Sign up to save your podcasts
Or
Share #392 – Gov.BR, empréstimo com garantia de celular e danos por vazamentos de dados
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#392 – Gov.BR, empréstimo com garantia de celular e danos por vazamentos de dados
Neste episódio comentamos as falhas de segurança no Gov.br, o bloqueio de celular por dívida e danos morais por vazamento de dados. Você irá entender os riscos e seus direitos.
Guilherme Goulart analisa incidentes de segurança da informação na plataforma Gov.br, incluindo fraudes por engenharia social e a exploração de vulnerabilidades na biometria facial. A discussão aprofunda a transferência de risco ao cidadão e a falta de transparência sobre as falhas. Você descobrirá detalhes da decisão judicial que proibiu o bloqueio de celulares como garantia em microcrédito, prática abusiva segundo o direito do consumidor. Por fim, o episódio detalha uma decisão do STJ sobre responsabilidade civil e a presunção de danos morais em fraude bancária decorrente de vazamento de dados, um marco para a proteção de dados e a LGPD.
Gostou do episódio? Siga o podcast, ative as notificações para não perder os próximos e avalie-nos na sua plataforma de áudio preferida
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 392, gravado em 16 de maio de 2025. Eu sou o Guilherme Goulart e, desta vez somente eu, sem o Vinícius Serafim, vou trazer para vocês algumas notícias — três notícias — destas últimas semanas que nós vamos discutir aqui. Então, pegue o seu café.
(00:26) No meu caso, já estou com o meu chazinho. Então, pegue a sua bebida preferida e venha conosco. Para entrar em contato conosco, você já sabe, é muito fácil. O nosso e-mail é podcast@segurançalegal.com, mas você também pode recorrer ao Mastodon, Instagram, Blue Sky e YouTube, onde, se quiser, além de nos ouvir pelo feed, pode nos ver lá no YouTube. Já pensou também em apoiar o projeto Segurança Legal? Acesse o site apoia.
(00:50) se/segurançalegal, escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Apenas para lembrar a quem nos acompanha há mais tempo, nós tivemos um problema com o PicPay. Antes, sugerimos que os nossos ouvintes fossem para o PicPay, pois era mais fácil e a taxa era menor.
(01:16) E aí, um determinado dia, o PicPay disse: “Não, não vamos mais receber valores para projetos”. Então, o que aconteceu foi que muitas pessoas que migraram para o PicPay não voltaram para o Apoia-se, e nós perdemos mais da metade dos nossos apoiadores nos últimos tempos.
(01:35) Então, se você está nos ouvindo e foi uma dessas pessoas que foi para o PicPay e não voltou, considere voltar a apoiar este podcast. Hoje, nós temos três notícias. Antes disso, não posso me esquecer de falar sobre o blog da Brownpipe. Se você acessar www.brownpipe.com.br, encontrará uma série de notícias, algumas das quais nós tratamos aqui.
(01:59) Acredito que duas das três notícias estão no blog, mas, de qualquer forma, você consegue ver uma série de notícias cuja curadoria nós fazemos semanalmente. Se quiser, também pode se inscrever no mailing, que as notícias principais nós encaminhamos por lá também. Você já pode aproveitar e conhecer os serviços que a Brownpipe presta em www.brownpipe.com.br.
(02:24) Bom, e mais uma questão. Estou com uma gripe que está alterando um pouco a minha voz, então já peço desculpas por essa voz um pouco mais anasalada que vocês terão que ouvir durante o episódio de hoje. A primeira notícia, então, diz respeito ao GOV.BR e ao que tem se tornado, na minha opinião, um grande desafio para toda essa disciplina de autenticação e de autorização, que é um ponto clássico da segurança da informação e que envolve justamente aqueles métodos.
(03:01) Aqueles métodos técnicos que permitem que pessoas consigam se identificar perante sistemas e, uma vez identificadas perante sistemas, realizar ações que elas sejam autorizadas a realizar. O que nós temos visto nos últimos tempos, sobretudo nestes últimos dois anos, 2025 e 2024, e alguma coisa em 2023 também, são alguns incidentes no GOV.BR que me parecem bem preocupantes e deveriam estar sendo muito mais falados e muito mais discutidos, não somente pela
(03:37) comunidade de segurança, mas também pelo próprio governo que se utiliza de um sistema. Para vocês terem uma ideia, ele é utilizado por 163 milhões de usuários aqui no Brasil e possibilita o acesso a mais de 4.500 serviços. Vejam, 4.500 serviços podem ser acessados mediante essa autenticação disponibilizada pelo GOV.BR.
(04:04) Claro que conhecemos aqueles mais comuns que provavelmente todos nós aqui usamos, seja a CNH digital, ou seja, a autenticação pelo GOV.BR nos dá acesso à CNH digital, a serviços do INSS, ao próprio e-CAC, que nos permite o acesso a serviços relacionados à declaração do imposto de renda. Eu até imaginei que fossem menos serviços; quando vi o número de 4.500
(04:36) serviços, fiquei realmente surpreso. E também, aqui do próprio site do Gov.br, as contas de nível ouro do Gov.br, ou seja, aquela que te permite ir mais além e fazer mais coisas, como, por exemplo, o e-CAC e a declaração de imposto de renda com a conta ouro, tiveram um crescimento de 98% nos últimos dois anos. No final de 2022, existiam 32 milhões de contas nessa categoria; o número passou para 63 milhões em dezembro de 2024, e as contas ouro são as mais seguras da plataforma do governo federal. Em primeiro lugar, e eu confesso para vocês, este é
(05:09) um tema no qual eu não me aprofundei muito, que é todo o arcabouço de regras que regulam o funcionamento do GOV.BR. Então, quando comecei a investigar um pouco algumas dessas normas, algumas eu já conhecia, claro, como a questão relacionada às políticas de segurança do governo federal e tudo mais, mas existe uma série de decretos e portarias, seja o decreto 8.936, de 2016, que começa com aquela ideia antiga — alguns talvez lembrem — da plataforma de cidadania digital, que visava à disponibilização
(05:41) de uma plataforma única e centralizada, mediante um nível de autenticação requerido para acesso, compatível com as informações e seguro. Há decretos federais, uma portaria da Secretaria de Governo Digital do Ministério da Economia de 2021, que define esses tipos de identidade — bronze, prata e ouro —, sendo essa última, a ouro, com acessos, como eu disse antes, um pouco mais avançados, e diretrizes sobre a Rede Nacional do Governo Digital. Ou seja, é complexo, é bem
(06:21) complexo esse arcabouço jurídico que regula e que permite tudo isso. E, claro, aquelas pessoas que vão estudar governo digital, que vão estudar direito administrativo e a relação com o digital, certamente terão um pouco mais de intimidade com todas essas regras. Vou colocar algumas dessas portarias ali no shownotes para quem quiser acompanhar ou começar uma investigação das regras que regulam todo esse sistema. Vou deixar ali no shownotes para quem tiver um pouco mais de curiosidade. Pois bem, chegamos na
(06:56) questão dos incidentes. Eu mapeei aqui quatro ou cinco incidentes, sendo que os últimos dois me parecem os mais interessantes. Os últimos dois têm até alguma questão da imprensa que eu vou querer ler e reproduzir para vocês aqui, apenas para situarmos o problema e depois fazermos algumas observações sobre o que, na minha opinião, seriam os maiores problemas que estão se demonstrando agora com esses incidentes. Lá em 2023, em outubro, uma notícia de uma jornalista cuja conta do Gov.br
(07:25) foi invadida; trocaram a senha e exigiram dinheiro para não divulgar dados do seu imposto de renda. Lembrando que hoje, e acho que na época isso já existia, agora não tenho certeza, mas hoje você tem uma série de mecanismos de segurança disponibilizados pelo próprio aplicativo do GOV.BR. Ou seja, você consegue tanto habilitar a autenticação de dois fatores como também autorizar aparelhos pela via do aplicativo do Gov.br instalado no seu celular. Então, se você é usuário do Gov.br,
(08:03) se você está nos ouvindo, é muito provável que seja usuário do Gov.br, mas, mesmo que não seja, este é um ponto interessante. Mesmo que você não tenha criado a conta, você potencialmente é um usuário. E se você não criou essa conta e não habilitou as proteções, mesmo que não seja usuário desse sistema, você está vulnerável a eventuais golpes ou invasões da sua conta.
(08:28) Então, se você é usuário do Gov.br e está nos ouvindo, mas não habilitou esses mecanismos de segurança via aplicativo, pare de nos escutar, vá lá, habilite esses mecanismos e depois volte aqui. Naquela época, provavelmente não havia essas proteções. Já em abril de 2024, e deste caso eu me lembro, e certamente vocês se lembram também, pois foi bem divulgado, foi a invasão do Sistema Integrado de Administração Financeira, o SIAF, que na época foi invadido por meio da invasão de contas do GOV.BR de alguns gestores de despesas
(09:08) desse sistema. O objetivo dos fraudadores, dos criminosos, ao invadir esse sistema, era desviar recursos. E, de fato, foram desviados 15 milhões, o que só foi possível diante da invasão do GOV.BR.
(09:33) Uma das hipóteses de acesso foi que os criminosos teriam realizado ataques de phishing para conseguir 16 senhas e, a partir daí, entrar no sistema e desviar esses recursos. Confesso que fiz uma pesquisa hoje para ver se descobria um pouco mais sobre esse tema, sobre o avanço dessas investigações, e não vi mais informações. Provavelmente avançou, mas não vi mais informações na imprensa.
(09:58) Então, se você sabe de mais informações, pode nos enviar que atualizamos nosso shownotes ou, se for o caso, falamos em uma próxima edição. Em dezembro de 2024, também houve notícias de que uma quadrilha estava sendo investigada por invadir contas do GOV.BR para fazer empréstimos e procurações, porque essa é outra coisa. Dependendo da sua conta, você consegue realizar a assinatura digital de documentos, inclusive de procurações, até mesmo para compra e venda de veículos, conforme veremos agora em outra
(10:29) fraude. E essa é uma questão importante. O GOV.BR não permite somente o acesso a esses sistemas que são cruciais para a sua vida digital perante o governo, mas também permite assinar documentos com validade jurídica, o que é importante dizer, que podem ser usados para relações entre privados, seja compra e venda de bens ou até mesmo a tomada de empréstimos. Ou seja, o problema e a expansão que a autenticação via GOV.BR proporcionou. E, claro, deve-se reconhecer que é
(11:07) inegavelmente um avanço. É algo positivo, me parece, que um Estado possua serviços governamentais eficientes que possam ser realizados pelas vias digitais. Mas a eficiência também deve estar conectada com a segurança do sistema, porque, senão, você subverte a lógica. Ou seja, por um lado, você permite o acesso facilitado a serviços e, por outro, vulnerabiliza os usuários.
