A operação para identificar os desvios também contou com a atuação do Instituto Nacional do Seguro Social (INSS) e da Federação Brasileira de Bancos (Febraban). Setores de inteligência das instituições financeiras que fazem esses pagamentos verificaram indícios de irregularidades nas transferências.
De acordo com a PF, as supostas fraudes foram feitas por meio de acessos de senhas de 29 servidores do INSS. A principal suspeita é que os códigos tenham sido hackeados. Ainda segundo policiais que participam da ação, com o acesso ao sistema do órgão, criminosos conseguiram reativar benefícios e alterar dados de contas bancárias para que os pagamentos fossem feitos.
Investigadores contaram à Folha que, entre os indícios encontrados até o momento, foi possível identificar em uma grande quantidade de casos que titulares das contas dos bancos não eram os mesmos destinatários dos benefícios.
Um outro padrão notado é que as reativações foram feitas em benefícios que estavam perto de completar cinco anos, com valores que nunca passavam de R$ 100 mil —o que seria, em tese, para não chamar a atenção de órgãos de controle, como o Conselho de Controle de Atividades Financeiras ).
"A Polícia Federal detectou, por meio do uso de ferramentas de análise massiva de dados, a existência de milhares de reativações de benefícios sociais de forma fraudulenta. Dessa forma, a medida mais urgente para evitar a evasão de dinheiro público foi o acionamento das instituições financeiras, possibilitando o bloqueio do pagamento de milhões de reais em benefícios fraudulentos", disse Cléo Mazzotti, coordenador-geral de Repressão a Crimes Fazendários da Polícia Federal.
A maior preocupação do lado da polícia era que os pagamentos fossem suspensos o quanto antes. Isso porque a experiência de investigações desse tipo mostra que é difícil recuperar o dinheiro depois de realizada a transferência. Em algumas situações, é possível encontrar os autores, mas dificilmente os recursos são devolvidos.
A apuração começou em junho deste ano e, desde então, os bloqueios de pagamentos começaram a ser feitos.
Mais de 13 mil benefícios que seriam pagos estão na mira da investigação —entre eles o auxílio-reclusão. O benefício é pago a dependentes do trabalhador que tenha no mínimo dois anos de atividade urbana reconhecida pelo INSS e não receba benefício do órgão, dentre outras exigências.
Segundo o INSS, uma análise mais aprofundada vai concluir, dentro desse montante de R$ 486 milhões, quais benefícios que seriam pagos irregularmente e quais estavam regulares. Por isso, o órgão ainda não tem informação de quanto poderá ser recuperado.
A PF agora investiga se a ação foi orquestrada, se partiu de um mesmo grupo e busca identificar os autores das supostas fraudes.
Na esteira de medidas para combater desvios, o INSS concluiu no início de setembro a distribuição de tokens para aprimorar a segurança no acesso de servidores do órgão a dados dos beneficiários e ao sistema que autoriza a concessão de benefícios.
Com isso, o acesso passa a ser protegido por três mecanismos: a senha pessoal de cada servidor, a verificação em duas etapas (código enviado para o celular do servidor) e o token (uma espécie de pen-drive que deve ser inserido no computador para destravar o sistema do INSS).
Os tokens custaram R$ 1,34 milhão e devem ser renovados em três anos.
"Historicamente, o INSS é alvo de fraude, é alvo de todo tipo de problema. Nós começamos nos últimos anos a intensificar as parcerias com outros órgãos. As fraudes estavam cada vez mais sofisticadas, e o mundo está investindo em segurança cada vez mais. Então o setor público não pode ficar à margem disso", disse o diretor de tecnologia da informação do INSS, João Rodrigues da Silva Filho.
O processo de compra dos tokens começou ainda no ano passado, como um projeto do INSS. A compra foi feita no início de 2022 e, agora em setembro, o sistema de todos os servidores do órgão (cerca de 20 mil) passou a exigir o dispositivo.
Essa nova fase começou como um teste para um grupo mais restrito de servidores, mas, após seis meses, foi adotado por todo o órgão.
Os tokens foram distribuídos inclusive para servidores de agências do INSS em todo o país. Segundo Filho, o dispositivo passou a ser necessário até para acessar o histórico e processo de beneficiados.
"O valor investido na segurança é muito pequeno em relação ao risco de fraudes", afirmou o diretor.
O INSS trabalha em conjunto com outros órgãos para evitar prejuízos no pagamento de benefícios. Além da PF, há grupos de trabalho com o Ministério da Previdência e Trabalho, GSI (Gabinete de Segurança Institucional) e Dataprev.
Os bancos fazem, por exemplo, cruzamento de dados para saber se o benefício a ser pago será depositado em uma conta com o mesmo CPF ou de algum familiar. Caso contrário, há um indício de fraude.
Outra medida prevista pelo INSS é a troca da rede dos computadores, por uma com acesso mais rápido e que dá mais autonomia ao órgão. Atualmente, em caso de alguma suspeita de acesso irregular com informações e senhas de servidores, o INSS não consegue bloquear o acesso imediatamente —às vezes, depende do Dataprev.
Além disso, o INSS quer investir mais em cursos e conscientização dos servidores sobre os riscos de fraude para evitar que o sistema seja burlado.