A Polícia Federal e a Agência Brasileira de Inteligência (Abin) investigam uma invasão de crackers ao Siafi, sistema de pagamentos do governo federal. A suspeita é de que os criminosos atuavam por meio da internet para desviar recursos para contas pessoais. Os valores teriam sido remetidos para contas não autorizadas por meio de ordens de pagamento.
Após a invasão, ocorrida neste mês, o Tesouro Nacional, que gerencia o sistema, aplicou regras adicionais de segurança, a fim de estabelecer camadas. As primeiras diligências apontam que os invasores usaram certificados dos gestores do sistema para dar comandos que não estavam autorizados.
Os hackers tiveram acesso a contas do gov.br de gestores do Siafi, assim como as senhas, acessaram os serviços e liberaram pagamentos. A informação foi publicada inicialmente pela Folha de S.Paulo e confirmada pelo Correio junto a fontes na Polícia Federal. As credenciais teriam sido realizadas por meio de ataques de “fishing”, palavra em inglês que na tradução literal significa “pescaria”. Nesse tipo de cibercrime, pessoas mal-intencionadas enviam iscas, como links de páginas falsas para coletar os dados dos alvos.
Transferência via Pix
Uma das hipóteses é de que páginas falsas, que imitam o layout (aparência) dos sites oficiais do governo, foram utilizadas para enganar os servidores públicos. As informações teriam sido coletadas durante meses, silenciosamente, até que fossem reunidas credenciais suficientes para realizar um ataque em larga escala.
Em uma das tentativas, o cracker teria tentado realizar uma transferência via Pix, ou seja, instantânea. Mas o sistema detectou que o CPF, chave Pix utilizada, era o mesmo entre quem enviou o pagamento e quem receberia, o que é vedado pelas regras do governo. Após isso, o Tesouro Nacional teria passado a exigir o uso de certificado digital.
Porém, mesmo com a medida, foi identificado tentativas de invadir o sistema usando certificado digital emitido por empresas privadas. Por conta disso, a regra passou a obrigar o uso de certificados emitidos pelo Serviço Nacional de Processamento de Dados (Serpro).
O que é e como funciona o SPB?
O sistema de pagamentos brasileiro é o conjunto de regras e instrumentos pelos quais se executam transferências de recursos, assim como o processamento e liquidação de pagamentos para pessoas físicas ou jurídicas, entes públicos ou privados.
Dessa forma, esse sistema permeia a relação de todos os agentes da economia.
Pagar com cartão no débito ou crédito, transferir dinheiro ou fazer um Pix podem ser operações muito diferentes, mas todas elas têm esse denominador comum, que é o sistema de pagamentos.
Quando se trata de pagamentos, os usuários são os protagonistas. O sistema, a partir dos meios de pagamento, é geralmente o primeiro e mais fundamental ponto de contato desses agentes com o sistema financeiro.
O Sistema de Pagamentos Brasileiro tem o objetivo de regular, supervisionar e assegurar a segurança e eficácia das transações financeiras, como transferências bancárias, pagamentos com cartão, compensação de cheques e transações via Pix.
Ele se divide em duas partes principais: as Infraestruturas do Mercado Financeiro (IMF) e os Arranjos de Pagamento.
As IMF são instituições que fornecem a estrutura operacional para a liquidação, o depósito centralizado e o registro de ativos financeiros, como títulos públicos, valores mobiliários e moedas estrangeiras.
Por outro lado, os arranjos de pagamento são conjuntos de regras e procedimentos que regulam a oferta de serviços de pagamento ao público, como o Pix e os cartões de crédito.
O Banco Central do Brasil (BC) é o órgão responsável pelo SPB, estabelecendo normas, autorizando e supervisionando as instituições participantes do sistema.
O BC também desempenha o papel de operador em certos sistemas, como o Sistema de Transferência de Reservas (STR), o principal sistema de liquidação do SPB.
Além desse órgão, o funcionamento adequado do SPB depende da atuação de outras entidades, como o Conselho Monetário Nacional (CMN) e a Comissão de Valores Mobiliários (CVM).