(11:39) Agora, os dois últimos incidentes que mais me chamaram a atenção são de 2025, de maio deste ano. O primeiro deles foi uma notícia que trouxe à tona que a polícia desmantelou uma quadrilha que fraudava documentos pelo GOV.BR. E, claro, tem aqueles nomes superinteressantes das operações, aqui é a Operação Crypteia. Vou ler para vocês exatamente como se dava essa fraude: “As investigações revelaram que o líder do grupo, já cumprindo pena superior a 70 anos em uma penitenciária
(12:16) gaúcha, comandava a aquisição de veículos roubados e furtados no Rio Grande do Sul e em Santa Catarina. Esses veículos então eram adulterados por uma outra célula e, posteriormente, um estudante de tecnologia de 24 anos, residente no Rio de Janeiro, utilizava engenharia social para invadir contas GOV.BR dos proprietários dos veículos originais”. Ou seja, eles clonavam os veículos e buscavam invadir a conta GOV.BR do proprietário do veículo original que teria sido clonado, obtendo acesso à documentação veicular. Com o veículo clonado e com acesso aos
(12:51) documentos, os criminosos passavam a anunciar a venda do veículo em marketplaces por um valor abaixo do mercado, atraindo o interesse de terceiros que acabavam realizando a compra do veículo. Nesse momento, valendo-se do acesso fraudulento ao GOV.BR, um dos criminosos realizava a transferência de documentação do veículo original para a vítima.
(13:17) Esta, com a documentação e o veículo em mãos, ao buscar a vistoria do Detran, verificava que se tratava de um veículo produto de furto ou roubo. E aí a fraude já estava concluída, o dinheiro já tinha sido desviado e o comprador do veículo ficava com o prejuízo. Notem, e essa é uma questão que em geral na nossa área ocorre, e a gente está sempre comentando isso aqui, a imprensa não dá tantos detalhes. Então, aqui não dá para saber se estavam habilitados os níveis avançados de autenticação nessas contas que eram
(13:49) invadidas. Esse é um ponto importante. Lembrando que também teve outra situação, eu não trouxe aqui, mas agora me lembro, que também foi comentada aqui no podcast, sobre fraudes em que a alegação era que pessoas de dentro, pessoas que tinham contato com a infraestrutura técnica do GOV.BR, estariam manipulando esses acessos e permitindo o acesso não pela via de um hacking, não por um phishing que roubava a senha do usuário, mas sim por dentro do próprio sistema, o que me parece uma
(14:28) vulnerabilidade bastante importante e que, creio, não foi adequadamente tratada pela imprensa. Porque, vejam, são duas fontes de ataques aqui: fraudadores externos e ainda pessoas que, internamente, poderiam subverter a segurança do sistema.
(14:52) E me parece que essa segunda hipótese é mais grave. Porque no fraudador, no criminoso, você não tem confiança. Agora, o cidadão necessita e pressupõe a confiança no sistema. Pode não ser um sistema 100% seguro.
(15:12) Não existe sistema 100% seguro, mas vulnerabilidades internas que permitiriam essa manipulação são algo muito mais grave. E, veja, talvez indetectável do ponto de vista do usuário que tenha sua conta fraudada e que, eventualmente, pode não conseguir comprovar a origem dessa fraude, tendo que suportar o ônus, a impossibilidade de comprovar esse ônus, de que houve uma fraude, uma vez que ele pode não conseguir provas de que a fraude se deu por dentro do próprio sistema.
(15:41) E a última fraude, agora mais recente, que aconteceu em maio também, logo depois dessa, foi a Operação Face Off para desarticular um grupo suspeito de fraudar contas do Gov.br. O grupo teria invadido ao menos 3.000 contas e havia duas frentes: uma em que o grupo se passava por pessoas mortas para furtar dinheiro de falecidos em contas e outra em que se passavam por pessoas vivas para autorizar consignados e também acessar valores a receber do Banco Central. O Banco Central tem algumas ferramentas de valores que
(16:15) ficam a receber, que as pessoas não sacam. Enfim, a ideia seria essa. Qual a novidade aqui, também com pouquíssimas informações da imprensa? A descrição dada pelas reportagens é que o grupo usava, abre aspas, “técnicas de alteração facial para burlar sistemas de autenticação biométrica”. Aqui, uma pequena nota do editor.
(16:40) Logo depois que eu terminei a gravação, eu vi uma reportagem bem interessante aqui do Tilt, UOL, que vai ficar no shownotes também, em que eles trazem mais alguns elementos do que pode realmente ter acontecido.
(16:59) Eles entrevistaram especialistas nessa tecnologia, nessas tecnologias de inteligência artificial. Eles fazem ali uma diferença, acho que comentei antes, sobre as tecnologias de liveness, que seria o liveness passivo e o liveness ativo, que são aqueles que vocês já devem ter visto, quando a gente precisa movimentar o rosto, sorrir, enfim.
(17:27) Mas, em geral, movimentar para cima, para baixo, era uma ideia de dar realmente essa prova de vida, de que você não está diante de uma imagem. E eles fazem algumas considerações também, trazendo algumas hipóteses. Quem fala aqui é o Iago Kenji, um pesquisador e também presidente da ABRACIBER, Associação Brasileira de Segurança Cibernética. E as hipóteses interessantes que são colocadas aqui, com todas essas novas possibilidades trazidas pela IA de deepfakes ou até mesmo, a gente já viu, tem um cara famoso na internet que faz alguns deepfakes a título de quadro
(18:04) humorístico, e até coisas mais específicas, como impressões de máscaras e coisas desse gênero que seriam possíveis de ser utilizadas para burlar esses algoritmos. Mas, enfim, abriu-se agora com a IA também a possibilidade de se utilizar de imagens muito fiéis à realidade, com a quantidade de câmeras de alta definição, placas de vídeo, etc. Então, isso também poderia ter sido utilizado.
(18:37) Lembrando só que a gente não tem informações de qual é o tipo de tecnologia de liveness que era usada no GOV.BR, ou que é usada ainda. Sabendo também que, até em alguns testes e alguns serviços que foram feitos aqui na Brownpipe, conseguiu-se, com imagens e tudo mais, em algoritmos não tão eficientes de reconhecimento facial, burlar esses algoritmos. Mas essa é uma coisa bem conhecida dentro da segurança da informação.
(19:04) É possível fazer testes de invasão ou testes de segurança nessas tecnologias também. Então, fica só essa atualização desta notícia que saiu depois da gravação do episódio. O que emerge aqui, aparentemente, é que havia ou há algum problema na biometria do GOV.BR.
(19:28) Esse problema foi percebido, uma vulnerabilidade, para usar um termo técnico melhor, e essa vulnerabilidade foi descoberta e estaria sendo explorada. Qual o problema? O problema é que me parece que, por ser um sistema público, nós deveríamos ter a informação de qual é essa vulnerabilidade, se ela já foi resolvida ou não, porque, para este tipo de sistema, a opacidade nas informações não me parece a melhor estratégia. Eu até, enquanto falo aqui, estou acessando a nossa lista de episódios, mas nós
(20:04) inclusive gravamos um episódio já bem antigo, e eu não vou me lembrar do termo agora para procurar, mas era um episódio que falava justamente sobre quando, na segurança da informação, é desejável o sigilo de informações e quando não é, mais numa perspectiva de software livre e software de código fechado, e sobre como essas estratégias… até falamos um pouco sobre economia, sobre segurança da informação e economia na análise econômica do direito e também da
(20:42) segurança da informação. Infelizmente, aqui eu não estou achando o episódio, mas, enfim, falamos sobre isso no passado e me parece que, neste caso, pelo fato de se tratar de um sistema público e pela característica de transparência desses sistemas, o Estado deveria dar mais informações sobre o que exatamente aconteceu, porque, afinal de contas, somos todos nós que podemos, eventualmente, estar vulneráveis neste momento a ataques dessa natureza. Quais são os dilemas aqui?
(21:21) Eu acho que um primeiro ponto, um tema que a gente sempre comenta aqui também, é essa relação que ocorre na segurança entre o binômio segurança e conveniência, que é um dos grandes trade-offs do mercado de segurança. Aumentar a conveniência muitas vezes vai não somente criar novas situações de vulnerabilidade, algumas delas vulnerabilidades pessoais, nem sempre tecnológicas, mas quando falamos de possibilidades de um sistema estar apto a ser violado pela via de fraudes no sentido de
(21:59) engenharia social, nós temos uma vulnerabilidade ali pessoal. Ou seja, eu tenho que considerar numa matriz de risco da utilização de acesso a sistemas as eventuais possibilidades de fraudes pela via da engenharia social. Então, este aqui é o primeiro ponto: aumentar a conveniência pode diminuir a segurança, o que, na maioria das vezes, é o que acaba acontecendo.
(22:33) Em alguns casos, a opção por, por exemplo, migrar um sistema que antes era físico para o ambiente digital vai transferir o risco de uma pessoa para outra. A partir do momento em que um sistema bancário, falo do sistema bancário brasileiro, permite abrir contas à distância, realizar transações financeiras à distância, alguns dos riscos dessas operações… veja, o CDC impede essa transferência de risco, mas na prática é um fato que alguns desses riscos serão transferidos.
(23:06) Claro que as instituições financeiras obviamente trabalham para mitigar esses riscos, mas há uma transferência de risco. Eu gosto sempre de dar o exemplo para ver como segurança é uma questão complexa e multifacetada. Não é só tecnologia; tem uma série de coisas envolvidas. Pense nessas chaves eletrônicas de carro. Não é algo novo.
(23:25) Você tem lá um mecanismo, um sistema, acho que com chaves… O Vinícius saberia explicar melhor, com criptografia, chave pública e privada, eu imagino. O Vinícius saberia explicar melhor isso, mas você só consegue ligar o carro com aquela chave encriptada. Antigamente, você abria o carro, fazia uma ligação direta e conseguia ligar o carro sem a presença daquela chave. O que essa opção técnica faz com a segurança dos donos
(24:01) dos carros? Do ponto de vista do ladrão, do cara que quer roubar um carro, o que vai acontecer é que ele vai precisar da chave. Logo, ele vai precisar ter um contato físico com o proprietário. Ou seja, ele precisa retirar a chave do proprietário para pegar o carro.
(24:21) Ou ele ataca o proprietário quando estiver entrando no carro ou quando o proprietário estiver no carro. Ele vai precisar retirar à força, com violência, o proprietário de dentro do carro. Note que isso é uma transferência de risco para o proprietário. Tudo bem, não se consegue mais furtar o carro do sujeito, mas, ao mesmo tempo, ele fica exposto a situações em que o criminoso precisa ter um contato físico com ele, expondo-o a situações de risco de vida, até mesmo. Então, notem: quando eu faço uma escolha para permitir que
(24:53) todos os sistemas governamentais sejam acessados pela mesma via, eventuais problemas nessa seleção e nessa gestão de riscos podem acabar transferindo para as pessoas algumas responsabilidades com as quais elas não estavam acostumadas a lidar.
