A Polícia Federal (PF) realizou uma operação para prender suspeitos envolvidos no ataque ao sistema de pagamento da administração federal, o Siafi, que ocorreu entre março e abril.
Os agentes cumpriram três mandados de prisão relacionados ao desvio de pelo menos R$ 15 milhões em recursos públicos. Até as 8h30, dois dos suspeitos já haviam sido presos, enquanto as equipes ainda estavam à procura do terceiro envolvido.
A operação foi deflagrada quase cinco meses após a primeira transferência ilegal, que ocorreu em 28 de março, quando os criminosos desviaram R$ 3,8 milhões de contratos do Ministério da Gestão e Inovação em Serviços Públicos (MGI). A investigação pela PF teve início logo no começo de abril.
No dia 16 de abril, os criminosos desviaram mais R$ 11,39 milhões do Tribunal Superior Eleitoral (TSE), depositando o dinheiro em contas de pessoas e empresas sem qualquer vínculo com o governo federal.
Os hackers conseguiram credenciais de funcionários do governo através da plataforma gov.br e usaram essas senhas para autorizar pagamentos via Pix. Os valores, originalmente, deveriam ter sido destinados ao Serpro (Serviço Federal de Processamento de Dados) e à G4F, empresa prestadora de serviços de tecnologia da informação.
Com as credenciais em mãos, os criminosos conseguiram redirecionar os recursos para outros destinos. Em abril, a Polícia Federal conseguiu recuperar cerca de R$ 2 milhões, que haviam sido desviados do MGI para uma conta de uma loja em Campinas. O dono do estabelecimento afirmou ter sido vítima de fraude, não recebendo o valor e tendo seus dados utilizados pelos invasores.
No caso do TSE, os criminosos realizaram oito operações distintas em apenas um minuto, no dia 16 de abril, desviando R$ 6,7 milhões. Eles usaram credenciais furtadas do ordenador de despesas do órgão para autorizar a ordem bancária às 18h23 e, um minuto depois, usaram a senha do gestor financeiro para aprovar o pagamento.
Vale destacar que, após o ataque ao Siafi, o governo federal endureceu as regras de acesso aos sistemas da União e criou uma força-tarefa para a emissão de certificados digitais pelo Serpro, que agora são obrigatórios para servidores autorizarem novos pagamentos.
Essa medida de segurança foi exigida pelo Tesouro Nacional e está sendo implementada também em outros órgãos, como o INSS, que recentemente enfrentou a exposição indevida de dados de milhões de beneficiários.