Segundo a lenda grega, o todo-poderoso Zeus, em vingança pelo rapto do fogo por Prometeu, criou uma caixa que continha todos os males do mundo e todas as suas esperanças. A ordem de nunca abrir a caixa não durou muito tempo. Pandora, esbanjando dons e beleza, logo se casa com o irmão de Prometeu e, pouco depois do casamento, abre a caixa que lhe foi dada. A partir daí, todo o mal aprisionado na caixa escapa, aparentemente incapaz de ser recapturado até aos dias de hoje.
Foi este ou semelhante o resultado do interrogatório de um diretor de TI da Wirecard na sala de audiências da prisão de Munique-Stadelheim, em 17 de maio de 2023. A testemunha N. foi, até à insolvência da Wirecard, responsável pelas questões tecnológicas na Wirecard Europa e Ásia-Pacífico, exercendo funções de vice-presidente (VP). Foi uma das primeiras funcionárias da Wirecard, contratada em 2005 após um estágio de seis meses na empresa. Na altura, foi também o seu primeiro emprego a sério. Trabalhou inicialmente como programadora de software para a Wirecard durante 5 anos. É bem possível que, pelo menos durante os primeiros anos na Wirecard, tenha trabalhado com ou sob a direção de Jan Marsalek, que era inicialmente responsável pelo desenvolvimento de software. A partir de 2010, trabalhou como analista de negócios, dois anos mais tarde como Directora de Emissão no ambiente SAP e, dois anos depois, tornou-se Vice-Presidente para a Tecnologia, sendo então responsável pela supervisão das arquitecturas e sistemas de TI da Wirecard na Europa e na Ásia-Pacífico.
A testemunha N. afirma desde logo em tribunal que, durante o período em que foi VP de Tecnologia, reportava exclusivamente à diretora-geral Susanne Steidl. Afirma nunca ter tido qualquer contacto com Jan Marsalek ou com o Dr. Braun, que se senta a alguns metros à sua esquerda. Nem sequer através do Telegram, que era utilizado como principal ferramenta de comunicação interna para mensagens e chamadas - o WhatsApp não era permitido na Wirecard.
As coisas começam a ficar interessantes quando a testemunha N., interrogada pelo juiz presidente, começa a esclarecer as arquitecturas de TI da Wirecard. A Wirecard tinha poucos servidores informáticos próprios, tendo a empresa subcontratado os seus dados e aplicações a prestadores de serviços externos. Na sua sede em Munique, a Nordisk Networks era uma das empresas contratadas para o efeito. Havia também centros de dados na Áustria e no Dubai e alguns parceiros terceiros em Singapura e na Ásia tinham centros de dados próprios ou subcontratados. Aparentemente, coincidindo com o lançamento do
chamado "Elastic Engine" do Wirecard no início de 2019, registou-se um aumento na utilização de serviços em nuvem adicionais, ou seja, computadores subcontratados que armazenavam não só dados, mas também podiam executar a lógica do programa em nome do Wirecard. Algumas destas nuvens foram instaladas no gigante fornecedor de serviços de TI Amazon (AWS), em nada mais nada menos do que Toronto, no Canadá.
No entanto, no início de 2019, foi introduzida a então nova plataforma "Elastic Engine" do Wirecard, que finalmente permite uma avaliação fiável de ponta a ponta das transações de terceiros. Por conseguinte, o âmbito da auditoria foi alargado, mas devido ao elevado volume de transacções de 200 milhões de linhas de dados só para dezembro de 2019, simplesmente não houve tempo suficiente para a KPMG analisar completamente este conjunto de dados. A boa notícia é que a KPMG ainda conseguiu publicar uma avaliação preliminar que mostrava que os volumes de transacções eram consistentes com a contabilidade do parceiro e estavam corretamente reflectidos nas demonstrações financeiras.
Artigo
"Wirecard Bombs Again", de 4 de maio de 2020.
