Mário Cruz / Lusa
47 pessoas foram detidas esta quarta-feira, pela Polícia Judiciária (PJ), por burla informática a centenas de utentes da Segurança Social Direta. As buscas foram feitas em Lisboa, Porto, Coimbra, Setúbal e Bragança.
A PJ deteve 47 pessoas no âmbito de uma investigação de burla que lesou centenas de utentes da Segurança Social Direta.
Em causa está o desvio de prestações sociais para as contas bancárias dos suspeitos.
De acordo com o comunicado divulgado pela PJ, o inquérito é titulado pelo Departamento Central de Investigação e Ação Penal (DCIAP) e no âmbito da “Operação Constelações”, da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), hoje desencadeada, foram realizadas 51 buscas domiciliárias em Lisboa, Porto, Coimbra, Setúbal e Bragança.
Megaburla através da Segurança Social
Segundo a Polícia Judiciária, desde junho de 2024 que os suspeitos conseguiam aceder às contas pessoais de pelo menos 531 utentes do serviço Segurança Social Direta e proceder à alteração do IBAN.
“De acordo com a investigação desenvolvida, pelo menos desde junho de 2024, a organização, constituída por vários grupos com ligações entre si, conseguiu aceder ilegitimamente às contas pessoais de centenas de utentes do serviço Segurança Social Direta e proceder à alteração do IBAN que estava registado para recebimento de diferentes prestações sociais (pensão de velhice, subsídio de desemprego, subsídio de doença, rendimento social de inserção e abono de família), que passaram a ser transferidas para contas bancárias controladas pelos suspeitos”, explicou a PJ.
Pode haver mais vítimas
A PJ admite, ainda assim, que o esquema pode ter afetado muito mais utentes ainda não identificados.
Os 47 detidos estão “fortemente indiciadas” por crimes de associação criminosa, burla informática, falsidade informática e acesso ilegítimo e indevido e o prejuízo para as 531 vítimas identificadas até ao momento, “muitas delas especialmente vulneráveis, que necessitavam daqueles rendimentos para sua sobrevivência”, cifra-se em 228 mil euros, segundo os montantes já apurados.
Entre os detidos estão 35 homens e 10 mulheres, entre os 18 e os 39 anos, que vão ser presentes à autoridade judiciária competente, no Ministério Público.
Segurança Social ficou em xeque
A falha foi detetada em setembro de 2024, quando o sistema identificou um padrão anormal: pedidos de alteração de IBAN surgiam a cada quatro minutos. Muitos beneficiários relataram alterações que não tinham solicitado, levando a uma suspensão temporária dessa funcionalidade no site.
A brecha levantou questões sobre a origem dos dados usados, se seriam provenientes de ataques anteriores ou da dark web, onde informações da Segurança Social foram encontradas à venda.
A Segurança Social confirmou que 90 queixas foram recebidas, envolvendo cerca de 60 mil euros. Em resposta, desde 1 de outubro de 2024, passou a ser obrigatório apresentar documentação presencialmente para alterar dados bancários. A instituição afirmou estar a desenvolver medidas para reforçar a segurança no processo de atualização de IBAN no site.
As investigações também consideram outras formas de acesso indevido, como burlas de phishing, e não descartam a possibilidade de envolvimento interno. Em 2022, a Segurança Social foi alvo de outro ciberataque, cujo objetivo seria a destruição de dados.
Na altura, foi negado que dados de cidadãos tivessem sido comprometidos, mas uma exposição de dados de 14 mil trabalhadores foi confirmada em janeiro de 2023.
O impacto da recente falha de segurança levou à demissão de Sérgio Carvalho, presidente do Instituto de Informática, poucos dias após a descoberta do problema.
ZAP // Lusa
