Governo endurece acesso aos sistemas da União de pagamentos após invasão
O governo federal endureceu o acesso aos sistemas da União e montou uma força-tarefa para emitir certificados digitais pelo Serpro, empresa pública federal do ramo de tecnologia, necessários para servidores que precisam autorizar pagamentos.
A medida é uma exigência de segurança do Tesouro Nacional após o sistema de pagamentos, o Siafi, ser alvo de ação criminosa que usou credenciais válidas de funcionários do governo na plataforma gov.br para desviar milhões em recursos federais.
O secretário do Tesouro Nacional, Rogério Ceron, reconheceu nesta segunda-feira (29) que o maior rigor nos procedimentos tem causado “transtorno operacional” em alguns órgãos, mas disse que ele é “plenamente justificável” diante do episódio.
Ceron não quis confirmar os valores desviados, sob o argumento de que a Polícia Federal solicitou sigilo sobre o tema.
“O Tesouro está tomando todos os cuidados devidos em relação a esse assunto. Até quando nós não podemos ser transparentes precisamos ser transparentes em informar essa situação”, disse o secretário, na primeira declaração pública sobre o tema. Até então, o órgão só havia se manifestado por meio de nota no dia 22 de abril, após a relevação do caso pela Folha.
“Por orientação da Polícia Federal, nós temos algumas restrições e eu não tenho de fato dado muitos detalhes sobre o ocorrido. O que eu posso dizer é que toda a equipe do Tesouro, do governo federal, todos os órgãos responsáveis estão atuando com diligência sobre o caso. Todas as ações foram tomadas sempre quando necessárias”, acrescentou.
Desde a última segunda-feira (22), o governo exige certificados digitais emitidos pelo Serpro para autorizar o acesso de servidores ao sistema de pagamentos e a emissão de ordens bancárias em nome da União.
A medida foi implementada após o Executivo detectar que os criminosos estavam falsificando certificados digitais de empresas privadas em nome dos servidores para dar continuidade aos desvios.
Na avaliação de Ceron, a medida, adotada “por uma questão de prudência”, tem se mostrado correta.
“Alguns órgãos, algumas unidades de execução não tinham certificados [do Serpro], [eles] precisaram tirar esses certificados. Claro que tem um processo, tem algum transtorno operacional, mas ele é plenamente justificável em função da necessidade de preservar e agir com prudência para evitar problemas em relação ao sistema”, disse.
“O Serpro montou uma força-tarefa para poder dar conta da demanda adicional por emissão de certificados. Isso está fluindo bem, o Tesouro tem apoiado até a priorização, casos que demandem mais urgência em relação a outros”, acrescentou Ceron.
A invasão ao Siafi foi revelada pela Folha. A Polícia Federal instaurou inquérito para apurar o caso e atua com apoio da Abin (Agência Brasileira de Inteligência).
O Siafi é um sistema que gerencia toda a execução financeira do governo federal, movimentando bilhões todos os dias.
No fim de março, os criminosos tentaram movimentar ao menos R$ 9 milhões do MGI (Ministério da Gestão e Inovação). Eles conseguiram desviar R$ 3,8 milhões do órgão, dos quais R$ 2 milhões foram recuperados.
Como mostrou a reportagem, um dos pagamentos foi feito para uma conta em nome de um estabelecimento comercial em Campinas (SP) e originalmente estava reservado a um contrato do governo para manutenção de software. O empresário nega ter recebido o dinheiro e diz que seus dados foram roubados.
Os invasores aproveitaram a última hora de funcionamento do sistema no dia 28 de março, véspera de feriado (Sexta-feira Santa), para fazer as primeiras tentativas de pagamento irregular. O desvio só foi identificado pelo MGI na segunda-feira, 1º de abril.
Na terça (2) à tarde, o MGI avisou o Tesouro Nacional, órgão gestor do Siafi, sobre o ocorrido. Documento obtido pela Folha mostra que a pasta também acionou uma das instituições financeiras que mantinham a conta que recebeu os valores desviados.
O Tesouro Nacional acionou a PF na quarta (3). O órgão também pediu apoio do Banco Central para tentar bloquear os valores.
No dia 5 de abril, a PF foi chamada novamente após o governo ser notificado sobre tentativa semelhante de desvio em valores da Câmara.
As autoridades ainda apuram um novo desvio de recursos identificado no TSE (Tribunal Superior Eleitoral) no dia 16 de abril.
A suspeita é que os invasores coletaram os dados de servidores autorizados a liberar pagamentos sem autorização via sistema de pesca de senhas (com uso de links maliciosos, por exemplo).
Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema.
Na prática, os invasores conseguiram alterar a senha de outros servidores, ampliando a escala da ação.
Dadas as características, interlocutores do governo afirmam a ação foi muito articulada, pois apenas alguns servidores têm nível de acesso elevado o suficiente para emitir ordens bancárias em nome da União.
Além disso, técnicos observam que o Siafi é um sistema complexo, pouco intuitivo, e operá-lo requer conhecimento especializado sobre a plataforma.
ENTENDA O CASO
O que é o Siafi?
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.
É por meio dele que o governo realiza o empenho de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das dotações orçamentárias via emissão de ordens bancárias.
Quem usa o Siafi?
Gestores de órgãos administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mista que estiverem contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.
O que está sob investigação?
Invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos.
POR IDIANA TOMAZELLI