(25:15) Vamos pensar na nossa vida cotidiana hoje, com a responsabilidade que acabamos tendo — e aqui falo da palavra responsabilidade não no âmbito jurídico, mas talvez como um ônus que acabamos recebendo — de ficar o tempo inteiro reagindo a tentativas de fraude telefônicas, muitas vezes criativas, seja por e-mail, seja por telefone. Hoje, todo mundo fica recebendo ligações cotidianas com fraudadores tentando te enganar, basicamente para retirar dinheiro. Mas, nesses casos do Gov.br, as
(25:50) fraudes são muito mais sofisticadas. Será que as pessoas estão preparadas para lidar com esse novo cenário? Veja, preparadas em vários sentidos. Por exemplo, quando falamos em assinatura digital, sabemos pela Medida Provisória que há uma presunção de veracidade da assinatura digital sendo realizada, ou seja, de algum documento assinado digitalmente com o uso da chave privada da pessoa, o que faz com que, em caso de fraude, e por essa presunção de veracidade, seja o titular da chave privada que vai
(26:30) precisar comprovar que ele não assinou aquele documento naquelas circunstâncias. Ou seja, inverte-se o ônus da prova. E note, é muito bom, muito interessante, assinar à distância e tudo mais, mas você tem o ônus de proteger a sua chave privada de uma forma absurda.
(26:52) Com o GOV.BR, eu já consigo assinar documentos também com a mesma perspectiva de validade por dentro do sistema do GOV.BR, sem, no entanto, por exemplo, conseguir proteger ou manipular minha chave privada. Aquilo é feito pelo próprio sistema. E me parece que é uma situação importante de falarmos aqui também. E, claro, todo esse problema de transferência de risco se torna mais crítico quando pensamos, e aí para nós, para vocês que estão nos ouvindo aqui, para a nossa audiência, que provavelmente têm uma intimidade maior com sistemas eletrônicos, com fraudes, é uma coisa que estamos falando todos os
(27:37) dias aqui. Mas não somos imunes, viu, gente? Troy Hunt, um grande pesquisador, dia desses caiu num phishing. Não lembro se já falamos no episódio aqui, mas imagine: um dos maiores pesquisadores de segurança do mundo foi pego num momento em que estava cansado, chegou num evento e caiu no phishing. Então, nós não somos invulneráveis a ataques.
(28:07) Mas o que eu queria dizer é sobre todo esse grupo de pessoas hipervulneráveis: pessoas idosas, pessoas que não têm nenhum conhecimento de tecnologia, que de repente têm diante de si a possibilidade de realizar o acesso a uma miríade de serviços pela via do GOV.BR, mas que, ao mesmo tempo, não estão preparadas para lidar com os riscos.
(28:31) Vejam, riscos estes que lhes foram transferidos, pelo menos de agir diligentemente diante de tentativas de ataques. Pense numa pessoa idosa que recebe uma ligação e não vai conseguir lidar com isso. E, pior, o problema acaba sendo este: mesmo que uma pessoa não seja usuária do sistema, que ela não tenha criado a conta no Gov.br, ela está vulnerável, porque outras pessoas podem criar a conta em nome dela. Basta pensar no que vimos recentemente, que já começa a se desenrolar nessa fraude do INSS. Algumas situações em que
(29:10) haveria invasões pelo Gov.br para empréstimos. E já estariam tomando medidas adicionais por conta disso. Então, me parece que não se está levando em consideração também esse cenário de que as pessoas, sobretudo os hipervulneráveis, pessoas idosas e até mesmo pessoas que não têm conta, podem acabar entrando em situações em que fraudes serão cometidas e elas não conseguirão lidar com essa situação. Dou um depoimento aqui: nós pudemos acompanhar uma situação de uma pessoa
(29:44) que, na época, alegou uma fraude. Ela diz que houve uma fraude porque aconteceu algo que ela diz que não fez, então foi feito por alguém sem a sua autorização. Ao tentar resolver o problema perante o GOV.BR, ela enfrentou problemas muito grandes, tanto de comunicação, de registro disso, de um contato extremamente burocrático. E, no final das contas, ela queria inclusive os logs, pelo menos para saber quais os endereços de IP que
(30:22) teriam acessado a sua própria conta. Ou seja, o próprio usuário pedindo o acesso aos logs da sua própria conta. E isso foi negado para ela. Ou seja, ela precisaria de uma ação judicial se quisesse levar a questão adiante. Notem, essa deveria ser uma funcionalidade padrão do GOV.BR.
(30:42) Sistemas absurdamente menos críticos possuem isso. Inclusive, a ISO 27002 fala sobre isso. Você mostra lá o seu último logon, que foi em tal dia, tal hora, e veio do IP tal. É uma coisa super simples com a qual você consegue, pelo menos, identificar situações de acessos não autorizados.
(31:01) O próprio Gmail é assim. Tem um botão, você clica ali e consegue ver o endereço de IP, a hora dos logons e o dispositivo que foi utilizado. Então, diante deste caso específico que presenciamos, me parece que o governo deveria avançar para ter um centro de gestão de incidentes, especificamente para o GOV.BR, em que as pessoas atingidas pudessem ter um diálogo, uma comunicação e uma forma mais eficiente de resolução. Lembrem-se, negou-se o acesso a dados pessoais do próprio titular.
(31:39) Ou seja, tem um problema de Lei de Proteção de Dados aí, porque o sujeito tem o direito de ter acesso aos seus dados pessoais, se for uma conta sua, aos dados de endereços de IP que acessaram sua conta sem a sua autorização. Isso é o básico do básico. Então, ficam essas reflexões sobre o caso GOV.BR.
(32:03) Vamos ver o que vem a seguir e vamos ficar atentos. E, mais uma vez, se você chegou aqui, tem conta e não fez os registros, a habilitação do segundo nível de autenticação e a autorização de acesso pelo aplicativo, faça isso neste exato momento. Bom, a outra notícia que eu preparei para este episódio foi um caso que também me chamou bastante atenção na época.
(32:41) Nós gravamos sobre isso lá no episódio 305, do dia 18 de fevereiro de 2022, portanto, há mais de 3 anos. Episódio 305, “Telefone como garantia”. Eu não sei se vocês lembram dessa questão. Pessoalmente, fiquei muito afetado, foi uma coisa que me tocou, porque, na época, a questão era uma prática que envolvia a realização de empréstimos tendo o celular como garantia.
(33:19) De forma bem resumida, até porque já estamos com 30 minutos e eu já começo a perder a voz, mas não vamos deixá-los sem episódio. Como funcionava? De forma bem resumida, a pessoa, ao solicitar o empréstimo, poderia obter taxas mais baixas. Essa era a propaganda. Só que, na verdade, as taxas não eram mais baixas. Taxas de juros remuneratórios desse empréstimo, caso ela desse seu celular como garantia.
(33:43) Mas não se tratava de uma garantia do celular enquanto objeto. Não era uma questão da propriedade do celular, não era como uma alienação fiduciária, como você faz com veículos e imóveis, por exemplo. Não era essa a ideia. A ideia é que essas empresas instalavam, você tinha uma dinâmica que era por meio da instalação de aplicativos, inclusive por fora da loja de aplicativos do Android; só funcionava com Android. E depois, outras empresas também começaram a
(34:21) realizar uma situação semelhante usando o Samsung Knox, que é, inicialmente, uma plataforma, um sistema usado para o controle corporativo de celulares, para você poder bloquear, ter acesso aos dados e tudo mais.
(34:44) Mas isso estava sendo usado para que pudesse ser realizado o bloqueio do celular em caso de inadimplemento da dívida. Então, o sujeito pedia o empréstimo, dava o celular como garantia, mas na verdade o que acontecia é que ele instalava um aplicativo ou habilitava, via Knox, o acesso da financeira que emprestava o dinheiro e, caso houvesse inadimplemento, essa financeira bloqueava as funções do celular até que o devedor pagasse sua dívida.
(35:19) Isso chamou bastante atenção na época, e fizemos várias observações. Você pode ouvir lá no episódio 305. Mas o que me chamou bastante atenção, conforme vamos ver agora, é que muitas dessas observações — claro, acho que não ouviram nosso episódio, embora o promotor, o Paulo Roberto Binicheski, nosso conhecido, com quem já me encontrei em algumas situações e que tem um livro muito famoso sobre responsabilidade dos provedores…
(35:46) Embora a gente tenha esse contato, acredito que ele não deva ter ouvido o episódio, mas é interessante, porque várias das coisas que falamos acabaram se refletindo como fundamentos, no sentido de que era algo meio óbvio. Quais foram nossas observações na época? Nós considerávamos essa prática como abusiva por várias razões.
(36:13) Primeiro, porque essas modalidades de microcrédito eram direcionadas para pessoas, inclusive, que estivessem negativadas, ou seja, pessoas mais vulneráveis ainda. Essas pessoas, além de estarem nessa situação de vulnerabilidade por já estarem negativadas, muitas vezes não conseguiam entender exatamente quais as consequências dessa possibilidade de bloqueio. Então, nos posicionamos na época de que essa era uma prática abusiva, que seria, inclusive, uma cobrança abusiva, já que limitava o uso do celular, entendido como um bem essencial. E isso foi reproduzido na decisão que vou
(36:54) falar um pouquinho, mas foi reproduzido na decisão. Por quê? Porque o celular hoje acaba sendo um meio para acesso a uma série de contas ou serviços que você não consegue acessar sem ele. Estamos falando sobre GOV.BR aqui, que até pode ser acessado de outras formas, mas serviços públicos, carteira de motorista digital, por exemplo, o Meu INSS, toda essa questão que está
(37:32) acontecendo agora sobre as fraudes, tudo isso é acessado pelo celular. Você fala com pessoas por aplicativos como o próprio WhatsApp, que se tornou um aplicativo onipresente nos celulares, pelo menos no Brasil. E até mesmo outros serviços bancários. Ou seja, o sujeito tem o celular dele bloqueado e sequer consegue acesso à conta dele, porque em alguns bancos hoje, para que você acesse pela web, tem que liberar o acesso pela via do celular. Então, isso coloca a
(38:10) pessoa em uma situação bastante delicada. E na época também eu me manifestei que, embora não se tratasse de consolidar a propriedade do celular com a financeira, como se faz na alienação fiduciária, porque não era disso que se tratava.
(38:34) Inclusive, na própria decisão se comenta que a financeira nem tinha interesse em obter a propriedade do celular; não era disso que se tratava. Ela queria justamente implementar uma prática para coagir a pessoa, ilegalmente, a realizar o pagamento. Então, na época eu disse que seria uma restrição exagerada ao direito de propriedade, porque, na verdade, ao bloquear o celular, você bloqueia também as possibilidades de uso, os poderes inerentes ao domínio da propriedade: uso, gozo e disposição. Você limita um dos poderes ou faculdades inerentes ao direito de
(39:13) propriedade do próprio telefone celular. Então, na época, depois de todos esses comentários, o Ministério Público do Distrito Federal, como eu já disse, pela via do promotor Paulo Binicheski, e também o IDEC, entraram com essa ação pública, isso lá em 2022. Corta para 2025 e sai agora a decisão em apelação, seguindo bem na linha daquilo que afirmamos. Considerou a prática abusiva, obrigando as duas rés a não mais firmar esse tipo de contrato com garantia de celular. Houve um pedido também de indenização por danos morais
(39:55) coletivos de R$40 milhões, mas as empresas não foram condenadas a pagar esses danos morais coletivos. Em resumo, reconheceu-se que essa seria uma prática abusiva, que era uma coação indireta e ilegal para o pagamento da dívida, e que o celular é, sim, um bem essencial. Mas eles foram mais além. A tese da decisão era de que a restrição ao uso do celular, enquanto bem essencial, compromete outros direitos fundamentais. Olha que interessante. Eu diria até proteção de dados. Você fica inviabilizado de ter acesso a
(40:34) alguns dados, compromete-se aí o direito fundamental à proteção de dados. Esse bloqueio antecipado impediria, inclusive, eventuais discussões sobre a natureza da dívida ou sobre o eventual abuso de juros, por exemplo, e que seria uma execução extrajudicial sem o devido processo legal.
