h24.

Novas transações totalizando R$ 2,19 milhões foram feitas entre 18h39 e 18h40, entre 18h54 e 18h55 e, de forma derradeira, às 19h01. A sequência foi sempre a mesma: primeiro, a assinatura do ordenador, seguida do aval do gestor financeiro no minuto seguinte.

Os valores desviados estavam empenhados para o Serpro (Serviço Federal de Processamento de Dados), empresa pública federal do ramo de tecnologia, e para a G4F, companhia que presta serviços de tecnologia da informação.

Os invasores alteraram o destino final dos recursos para beneficiar contas de empresas e pessoas físicas que não têm contratos com o governo. Os donos de duas destas empresas disseram à Folha que foram vítimas do esquema e tiveram dados usados indevidamente pelos criminosos.

Os dados do Siafi ainda mostram desvios de verba do MGI para três empresas no dia 28 de março, véspera de feriado (Sexta-feira Santa). Técnicos do ministério notaram a invasão no dia 1º de abril.
Uma das operações, de R$ 1 milhão, foi feita às 21h22, com as duas assinaturas no mesmo minuto. Transação maior, de R$ 2 milhões, foi autorizada às 21h42. A ação derradeira se deu às 22h08, com a transferência de mais R$ 768 mil.

Ao todo, R$ 3,8 milhões foram desviados da pasta.

Após o ataque ao Siafi, o governo federal endureceu o acesso aos sistemas da União e montou uma força-tarefa para emitir certificados digitais pelo Serpro, necessários para servidores que precisam autorizar pagamentos.

A medida é exigência de segurança do Tesouro Nacional após a invasão que usou credenciais válidas de funcionários do governo na plataforma gov.br para desviar milhões em recursos federais.

O secretário do Tesouro Nacional, Rogério Ceron, reconheceu nesta segunda-feira (29) que o maior rigor nos procedimentos tem causado “transtorno operacional” em alguns órgãos, mas disse que ele é “plenamente justificável” diante do episódio.

Ceron não quis confirmar os valores desviados, sob o argumento de que a Polícia Federal solicitou sigilo sobre o tema.

A suspeita é que os invasores coletaram os dados sem autorização via sistema de pesca de senhas (com uso de links maliciosos, por exemplo).

Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.

Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema.

Entenda o caso

O que é o Siafi?

O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.

É por meio dele que o governo realiza o empenho de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das dotações orçamentárias via emissão de ordens bancárias.

Quem usa o Siafi?

Gestores de órgãos administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mista que estiverem contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.

O que está sob investigação?

Invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos.

Cronologia dos ataques

28 de março

Criminosos efetuam um pagamento de R$ 2 milhões, via Pix, para uma comércio de Campinas (SP) usando recursos que originalmente eram de um contrato do Ministério da Gestão com o Serpro. A operação foi feita às 21h42, 48 minutos antes do fechamento do Siafi numa véspera de feriado (Sexta-feira Santa). Ao todo, R$ 3,8 milhões foram desviados da pasta.

1º de abril

O MGI detecta a realização de pagamento irregular e inicia as tratativas internas

2 de abril

O MGI notifica o Tesouro Nacional, órgão gestor do Siafi, sobre o uso indevido do sistema de pagamentos da União

3 de abril

Após avaliação interna, o Tesouro Nacional aciona a Polícia Federal para investigar o caso. O órgão também busca apoio do Banco Central para tentar bloquear e recuperar os valores

5 de abril

O Tesouro Nacional aciona a PF novamente após receber novos comunicados de tentativa de pagamento irregular no Siafi, desta vez na Câmara dos Deputados. O caso passa a ser investigado pela Diretoria de Combate a Crimes Cibernéticos

8 de abril

O Tesouro Nacional passa a exigir, além da autenticação de acesso via gov.br, o uso de certificado digital para autorizar emissão de ordens bancárias em nome da União

16 de abril

O TSE é alvo de nova ação dos criminosos, que conseguem desviar R$ 11,4 milhões em pouco mais de uma hora

17 de abril

Órgão gestor do Siafi adota nova medida e passa a cobrar habilitação da verificação de acesso em duas etapas, na qual um código de segurança é enviado ao servidor para concluir o acesso ao sistema

22 de abril

O Tesouro Nacional confirma, em nota, o uso indevido de credenciais de servidores para fazer pagamentos irregulares no Siafi, após caso ser revelado pela Folha. O órgão também endurece as medidas de segurança e passa a cobrar o uso de certificado digital emitido pelo Serpro, empresa pública federal do ramo de tecnologia.