Polícia já investiga fraude em empréstimos consignados; DRH da USP não se manifesta sobre suposta vulnerabilidade do sistema MarteWeb

A Polícia Civil abriu nesta semana uma investigação criminal sobre fraudes envolvendo empréstimos consignados jamais solicitados ou autorizados por pelo menos seis docentes da Faculdade de Educação (FE) da USP. Os valores chegavam a até R$ 2,8 mil e foram descontados do pagamento dos salários do mês de abril, realizado no último dia 5/5. Os descontos se referiam à primeira parcela dos supostos empréstimos consignados. Em dois dos casos, o número de parcelas que seriam cobradas chegava a 96.

 

Os valores descontados foram direcionados para contas-salário abertas no Banco Santander. Já a contratação dos falsos empréstimos foi feita por meio da plataforma eConsig, disponível no sistema corporativo MarteWeb da USP.

 

A polícia foi procurada pelas vítimas da fraude tão logo as docentes tomaram conhecimento dos descontos indevidos. Uma das professoras verificou o holerite na véspera do pagamento e comunicou o registro do consignado não autorizado ao Departamento de Recursos Humanos (DRH) da USP e ao Banco Santander, mas mesmo assim o desconto foi efetuado, porque a folha já havia sido processada.

 

Em resposta encaminhada por e-mail ainda no dia 4/5, o DRH informou à docente que “com o advento da implantação do sistema eConsig para solicitação e gerenciamento de empréstimos consignados, toda a gestão (…) está dentro deste sistema, que é acessado por meio de senha pessoal e instransferível”. “Infelizmente a USP não possui acesso a maiores detalhes da transação que foi realizada”, prossegue a mensagem, recomendando que a docente lavrasse “urgentemente” um boletim de ocorrência e entrasse em contato com o banco.

 

A outra professora vítima da fraude, o DRH respondeu, no dia 12/5, reconhecendo que “infelizmente esse problema” também tinha afetado “outros servidores da USP”. “Porém a direção do DRH, Ouvidoria e Administração da USP estão cientes da situação e estão tomando as devidas providências para solucionar a situação presente e evitar novas ocorrências no futuro”, prossegue a mensagem, na qual o “porém” soa no mínimo estranho.

 

Novamente eximindo-se de qualquer responsabilidade, o DRH também recomendou à professora registro de boletim de ocorrência e contato com o Santander, “o responsável pelo cadastro indevido”. “Desta forma, cabe àquela instituição financeira providenciar o ressarcimento do desconto ocorrido em sua folha de pagamento”, diz o DRH. 

 

De acordo com uma das docentes vítimas da fraude, a conta-salário foi aberta em meados de março, e a contratação do empréstimo foi registrada em 1o/4 no eConsig. No seu caso, o valor contratado foi de R$ 94 mil, e na primeira parcela o desconto chegou a R$ 2,6 mil.

 

A docente ainda teve um cartão de crédito não solicitado emitido em seu nome pelo Santander, com cobrança da primeira fatura no valor de R$ 6,5 mil. A emissão de cartão de crédito foi feita em nome de pelo menos mais uma das professoras vítimas da ação, com gastos de mais de R$ 2,5 mil.

 

O ressarcimento dos valores descontados indevidamente já foi feito pelo banco nesta semana e, de acordo com o DRH, todas as parcelas serão canceladas.

Nesta quarta-feira (18/5), o diretor-geral do DRH, professor Wilson Aparecido Costa de Amorim, respondeu ao ofício encaminhado pela Diretoria da Adusp no dia 13/5, no qual a entidade requeria providências imediatas da universidade em relação ao caso e também pedia esclarecimentos sobre a segurança dos dados da(o)s docentes.

 

De acordo com Amorim, o Santander informou que “todos os casos que aconteceram foram por intermédio de canais físicos (agências) e não por canais virtuais”. Assim, os casos “se caracterizam como fraudes bancárias através de canais físicos (agências) sem indicativo de vazamento de dados por parte da USP”. “Estamos aguardando maiores informações do processo de apuração do Banco”, prossegue.

