Ataque Cibernético no Banco Nacional de Angola
O Banco Nacional de Angola (BNA) foi alvo de um ataque cibernético no passado dia 8. De acordo com fontes do Maka Angola, investida atingiu a base de dados do banco e os seus serviços essenciais. Até à data desta publicação, o BNA continuava sem o controlo efectivo do seu sistema informático e sem acesso a pastas partilhadas, emails institucionais e outros serviços.
Trata-se, segundo informações apuradas por este portal, de um ataque de ransomware,em que os atacantes encriptam informação essencial do banco e exigem um resgate monetário (em criptomoedas) para libertarem novamente o acesso da instituição à sua base de dados. O BNA accionou a empresa New Cognitos (ex-Tell IT) para responder ao ataque, mas considera que a sua intervenção é ineficaz.
Foi a Tell IT, do Grupo Mitrelli, do israelita Haim Taib, que instalou o Sistema de Protecção da Rede Informática do BNA, incluindo os equipamentos e as ferramentas de segurança para a protecção de dados, contra ataques e acessos indevidos à rede da instituição. Há anos que os técnicos do BNA reclamam contra o acesso irrestrito da empresa de Haim Taib aos sistemas de segurança do banco central, contrariando as boas práticas internacionais e o princípio de soberania nacional.
A ofensiva paralisou, por mais de 24 horas, o Sistema de Pagamentos em Tempo Real (SPTR), que trata das operações interbancárias em todo o país, incluindo operações financeiras do Estado em kwanzas.
Por sua vez, o SPTR está interligado com o Sistema Integrado de Mercados e Gestão de Activos (SIGMA) do BNA, onde são feitas todas as transacções do mercado de activos, nomeadamente a compra e venda de títulos de tesouro e do banco central.
Contrariamente ao que se deve esperar de uma instituição como o banco central do país, em termos de transparência, o BNA não comunicou publicamente o ataque sofrido. Por exemplo, o Ministério das Finanças, a 21 de Fevereiro de 2021, emitiu um comunicado de imprensa a dar conta de um ataque cibernético à “plataforma tecnológica de apoio às suas actividades com acesso aos emails e pastas partilhadas”. Aproveitou para informar os cidadãos sobre os portais institucionais e os sistemas de arrecadação de receitas que se encontravam em pleno funcionamento.
A gravidade do sucedido no BNA resulta da negligência e das embrulhadas da sua direcção no que toca à provisão de serviços adequados de cibersegurança, que são inaceitáveis e incompreensíveis numa instituição com a importância e a dimensão do banco central.
Veja-se. A 10 de Julho de 2023, o governador do BNA, Manuel António Tiago Dias (na foto), através do Despacho n.º 51/2023, sobre distribuição de pelouros, colocou sob sua coordenação directa o Departamento de Segurança Integrada, responsável pela segurança cibernética. Para consolidação do controlo da área de segurança, a 26 de Julho, passados 16 dias, Manuel António Tiago Dias nomeou o seu sobrinho, António Chessman Cardoso Neto, para o cargo de director do Departamento de Segurança Integrada, apesar de este ser internamente conhecido pela falta de qualificações académicas e competências para o efeito.
No mesmo ano, a 13 de Novembro, o governador do BNA lançou um concurso limitado por prévia qualificação (N.º 04/2023) para a “implementação e operacionalização do Centro Operacional de Segurança (SOC) do BNA”, que responde pela cibersegurança.
Esse concurso sobrepõe-se ao contencioso entre o BNA e a empresa Globlue Technologies Angola, Lda., parceira de uma empresa estado-unidense com o mesmo nome que havia sido contratada, a 28 de Julho de 2017, para a “implementação da Plataforma e do Centro de Monitoramento e Controlo do Sistema Financeiro da República de Angola”, incluindo cibersegurança, no valor global de seis mil milhões de kwanzas.
Nessa altura, o BNA pagou antecipadamente 70 por cento do valor do contrato, no valor arredondado de quatro mil milhões de kwanzas (na altura correspondente a 24 milhões de dólares). Este contrato incluía a instalação da sala de situações e operações (SOC) no BNA, assim como das infra-estruturas tecnológicas e de segurança cibernética.
De recordar que a Tell IT (ora New Cognitos) havia concorrido com a Globlue para a prestação do mesmo serviço pela quantia de 130 milhões de dólares.
Em 2018, já sob governo de José Lima Massano, o BNA suspendeu a implementação do projecto. No ano seguinte, remeteu o contrato com a Globlue à Procuradoria-Geral da República (PGR) para investigação criminal do anterior governador Valter Filipe Duarte da Silva e colaboradores relevantes.
Em 2020, o BNA contratou a consultora KPMG, que em Angola faz tudo, para a elaboração do plano de gestão de segurança cibernética, por um total de 135 milhões de kwanzas, ao que se seguiu uma adenda de 38 milhões de kwanzas, em Maio de 2023.
