São quatro e meia de uma sexta-feira. O telefone toca na tesouraria e a voz do outro lado é a do administrador: está numa reunião fechada, há um negócio a fechar nesse instante e precisa que faças já uma transferência de 38 mil euros para um novo fornecedor. "Trata disto com discrição, depois explico." Soa-te a urgência legítima. É exatamente o que o burlão quer que sintas.
O que é a fraude do CEO
A fraude do CEO -- também chamada "CEO fraud" ou burla do gerente -- é um esquema dirigido a empresas. O atacante faz-se passar por alguém com autoridade interna: o administrador, o diretor financeiro, o sócio-gerente. O alvo é quase sempre quem tem acesso às contas e poder para mover dinheiro: tesouraria, contabilidade, financeiro.
Convém dizer isto já, porque muda tudo o que fazes a seguir: esta fraude não ataca os teus sistemas informáticos, ataca a tua hierarquia. Não há vírus para bloquear nem anexo perigoso para não abrir. Há uma pessoa a explorar o desconforto de contrariar o chefe. Enquanto for essa a fraqueza, é aí -- e não no antivírus -- que a defesa tem de ser construída.
O contacto pode chegar por e-mail, mas a versão por telefone é a mais eficaz. Uma voz ao telefone transmite pressão de uma forma que um e-mail não consegue. E quando o número que aparece no ecrã parece ser o da empresa, a desconfiança baixa ainda mais. Isso é possível porque o número de origem pode ser falsificado, como se explica no guia sobre o spoofing do número de telefone.
Porque é que funciona
Este esquema não ataca os sistemas informáticos. Ataca as pessoas e a hierarquia. O burlão estudou a empresa: sabe o nome do administrador, sabe quem trata dos pagamentos, às vezes conhece um negócio real que está mesmo a decorrer. Esses pormenores fazem a história encaixar.
A receita assenta sempre em três ingredientes:
- Autoridade -- quem liga é o chefe, e custa dizer que não ao chefe.
- Urgência -- tem de ser agora, o negócio cai se houver atraso.
- Sigilo -- "não fales com ninguém", "é confidencial", o que impede precisamente a verificação que travaria a burla.
Repara como o sigilo é a peça mais traiçoeira. Um pedido legítimo não tem medo de ser confirmado. Quando alguém te exige que não confirmes com mais ninguém, está a desligar o teu único travão de segurança. Esse pedido, por si só, é o maior sinal de alarme.
Pedido a sério ou burla? A diferença está no comportamento
A melhor forma de distinguir os dois não é o conteúdo do pedido -- é a reação a uma pergunta simples: "posso confirmar isto primeiro?" Uma ordem verdadeira aceita ser verificada; uma burla foge disso a todo o custo. Este é o padrão que se repete:
| Sinal | Pedido legítimo | Fraude do CEO |
|---|---|---|
| Confirmação | Aceita que ligues de volta | Insiste que não confirmes com ninguém |
| Prazo | Cabe no circuito normal | Tem de ser já, muitas vezes fora de horas |
| Canal | Passa a e-mail formal ou a reunião | Só o canal em que ligou |
| Destino | Fornecedor conhecido e registado | IBAN novo, com frequência estrangeiro |
| Sigilo | Não exige segredo | "Confidencial, não fales com ninguém" |
Nenhum destes sinais isolado prova uma burla. Mas dois ou três a aparecer juntos exigem que pares. A pressa é uma ferramenta do burlão, não um motivo para abdicares do bom senso.
Como verificar antes de pagar
A defesa é simples de descrever e tem de ser inegociável na prática: nunca confirmes um pagamento pelo mesmo canal em que ele foi pedido. Se a ordem chegou por telefone, não confirmes ao telefone com quem ligou. Desliga e liga tu para o número que já conheces do administrador -- o que tens guardado, não o que apareceu no ecrã desta chamada.