 

O ofício do professor Amorim à Adusp não responde à questão principal: para efetuar o pedido na plataforma eConsig, a(o) usuária(o) precisa acessar o sistema corporativo MarteWeb. Portanto, para que os fraudadores possam realizar qualquer operação na plataforma, é necessário que possuam os dados de identificação e a senha da(o)s servidora(e)s.

 

O Informativo Adusp questionou o professor Amorim sobre a possibilidade de vazamento das informações pessoais e da senha das docentes e perguntou como a USP e o DRH garantem a segurança desses dados. Em resposta encaminhada por e-mail nesta quarta-feira, o diretor-geral do DRH novamente não tocou no ponto central, dizendo que, “como informado pela área de atendimento do DRH, todo o modelo de processo de solicitação e concessão dos empréstimos consignados é efetuado no sistema eConsig por meio de senha pessoal do servidor, uma vez que se trata de transação privada”.

 

“Os casos em tela estão em processo de apuração do ocorrido”, disse, adicionando que “o DRH tem mantido reuniões emergenciais e de acompanhamento [do caso] com os representantes do Santander”.

 

De fato, como afirma o professor, trata-se de uma transação privada, que requer senha própria e é efetuada numa plataforma mantida por uma empresa privada, a Zetrasoft. Ocorre que, como já mencionado, o eConsig é acessado na página pessoal do(a) servidor(a) no MarteWeb. Portanto, reitere-se, a operação só pode ser concretizada no ambiente do sistema corporativo da USP.

 

Além disso, conforme as docentes relataram ao Informativo Adusp, não houve nenhum pedido de confirmação da contratação do suposto empréstimo consignado por parte da USP, fosse por e-mail, celular ou outro canal. A adoção desse mecanismo simples poderia servir de alerta para a ocorrência de fraudes do tipo.

 

Pelo menos quatro das docentes vítimas da fraude solicitaram ao DRH que o acesso à plataforma eConsig seja excluído de suas contas no MarteWeb. Até esta quinta-feira (19/5), ainda não havia resposta aos pedidos.

No ofício encaminhado à Adusp, o diretor-geral do DRH afirma que “esses casos específicos ainda estão sendo analisados pelo Banco, mas, até onde sabemos, não há indicativo de vazamento de dados pessoais dos sistemas corporativos da USP”. “De qualquer forma, a segurança dos sistemas segue sendo prioridade da Universidade”, garante Amorim.

 

De acordo com o professor, desde a implantação do eConsig, em 2017, “não houve nenhuma denúncia sobre fraudes nesse fluxo de processos”. “De qualquer forma, como as ameças evoluem, a Universidade, a partir das conclusões desses casos, analisará e, se for o caso, implantará novas medidas de segurança”, prossegue. 

 

A alegada prioridade com a segurança dos sistemas não parece ser tão “prioritária” assim. Em agosto de 2021, o site Canaltech publicou que duas brechas de segurança encontradas nas plataformas digitais da USP, “disponíveis em sistemas de acesso a serviços internos da universidade e em uma plataforma de ensino, com materiais como aulas gravadas e provas online”, “podem ter exposto os dados pessoais de até 188,6 mil pessoas, entre alunos, professores, funcionários e servidores”.

 

O caso mais grave estaria relacionado ao portal e-Disciplinas, no qual “estavam expostos dados pessoais como nomes, endereços completos e números de telefone de alunos”, além de informações de acesso. “Logins, senhas e detalhes da conta, como o IP do último acesso e a data de criação do perfil, poderiam ser acessados por atacantes a partir de uma técnica chamada SQL Injection, onde as informações inseridas em campos de consulta não são tratadas e acabam retornando informações às quais o utilizador, em teoria, não deveria ter acesso”.

 

As brechas foram descobertas pelo pesquisador Giovanni Zadinello, proprietário de uma empresa de segurança digital, que as revelou ao Canaltech.

 

Em setembro de 2020, a Adusp já havia encaminhado à Reitoria uma série de questionamentos sobre as plataformas utilizadas no ensino remoto emergencial, cujo uso foi bastante intensificado na pandemia da Covid-19, e sobre os sistemas de coleta de dados e de mensagens empregados pela USP.