A 12 de Março de 2021, o então administrador executivo do BNA, Tavares A. Cristóvão (actual administrador do IGAPE), escreveu à Globlue a informar sobre a alteração do escopo do projecto que era objecto do contrato, para concentração exclusiva na apresentação de soluções de cibersegurança. Segundo o Ofício n.º 12/GGV/TC/2021, o projecto deveria ser concluído em Agosto de 2021.
Conforme documentação sobre a disputa entre o BNA e a Globlue, a prestadora de serviços não teve permissão para realizar e concluir o seu trabalho. O BNA acabou por lançar, em 2022, um novo concurso, por convite, para implementação de sistema de segurança cibernética.
Entretanto, esse concurso foi anulado pela Comissão de Avaliação, presidida por António Chessman Cardoso Neto, numa reunião dirigida pelo tio deste, Manuel António Tiago Dias, então governador em exercício. A incapacidade técnica das empresas convidadas foi avançada como argumento para a anulação do concurso. Estranhamente, é a mesma concorrente New Cognitos (ex-Tell IT) que é chamada para socorrer o BNA. É uma confusão que tem deixado o banco cada vez mais desprotegido.
Milhares de milhões para o lixo
A 22 de Dezembro de 2022, a Direcção Nacional de Investigação e Acção Penal da PGR decidiu arquivar o Processo n.º 40/2019, de investigação de Valter Filipe e seus pares na realização do contrato com a Globlue. No ano passado, a PGR, através do seu Departamento de Contencioso, assumiu a responsabilidade de dirimir o conflito entre o BNA e a Globlue.
O BNA decidiu deitar para o lixo mais de 24 milhões de dólares do erário público, sem que tal acto tenha desencadeado quaisquer processos civis e criminais contra os autores de tal desperdício. A Globlue Technologies tem exigido um pagamento adicional de 12 milhões de dólares ao BNA, incluindo o pagamento em falta e a indemnização por quebra de contrato.
A situação actual do BNA expõe a fragilidade de instituições essenciais do Estado angolano, que continuam entregues ao nepotismo, à incompetência e à negligência criminal. Como parece haver isenção de responsabilidade civil e criminal para membros escolhidos do actual regime, o BNA poderá continuar a ser gerido como o quintal da mãe Joana, onde se realizam sentadas familiares.
Como último exemplo da balbúrdia, o governador Manuel António Tiago Dias exonerou, a 26 de Julho de 2023, a sua madrinha de casamento, Teresa Nainde Evaristo Pascoal, do cargo de directora do Departamento de Inclusão Financeira, por ter passado à reforma, segundo o despacho nº 57/2023. Ora, no mesmo despacho, nomeou a referida madrinha para o cargo de directora do gabinete do Governador do BNA. Teresa Pascoal foi para a casa, mas ficou no gabinete do afilhado. Assim, ganha na reforma e como contratada.
As várias camadas de histórias que se cruzam em todos estes factos têm, como é evidente, implicações legais.
Essas implicações legais situam-se a dois níveis. O nível da responsabilidade civil e criminal dos vários agentes públicos envolvidos na adjudicação, revogação e atrapalhação contratual, bem como as práticas de nepotismo, e o nível da responsabilidade do Estado e suas instituições face a terceiros.
Comecemos pelo primeiro nível. Toda a história referente à contratação e descontratação de serviços de informática para o BNA apresenta indícios do crime de infidelidade (artigo 426.º do Código Penal) que se aplica a quem, por lei ou acto jurídico, tiver sido confiado o encargo de administrar, fiscalizar ou dispor de bens ou outros interesses patrimoniais de outrem e intencionalmente causar a esses bens ou interesses um prejuízo patrimonial relevante. Por sua vez, a nomeação contínua de familiares e amigos viola a Lei da Probidade Pública em termos já amplamente descritos nos textos publicados neste portal.
O segundo nível é o da responsabilidade do Estado e dos membros do governo do BNA. Pode acontecer que, fruto da culpa pela trapalhada contratual acima referida, que colocou em perigo a protecção dos sistemas informáticos do banco, vários dados privados de cidadãos e empresas se tornem do conhecimento público ou sejam usados pelos perpetradores dos crimes informáticos para obter vantagens. Ora, face à nova lei sobre o regime jurídico da responsabilidade do Estado e de outras pessoas colectivas públicas, quer o Estado, quer o governador do BNA ficam devedores de avultadas indemnizações aos cidadãos prejudicados. De facto, o artigo 7.º, n.º 1 da referida lei determina que o Estado e as pessoas colectivas públicas são exclusivamente responsáveis pelos danos que resultem de acções ou omissões ilícitas, cometidas com culpa leve pelos titulares dos seus órgãos, funcionários ou agentes, no exercício da função administrativa e por causa desse exercício.
Por agora, mais não se adianta. Parece, claramente, que estamos perante um caso em que a negligência (para dizer o mínimo) do governador do BNA vai levar a que as empresas e os cidadãos cujos dados tenham sido obtidos pelos piratas informáticos obtenham o pagamento pessoal, por parte do governador, de avultadas indemnizações. Mais um teste ao Estado de Direito angolano.