(40:58) E, no fim das contas, reconheceu e apontou a hipervulnerabilidade desses consumidores envolvidos, destacando que as taxas, que alegadamente seriam mais baixas, na verdade eram muito mais altas, girando em torno de 14,9% e 18,5% ao mês. Portanto, demorou um pouquinho, três anos, mas finalmente vimos o que, na minha opinião e na opinião também do Tribunal de Justiça do Distrito Federal e dos Territórios, foi considerada uma prática abusiva e que não deve mais se repetir. Um bom sinal, uma boa decisão, ao lidar com o patrimônio das pessoas e também com a vulnerabilidade. Note que
(41:38) temos a vulnerabilidade nessas duas notícias e na terceira que eu vou ler agora, que também é um pouco mais jurídica, mas tem a ver com proteção de dados. Todas as três envolvem a consideração da vulnerabilidade dos usuários e dos titulares de dados pessoais. Bom, vamos à terceira.
(41:55) Antes que minha voz acabe, tivemos uma decisão recente e me parece que é uma das decisões mais importantes dos últimos tempos ao definir os contornos da responsabilidade por vazamento de dados pessoais e também ao tratar sobre o dano pelo vazamento de dados pessoais, que eu acho que é um dos temas mais interessantes dessa disciplina e uma das grandes questões da proteção de dados. Ou seja, como eu defino a ocorrência do dano pelo vazamento de dados pessoais? Colocado de uma outra forma mais simplista: toda vez que houver um vazamento de dados pessoais,
(42:33) há um dano indenizável? A resposta, de início, é não. Mas, ao mesmo tempo, notamos que os tribunais têm tido, ao longo dos últimos anos, uma certa dificuldade em definir quais são esses parâmetros. Sabemos, repito, que o mero vazamento por si só não gera o reconhecimento do dano.
(43:03) Eu preciso de outras circunstâncias coligadas ao vazamento que vão demonstrar, seja o dano patrimonial — e esse fica mais fácil no caso de fraudes; o sujeito é vítima de uma fraude, paga um boleto falso, como foi este caso aqui. Se a fraude foi habilitada pelo vazamento de dados, teremos aí a responsabilidade da instituição financeira, definida pelo próprio STJ nesses dois casos e em outros, de que se o vazamento foi a causa ou habilitou a fraude cometida por
(43:41) terceiros, eu tenho a indenização pelos danos patrimoniais. Ou seja, o sujeito pagou um boleto de R$1.000 que não deveria pagar. Ou se considera o pagamento do falso boleto como apto a pagar a dívida junto à financeira.
(44:03) Inclusive, tem no direito das obrigações a figura do credor putativo. Ou, se for o caso, ele pagou um boleto que não deveria, o banco restitui esse valor, e aí eu tenho uma responsabilidade e um dano patrimonial, em dinheiro. Claro, não é fácil definir os contornos do dano. Um dos argumentos incorretos que já vimos na jurisprudência seria: “Ah, só há dano extrapatrimonial, ou seja, dano moral, se os dados forem sensíveis”. A lei definitivamente não fala sobre isso, mas o que tivemos foi a fixação da tese pelo STJ de que, se houve o vazamento de dados sensíveis,
(44:44) o dano é presumido. Um caso recentíssimo envolvendo uma seguradora em que vazaram os dados da declaração de risco do sujeito, inclusive dados de saúde, portanto, dano moral presumido. O problema é que, para fora dos danos morais presumidos no caso de dados sensíveis, mesmo dados pessoais não sensíveis terão o condão de causar uma série de danos. Claro, quando falamos de responsabilidade civil, não basta a violação da lei. Eu preciso da violação
(45:22) da lei e que essa violação cause um dano à pessoa. E aí chegamos ao ponto: quando, então, o vazamento de dados pessoais poderia causar danos extrapatrimoniais, ou seja, danos morais? E isso vem… poderíamos pensar na nossa vida mesmo. Como um vazamento poderia nos causar um dano moral, um dano que atinge nossos direitos da personalidade? Aqui seria todo esse abalo emocional que alguém tem ao perceber que
(46:00) seus dados foram vazados, a incerteza, a insegurança de que alguma coisa pode acontecer, a situação de alerta, de constante intranquilidade, de receio. Você tem que estar sempre atento. Como vou resolver isso? Até mesmo para nós, que temos conhecimento nessa área, enfrentar um vazamento de dados pessoais, mesmo que não sejam sensíveis, é algo que compromete nossa moral, que causa abalos morais, mesmo que sejam dados cadastrais. Dependendo do contexto, a
(46:37) depender de onde meus dados cadastrais estavam, pode dizer mais. Se forem dados cadastrais de um determinado serviço qualquer, pode me vincular a um certo tipo de orientação. Pode até ser uma situação em que a relação do dado cadastral com um tipo de serviço poderia criar uma situação sensível. Vazamento de dados cadastrais de um hospital de câncer.
(47:02) Bom, aí não são somente os dados cadastrais, são os dados cadastrais relacionados com uma situação de fundo. E, além do que, não podemos nos esquecer que privacidade é um direito autônomo em relação à proteção de dados. Logo, em uma violação de dados pessoais, eu poderia também violar a privacidade, e aí eu teria o dano moral pela violação também da privacidade. E o que torna essa situação mais complexa na prestação de serviços financeiros? É que, por mais que esses serviços financeiros não sejam protegidos por sigilo, eles não se encaixam na categoria de dados sensíveis
(47:45) lá da LGPD — dados relacionados à saúde, orientação política, sexual, genéticos. Ou seja, por mais que o vazamento de dados financeiros tenha o condão de causar danos patrimoniais para a pessoa, esses dados, pela lei, não são considerados sensíveis.
(48:10) Não poderiam se encaixar naquela outra decisão que comentei antes, em que se presume o dano moral pela violação de dados sensíveis. Pois bem, o que aconteceu agora? Vimos essa decisão recente, lá do STJ, número 2.108.785-4, que reconheceu a presunção de danos morais pelo vazamento de dados pessoais nas situações em que esse vazamento habilita a realização de uma fraude bancária, uma fraude financeira. E se apontou literalmente a questão da sensação de insegurança do titular dos dados.
(48:46) E eu acho que foi uma evolução muito bem-vinda para a nossa jurisprudência e que aproximou esse entendimento, embora a decisão não tenha referenciado esta outra decisão que vou comentar agora, que foi um acórdão do Tribunal de Justiça da União Europeia de 2024, que reconheceu a existência de danos morais nos casos de vazamentos. Ou seja, reconheceu que, nos casos de vazamento de dados, pode existir um dano moral baseado no receio de danos futuros. Ou seja, a pessoa que tem seus dados vazados,
(49:28) mesmo que esses dados não tenham sido utilizados, a circunstância de colocar esse titular em uma situação de receio de que os dados podem ser usados no futuro, de que esses dados estão na posse ou no poder de pessoas não autorizadas, de criminosos que você não sabe quem são…
(49:48) Lá na União Europeia, aliado à própria perda de controle desses dados, considerou-se que esse era um dano moral, um dano extrapatrimonial indenizável. E aqui, qual foi o caso concreto? A correntista foi vítima de um golpe de boleto, e esse golpe só foi permitido porque os fraudadores tinham acesso a dados do seu financiamento bancário: CPF, modelo do veículo financiado, número de parcelas a vencer e até o valor das próprias parcelas.
(50:18) Então, o fraudador, diante do acesso ilegítimo a esses dados, consegue realizar um ataque de engenharia social muito factível.
(50:38) Afinal de contas, a pessoa recebe uma ligação de alguém que se comporta como um funcionário da instituição financeira, com todas essas informações, e é levada ao erro. Mas veja, ela só é levada ao erro… claro, em outras decisões em que não há esses dados, a jurisprudência tem reconhecido que, sem os dados, seria uma falha no dever de cuidado da pessoa, uma culpa exclusiva da vítima ou do correntista ao não adotar as cautelas necessárias, o que é bem discutível, porque haveria uma transferência de risco. Mas o fato aqui é que a
(51:12) fraude fica muito mais confiável. Então, nessas situações, presume-se que os dados vazaram da instituição financeira e que, portanto, isso demonstraria uma falha grave de segurança, reconhecida assim pela LGPD. E a grande novidade dessa decisão, e por isso que ela está aqui, é que, a partir de agora, no caso de vazamentos, eu tenho um descolamento, eu tenho dois danos aqui.
(51:45) Tenho o dano patrimonial, que se dá pela devolução dos valores ou pelo reconhecimento da validade daquele pagamento. Ou seja, eu paguei o boleto falso. Então, por conta de tudo isso, a financeira deveria considerar que aquele pagamento é válido, a figura do credor putativo que comentei antes.
(52:02) Isso é o dano patrimonial. Mas agora, a novidade foi reconhecer que, junto com o dano patrimonial, reconhece-se o dano extrapatrimonial. São dois danos autônomos que merecem uma indenização igualmente autônoma, e se presume o dano moral nos casos em que o vazamento dos dados habilitou a fraude. São, portanto, dois danos autônomos provenientes da mesma situação.
(52:38) Vou ler um trechinho da decisão: “A configuração do dano moral decorre do evidente sentimento de insegurança experimentado pela parte ao perceber que seus dados foram disponibilizados indevidamente para terceiros, favorecendo a prática de atos ilícitos ou contratações fraudulentas por eventuais terceiros de má-fé”. Parece-me, então, para terminar, que essa é uma decisão extremamente importante.
(53:03) É um reconhecimento de um dano que a jurisprudência vinha vacilando em considerar, claro, numa perspectiva de fraudes financeiras. Mas o que eu espero é que as decisões judiciais vão ter que se adaptar a esse precedente, e ele deve influenciar outras decisões também, porque sempre havia uma certa dificuldade de reconhecer o dano moral pelo vazamento de dados não sensíveis.
(53:36) E o que vimos agora, repito, nessa perspectiva de serviços financeiros, que eu sei que é bem típica, o que acredito e espero é que isso vá influenciar também outras decisões.
(53:55) Porque, no final das contas, a Lei Geral de Proteção de Dados visa à proteção do titular, e muitas vezes não vemos essa proteção acontecendo por uma série de razões. Acredito que foi um passo interessante. Ah, mas é uma decisão alinhada com o que a União Europeia tem feito?
(54:14) Aliás, a União Europeia, para quem acompanha as decisões, é muitíssimo mais rígida na fixação de danos morais pelo vazamento de dados. Mas, então, houve essa aproximação. É uma bela decisão. E com isso, vou terminando o episódio de hoje. Sozinho aqui, para não deixar a peteca cair. Na próxima, voltaremos juntos.
