Quando, em 2010, chegou ao Sporting para ser o responsável pela administração do sistema informático do clube, David Tojal, agora com 36 anos, começou logo por “questionar a complexidade das passwords”. “As passwords tinham três caracteres e a maior parte era SCP”, declarou, despertando várias gargalhadas na sala de audiências do Campus da Justiça, incluindo a do arguido Rui Pinto — que é acusado de um ataque informático aquele sistema.

O técnico alterou, então, o nível de acesso e obrigou, entre outras medidas, a que fossem colocadas seis letras e números no código de acesso às caixas de e-mail. Mas pouco depois a direção pediu-lhe para voltar a facilitar a vida aos funcionários. “Era demais para a cabeça deles, mas mantive os seis caracteres”, disse na sessão desta quarta-feira. Ainda assim, sempre que atribuía uma nova password, ele próprio dava uma senha tipo SCP123 e recomendava ao utilizador que a mudasse depois, mas muitos não o fizeram.

O responsável lembrou em tribunal que os cerca de 50/60 servidores, para mais ou menos 600 funcionários, eram “bastante antigos” e que “não era fácil” geri-los. Foi tentando melhorá-los aos poucos enquanto ali trabalhou, até 2015 — altura em que o ataque que agora se atribui a Rui Pinto deitou todo o sistema abaixo, segundo a acusação do Ministério Público.

Contrato de Jesus levou origem do ataque à Hungria

Quando este ataque aconteceu, David Tojal lembrou-se de um contrato valioso que podia interessar a um possível pirata informático: o do treinador Jorge Jesus. O contrato que acabou por ser publicado no Football Leaks. “Percebi que só duas ou três pessoas o tinham”, da direção e do departamento jurídico, e que tinham acedido aos e-mails desses utilizadores através de um IP localizado na Hungria — onde Rui Pinto acabou detido.

PUB • CONTINUE A LER A SEGUIR

O técnico lembrou, também, que a certa altura os ataques deixaram de acontecer apenas à noite e de madrugada para passarem a “acontecer a toda a hora”.

Antes do seu testemunho, ainda de manhã, foi a vez da defesa de Rui Pinto confrontar o especialista da PJ que analisou o que se passou no dia 22 de setembro de 2015 com o sistema informático do Sporting, que terá sido atacado até colapsar.

Football Leaks. O disco RP3 que a PJ conseguiu desencriptar e as dúvidas da juíza: Rui Pinto fez isto tudo sozinho?

Nem o especialista da PJ, Afonso Rodrigues, nem o responsável pelo sistema informático do Sporting souberam, no entanto, localizar o momento em que o sistema colapsou. Apesar de David Tojal se lembrar de uma certa manhã de 2015 chegar ao trabalho e começar a receber várias queixas das dificuldades de acesso ao sistema, não sabe precisar a que dia foi.

O Ministério Público, no entanto, faz no despacho de acusação uma lista de dias em que os alegados piratas informáticos tentaram entrar no sistema, com e sem sucesso. Mas as dezenas de folhas de Excel exibidas em tribunal, durante esta quarta-feira, não mostram nenhum momento de manhã em que, de facto, o sistema tenha ficado completamente em baixo, sem permitir qualquer acesso. Os relatórios feitos na altura, e que David tem recorrido porque não trabalha na área desde então (agora tem uma “pequena empresa na área do turismo”) não demonstram quando é que o sistema de facto colapsou.

Arguidos, crimes, vítimas, datas, segurança. Guia rápido para acompanhar o julgamento de Rui Pinto

O ataque que a defesa tentou desconstruir

Depois da anterior sessão em que a juíza deixou claro que estava a julgar apenas uma pessoa e que tinha que perceber o raciocínio da PJ para colocar Rui Pinto sozinho no centro da investigação, e ainda pela manhã, o especialista da PJ tinha explicado que fora ele o responsável por analisar o ataque informático ao Sporting, a 22 de setembro, destacando quatro momentos diferentes desse dia: um acesso através da utilização ilegal de credenciais válidas e três outros acessos cujo único objetivo era deitar abaixo todo o sistema.

Nesse dia foram usadas 26.678  ferramentas de ataque, com escassos segundos entre eles para que o sistema não conseguisse responder-lhes e colapsasse como terá acontecido. “Humanamente é impossível um utilizador ou vários utilizadores fazerem tantos pedidos ao mesmo tempo no intervalo de 1 ou 2 segundos”, disse o polícia.

Mas consegue perceber quando é que o sistema colapsou?, perguntou-lhe depois a advogada Luísa Teixeira da Mota.

Não se consegue saber o crash, admitiu, sustentando que do documento que estava a exibir não se podia extrair essa conclusão.

Afonso Rodrigues contou, porém, que a análise aos acessos feitos ao sistema informático naquele dia 22 de setembro foi-lhe entregue em 2019, sem saber precisar quando e de quanto tempo precisou para o fazer. E que acredita que ninguém mais na PJ analisou assim ao detalhe os acessos aquele sistema informático. As suas conclusões culminaram num relatório que assume que o atacante estava a explorar as vulnerabilidade do sistema para tentar entrar e que, depois, o fez colapsar.

Não consigo aferir qual seria a intenção do ataque, acabou por dizer o especialista da PJ.

não sabe quantos dias durou a quebra porque só analisou um dia, ripostou a advogada, que lembrou que aqueles elementos chegaram ao processo quatro ano antes.

Sempre num ataque cerrado às provas exibidas pela PJ, Rui Pinto levantou-se várias vezes para dizer aos advogados o que deviam perguntar mais.

Também era bom ter o arguido a falar, acabou por ironizar uma das juízas.

Nós transmitimos tido o que ele nos transmite, apaziguou o advogado Francisco Teixeira da Mota.

“Sabe o que significa o código de erro 404?”, pergunta-lhe a advogada, transmitindo o recado de Rui Pinto. “Não estou muito certo, mas creio que é o erro de resposta de servidor web a dizer que a página está indisponível”, respondeu a medo o polícia. “E o 401?”, prosseguiu a advogada. “Não estou a ver…”. “Não sabe nada!”, reagiu Rui Pinto na sua cadeira visivelmente enervado com o depoimento do PJ — a polícia com quem agora aceitou colaborar.

As ameaças de morte a Rui Pinto (e de rapto do pai) que o levaram a aceitar colaborar com a justiça: “Receio pela minha vida”

Testemunha contradiz-se e põe acusação de pernas para o ar

Já à tarde, desta vez numa sessão mais curta que o habitual, David Tojal voltou a sentar-se na cadeira das testemunhas. De computador à frente, teve que explicar o significado de dezenas de ficheiros de Excel que traduzem todos os atos do sistema informático nos dias a que foram identificadas intrusões no sistema.

O problema — que ia deixando o coletivo ele próprio à beira do colapso — foi quando o Ministério Público (MP) percebeu que a interpretação que agora faz destes ficheiros, e que são a prova do processo, é diferente da que consta do despacho de acusação contra Rui Pinto. Na acusação o Ministério Público elenca algumas datas em que foram feitos acessos às contas de e-mail de pessoal do Sporting e outras em que estes acessos não foram conseguidos. Por exemplo, diz o MP que a 4 de agosto de 2015 houve tentativas falhas de entrar nos e-mails do vice-presidente do Sporting, Rui Caeiro, do técnico Augusto Inácio ou de Manuel Fernandes, agora comentador. Mas agora David Tojal, ao olhar para os documentos, diz que esses acessos foram conseguidos.

Então vamos ter que ver um a um, disse a procuradora do Ministério Público quando se apercebeu da contradição.

Um a um?, perguntou a juíza presidente Margarida Alves.

Não sei fazer isto de outra maneira, respondeu a magistrada do MP.

Já a 24 de julho de 2015, por exemplo, enquanto a acusação diz que se acedeu ilegalmente às contas de Tiago Vieira (filho do presidente), Augusto Inácio e do ex-presidente Bruno de Carvalho, agora nesta sessão de julgamento o então responsável pelo sistema informático veio dizer o contrário: o acesso não foi conseguido.

Por outro lado, há uma série de datas elencadas na acusação que o Ministério Público não consegue agora triar em tribunal e perceber se estão ou não corretas. “Então em que sustentaram a acusação?”, perguntou, a certa altura, a juiz presidente. “Há nos documentos em papel”, justificou a procuradora — onde não é possível usar a ferramenta “Find” (que no computador permite pesquisar por palavra) , neste caso com num Excel, e fazer uma pesquisa rápida em julgamento para perceber a que afinal se acedeu.

Depois de ter sido absolvido no processo do ataque à Academia de Alcochete e aos seus jogadores, o ex-presidente do Sporting regressa a tribunal, desta vez na condição de testemunha. Bruno de Carvalho está entre cerca de uma dezenas de testemunhas que serão chamadas a testemunhar durante a próxima semana por terem visto os seus e-mails violados. Assim será a agenda de testemunhas da próxima semana.

Também David, o ex-funcionário do Sporting, volta a tribunal com o compromisso de conseguir descobrir em casa quando é que, afinal, o sistema informático do Sporting colapsou.

Os 90 crimes que trazem Rui Pinto ao tribunal

Rui Pinto é acusado de 90 crimes por ter acedido aos sistemas informáticos e caixas de emails de pessoas ligadas ao Sporting, à Doyen, à sociedade de advogados PLMJ, à Federação Portuguesa de Futebol, à Ordem dos Advogados e à PGR. Entre os visados estão Jorge Jesus, Bruno de Carvalho, o então diretor do DCIAP Amadeu Guerra ou o advogado José Miguel Júdice. São, assim 68 de acesso indevido, 14 de violação de correspondência, seis de acesso ilegítimo e ainda por sabotagem informática à SAD do Sporting e por tentativa de extorsão ao fundo de investimento Doyen.

Aníbal Pinto, o seu advogado à data dos alegados crimes, responde pelo crime de tentativa de extorsão. Isto porque, segundo a investigação, Rui Pinto terá exigido à Doyen um pagamento entre 500 mil e um milhão de euros para que não publicasse documentos relacionados com a sociedade que celebra contratos com clubes de futebol a nível mundial. Aníbal Pinto, então advogado do hacker, terá servido de seu intermediário.

Rui Pinto. O rapaz do “cabelito espetado” que já entrava nos computadores da escola antes de ser o “John” do Football Leaks