Pedro Ladeira/Folhapress
Acesso Indevido ao Sistema Siafi do Governo Federal
Em abril de 2024, o sistema de administração financeira do governo federal, conhecido como Siafi, foi alvo de uma invasão. Os autores do ataque conseguiram emitir ordens bancárias e desviar recursos da União. A Polícia Federal está investigando o caso com o apoio da Abin (Agência Brasileira de Inteligência).
As investigações indicam que os invasores acessaram o Siafi utilizando o CPF e a senha do gov.br dos gestores e ordenadores de despesas. Uma das hipóteses é que os dados foram coletados sem autorização por meio de um sistema de pesca de senhas, possivelmente usando links maliciosos. Essa coleta pode ter se estendido por meses até que os suspeitos reunissem um volume considerável de senhas para o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma permite desabilitar e recriar o acesso a partir do CPF do usuário, o que facilitou o uso indevido do sistema.
Uma das tentativas de invasão ocorreu no início de abril, utilizando acessos pertencentes a gestores da Câmara dos Deputados. A fraude foi detectada porque o CPF do gestor usado para emitir uma ordem bancária via Pix (OB Pix) era o mesmo de quem fez a liquidação da despesa. Nas regras de administração financeira federal, a liquidação e o pagamento devem ser autorizados por gestores distintos.
Apesar da possibilidade, a Câmara não adota como procedimento a execução de pagamentos via Pix. Além disso, a OB Pix já estava desabilitada, o que dificultou a ação dos invasores.
Após esses episódios, o Tesouro Nacional comunicou aos gestores e ordenadores de despesa que o acesso ao Siafi seria feito apenas por meio do certificado digital. No entanto, novas tentativas de invasão foram detectadas com a utilização de certificados digitais emitidos por empresas privadas. O gestor do Siafi agora exige acesso com certificado digital emitido pelo Serpro, uma empresa pública federal de tecnologia.
Vale ressaltar que o Siafi já havia sido alvo de uma tentativa de invasão em 2021, mas naquela ocasião, medidas de contenção foram aplicadas pela Polícia Federal e não houve danos ao sistema. A invasão anterior foi do tipo “ransomware”, em que dados da instituição atacada são coletados e pode haver bloqueio do sistema, seguido por uma cobrança de resgate, muitas vezes em moedas digitais.
