Imagine receber uma ligação do banco informando que alguém abriu uma conta no seu nome. Ou tentar marcar uma consulta no posto de saúde e descobrir que o sistema está sequestrado por criminosos. Ou ainda chegar ao Estado, à prefeitura, para emitir um documento e ouvir que os servidores estão fora do ar por tempo indeterminado. Esses cenários não são hipotéticos. Eles já aconteceram, em diferentes estados, em diferentes governos. E o suposto vazamento anunciado em 10 de junho de 2026 indica que o pior pode ainda estar por vir.
Um grupo criminoso internacional chamado “Buddha” anunciou, em fórum ilegal na internet, a venda de um banco de dados com informações de 248 milhões de brasileiros, praticamente toda a população do país, incluindo mortos e estrangeiros com CPF, supostamente extraídas dos sistemas da Receita Federal. O preço pedido é de US$ 1.300, cerca de R$ 6.750. Por esse valor, qualquer criminoso teria acesso a nome completo, CPF, data de nascimento, nome da mãe, endereço, e-mail, telefone, dados empresariais e histórico cadastral de qualquer cidadão brasileiro. Segundo apuração exclusiva do TecMundo, análise preliminar do material encontrou fortes indícios de autenticidade: CPFs e CNPJs validados, estruturas compatíveis com os padrões da Receita Federal e volume de registros coerente com o cadastro nacional. Os criminosos afirmam ainda que a vulnerabilidade explorada permanece aberta. A Receita Federal investiga. A autenticidade não foi confirmada oficialmente até o fechamento deste artigo.
Não é a primeira vez. Em 2021, dados de 220 milhões de brasileiros foram colocados à venda na dark web em incidente relacionado à Serasa Experian. No mesmo ano, o Ministério da Saúde foi atacado pelo grupo Lapsus$: o ConecteSUS saiu do ar e registros de vacinação de toda a população foram apagados. Em 2024, o Sistema Siafi, responsável pelos pagamentos do governo federal, foi invadido via phishing, resultando no desvio de R$ 15 milhões em recursos públicos. Um ataque ao Sistema Eletrônico de Informações (SEI) afetou 11 ministérios simultaneamente. Em abril de 2026, o mesmo grupo Buddha voltou com o banco “MORGUE”, vendendo 251 milhões de CPFs supostamente do Gov.br por apenas US$ 500. O dado mais perturbador não é a quantidade de registros: é o preço. O que em 2021 custava US$ 40.000 hoje sai por US$ 500. Isso só acontece quando os dados já estão amplamente disponíveis no submundo digital.
O problema atravessa todos os estados da federação. A Prefeitura do Rio de Janeiro teve seu datacenter atacado, derrubando o portal oficial, o sistema Carioca Digital, os centros de assistência social e os sistemas de regulação de saúde. A Secretaria de Fazenda precisou publicar resolução especial para não prejudicar contribuintes durante a paralisação. Sistemas do governo de São Paulo foram comprometidos, com um cibercriminoso afirmando ter acessado dados de até 45 milhões de cidadãos paulistas. Em Minas Gerais, Goiás, Alagoas, Pernambuco e Mato Grosso do Sul, sistemas de segurança pública e trânsito foram invadidos e explorados por uma rede criminosa especializada em extração de dados sigilosos de órgãos públicos, desmantelada em 2025 pela Operação Medici Umbra III. O Tribunal de Justiça do Rio Grande do Sul ficou fora do ar por quase um dia inteiro. O STJ teve suas operações paralisadas por seis dias em 2020 e voltou a ser atacado em 2025. A Secretaria de Estado de Saúde de Mato Grosso sofreu ataque cibernético em março/2026, com exigência de resgate pelos dados comprometidos, e o caso segue sendo investigado pelos órgãos competentes. Prefeituras de São José do Rio Preto (SP), Palmeira (PR), Paranhos (MS) e Porto Nacional (TO), entre dezenas de outras, tiveram sistemas de saúde, arrecadação e assistência social sequestrados. Em 2025, 26% de todos os incidentes cibernéticos registrados no Brasil tiveram prefeituras como alvo direto, o dobro do ano anterior.
O custo disso é real e crescente. O Brasil perdeu R$ 126 bilhões em 2024, cresceram em 2025, com crimes cibernéticos, cerca de 1,5% do PIB nacional. O custo médio de uma violação de dados chegou a R$ 7,19 milhões por incidente em 2025, segundo relatório da IBM. Para o cidadão, o risco é concreto: fraudes financeiras, abertura de contas falsas, falsificação de documentos e até sequestros facilitados pelo cruzamento de dados pessoais.
A causa desse cenário tem nome: negligência de gestão. O setor público detém mais de 80% de todos os dados digitais dos brasileiros. Saúde, educação, tributação, previdência, assistência social e registro civil passam pelos sistemas governamentais. E esse patrimônio digital segue desprotegido não por falta de solução, mas por falta de decisão. Autenticação multifator, gestão de identidade e acesso, monitoramento contínuo de ameaças e resposta a incidentes são tecnologias maduras, testadas e aprovadas no Brasil e no mundo, disponíveis para o setor público com fornecedores estabelecidos e resultados comprovados. O que falta não é tecnologia. É vontade política de investir antes que o ataque aconteça.
Há ainda uma nova obrigação legal que não pode ser ignorada. Em março de 2026, entrou em vigor o ECA Digital, Lei 15.211/2025, o mais abrangente marco regulatório já criado no Brasil para proteção de crianças e adolescentes no ambiente digital. Para governos estaduais e municipais que operam portais educacionais, sistemas de saúde infantil e cadastros sociais, a lei é uma convocação direta ao investimento em cibersegurança. Não cumpri-la é expor os dados dos mais vulneráveis ao mesmo risco que já atinge todos os brasileiros adultos.
Cidadão: você tem o direito de exigir que seus dados sejam protegidos. Isso se faz no dia a dia, através dos canais de ouvidoria, nas redes sociais e em cada interação com o poder público. Gestor público: a omissão tem nome, tem custo e, a partir de agora, tem lei. A LGPD, o ECA Digital e a ANPD existem. O que ainda falta é que sejam levados a sério. O episódio da Receita Federal é mais um alerta, bem como nos Estados e Municípios. A pergunta não é se o próximo ataque vai acontecer. É quando, e se desta vez alguém vai finalmente responder por isso.
Oscar Soares Martins é consultor e especialista em Cybersegurança e em IA.
* A opinião do articulista não reflete necessariamente a opinião do PNB Online