(54:36) Mas agradeço a audiência de todos e todas. Espero que o episódio de hoje tenha sido proveitoso e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio comentamos as falhas de segurança no Gov.br, o bloqueio de celular por dívida e danos morais por vazamento de dados. Você irá entender os riscos e seus direitos.
Guilherme Goulart analisa incidentes de segurança da informação na plataforma Gov.br, incluindo fraudes por engenharia social e a exploração de vulnerabilidades na biometria facial. A discussão aprofunda a transferência de risco ao cidadão e a falta de transparência sobre as falhas. Você descobrirá detalhes da decisão judicial que proibiu o bloqueio de celulares como garantia em microcrédito, prática abusiva segundo o direito do consumidor. Por fim, o episódio detalha uma decisão do STJ sobre responsabilidade civil e a presunção de danos morais em fraude bancária decorrente de vazamento de dados, um marco para a proteção de dados e a LGPD.
Gostou do episódio? Siga o podcast, ative as notificações para não perder os próximos e avalie-nos na sua plataforma de áudio preferida
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 392, gravado em 16 de maio de 2025. Eu sou o Guilherme Goulart e, desta vez somente eu, sem o Vinícius Serafim, vou trazer para vocês algumas notícias — três notícias — destas últimas semanas que nós vamos discutir aqui. Então, pegue o seu café.
(00:26) No meu caso, já estou com o meu chazinho. Então, pegue a sua bebida preferida e venha conosco. Para entrar em contato conosco, você já sabe, é muito fácil. O nosso e-mail é podcast@segurançalegal.com, mas você também pode recorrer ao Mastodon, Instagram, Blue Sky e YouTube, onde, se quiser, além de nos ouvir pelo feed, pode nos ver lá no YouTube. Já pensou também em apoiar o projeto Segurança Legal? Acesse o site apoia.
(00:50) se/segurançalegal, escolha uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Apenas para lembrar a quem nos acompanha há mais tempo, nós tivemos um problema com o PicPay. Antes, sugerimos que os nossos ouvintes fossem para o PicPay, pois era mais fácil e a taxa era menor.
(01:16) E aí, um determinado dia, o PicPay disse: “Não, não vamos mais receber valores para projetos”. Então, o que aconteceu foi que muitas pessoas que migraram para o PicPay não voltaram para o Apoia-se, e nós perdemos mais da metade dos nossos apoiadores nos últimos tempos.
(01:35) Então, se você está nos ouvindo e foi uma dessas pessoas que foi para o PicPay e não voltou, considere voltar a apoiar este podcast. Hoje, nós temos três notícias. Antes disso, não posso me esquecer de falar sobre o blog da Brownpipe. Se você acessar www.brownpipe.com.br, encontrará uma série de notícias, algumas das quais nós tratamos aqui.
(01:59) Acredito que duas das três notícias estão no blog, mas, de qualquer forma, você consegue ver uma série de notícias cuja curadoria nós fazemos semanalmente. Se quiser, também pode se inscrever no mailing, que as notícias principais nós encaminhamos por lá também. Você já pode aproveitar e conhecer os serviços que a Brownpipe presta em www.brownpipe.com.br.
(02:24) Bom, e mais uma questão. Estou com uma gripe que está alterando um pouco a minha voz, então já peço desculpas por essa voz um pouco mais anasalada que vocês terão que ouvir durante o episódio de hoje. A primeira notícia, então, diz respeito ao GOV.BR e ao que tem se tornado, na minha opinião, um grande desafio para toda essa disciplina de autenticação e de autorização, que é um ponto clássico da segurança da informação e que envolve justamente aqueles métodos.
(03:01) Aqueles métodos técnicos que permitem que pessoas consigam se identificar perante sistemas e, uma vez identificadas perante sistemas, realizar ações que elas sejam autorizadas a realizar. O que nós temos visto nos últimos tempos, sobretudo nestes últimos dois anos, 2025 e 2024, e alguma coisa em 2023 também, são alguns incidentes no GOV.BR que me parecem bem preocupantes e deveriam estar sendo muito mais falados e muito mais discutidos, não somente pela
(03:37) comunidade de segurança, mas também pelo próprio governo que se utiliza de um sistema. Para vocês terem uma ideia, ele é utilizado por 163 milhões de usuários aqui no Brasil e possibilita o acesso a mais de 4.500 serviços. Vejam, 4.500 serviços podem ser acessados mediante essa autenticação disponibilizada pelo GOV.BR.
(04:04) Claro que conhecemos aqueles mais comuns que provavelmente todos nós aqui usamos, seja a CNH digital, ou seja, a autenticação pelo GOV.BR nos dá acesso à CNH digital, a serviços do INSS, ao próprio e-CAC, que nos permite o acesso a serviços relacionados à declaração do imposto de renda. Eu até imaginei que fossem menos serviços; quando vi o número de 4.500
(04:36) serviços, fiquei realmente surpreso. E também, aqui do próprio site do Gov.br, as contas de nível ouro do Gov.br, ou seja, aquela que te permite ir mais além e fazer mais coisas, como, por exemplo, o e-CAC e a declaração de imposto de renda com a conta ouro, tiveram um crescimento de 98% nos últimos dois anos. No final de 2022, existiam 32 milhões de contas nessa categoria; o número passou para 63 milhões em dezembro de 2024, e as contas ouro são as mais seguras da plataforma do governo federal. Em primeiro lugar, e eu confesso para vocês, este é
(05:09) um tema no qual eu não me aprofundei muito, que é todo o arcabouço de regras que regulam o funcionamento do GOV.BR. Então, quando comecei a investigar um pouco algumas dessas normas, algumas eu já conhecia, claro, como a questão relacionada às políticas de segurança do governo federal e tudo mais, mas existe uma série de decretos e portarias, seja o decreto 8.936, de 2016, que começa com aquela ideia antiga — alguns talvez lembrem — da plataforma de cidadania digital, que visava à disponibilização
(05:41) de uma plataforma única e centralizada, mediante um nível de autenticação requerido para acesso, compatível com as informações e seguro. Há decretos federais, uma portaria da Secretaria de Governo Digital do Ministério da Economia de 2021, que define esses tipos de identidade — bronze, prata e ouro —, sendo essa última, a ouro, com acessos, como eu disse antes, um pouco mais avançados, e diretrizes sobre a Rede Nacional do Governo Digital. Ou seja, é complexo, é bem
(06:21) complexo esse arcabouço jurídico que regula e que permite tudo isso. E, claro, aquelas pessoas que vão estudar governo digital, que vão estudar direito administrativo e a relação com o digital, certamente terão um pouco mais de intimidade com todas essas regras. Vou colocar algumas dessas portarias ali no shownotes para quem quiser acompanhar ou começar uma investigação das regras que regulam todo esse sistema. Vou deixar ali no shownotes para quem tiver um pouco mais de curiosidade. Pois bem, chegamos na
(06:56) questão dos incidentes. Eu mapeei aqui quatro ou cinco incidentes, sendo que os últimos dois me parecem os mais interessantes. Os últimos dois têm até alguma questão da imprensa que eu vou querer ler e reproduzir para vocês aqui, apenas para situarmos o problema e depois fazermos algumas observações sobre o que, na minha opinião, seriam os maiores problemas que estão se demonstrando agora com esses incidentes. Lá em 2023, em outubro, uma notícia de uma jornalista cuja conta do Gov.br
(07:25) foi invadida; trocaram a senha e exigiram dinheiro para não divulgar dados do seu imposto de renda. Lembrando que hoje, e acho que na época isso já existia, agora não tenho certeza, mas hoje você tem uma série de mecanismos de segurança disponibilizados pelo próprio aplicativo do GOV.BR. Ou seja, você consegue tanto habilitar a autenticação de dois fatores como também autorizar aparelhos pela via do aplicativo do Gov.br instalado no seu celular. Então, se você é usuário do Gov.br,
(08:03) se você está nos ouvindo, é muito provável que seja usuário do Gov.br, mas, mesmo que não seja, este é um ponto interessante. Mesmo que você não tenha criado a conta, você potencialmente é um usuário. E se você não criou essa conta e não habilitou as proteções, mesmo que não seja usuário desse sistema, você está vulnerável a eventuais golpes ou invasões da sua conta.
(08:28) Então, se você é usuário do Gov.br e está nos ouvindo, mas não habilitou esses mecanismos de segurança via aplicativo, pare de nos escutar, vá lá, habilite esses mecanismos e depois volte aqui. Naquela época, provavelmente não havia essas proteções. Já em abril de 2024, e deste caso eu me lembro, e certamente vocês se lembram também, pois foi bem divulgado, foi a invasão do Sistema Integrado de Administração Financeira, o SIAF, que na época foi invadido por meio da invasão de contas do GOV.BR de alguns gestores de despesas
(09:08) desse sistema. O objetivo dos fraudadores, dos criminosos, ao invadir esse sistema, era desviar recursos. E, de fato, foram desviados 15 milhões, o que só foi possível diante da invasão do GOV.BR.
(09:33) Uma das hipóteses de acesso foi que os criminosos teriam realizado ataques de phishing para conseguir 16 senhas e, a partir daí, entrar no sistema e desviar esses recursos. Confesso que fiz uma pesquisa hoje para ver se descobria um pouco mais sobre esse tema, sobre o avanço dessas investigações, e não vi mais informações. Provavelmente avançou, mas não vi mais informações na imprensa.
(09:58) Então, se você sabe de mais informações, pode nos enviar que atualizamos nosso shownotes ou, se for o caso, falamos em uma próxima edição. Em dezembro de 2024, também houve notícias de que uma quadrilha estava sendo investigada por invadir contas do GOV.BR para fazer empréstimos e procurações, porque essa é outra coisa. Dependendo da sua conta, você consegue realizar a assinatura digital de documentos, inclusive de procurações, até mesmo para compra e venda de veículos, conforme veremos agora em outra
(10:29) fraude. E essa é uma questão importante. O GOV.BR não permite somente o acesso a esses sistemas que são cruciais para a sua vida digital perante o governo, mas também permite assinar documentos com validade jurídica, o que é importante dizer, que podem ser usados para relações entre privados, seja compra e venda de bens ou até mesmo a tomada de empréstimos. Ou seja, o problema e a expansão que a autenticação via GOV.BR proporcionou. E, claro, deve-se reconhecer que é
(11:07) inegavelmente um avanço. É algo positivo, me parece, que um Estado possua serviços governamentais eficientes que possam ser realizados pelas vias digitais. Mas a eficiência também deve estar conectada com a segurança do sistema, porque, senão, você subverte a lógica. Ou seja, por um lado, você permite o acesso facilitado a serviços e, por outro, vulnerabiliza os usuários.
