BRASÍLIA – Funcionários do governo receberam uma mensagem suspeita em seus celulares com tentativa de roubo de dados do Sistema Integrado de Administração Financeira do Governo Federal (Siafi), usado para a movimentação de todo o dinheiro da União, no dia 8 de abril. A Polícia Federal e a Agência Brasileira de Inteligência (Abin) investigam uma suspeita de desvio de recursos do governo federal por meio do sistema.
Conforme o Estadão apurou, vários servidores com acesso ao Siafi receberam a mesma mensagem naquele dia, identificada posteriormente como tentativa de roubo de dados. O texto trazia o nome, o CPF da pessoa e um link para atualização de dados, que era fraudulento: “SIAFI: (nome do usuário) Informamos que a partir de 08/04, o uso do certificado digital será obrigatório”, dizia a mensagem, seguida de um link e do CPF do funcionário.
O Siafi é o sistema usado pelo governo para pagar credores, enviar transferências a Estados e municípios e repassar o salário dos servidores públicos. Todo o dinheiro da União precisa ser registrado na plataforma. Somente pessoas autorizadas em cada órgão têm autorização para acessar o sistema. Um número ainda mais restrito pode efetuar ordens de pagamento, transferindo recursos do Tesouro para as contas bancárias de quem vai receber.
Ainda não há confirmação se essa mensagem gerou roubo de dados ou desvio de recursos públicos. O caso está sob investigação. No dia 9 de abril, funcionários do governo foram avisados sobre a mensagem fraudulenta e alertados para que não clicassem no link – e que, se tivessem clicado ou fornecido os dados, deveriam alterar imediatamente a senha de acesso e reportar o caso ao Tesouro Nacional. Procurado pelo Estadão, o órgão não se manifestou sobre a mensagem.
Após a suspeita, o governo mudou as regras de acesso ao sistema. Antes, usuários tinham uma senha ou podiam entrar usando a plataforma Gov.BR, forma de acesso única para diversos serviços públicos. Gestores financeiros e ordenadores de despesa dos órgãos da União – ou seja, aqueles responsáveis por autorizar diretamente o pagamento, precisavam também ter um certificado digital para movimentar os recursos.
Agora, esse certificado precisa necessariamente ser emitido pelo Serpro, empresa de inteligência do governo federal, e não pode ser fornecido por outras empresas privadas que também emitem a assinatura digital, o que antes era admitido.
A mensagem SMS foi recebida sob desconfiança por funcionários do governo, pois usuários que não são ordenadores diretos de despesas podem entrar no sistema, mas não precisam de certificado digital.
Na segunda-feira, 22, a Secretaria do Tesouro Nacional emitiu uma nota afirmando que “o episódio não configura uma invasão, mas sim uma utilização indevida de credenciais obtidas de modo irregular”. Há suspeitas de que dados de usuários efetivos do Siafi, incluindo senha, foram usados para entrar no sistema e fazer as movimentações de recursos. De acordo com o governo, não houve prejuízos à integridade da plataforma.
