De acordo com a PF, o terceiro alvo da operação é proprietário de uma empresa que emite certificados digitais e foi detido em Vitória da Conquista (BA). Os nomes dos suspeitos não foram divulgados. A operação foi deflagrada na quarta-feira (21) e inicialmente incluiu três mandados de prisão preventiva, dos quais dois foram cumpridos no primeiro dia.

A invasão do Siafi ocorreu em abril deste ano. O grupo conseguiu furtar aproximadamente R$ 15 milhões em dinheiro público e tentou desviar pelo menos outros R$ 50 milhões. A operação, intitulada "Gold Digger" — que em tradução literal significa "minerador de ouro" e também pode ser uma gíria para "aproveitador" — ainda envolveu a execução de 19 mandados de busca e apreensão em Minas Gerais, Bahia, Rio de Janeiro, São Paulo e no Distrito Federal.

Os outros dois suspeitos foram presos na quarta-feira em Belo Horizonte e no Rio de Janeiro. Policiais federais, ouvidos pela TV Globo, acreditam que será difícil recuperar o dinheiro furtado devido ao tempo decorrido desde a invasão.

Além das prisões, um dos alvos de busca e apreensão é um funcionário público do INSS, que pode ter facilitado o acesso dos criminosos às senhas do sistema Siafi. A PF agora solicitará o afastamento do servidor.

"Alta complexidade"

A PF classificou o esquema criminoso como de "alta complexidade". O grupo utilizou "técnicas avançadas de invasão cibernética" e campanhas de "phishing", que envolvem o envio de SMS ou e-mails fraudulentos para obter dados pessoais das vítimas.

A fraude no Siafi envolveu uma combinação de operações ilegais:

- Envio de SMS com links maliciosos que capturavam dados pessoais dos destinatários;

- Emissão fraudulenta de certificados digitais para obter acesso a contas e autorizar pagamentos indevidos;

- Uso de intermediários ("laranjas") para ocultar o patrimônio obtido com os furtos.

Segundo a PF, o dinheiro foi direcionado para empresas que atuam como corretoras de criptoativos. 

O grupo deve ser investigado por uma série de crimes, incluindo:

- Invasão de dispositivo informático;

- Furto qualificado mediante fraude;

- Organização criminosa;

- Lavagem de dinheiro.

Invasão, uso de senha e ordens bancárias

Na época do crime, os investigadores da PF informaram que a invasão atingiu um sistema de autenticação. A partir desse ponto, o invasor teria acessado o Siafi usando o cadastro de usuário legítimo.

Os fraudadores acessaram ordens bancárias e alteraram os dados dos documentos para desviar os recursos. Eles utilizaram um mecanismo de débito automático dentro do Siafi, chamado "OBpix". Ao identificar a fraude, o Tesouro suspendeu essa modalidade de transferência e passou a exigir camadas adicionais de segurança para liberar as transações.