(11:39) Agora, os dois últimos incidentes que mais me chamaram a atenção são de 2025, de maio deste ano. O primeiro deles foi uma notícia que trouxe à tona que a polícia desmantelou uma quadrilha que fraudava documentos pelo GOV.BR. E, claro, tem aqueles nomes superinteressantes das operações, aqui é a Operação Crypteia. Vou ler para vocês exatamente como se dava essa fraude: “As investigações revelaram que o líder do grupo, já cumprindo pena superior a 70 anos em uma penitenciária
(12:16) gaúcha, comandava a aquisição de veículos roubados e furtados no Rio Grande do Sul e em Santa Catarina. Esses veículos então eram adulterados por uma outra célula e, posteriormente, um estudante de tecnologia de 24 anos, residente no Rio de Janeiro, utilizava engenharia social para invadir contas GOV.BR dos proprietários dos veículos originais”. Ou seja, eles clonavam os veículos e buscavam invadir a conta GOV.BR do proprietário do veículo original que teria sido clonado, obtendo acesso à documentação veicular. Com o veículo clonado e com acesso aos
(12:51) documentos, os criminosos passavam a anunciar a venda do veículo em marketplaces por um valor abaixo do mercado, atraindo o interesse de terceiros que acabavam realizando a compra do veículo. Nesse momento, valendo-se do acesso fraudulento ao GOV.BR, um dos criminosos realizava a transferência de documentação do veículo original para a vítima.
(13:17) Esta, com a documentação e o veículo em mãos, ao buscar a vistoria do Detran, verificava que se tratava de um veículo produto de furto ou roubo. E aí a fraude já estava concluída, o dinheiro já tinha sido desviado e o comprador do veículo ficava com o prejuízo. Notem, e essa é uma questão que em geral na nossa área ocorre, e a gente está sempre comentando isso aqui, a imprensa não dá tantos detalhes. Então, aqui não dá para saber se estavam habilitados os níveis avançados de autenticação nessas contas que eram
(13:49) invadidas. Esse é um ponto importante. Lembrando que também teve outra situação, eu não trouxe aqui, mas agora me lembro, que também foi comentada aqui no podcast, sobre fraudes em que a alegação era que pessoas de dentro, pessoas que tinham contato com a infraestrutura técnica do GOV.BR, estariam manipulando esses acessos e permitindo o acesso não pela via de um hacking, não por um phishing que roubava a senha do usuário, mas sim por dentro do próprio sistema, o que me parece uma
(14:28) vulnerabilidade bastante importante e que, creio, não foi adequadamente tratada pela imprensa. Porque, vejam, são duas fontes de ataques aqui: fraudadores externos e ainda pessoas que, internamente, poderiam subverter a segurança do sistema.
(14:52) E me parece que essa segunda hipótese é mais grave. Porque no fraudador, no criminoso, você não tem confiança. Agora, o cidadão necessita e pressupõe a confiança no sistema. Pode não ser um sistema 100% seguro.
(15:12) Não existe sistema 100% seguro, mas vulnerabilidades internas que permitiriam essa manipulação são algo muito mais grave. E, veja, talvez indetectável do ponto de vista do usuário que tenha sua conta fraudada e que, eventualmente, pode não conseguir comprovar a origem dessa fraude, tendo que suportar o ônus, a impossibilidade de comprovar esse ônus, de que houve uma fraude, uma vez que ele pode não conseguir provas de que a fraude se deu por dentro do próprio sistema.
(15:41) E a última fraude, agora mais recente, que aconteceu em maio também, logo depois dessa, foi a Operação Face Off para desarticular um grupo suspeito de fraudar contas do Gov.br. O grupo teria invadido ao menos 3.000 contas e havia duas frentes: uma em que o grupo se passava por pessoas mortas para furtar dinheiro de falecidos em contas e outra em que se passavam por pessoas vivas para autorizar consignados e também acessar valores a receber do Banco Central. O Banco Central tem algumas ferramentas de valores que
(16:15) ficam a receber, que as pessoas não sacam. Enfim, a ideia seria essa. Qual a novidade aqui, também com pouquíssimas informações da imprensa? A descrição dada pelas reportagens é que o grupo usava, abre aspas, “técnicas de alteração facial para burlar sistemas de autenticação biométrica”. Aqui, uma pequena nota do editor.
(16:40) Logo depois que eu terminei a gravação, eu vi uma reportagem bem interessante aqui do Tilt, UOL, que vai ficar no shownotes também, em que eles trazem mais alguns elementos do que pode realmente ter acontecido.
(16:59) Eles entrevistaram especialistas nessa tecnologia, nessas tecnologias de inteligência artificial. Eles fazem ali uma diferença, acho que comentei antes, sobre as tecnologias de liveness, que seria o liveness passivo e o liveness ativo, que são aqueles que vocês já devem ter visto, quando a gente precisa movimentar o rosto, sorrir, enfim.
(17:27) Mas, em geral, movimentar para cima, para baixo, era uma ideia de dar realmente essa prova de vida, de que você não está diante de uma imagem. E eles fazem algumas considerações também, trazendo algumas hipóteses. Quem fala aqui é o Iago Kenji, um pesquisador e também presidente da ABRACIBER, Associação Brasileira de Segurança Cibernética. E as hipóteses interessantes que são colocadas aqui, com todas essas novas possibilidades trazidas pela IA de deepfakes ou até mesmo, a gente já viu, tem um cara famoso na internet que faz alguns deepfakes a título de quadro
(18:04) humorístico, e até coisas mais específicas, como impressões de máscaras e coisas desse gênero que seriam possíveis de ser utilizadas para burlar esses algoritmos. Mas, enfim, abriu-se agora com a IA também a possibilidade de se utilizar de imagens muito fiéis à realidade, com a quantidade de câmeras de alta definição, placas de vídeo, etc. Então, isso também poderia ter sido utilizado.
(18:37) Lembrando só que a gente não tem informações de qual é o tipo de tecnologia de liveness que era usada no GOV.BR, ou que é usada ainda. Sabendo também que, até em alguns testes e alguns serviços que foram feitos aqui na Brownpipe, conseguiu-se, com imagens e tudo mais, em algoritmos não tão eficientes de reconhecimento facial, burlar esses algoritmos. Mas essa é uma coisa bem conhecida dentro da segurança da informação.
(19:04) É possível fazer testes de invasão ou testes de segurança nessas tecnologias também. Então, fica só essa atualização desta notícia que saiu depois da gravação do episódio. O que emerge aqui, aparentemente, é que havia ou há algum problema na biometria do GOV.BR.
(19:28) Esse problema foi percebido, uma vulnerabilidade, para usar um termo técnico melhor, e essa vulnerabilidade foi descoberta e estaria sendo explorada. Qual o problema? O problema é que me parece que, por ser um sistema público, nós deveríamos ter a informação de qual é essa vulnerabilidade, se ela já foi resolvida ou não, porque, para este tipo de sistema, a opacidade nas informações não me parece a melhor estratégia. Eu até, enquanto falo aqui, estou acessando a nossa lista de episódios, mas nós
(20:04) inclusive gravamos um episódio já bem antigo, e eu não vou me lembrar do termo agora para procurar, mas era um episódio que falava justamente sobre quando, na segurança da informação, é desejável o sigilo de informações e quando não é, mais numa perspectiva de software livre e software de código fechado, e sobre como essas estratégias… até falamos um pouco sobre economia, sobre segurança da informação e economia na análise econômica do direito e também da
(20:42) segurança da informação. Infelizmente, aqui eu não estou achando o episódio, mas, enfim, falamos sobre isso no passado e me parece que, neste caso, pelo fato de se tratar de um sistema público e pela característica de transparência desses sistemas, o Estado deveria dar mais informações sobre o que exatamente aconteceu, porque, afinal de contas, somos todos nós que podemos, eventualmente, estar vulneráveis neste momento a ataques dessa natureza. Quais são os dilemas aqui?
(21:21) Eu acho que um primeiro ponto, um tema que a gente sempre comenta aqui também, é essa relação que ocorre na segurança entre o binômio segurança e conveniência, que é um dos grandes trade-offs do mercado de segurança. Aumentar a conveniência muitas vezes vai não somente criar novas situações de vulnerabilidade, algumas delas vulnerabilidades pessoais, nem sempre tecnológicas, mas quando falamos de possibilidades de um sistema estar apto a ser violado pela via de fraudes no sentido de
(21:59) engenharia social, nós temos uma vulnerabilidade ali pessoal. Ou seja, eu tenho que considerar numa matriz de risco da utilização de acesso a sistemas as eventuais possibilidades de fraudes pela via da engenharia social. Então, este aqui é o primeiro ponto: aumentar a conveniência pode diminuir a segurança, o que, na maioria das vezes, é o que acaba acontecendo.
(22:33) Em alguns casos, a opção por, por exemplo, migrar um sistema que antes era físico para o ambiente digital vai transferir o risco de uma pessoa para outra. A partir do momento em que um sistema bancário, falo do sistema bancário brasileiro, permite abrir contas à distância, realizar transações financeiras à distância, alguns dos riscos dessas operações… veja, o CDC impede essa transferência de risco, mas na prática é um fato que alguns desses riscos serão transferidos.
(23:06) Claro que as instituições financeiras obviamente trabalham para mitigar esses riscos, mas há uma transferência de risco. Eu gosto sempre de dar o exemplo para ver como segurança é uma questão complexa e multifacetada. Não é só tecnologia; tem uma série de coisas envolvidas. Pense nessas chaves eletrônicas de carro. Não é algo novo.
(23:25) Você tem lá um mecanismo, um sistema, acho que com chaves… O Vinícius saberia explicar melhor, com criptografia, chave pública e privada, eu imagino. O Vinícius saberia explicar melhor isso, mas você só consegue ligar o carro com aquela chave encriptada. Antigamente, você abria o carro, fazia uma ligação direta e conseguia ligar o carro sem a presença daquela chave. O que essa opção técnica faz com a segurança dos donos
(24:01) dos carros? Do ponto de vista do ladrão, do cara que quer roubar um carro, o que vai acontecer é que ele vai precisar da chave. Logo, ele vai precisar ter um contato físico com o proprietário. Ou seja, ele precisa retirar a chave do proprietário para pegar o carro.
(24:21) Ou ele ataca o proprietário quando estiver entrando no carro ou quando o proprietário estiver no carro. Ele vai precisar retirar à força, com violência, o proprietário de dentro do carro. Note que isso é uma transferência de risco para o proprietário. Tudo bem, não se consegue mais furtar o carro do sujeito, mas, ao mesmo tempo, ele fica exposto a situações em que o criminoso precisa ter um contato físico com ele, expondo-o a situações de risco de vida, até mesmo. Então, notem: quando eu faço uma escolha para permitir que
(24:53) todos os sistemas governamentais sejam acessados pela mesma via, eventuais problemas nessa seleção e nessa gestão de riscos podem acabar transferindo para as pessoas algumas responsabilidades com as quais elas não estavam acostumadas a lidar.