A peça-chave da arquitetura informática da Wirecard, denominada "Elastic Engine", podia ser replicada para funcionar num grande número de servidores. A testemunha N. afirma que houve pelo menos um pedido de externalização de todo o código-fonte a um parceiro terceiro, apresentado por Jan Marsalek algures em 2019. O projeto foi abandonado pouco tempo depois. É interessante notar também que, depois de o projeto ter sido encomendado, um funcionário chamado Manoj Sahu foi transferido para Toronto, no fornecedor de serviços na nuvem da Wirecard, para gerir estas instâncias na nuvem a partir daí. Sahu trabalhou diretamente sob a alçada de Jan Marsalek e, na maior parte das vezes, reportou apenas ao fugitivo COO da Wirecard. Este facto abre um leque de possibilidades, pelo menos teóricas, no que se refere às
relações da Wirecard com o Canadá e a PaySafe. Uma vez que o Elastic Engine pode ser considerado como uma porta de entrada de software que apenas distribuía pedidos de transacções em dinheiro para processamento posterior, a Wirecard necessitava de uma série de servidores e instâncias adicionais de processamento de cartões de crédito, localizados inicialmente no Dubai e mais tarde também em Munique.
Na sequência das discussões sobre as arquiteturas informáticas fundamentais da Wirecard, o tribunal parece abrir completamente a caixa de Pandora quando exibe algumas conversas por correio eletrónico sobre o monitor. Numa cadeia de mensagens de 2018,
Questionada sobre se os endereços FTP claramente reconhecíveis e as chaves de senha API para recuperar dados diretamente de computadores em rede significariam algo para ela, ela nega. Os logins de acesso confidenciais de há alguns anos, reconhecíveis por qualquer perito em TI a meio caminho, "não significam nada" para ela.
A testemunha N. pergunta a Toronto se não poderia ter uma visão precisa das arquitecturas de TI dos parceiros terceiros, bem como uma visão geral de todas as instâncias de nuvem. Foi-lhe dada a seguinte resposta:
"As instâncias de marca branca são fornecidas na nuvem, normalmente para os PSP. As instâncias de marca branca são executadas de forma autónoma na nuvem, nós apenas fornecemos o suporte técnico".
Outro dos grandes males da caixa de Pandora é libertado quando o juiz lança outro excerto de correio eletrónico de há vários anos para o monitor do tribunal. Questionada sobre se os endereços FTP e as chaves de senha API claramente reconhecíveis para recuperar dados diretamente de computadores em rede significariam alguma coisa para ela, ela nega. Os logins de acesso confidenciais de há alguns anos, reconhecíveis por qualquer perito em TI,
"não significam nada" para ela. A situação torna-se ainda mais pandémica quando o juiz apresenta no ecrã uma lista de 45 servidores globais na nuvem. Quando lhe perguntam se conhece esses servidores, responde, e passo a citar,
"não, nunca ouvi falar deles".
A caixa de Pandora ainda tinha algumas surpresas quando o tribunal perguntou sobre o volume real de transacções nos servidores da Wirecard. Esse número rondava os 40 milhões durante um bom mês, respondeu a testemunha, muito longe dos números previstos para o projeto "Vision 2025" da Wirecard a partir de 2019. A caixa de Pandora continuou a ser aberta quando declarações como
"Bellenhaus é uma máquina de fazer dinheiro, pensou que era um sistema eficaz para poupar impostos" foram proclamadas em tribunal. Ou que alguns empregados da Wirecard sabiam há já algum tempo que não havia literalmente nenhum empregado na Card Systems e que, desde há algum tempo, se interrogavam de forma autocrítica sobre
"quem é que está realmente a ganhar todo o dinheiro ali?
Igualmente empolgantes foram as questões relacionadas com o
gigantesco investimento do Softbank na Wirecard, muitas vezes demasiado despercebido, a partir de abril de 2019. Susanne Steidl, membro do conselho de administração e eleita uma das
100 mulheres mais influ entes de toda a economia alemã em 2018 e 2019 - e também uma das mulheres mais influentes do sector tecnológico do mesmo país na mesma altura - entrou subitamente no gabinete da testemunha e exigiu uma base de dados completa com todos os dados das transacções dos últimos anos, incluindo os confidenciais. Quando a testemunha perguntou se isso não era assim tão fácil de fazer e para que servia, a Sra. Steidl respondeu que
"Jan Marsalek precisava disso para o Softbank". Passadas algumas semanas, recebeu o ficheiro de cerca de 150 GB num pequeno disco rígido. Como se isso não bastasse, a testemunha confirmou que, algum tempo depois, Steidl lhe pediu uma segunda tabela de dados sobre todas as transacções financeiras, com informações ainda mais pormenorizadas.
