O sistema de administração financeira do governo federal, o Siafi, enfrentou no último mês de abril uma invasão, levantando suspeitas de desvio de recursos públicos. A Polícia Federal está conduzindo investigações em colaboração com a Agência Brasileira de Inteligência (Abin). As informações são da Folha de São Paulo.
Para reforçar a segurança, o Tesouro Nacional, que é responsável pelo Siafi, implementou medidas adicionais para autenticar os usuários autorizados a operar o sistema e realizar pagamentos. Segundo informações de pessoas envolvidas nas investigações, o sistema de autenticação foi comprometido, permitindo que terceiros não autorizados utilizassem os acessos de gestores habilitados para transações financeiras.
As apurações indicam que os invasores conseguiram acessar o Siafi usando informações como CPF e senha do gov.br, que são usadas pelos gestores e ordenadores de despesas para acessar a plataforma de pagamentos. Suspeita-se que os invasores obtiveram esses dados por meio de um sistema de pesca de senhas, possivelmente ao longo de meses, antes de executar o ataque.
Além disso, os invasores exploraram um mecanismo no Siafi que permite desabilitar e recriar o acesso usando o CPF do usuário. As investigações preliminares indicam que uma das tentativas de invasão ocorreu no início de abril, usando acessos não autorizados de gestores da Câmara dos Deputados. A fraude foi identificada devido ao uso do mesmo CPF para tentar emitir uma ordem bancária pelo Pix e para liquidar a despesa, contrariando as regras de administração financeira federal. Outros órgãos do Executivo também podem ter sido afetados pelo uso indevido do Siafi, e o governo está investigando os possíveis impactos nos ministérios.
O Siafi é descrito por especialistas como um sistema complexo, que requer conhecimento especializado para operar. Após os incidentes, o acesso ao sistema foi restrito ao uso exclusivo de certificado digital. No entanto, novas tentativas de invasão foram detectadas, agora usando certificados digitais emitidos por empresas privadas.
Em resposta, a gestão do Siafi passou a exigir o acesso com certificado digital emitido pelo Serpro, empresa pública federal de tecnologia.
O ministro da Fazenda, Fernando Haddad, enfatizou que o problema não está no Siafi em si, mas na autenticação de acesso. Ele afirmou que a Polícia Federal está investigando como os invasores obtiveram acesso usando autenticações válidas, e que não há informações confirmadas sobre os valores desviados.
Este não é o primeiro incidente envolvendo o Siafi. Em 2021, houve uma tentativa de invasão, embora naquela ocasião não tenha ocorrido danos ao sistema.