BRASÍLIA, DF (FOLHAPRESS) – A Polícia Federal conseguiu rastrear suspeitos de planejar um ataque hacker ao sistema da Caixa Econômica Federal após um alerta disparado pela própria instituição financeira: um gerente de uma agência da região do Brás, em São Paulo, retiraria do local um notebook com credencial de acesso remoto -porta de entrada para os sistemas do banco de qualquer lugar do país.
Na última sexta-feira (12), em São Paulo, a PF prendeu, em flagrante, oito suspeitos de integrar uma organização criminosa apontada como responsável por ataques hackers contra o sistema financeiro nacional. O grupo planejava uma nova invasão, dessa vez contra a Caixa.
Segundo a corporação, o acesso ao computador do banco permitiria um desvio de recursos da Conta PI (Pagamentos Instantâneos), mantida no Banco Central para dar liquidez às transações via Pix.
Se o esquema não tivesse sido desmantelado, os supostos membros da organização criminosa conseguiriam acesso até mesmo a recursos destinados a programas do governo de Luiz Inácio Lula da Silva (PT).
“O montante disponível da Conta PI, além do atendimento do varejo, teria alcance em programas do governo federal e em despesas e créditos do próprio orçamento público”, diz parte do processo. O inquérito policial não tem qualquer outra referência ao gerente que teria retirado o equipamento da agência.
O alerta da Caixa foi feito após autoridades brasileiras estabelecerem uma rede de troca de informações para deslanchar a investigação. Há cerca de dois meses, a Caixa procurou o Banco Central para informar que mapeou e neutralizou uma tentativa de invasão a seu sistema. A autoridade monetária, então, buscou interlocução com o Coaf (Conselho de Controle de Atividades Financeiras) e com a PF sobre o caso.
Foram presos em flagrante Fernando Vieira da Silva e Guilherme Marques Peixoto, José Elvis dos Anjos Silva, Rafael Alves Loia, Marcos Vinicius dos Santos, Klayton Leandro Matos de Paula, Nicollas Gabriel Pytlak, e Maicon Douglas de Souza Ribeiro Rocha.
Eles são apontados pela PF como suspeitos de também terem participado de outras fraudes milionárias, incluindo o desvio de cerca de R$ 800 milhões do Banco BMP e de R$ 420 milhões do HSBC, ambos no segundo semestre deste ano.
No processo a que a reportagem teve acesso, Fernando Vieira da Silva e Guilherme Marques Peixoto são citados como as pessoas que retiraram um computador da estação de trabalho de uma agência da Caixa, no Brás, na capital paulista.
Conforme o relato detalhado, o equipamento da instituição financeira foi colocado em um outro veículo e, após a polícia seguir o automóvel, acabou localizado em uma residência no Jardim Triana, na zona leste da capital paulista, já ligado e com sistemas da Caixa em funcionamento.
Klayton Leandro Matos de Paula foi identificado pelos investigadores como especialista em autenticação Cisco, tecnologia considerada peça central na segurança de redes corporativas.
Os demais detidos foram encontrados na casa onde o notebook estava em uso e, segundo a PF, integrariam a organização criminosa responsável pela tentativa de furto. Todos negaram participação no crime e apresentaram versões distintas para justificar a presença no local.
Ainda de acordo com o processo, Silva disse que apenas se encontrou com Peixoto para fumar um baseado, enquanto este permaneceu em silêncio. Paula alegou que participava de uma confraternização com dois amigos e que apenas tirava dúvidas técnicas sobre o serviço.
José Silva declarou que trabalhou o dia todo como motorista e foi à residência por convite de um colega. Rocha afirmou que estava no endereço apenas para trabalho, entregando uma máquina de selar copo e coqueteleira para venda, e que Santos o acompanhava para auxiliar na programação do equipamento.
Santos, por sua vez, afirmou que foi à casa somente para buscar uma máquina de caipirinha e que já deixava o local quando os policiais chegaram. Pytlak declarou estar em São Paulo a lazer, visitando um amigo. Já Loia disse ter ido à residência a convite de amigos.
Procurada, a advogada Silvia de França Gonçalves, responsável pela defesa de José Elvis, negou a participação dele no crime investigado pela Polícia Federal.
“Não tem qualquer envolvimento com os crimes, assim como não integra qualquer organização criminosa, como alega a Polícia Federal”, disse.
Jeferson Roberto Nascimento, advogado de Rafael Alves Loia, disse que o cliente nega qualquer participação nos supostos ataques e que sua prisão é prematura e desprovida de respaldo legal.
“Frisamos que o caso se encontra na fase de inquérito policial, portanto, sem denúncia pelo Ministério Público Federal e que, no momento, a defesa trabalha para que o direito constitucional à liberdade de seu cliente seja restabelecido”, disse.
Jacqueline da Silva Leite, que faz a defesa de Marcos Vinicius dos Santos, disse que iria se manifestar, mas não houve retorno até a publicação do texto. Os advogados dos outros presos foram procurados, mas não retornaram aos contatos da reportagem.
A cooperação dos agentes públicos no caso da Caixa está servindo de modelo para uma maior integração entre os órgãos envolvidos no combate aos ataques hackers. Neste ano, foram registrados oito incidentes cibernéticos, com desvios que somam cerca de R$ 1,5 bilhão ao todo.
O aperto nas brechas tecnológicas e regulatórias que fragilizam a segurança do sistema financeiro já integrava a agenda regulatória do Banco Central para este ano, mas o tema ganhou mais urgência. Os ataques se intensificaram após a megaoperação realizada contra a atuação do PCC (Primeiro Comando da Capital) em negócios regulares da economia formal, como os setores de combustíveis e o financeiro.
As três operações, realizadas pelo Ministério Público de São Paulo, Receita Federal e Polícia Federal, chamaram a atenção porque atingiram empresas da Faria Lima, o principal centro financeiro do país.
Em resposta aos recentes ataques ao sistema financeiro, o BC anunciou uma série de medidas para reforçar processos e protocolos de segurança.
Entre as novas regras, estabeleceu um limite de R$ 15 mil no valor das operações de TED e Pix para instituições de pagamento não autorizadas pelo regulador. A norma vale também para as instituições que se conectam ao sistema financeiro por meio dos chamados PSTIs (Prestadores de Serviços de Tecnologia da Informação). Além disso, o BC passou a obrigar as instituições financeiras a rejeitar pagamentos para contas suspeitas de envolvimento em fraudes.