Se não conseguires falar com a pessoa, o pagamento espera. Um negócio real sobrevive a meia hora de verificação; uma burla, não. Vale a pena fixar regras claras na empresa:
- Qualquer alteração de IBAN ou pagamento urgente passa por dupla confirmação, por uma segunda pessoa e por um segundo canal.
- Acima de um certo valor, exige-se sempre validação presencial ou por chamada para um número pré-registado.
- Nenhum colaborador é penalizado por atrasar um pagamento para o confirmar -- isto tem de vir de cima, por escrito.
Onde o conselho habitual falha
O que não te dizem é que "formar os colaboradores para desconfiar" não chega. Podes treinar toda a gente a reconhecer os sinais e o dinheiro continua a sair, porque o problema de fundo não é falta de conhecimento -- é medo. Um funcionário que suspeita, mas teme irritar o administrador ao questioná-lo, acaba por pagar na mesma. A verdade é que a única defesa que funciona mesmo é aquela terceira regra da lista acima: uma instrução escrita, vinda da direção, que torne a verificação obrigatória e proteja quem atrasa um pagamento para confirmar. Sem isso, toda a formação do mundo esbarra na hierarquia -- e é precisamente a hierarquia que o burlão está a usar contra ti.
O que diz a lei
Em termos legais, este esquema enquadra-se na burla, prevista no Código Penal. Quando há manipulação de dados ou interferência no processamento informático de pagamentos, aplica-se a burla informática e nas comunicações, do artigo 221.º. Se o prejuízo for elevado, a moldura agrava-se.
Saber isto não devolve o dinheiro, mas é a base para a queixa. E a queixa importa: permite investigar, seguir o rasto da conta de destino e, em alguns casos, travar a transferência antes de ser levantada.
Se a empresa já pagou
Se a transferência já saiu, a janela de reação é curta. Liga de imediato ao banco da empresa e pede para tentar travar ou reverter a operação -- nas primeiras horas ainda pode haver margem. Comunica também o caso ao banco de destino, se o souberes. Reúne tudo: o registo da chamada, a hora, o IBAN, os e-mails, e apresenta queixa à Polícia Judiciária. Podes ainda denunciar o esquema ao Gabinete de Cibercrime do Ministério Público.
Depois, comunica internamente. Outras pessoas na empresa podem estar a ser alvo da mesma campanha nesse mesmo dia. O silêncio só protege o burlão.
Perguntas frequentes
O número que apareceu era mesmo o do meu chefe. Como pode ser falso?
O número que vês numa chamada pode ser falsificado por software. Ver o nome ou o número certo no ecrã não prova quem está do outro lado. A única confirmação fiável é ligares tu para o número que já tinhas guardado, nunca para o que apareceu nesta chamada.
E se for mesmo o administrador e eu o irritar ao desconfiar?
Um administrador sensato prefere que confirmes a que pagues sem pensar. Se a empresa tiver uma regra escrita de dupla verificação, ninguém pode censurar-te por a cumprires. A regra existe para te proteger a ti e à empresa.
A burla do CEO só acontece em grandes empresas?
Não. As pequenas e médias empresas são alvos frequentes, precisamente porque costumam ter menos procedimentos formais de controlo. Basta uma pessoa com acesso às contas e um pedido convincente.
O pedido chegou por e-mail com um IBAN novo de um fornecedor. É o mesmo esquema?
É uma variante próxima, que merece atenção redobrada. Vê o guia sobre a fatura falsa e a mudança de IBAN para perceberes como confirmar uma alteração de conta antes de pagares.
Em resumo
A fraude do CEO não é um ataque informático, é um ataque à hierarquia: explora o medo de contrariar o chefe e o hábito de obedecer depressa. Formar as pessoas para desconfiar ajuda, mas não basta, porque o travão que falha é o medo, não a informação. O que trava mesmo o esquema é uma regra escrita e vinda de cima -- verificar qualquer pagamento urgente por um segundo canal é obrigatório, e ninguém é repreendido por o fazer.