Foi também impressionante ouvir a testemunha explicar que, num evento offshore em maio de 2019, as perguntas prementes dos próprios funcionários da Wirecard sobre quem era exatamente responsável pelas muitas vendas foram contrariadas com o argumento da Pandora de "grandes clientes que não estamos autorizados a mencionar
Aqui, na sala de audiências, foram também lidas as mensagens de correio eletrónico que afirmam ser alegadamente possível extrair parcialmente informações completas sobre cartões de crédito destas listas de dados.
Aparentemente, a lista eletrónica de cerca de 200 milhões de registos de transacções financeiras, entregue à KPMG para a sua auditoria especial, era apenas um subconjunto mais pequeno das duas listas Pandora acima mencionadas. As tabelas de dados da KPMG continham apenas 8 a 10 campos de colunas, ou seja, muito pouca informação para rastrear completamente as transacções. Devido ao grande número de listas e registos, a testemunha voltou a telefonar para Toronto para receber todos os dados de transacções relevantes dos seus servidores na nuvem. No entanto, um senhor simpático recusou-se imediatamente a fornecer informações pormenorizadas. Disse-lhe que ela não estava autorizada a obter dados aqui e clicou imediatamente no botão vermelho para terminar a conversa telefónica.
Também foi impressionante ouvir a testemunha explicar que, num evento offshore em maio de 2019, as perguntas prementes dos próprios funcionários da Wirecard sobre quem era exatamente o responsável pelas muitas vendas foram respondidas com o argumento da Pandora de
"grandes clientes que não estamos autorizados a mencionar". Pouco tempo depois, Susanne Steidl, membro do conselho de administração da Wirecard e anteriormente eleita super-gerente para toda a Alemanha, telefonou para evitar perguntas complementares e deixou claro que, a partir de então, estava proibido qualquer outro debate sobre este assunto.
A testemunha do VP da Wirecard conta ainda que raramente se tinha apercebido pessoalmente de qualquer comportamento invulgar por parte dos membros do conselho de supervisão e do conselho executivo. Exceto uma vez, em 2019, quando se esqueceu de pagar uma multa de estacionamento de um carro da empresa. O CFO von Erffa contactou imediatamente a testemunha e avisou-a, num tom severo, para que se abstivesse de tal comportamento no futuro, uma vez que custos desnecessários de cerca de 10 euros tiveram de ser pagos pela Wirecard em seu nome.
O Dr. Braun terminou o dia fazendo algumas perguntas, também sobre os baixos valores das transacções, que na realidade eram reservas líquidas relativas apenas à Europa e à Ásia-Pacífico. Aparentemente, Prject Aslam não foi incluído nas transacções, o que representou um valor adicional de 20 a 30 mil milhões. Além disso, os números que apresentou referiam-se apenas a 4 dos 11 países em que a Wirecard exercia a sua atividade. Quando o Dr. Braun perguntou quantos adquirentes estavam efetivamente ligados ao Payment Engine em 2019, a testemunha não conseguiu dar uma resposta.
Em todas as discussões e perguntas, incluindo as do Dr. Braun, surgiu um nome de empresa: One Stop Money Manager.
Aparentemente, um dos últimos males da caixa de Pandora.
Deixe um comentário:
Enviar
Este artigo é inteiramente criado e escrito por Martin D., um jornalista de investigação acreditado e independente da Europa. Tem um MBA de uma Universidade dos EUA e um Bacharelato em Sistemas de Informação e trabalhou no início da sua carreira como consultor nos EUA e na UE. Ele não trabalha para, não consulta, não possui acções ou não recebe financiamento de qualquer empresa ou organização que beneficiaria deste artigo até à data.
Apoiar o jornalismo de investigação independente. Compre-me um chá verde ou um café: