Por José de Souza Júnior* — A operação deflagrada pela Polícia Federal contra a quadrilha que conseguiu ar cerca de 3 mil contas vinculadas ao Gov.br — por meio de recursos tecnológicos de manipulação facial, como deepfakes, vídeos simulados e máscaras hiper-realistas — revelou um novo estágio na escalada dos crimes cibernéticos. Mais do que o desvio de benefícios ou o o não autorizado a serviços públicos, a vulnerabilidade afetou diretamente a credibilidade do sistema de identidade digital brasileiro.
Chama a atenção, sobretudo, o ineditismo da fraude: os criminosos exploraram brechas em métodos de verificação de vivacidade (liveness detection) — tecnologia criada para garantir que apenas o usuário legítimo, presente fisicamente, possa ar sua conta. Trata-se de um componente essencial dos modelos de autenticação sem senha utilizados pelo Gov.br. Infelizmente, o que antes era considerado uma barreira de alta segurança mostrou-se vulnerável a ataques bem estruturados.
As primeiras ondas de cibercrimes envolviam phishing e roubo de senhas. Atualmente, estamos diante de fraudes que contornam autenticações multifatoriais, como biometria facial e tokens. Tal inovação exige respostas proporcionais em regulação, tecnologia e cultura organizacional.
O grupo investigado atuava em duas frentes principais: de um lado, em nome de pessoas falecidas, solicitava resgates de valores residuais junto ao Banco Central; de outro, já com identidades reais e ativas, liberava empréstimos fraudulentos por meio do aplicativo Meu INSS. A divisão clara de funções — entre engenheiros sociais, técnicos em manipulação digital e operadores logísticos — indica um alto grau de profissionalização, comparável ao de estruturas corporativas. Eis o retrato da criminalidade como serviço, articulada em escala nacional.
Do ponto de vista legal, a conduta dos fraudadores configura diversos crimes: invasão de dispositivo informático, falsidade ideológica, uso de documento falso, associação criminosa e estelionato contra a istração pública. A isso se somam violações à Lei Geral de Proteção de Dados (LGPD), que exige medidas técnicas e istrativas para proteger informações sensíveis — como as biométricas — contra o não autorizado e tratamento indevido.
A crise também impõe protagonismo à Autoridade Nacional de Proteção de Dados (ANPD), que deve agir como ente coordenador em incidentes dessa natureza. A exigência de relatórios de impacto, notificações obrigatórias e transparência sobre falhas são os fundamentais para restaurar a confiança no sistema. A ANPD, nesse contexto, deve ultraar sua função orientadora e exercer com firmeza seu poder fiscalizatório.
Além disso, o país precisa criar um Centro Nacional de Resposta a Incidentes de Identidade Digital — nos moldes dos já existentes CERTs (Computer Emergency Response Teams). Esse centro pode operar em articulação com entes públicos, agências reguladoras e a iniciativa privada, inclusive, por intermédio de ambientes de teste regulatório (sandbox).
Ao cidadão, cabe também redobrar a atenção. O aplicativo Gov.br permite configurar níveis de segurança (bronze, prata, ouro), ativar autenticação em dois fatores e acompanhar o histórico de os. Diante de qualquer movimentação suspeita, recomenda-se alterar senhas, registrar boletim de ocorrência e notificar a Autoridade Nacional de Proteção de Dados. Havendo dano material ou moral, o caminho judicial está disponível, com base na LGPD e no Código Civil.
A identidade digital é o principal instrumento da transformação no setor público. Se ela não for segura, não haverá cidadania. E se o Estado não conseguir proteger o vínculo fundamental entre indivíduo e sistema — a prova de que uma pessoa é, de fato, quem diz ser — todo o rol de serviços digitais perde sua razão de existir.
A fraude biométrica no Gov.br não enganou apenas o computador: ela desafiou a integridade do Estado em sua face mais moderna — a representação eletrônica do cidadão. A tecnologia pode ser ludibriada; o Estado, não deveria.
Consultor em segurança cibernética, mestre em Direito e doutorando em business istration*
Saiba Mais
Direito e Justiça
Os principais aspectos da inovação no agronegócio
Direito e Justiça
Companhias aéreas não são obrigadas a transportar animais de e emocional
Direito e Justiça
"Sempre me senti vocacionada para a advocacia", relembra Rita Cortez
Direito e Justiça
Regime fiscal do Perse não se confunde com mero benefício fiscal
