O escândalo envolvendo a Receita Federal e o Serviço Federal de Processamento de Dados (Serpro) trouxe à tona uma preocupação central na proteção de dados: o risco de ameaças internas. Em fevereiro de 2026, investigações da Polícia Federal apontaram que um servidor do Serpro cedido à Receita é suspeito de acessar e possivelmente comercializar informações fiscais e sigilosas de ministros do Supremo Tribunal Federal (STF) e de seus familiares.
O episódio evidencia que, em ambientes corporativos e governamentais, a maior ameaça pode não vir de hackers externos, mas de pessoas que já possuem acesso legítimo às informações. Especialistas em proteção de dados alertam que o caso serve como alerta para empresas e órgãos públicos sobre a necessidade de controles internos rigorosos e políticas claras de governança de dados.
Acesso interno e risco de exposição de informações sigilosas
Segundo as investigações, o acesso indevido a dados na Receita Federal se enquadra como uma ameaça interna. No sistema do órgão, classificam-se três tipos de acesso: o motivado, que tem justificativa legal e técnica; e dois tipos de acesso imotivados, que incluem a bisbilhotagem por curiosidade e o uso das informações com fins de venda criminosa.
O impacto humano do caso é significativo. Se dados fiscais de autoridades podem ser acessados indevidamente, nada garante que informações empresariais, prontuários médicos ou listas de clientes estejam completamente seguras. No mundo corporativo, o acesso sem necessidade a dados sensíveis caracteriza violação de segurança e pode gerar danos financeiros, jurídicos e reputacionais.
O episódio também evidencia os impactos reputacionais. O Serpro afirmou que o funcionário estava cedido à Receita, enquanto a Receita declarou não ter confirmado a comercialização de dados, apenas informou os fatos ao STF. A terceirização da responsabilidade, entretanto, não exime as instituições do impacto sobre a imagem perante clientes e cidadãos. A Lei Geral de Proteção de Dados (LGPD) estabelece que o responsável pelo dado deve responder por incidentes, independentemente da terceirização do serviço.
Vazamento de dados reforça importância de controlar ameaças internas
Para reduzir riscos, especialistas recomendam três medidas fundamentais: gestão de privilégios, trilhas de auditoria e políticas de cultura organizacional. A gestão de privilégios segue o princípio do menor acesso, garantindo que funcionários tenham apenas os acessos necessários para suas funções. As trilhas de auditoria permitem identificar quem acessou cada dado, quando e de onde, funcionando como uma “câmera de segurança digital”. Por fim, a cultura organizacional e políticas de consequência fortalecem a responsabilidade individual e deixam claro que o uso indevido de dados acarreta penalidades legais e administrativas.
O caso da Receita Federal demonstra que proteger informações sensíveis não depende apenas de tecnologia, mas de políticas e processos voltados à gestão humana. Empresas e órgãos públicos devem adotar medidas preventivas para evitar que funcionários transformem a chave que receberam em instrumento de vulnerabilidade.
Fonte: GC+