(25:15) Vamos pensar na nossa vida cotidiana hoje, com a responsabilidade que acabamos tendo — e aqui falo da palavra responsabilidade não no âmbito jurídico, mas talvez como um ônus que acabamos recebendo — de ficar o tempo inteiro reagindo a tentativas de fraude telefônicas, muitas vezes criativas, seja por e-mail, seja por telefone. Hoje, todo mundo fica recebendo ligações cotidianas com fraudadores tentando te enganar, basicamente para retirar dinheiro. Mas, nesses casos do Gov.br, as
(25:50) fraudes são muito mais sofisticadas. Será que as pessoas estão preparadas para lidar com esse novo cenário? Veja, preparadas em vários sentidos. Por exemplo, quando falamos em assinatura digital, sabemos pela Medida Provisória que há uma presunção de veracidade da assinatura digital sendo realizada, ou seja, de algum documento assinado digitalmente com o uso da chave privada da pessoa, o que faz com que, em caso de fraude, e por essa presunção de veracidade, seja o titular da chave privada que vai
(26:30) precisar comprovar que ele não assinou aquele documento naquelas circunstâncias. Ou seja, inverte-se o ônus da prova. E note, é muito bom, muito interessante, assinar à distância e tudo mais, mas você tem o ônus de proteger a sua chave privada de uma forma absurda.
(26:52) Com o GOV.BR, eu já consigo assinar documentos também com a mesma perspectiva de validade por dentro do sistema do GOV.BR, sem, no entanto, por exemplo, conseguir proteger ou manipular minha chave privada. Aquilo é feito pelo próprio sistema. E me parece que é uma situação importante de falarmos aqui também. E, claro, todo esse problema de transferência de risco se torna mais crítico quando pensamos, e aí para nós, para vocês que estão nos ouvindo aqui, para a nossa audiência, que provavelmente têm uma intimidade maior com sistemas eletrônicos, com fraudes, é uma coisa que estamos falando todos os
(27:37) dias aqui. Mas não somos imunes, viu, gente? Troy Hunt, um grande pesquisador, dia desses caiu num phishing. Não lembro se já falamos no episódio aqui, mas imagine: um dos maiores pesquisadores de segurança do mundo foi pego num momento em que estava cansado, chegou num evento e caiu no phishing. Então, nós não somos invulneráveis a ataques.
(28:07) Mas o que eu queria dizer é sobre todo esse grupo de pessoas hipervulneráveis: pessoas idosas, pessoas que não têm nenhum conhecimento de tecnologia, que de repente têm diante de si a possibilidade de realizar o acesso a uma miríade de serviços pela via do GOV.BR, mas que, ao mesmo tempo, não estão preparadas para lidar com os riscos.
(28:31) Vejam, riscos estes que lhes foram transferidos, pelo menos de agir diligentemente diante de tentativas de ataques. Pense numa pessoa idosa que recebe uma ligação e não vai conseguir lidar com isso. E, pior, o problema acaba sendo este: mesmo que uma pessoa não seja usuária do sistema, que ela não tenha criado a conta no Gov.br, ela está vulnerável, porque outras pessoas podem criar a conta em nome dela. Basta pensar no que vimos recentemente, que já começa a se desenrolar nessa fraude do INSS. Algumas situações em que
(29:10) haveria invasões pelo Gov.br para empréstimos. E já estariam tomando medidas adicionais por conta disso. Então, me parece que não se está levando em consideração também esse cenário de que as pessoas, sobretudo os hipervulneráveis, pessoas idosas e até mesmo pessoas que não têm conta, podem acabar entrando em situações em que fraudes serão cometidas e elas não conseguirão lidar com essa situação. Dou um depoimento aqui: nós pudemos acompanhar uma situação de uma pessoa
(29:44) que, na época, alegou uma fraude. Ela diz que houve uma fraude porque aconteceu algo que ela diz que não fez, então foi feito por alguém sem a sua autorização. Ao tentar resolver o problema perante o GOV.BR, ela enfrentou problemas muito grandes, tanto de comunicação, de registro disso, de um contato extremamente burocrático. E, no final das contas, ela queria inclusive os logs, pelo menos para saber quais os endereços de IP que
(30:22) teriam acessado a sua própria conta. Ou seja, o próprio usuário pedindo o acesso aos logs da sua própria conta. E isso foi negado para ela. Ou seja, ela precisaria de uma ação judicial se quisesse levar a questão adiante. Notem, essa deveria ser uma funcionalidade padrão do GOV.BR.
(30:42) Sistemas absurdamente menos críticos possuem isso. Inclusive, a ISO 27002 fala sobre isso. Você mostra lá o seu último logon, que foi em tal dia, tal hora, e veio do IP tal. É uma coisa super simples com a qual você consegue, pelo menos, identificar situações de acessos não autorizados.
(31:01) O próprio Gmail é assim. Tem um botão, você clica ali e consegue ver o endereço de IP, a hora dos logons e o dispositivo que foi utilizado. Então, diante deste caso específico que presenciamos, me parece que o governo deveria avançar para ter um centro de gestão de incidentes, especificamente para o GOV.BR, em que as pessoas atingidas pudessem ter um diálogo, uma comunicação e uma forma mais eficiente de resolução. Lembrem-se, negou-se o acesso a dados pessoais do próprio titular.
(31:39) Ou seja, tem um problema de Lei de Proteção de Dados aí, porque o sujeito tem o direito de ter acesso aos seus dados pessoais, se for uma conta sua, aos dados de endereços de IP que acessaram sua conta sem a sua autorização. Isso é o básico do básico. Então, ficam essas reflexões sobre o caso GOV.BR.
(32:03) Vamos ver o que vem a seguir e vamos ficar atentos. E, mais uma vez, se você chegou aqui, tem conta e não fez os registros, a habilitação do segundo nível de autenticação e a autorização de acesso pelo aplicativo, faça isso neste exato momento. Bom, a outra notícia que eu preparei para este episódio foi um caso que também me chamou bastante atenção na época.
(32:41) Nós gravamos sobre isso lá no episódio 305, do dia 18 de fevereiro de 2022, portanto, há mais de 3 anos. Episódio 305, “Telefone como garantia”. Eu não sei se vocês lembram dessa questão. Pessoalmente, fiquei muito afetado, foi uma coisa que me tocou, porque, na época, a questão era uma prática que envolvia a realização de empréstimos tendo o celular como garantia.
(33:19) De forma bem resumida, até porque já estamos com 30 minutos e eu já começo a perder a voz, mas não vamos deixá-los sem episódio. Como funcionava? De forma bem resumida, a pessoa, ao solicitar o empréstimo, poderia obter taxas mais baixas. Essa era a propaganda. Só que, na verdade, as taxas não eram mais baixas. Taxas de juros remuneratórios desse empréstimo, caso ela desse seu celular como garantia.
(33:43) Mas não se tratava de uma garantia do celular enquanto objeto. Não era uma questão da propriedade do celular, não era como uma alienação fiduciária, como você faz com veículos e imóveis, por exemplo. Não era essa a ideia. A ideia é que essas empresas instalavam, você tinha uma dinâmica que era por meio da instalação de aplicativos, inclusive por fora da loja de aplicativos do Android; só funcionava com Android. E depois, outras empresas também começaram a
(34:21) realizar uma situação semelhante usando o Samsung Knox, que é, inicialmente, uma plataforma, um sistema usado para o controle corporativo de celulares, para você poder bloquear, ter acesso aos dados e tudo mais.
(34:44) Mas isso estava sendo usado para que pudesse ser realizado o bloqueio do celular em caso de inadimplemento da dívida. Então, o sujeito pedia o empréstimo, dava o celular como garantia, mas na verdade o que acontecia é que ele instalava um aplicativo ou habilitava, via Knox, o acesso da financeira que emprestava o dinheiro e, caso houvesse inadimplemento, essa financeira bloqueava as funções do celular até que o devedor pagasse sua dívida.
(35:19) Isso chamou bastante atenção na época, e fizemos várias observações. Você pode ouvir lá no episódio 305. Mas o que me chamou bastante atenção, conforme vamos ver agora, é que muitas dessas observações — claro, acho que não ouviram nosso episódio, embora o promotor, o Paulo Roberto Binicheski, nosso conhecido, com quem já me encontrei em algumas situações e que tem um livro muito famoso sobre responsabilidade dos provedores…
(35:46) Embora a gente tenha esse contato, acredito que ele não deva ter ouvido o episódio, mas é interessante, porque várias das coisas que falamos acabaram se refletindo como fundamentos, no sentido de que era algo meio óbvio. Quais foram nossas observações na época? Nós considerávamos essa prática como abusiva por várias razões.
(36:13) Primeiro, porque essas modalidades de microcrédito eram direcionadas para pessoas, inclusive, que estivessem negativadas, ou seja, pessoas mais vulneráveis ainda. Essas pessoas, além de estarem nessa situação de vulnerabilidade por já estarem negativadas, muitas vezes não conseguiam entender exatamente quais as consequências dessa possibilidade de bloqueio. Então, nos posicionamos na época de que essa era uma prática abusiva, que seria, inclusive, uma cobrança abusiva, já que limitava o uso do celular, entendido como um bem essencial. E isso foi reproduzido na decisão que vou
(36:54) falar um pouquinho, mas foi reproduzido na decisão. Por quê? Porque o celular hoje acaba sendo um meio para acesso a uma série de contas ou serviços que você não consegue acessar sem ele. Estamos falando sobre GOV.BR aqui, que até pode ser acessado de outras formas, mas serviços públicos, carteira de motorista digital, por exemplo, o Meu INSS, toda essa questão que está
(37:32) acontecendo agora sobre as fraudes, tudo isso é acessado pelo celular. Você fala com pessoas por aplicativos como o próprio WhatsApp, que se tornou um aplicativo onipresente nos celulares, pelo menos no Brasil. E até mesmo outros serviços bancários. Ou seja, o sujeito tem o celular dele bloqueado e sequer consegue acesso à conta dele, porque em alguns bancos hoje, para que você acesse pela web, tem que liberar o acesso pela via do celular. Então, isso coloca a
(38:10) pessoa em uma situação bastante delicada. E na época também eu me manifestei que, embora não se tratasse de consolidar a propriedade do celular com a financeira, como se faz na alienação fiduciária, porque não era disso que se tratava.
(38:34) Inclusive, na própria decisão se comenta que a financeira nem tinha interesse em obter a propriedade do celular; não era disso que se tratava. Ela queria justamente implementar uma prática para coagir a pessoa, ilegalmente, a realizar o pagamento. Então, na época eu disse que seria uma restrição exagerada ao direito de propriedade, porque, na verdade, ao bloquear o celular, você bloqueia também as possibilidades de uso, os poderes inerentes ao domínio da propriedade: uso, gozo e disposição. Você limita um dos poderes ou faculdades inerentes ao direito de
(39:13) propriedade do próprio telefone celular. Então, na época, depois de todos esses comentários, o Ministério Público do Distrito Federal, como eu já disse, pela via do promotor Paulo Binicheski, e também o IDEC, entraram com essa ação pública, isso lá em 2022. Corta para 2025 e sai agora a decisão em apelação, seguindo bem na linha daquilo que afirmamos. Considerou a prática abusiva, obrigando as duas rés a não mais firmar esse tipo de contrato com garantia de celular. Houve um pedido também de indenização por danos morais
(39:55) coletivos de R$40 milhões, mas as empresas não foram condenadas a pagar esses danos morais coletivos. Em resumo, reconheceu-se que essa seria uma prática abusiva, que era uma coação indireta e ilegal para o pagamento da dívida, e que o celular é, sim, um bem essencial. Mas eles foram mais além. A tese da decisão era de que a restrição ao uso do celular, enquanto bem essencial, compromete outros direitos fundamentais. Olha que interessante. Eu diria até proteção de dados. Você fica inviabilizado de ter acesso a
(40:34) alguns dados, compromete-se aí o direito fundamental à proteção de dados. Esse bloqueio antecipado impediria, inclusive, eventuais discussões sobre a natureza da dívida ou sobre o eventual abuso de juros, por exemplo, e que seria uma execução extrajudicial sem o devido processo legal.