Uma das docentes vítimas da fraude foi à agência do Santander na qual a conta-salário fraudulenta foi aberta, onde o gerente lhe mostrou a cópia da documentação utilizada no procedimento. “Eu vi os documentos fajutos da pessoa que se passava por mim. Ela usou um endereço em que morei há quinze anos e um telefone que não é meu. A fotografia e o RG também não correspondem”, relatou a professora ao Informativo Adusp.

 

A situação expõe, no mínimo, falhas graves dos procedimentos de segurança do banco na checagem da autenticidade da documentação apresentada para a abertura das contas.

 

O Informativo Adusp questionou a instituição financeira a respeito desses procedimentos de checagem, além de outros pontos. Nesta quarta, a Diretoria de Comunicação do Banco Santander enviou por e-mail uma lacônica declaração, cuja íntegra é a seguinte: “O Santander informa que ao identificar algumas operações de crédito consignado inadequadas tomou as medidas necessárias para evitar qualquer impacto financeiro aos servidores. O Banco também prestou esclarecimentos aos funcionários afetados pelo  ocorrido e permanece à disposição para eventuais informações adicionais aos interessados”.

 

A reportagem encaminhou, então, nova mensagem à assessoria, na qual assinala que a manifestação do banco “não responde a nenhuma das questões específicas” que haviam sido enviadas. Em contato telefônico com a reportagem nesta quinta-feira (19/5), a Diretoria de Comunicação do Santander reiterou que não faria outros comentários além da declaração enviada.

 

O banco não respondeu, por exemplo, qual é o procedimento para a emissão de cartões de crédito não solicitados, a quem foram entregues os cartões emitidos em nome das docentes da FE e se há recibo da sua entrega. Também não esclareceu os termos de sua relação com a Zetrasoft.

Sediada em Belo Horizonte, a Zetrasoft, responsável pela plataforma eConsig, apresenta-se em seu site na Internet como “uma das primeiras fintechs brasileiras”, responsável por desenvolver “um sistema capaz de promover o bem-estar financeiro e de empoderar as pessoas, através de seus salários”.

 

De acordo com o site, em 2016 nasceu a SalaryFits, “spin-off internacional da Zetra, com a missão de levar a brasilidade e a força da tecnologia nacional mundo a fora [sic]”.

 

A Zetrasoft apregoa como supostas vantagens do eConsig o fato de o sistema ser “sem papel, sem burocracia e sem custos!”. A plataforma “permite ao RH oferecer melhores condições de acesso aos benefícios, que vão desde produtos financeiros como crédito, a outros como planos de saúde e seguros”.

 

“A plataforma é um canal de comunicação seguro entre a instituição financeira e o colaborador através da relação que eles têm com o empregador. Com o eConsig, os benefícios podem ser descontados direto [sic] na folha de pagamento, com base na gestão da margem consignável, de forma automática, reduzindo os riscos para os bancos e a taxa de juros do mercado”, garante a Zetrasoft em seu site.

 

O Informativo Adusp encaminhou por e-mail à empresa gestora as seguintes perguntas, entre outras:

 

“• A Zetrasoft está ciente do caso envolvendo as professoras da Faculdade de Educação da USP? Quais são as providências que a empresa está tomando em relação ao assunto?

• Qual é a relação da Zetrasoft com o Banco Santander e o Departamento de Recursos Humanos da USP? A Zetrasoft compartilha com o banco a governança da plataforma no sistema corporativo da USP?

• Funcionários da Zetrasoft têm acesso aos dados dos funcionários da USP pelo eConsig? Como é feito esse acesso, uma vez que, para chegar à plataforma, é necessário entrar no sistema corporativo próprio da USP (MarteWeb)?”

 

Em resposta ao Informativo Adusp, o diretor-geral do DRH, Wilson Amorim, disse que “a Zetrasoft é proprietária da plataforma eConsig que intermedia os empréstimos entre servidor (solicitante) e a instituição financeira (concessão de empréstimo)”. “A Universidade recebe da plataforma eConsig os arquivos para a implantação de descontos em folha de pagamentos”, concluiu.

 

Dadas a pouca objetividade e a falta de transparência das partes envolvidas no esclarecimento dos fatos, cabe à comunidade aguardar que a investigação policial produza as respostas capazes de apurar responsabilidades, apontar as lacunas na segurança dos sistemas e impedir que novas fraudes do gênero atinjam docentes e servidora(e)s da USP.