De acordo com a PF, o terceiro alvo da operação é proprietário de uma empresa que emite certificados digitais e foi detido em Vitória da Conquista (BA). Os nomes dos suspeitos não foram divulgados. A operação foi deflagrada na quarta-feira (21) e inicialmente incluiu três mandados de prisão preventiva, dos quais dois foram cumpridos no primeiro dia.
A invasão do Siafi ocorreu em abril deste ano. O grupo conseguiu furtar aproximadamente R$ 15 milhões em dinheiro público e tentou desviar pelo menos outros R$ 50 milhões. A operação, intitulada "Gold Digger" — que em tradução literal significa "minerador de ouro" e também pode ser uma gíria para "aproveitador" — ainda envolveu a execução de 19 mandados de busca e apreensão em Minas Gerais, Bahia, Rio de Janeiro, São Paulo e no Distrito Federal.
Os outros dois suspeitos foram presos na quarta-feira em Belo Horizonte e no Rio de Janeiro. Policiais federais, ouvidos pela TV Globo, acreditam que será difícil recuperar o dinheiro furtado devido ao tempo decorrido desde a invasão.
Além das prisões, um dos alvos de busca e apreensão é um funcionário público do INSS, que pode ter facilitado o acesso dos criminosos às senhas do sistema Siafi. A PF agora solicitará o afastamento do servidor.
"Alta complexidade"
A PF classificou o esquema criminoso como de "alta complexidade". O grupo utilizou "técnicas avançadas de invasão cibernética" e campanhas de "phishing", que envolvem o envio de SMS ou e-mails fraudulentos para obter dados pessoais das vítimas.
A fraude no Siafi envolveu uma combinação de operações ilegais:
- Envio de SMS com links maliciosos que capturavam dados pessoais dos destinatários;
- Emissão fraudulenta de certificados digitais para obter acesso a contas e autorizar pagamentos indevidos;
- Uso de intermediários ("laranjas") para ocultar o patrimônio obtido com os furtos.
Segundo a PF, o dinheiro foi direcionado para empresas que atuam como corretoras de criptoativos.
O grupo deve ser investigado por uma série de crimes, incluindo:
- Invasão de dispositivo informático;
- Furto qualificado mediante fraude;
- Organização criminosa;
- Lavagem de dinheiro.
Invasão, uso de senha e ordens bancárias
Na época do crime, os investigadores da PF informaram que a invasão atingiu um sistema de autenticação. A partir desse ponto, o invasor teria acessado o Siafi usando o cadastro de usuário legítimo.
Os fraudadores acessaram ordens bancárias e alteraram os dados dos documentos para desviar os recursos. Eles utilizaram um mecanismo de débito automático dentro do Siafi, chamado "OBpix". Ao identificar a fraude, o Tesouro suspendeu essa modalidade de transferência e passou a exigir camadas adicionais de segurança para liberar as transações.