(40:58) E, no fim das contas, reconheceu e apontou a hipervulnerabilidade desses consumidores envolvidos, destacando que as taxas, que alegadamente seriam mais baixas, na verdade eram muito mais altas, girando em torno de 14,9% e 18,5% ao mês. Portanto, demorou um pouquinho, três anos, mas finalmente vimos o que, na minha opinião e na opinião também do Tribunal de Justiça do Distrito Federal e dos Territórios, foi considerada uma prática abusiva e que não deve mais se repetir. Um bom sinal, uma boa decisão, ao lidar com o patrimônio das pessoas e também com a vulnerabilidade. Note que
(41:38) temos a vulnerabilidade nessas duas notícias e na terceira que eu vou ler agora, que também é um pouco mais jurídica, mas tem a ver com proteção de dados. Todas as três envolvem a consideração da vulnerabilidade dos usuários e dos titulares de dados pessoais. Bom, vamos à terceira.
(41:55) Antes que minha voz acabe, tivemos uma decisão recente e me parece que é uma das decisões mais importantes dos últimos tempos ao definir os contornos da responsabilidade por vazamento de dados pessoais e também ao tratar sobre o dano pelo vazamento de dados pessoais, que eu acho que é um dos temas mais interessantes dessa disciplina e uma das grandes questões da proteção de dados. Ou seja, como eu defino a ocorrência do dano pelo vazamento de dados pessoais? Colocado de uma outra forma mais simplista: toda vez que houver um vazamento de dados pessoais,
(42:33) há um dano indenizável? A resposta, de início, é não. Mas, ao mesmo tempo, notamos que os tribunais têm tido, ao longo dos últimos anos, uma certa dificuldade em definir quais são esses parâmetros. Sabemos, repito, que o mero vazamento por si só não gera o reconhecimento do dano.
(43:03) Eu preciso de outras circunstâncias coligadas ao vazamento que vão demonstrar, seja o dano patrimonial — e esse fica mais fácil no caso de fraudes; o sujeito é vítima de uma fraude, paga um boleto falso, como foi este caso aqui. Se a fraude foi habilitada pelo vazamento de dados, teremos aí a responsabilidade da instituição financeira, definida pelo próprio STJ nesses dois casos e em outros, de que se o vazamento foi a causa ou habilitou a fraude cometida por
(43:41) terceiros, eu tenho a indenização pelos danos patrimoniais. Ou seja, o sujeito pagou um boleto de R$1.000 que não deveria pagar. Ou se considera o pagamento do falso boleto como apto a pagar a dívida junto à financeira.
(44:03) Inclusive, tem no direito das obrigações a figura do credor putativo. Ou, se for o caso, ele pagou um boleto que não deveria, o banco restitui esse valor, e aí eu tenho uma responsabilidade e um dano patrimonial, em dinheiro. Claro, não é fácil definir os contornos do dano. Um dos argumentos incorretos que já vimos na jurisprudência seria: “Ah, só há dano extrapatrimonial, ou seja, dano moral, se os dados forem sensíveis”. A lei definitivamente não fala sobre isso, mas o que tivemos foi a fixação da tese pelo STJ de que, se houve o vazamento de dados sensíveis,
(44:44) o dano é presumido. Um caso recentíssimo envolvendo uma seguradora em que vazaram os dados da declaração de risco do sujeito, inclusive dados de saúde, portanto, dano moral presumido. O problema é que, para fora dos danos morais presumidos no caso de dados sensíveis, mesmo dados pessoais não sensíveis terão o condão de causar uma série de danos. Claro, quando falamos de responsabilidade civil, não basta a violação da lei. Eu preciso da violação
(45:22) da lei e que essa violação cause um dano à pessoa. E aí chegamos ao ponto: quando, então, o vazamento de dados pessoais poderia causar danos extrapatrimoniais, ou seja, danos morais? E isso vem… poderíamos pensar na nossa vida mesmo. Como um vazamento poderia nos causar um dano moral, um dano que atinge nossos direitos da personalidade? Aqui seria todo esse abalo emocional que alguém tem ao perceber que
(46:00) seus dados foram vazados, a incerteza, a insegurança de que alguma coisa pode acontecer, a situação de alerta, de constante intranquilidade, de receio. Você tem que estar sempre atento. Como vou resolver isso? Até mesmo para nós, que temos conhecimento nessa área, enfrentar um vazamento de dados pessoais, mesmo que não sejam sensíveis, é algo que compromete nossa moral, que causa abalos morais, mesmo que sejam dados cadastrais. Dependendo do contexto, a
(46:37) depender de onde meus dados cadastrais estavam, pode dizer mais. Se forem dados cadastrais de um determinado serviço qualquer, pode me vincular a um certo tipo de orientação. Pode até ser uma situação em que a relação do dado cadastral com um tipo de serviço poderia criar uma situação sensível. Vazamento de dados cadastrais de um hospital de câncer.
(47:02) Bom, aí não são somente os dados cadastrais, são os dados cadastrais relacionados com uma situação de fundo. E, além do que, não podemos nos esquecer que privacidade é um direito autônomo em relação à proteção de dados. Logo, em uma violação de dados pessoais, eu poderia também violar a privacidade, e aí eu teria o dano moral pela violação também da privacidade. E o que torna essa situação mais complexa na prestação de serviços financeiros? É que, por mais que esses serviços financeiros não sejam protegidos por sigilo, eles não se encaixam na categoria de dados sensíveis
(47:45) lá da LGPD — dados relacionados à saúde, orientação política, sexual, genéticos. Ou seja, por mais que o vazamento de dados financeiros tenha o condão de causar danos patrimoniais para a pessoa, esses dados, pela lei, não são considerados sensíveis.
(48:10) Não poderiam se encaixar naquela outra decisão que comentei antes, em que se presume o dano moral pela violação de dados sensíveis. Pois bem, o que aconteceu agora? Vimos essa decisão recente, lá do STJ, número 2.108.785-4, que reconheceu a presunção de danos morais pelo vazamento de dados pessoais nas situações em que esse vazamento habilita a realização de uma fraude bancária, uma fraude financeira. E se apontou literalmente a questão da sensação de insegurança do titular dos dados.
(48:46) E eu acho que foi uma evolução muito bem-vinda para a nossa jurisprudência e que aproximou esse entendimento, embora a decisão não tenha referenciado esta outra decisão que vou comentar agora, que foi um acórdão do Tribunal de Justiça da União Europeia de 2024, que reconheceu a existência de danos morais nos casos de vazamentos. Ou seja, reconheceu que, nos casos de vazamento de dados, pode existir um dano moral baseado no receio de danos futuros. Ou seja, a pessoa que tem seus dados vazados,
(49:28) mesmo que esses dados não tenham sido utilizados, a circunstância de colocar esse titular em uma situação de receio de que os dados podem ser usados no futuro, de que esses dados estão na posse ou no poder de pessoas não autorizadas, de criminosos que você não sabe quem são…
(49:48) Lá na União Europeia, aliado à própria perda de controle desses dados, considerou-se que esse era um dano moral, um dano extrapatrimonial indenizável. E aqui, qual foi o caso concreto? A correntista foi vítima de um golpe de boleto, e esse golpe só foi permitido porque os fraudadores tinham acesso a dados do seu financiamento bancário: CPF, modelo do veículo financiado, número de parcelas a vencer e até o valor das próprias parcelas.
(50:18) Então, o fraudador, diante do acesso ilegítimo a esses dados, consegue realizar um ataque de engenharia social muito factível.
(50:38) Afinal de contas, a pessoa recebe uma ligação de alguém que se comporta como um funcionário da instituição financeira, com todas essas informações, e é levada ao erro. Mas veja, ela só é levada ao erro… claro, em outras decisões em que não há esses dados, a jurisprudência tem reconhecido que, sem os dados, seria uma falha no dever de cuidado da pessoa, uma culpa exclusiva da vítima ou do correntista ao não adotar as cautelas necessárias, o que é bem discutível, porque haveria uma transferência de risco. Mas o fato aqui é que a
(51:12) fraude fica muito mais confiável. Então, nessas situações, presume-se que os dados vazaram da instituição financeira e que, portanto, isso demonstraria uma falha grave de segurança, reconhecida assim pela LGPD. E a grande novidade dessa decisão, e por isso que ela está aqui, é que, a partir de agora, no caso de vazamentos, eu tenho um descolamento, eu tenho dois danos aqui.
(51:45) Tenho o dano patrimonial, que se dá pela devolução dos valores ou pelo reconhecimento da validade daquele pagamento. Ou seja, eu paguei o boleto falso. Então, por conta de tudo isso, a financeira deveria considerar que aquele pagamento é válido, a figura do credor putativo que comentei antes.
(52:02) Isso é o dano patrimonial. Mas agora, a novidade foi reconhecer que, junto com o dano patrimonial, reconhece-se o dano extrapatrimonial. São dois danos autônomos que merecem uma indenização igualmente autônoma, e se presume o dano moral nos casos em que o vazamento dos dados habilitou a fraude. São, portanto, dois danos autônomos provenientes da mesma situação.
(52:38) Vou ler um trechinho da decisão: “A configuração do dano moral decorre do evidente sentimento de insegurança experimentado pela parte ao perceber que seus dados foram disponibilizados indevidamente para terceiros, favorecendo a prática de atos ilícitos ou contratações fraudulentas por eventuais terceiros de má-fé”. Parece-me, então, para terminar, que essa é uma decisão extremamente importante.
(53:03) É um reconhecimento de um dano que a jurisprudência vinha vacilando em considerar, claro, numa perspectiva de fraudes financeiras. Mas o que eu espero é que as decisões judiciais vão ter que se adaptar a esse precedente, e ele deve influenciar outras decisões também, porque sempre havia uma certa dificuldade de reconhecer o dano moral pelo vazamento de dados não sensíveis.
(53:36) E o que vimos agora, repito, nessa perspectiva de serviços financeiros, que eu sei que é bem típica, o que acredito e espero é que isso vá influenciar também outras decisões.
(53:55) Porque, no final das contas, a Lei Geral de Proteção de Dados visa à proteção do titular, e muitas vezes não vemos essa proteção acontecendo por uma série de razões. Acredito que foi um passo interessante. Ah, mas é uma decisão alinhada com o que a União Europeia tem feito?
(54:14) Aliás, a União Europeia, para quem acompanha as decisões, é muitíssimo mais rígida na fixação de danos morais pelo vazamento de dados. Mas, então, houve essa aproximação. É uma bela decisão. E com isso, vou terminando o episódio de hoje. Sozinho aqui, para não deixar a peteca cair. Na próxima, voltaremos juntos.
(54:36) Mas agradeço a audiência de todos e todas. Espero que o episódio de hoje tenha sido proveitoso e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
0 Listeners