SÃO PAULO, SP E BRASÍLIA, DF (FOLHAPRESS) – O acesso fraudulento a dez credenciais de servidores da PRF (Polícia Rodoviária Federal) possibilitou a criação de multas que nunca existiram.
A PRF não quis dizer quantas delas entraram sem autorização no sistema após a invasão, detectada no dia 10 de janeiro. A corporação diz apenas que o “trabalho de identificação dos autos de infração lavrados irregularmente e seus respectivos cancelamentos seguem em apuração restrita”.
A suspeita é que os fraudadores tenham comercializado na internet informações sensíveis dessa dezena de servidores. Com as senhas em mãos, teria sido possível então incluir as multas. Os acessos indevidos aconteceram em datas diferentes, e a “violação de credenciais é geralmente obtida por uso de softwares maliciosos (malwares)”, segundo a força policial.
A Folha de S.Paulo teve acesso a um documento da PRF que determina o cancelamento de mais de dez multas “que foram lavradas de forma criminosa, após invasão hacker ao sistema da PRF”. Internamente, acredita-se que a dimensão possa ser bem maior, atingindo vários estados do país.
As penalidades previstas no Código de Trânsito Brasileiro variam de R$ 88,38 para infrações consideradas leves, como estacionar em acostamento, a R$ 17.608, como a imposta a pessoas identificadas como organizadoras de bloqueios em rodovias após a vitória de Lula (PT) sobre Jair Bolsonaro (PL) na eleição de 2022.
Um boletim de ocorrência feito por um policial rodoviário federal ajudou a justificar a decisão administrativa disparada dentro da instituição. Ele percebeu que suas credenciais foram usadas por alguém para acessar irregularmente o sistema e emitir multa. Esse episódio ocorreu em Alagoas.
Ainda não está clara a motivação para a inserção de falsas infrações. Policiais especulam que a adulteração serviria para prejudicar desafetos.
Quem recebeu uma penalidade mas não a reconhece pode contestá-la apresentando um formulário de defesa por carta, internet ou indo a uma unidade administrativa da polícia.
Questionada sobre o alcance da fraude, a PRF evocou um decreto de 2021, que instituiu a Rede Federal de Gestão de Incidentes Cibernéticos. As informações solicitadas pelo jornal, sobre a quantidade de casos e onde eles aconteceram, só estariam à disposição de “profissionais autorizados pelas autoridades responsáveis”, afirma a PRF para explicar por que o pedido foi negado.
A Polícia Federal foi acionada e está apurando o caso, assim como detalhes de como os dados foram obtidos pelos invasores.
Em nota enviada à reportagem, a PRF diz que, apesar de ter usado essas palavras em informe interno, não houve ataque hacker contra o órgão, porque isso configuraria “uma violação do sistema, e não uma violação de credencial de usuário”. A expressão “invasão hacker aos sistemas”, de acordo com a corporação, “foi usada de forma genérica para identificar o acesso não autorizado”.
No dia 10 de janeiro, quando ficaram a par da burla, servidores receberam um aviso sobre um processo para melhorar medidas de segurança da PRF. Isso inclui a implementação do duplo fator de autenticação para entrar no SEI (Sistema Eletrônico de Informações), e a atualização completa da plataforma foi prometida para depois do Carnaval.
Fora a emissão anômala de multas, a PRF diz que não houve roubo de dados nem cancelamento de punições “porque isso passa por rito processual, não sendo permitida a anulação via aplicativo por qualquer policial”.
Servidores disseram à Folha de S.Paulo, em anonimato, que houve tentativa de abafar o caso na corporação, para não prejudicar o período de transição no Ministério da Justiça e Segurança Pública. O novo ministro da pasta, Ricardo Lewandowski, decidiu manter no cargo o diretor-geral da PRF, Antônio Fernando Oliveira, no posto desde o início do governo Lula.
Entre as atribuições do novo titular do ministério, substituto de Flávio Dino, está a de decidir se mantém ou não a portaria da PRF que dá poderes para a instituição atuar fora das rodovias, a exemplo de ações em favelas.
Integrantes da equipe do ministro consideram a medida problemática porque pode extrapolar as atribuições constitucionais da polícia rodoviária, que delimitam a atuação do órgão às estradas federais. Por isso a tendência é que o ato seja alvo de análise.
Em junho, ainda no comando da Justiça, Dino determinou a suspensão de todos os perfis regionais da PF e da PRF nas redes sociais, por suspeita de uma investida hacker contra o perfil da força rodoviária de Sergipe. A conta da instituição havia compartilhado uma publicação em que declarava apoio e pedia doações por Pix ao ex-presidente Bolsonaro.
