TCU identifica falhas no combate a golpes digitais que usam identidade de órgãos públicos

O Tribunal de Contas da União (TCU) realizou auditoria para avaliar como órgãos da administração pública federal gerenciam os riscos relacionados a golpes digitais praticados por meio de personificação governamental. A fiscalização identificou fragilidades na prevenção e no enfrentamento desse tipo de fraude, em que criminosos se passam por instituições públicas para enganar cidadãos por e-mail, aplicativos de mensagens, redes sociais, sites falsos e outros canais digitais. O processo foi analisado na sessão plenária desta quarta-feira (17/6).

A fiscalização avaliou oito organizações federais. O TCU verificou que sete das oito instituições analisadas não alcançaram 50% de implementação das práticas recomendadas para prevenção, detecção e investigação de golpes digitais.

A Caixa Econômica Federal apresentou o melhor resultado, com aproximadamente 73% de implementação das práticas avaliadas. Nas demais instituições, os índices ficaram abaixo de 50%: Ministério da Saúde (45%); Correios (41%); Ministério da Gestão e da Inovação em Serviços Públicos (39%); Receita Federal (26%); INSS, 23,5%; Tribunal Regional Federal da 4ª Região, 21,3%; e Ministério do Empreendedorismo, da Microempresa e da Empresa de Pequeno Porte (5,5%).

O componente com pior desempenho foi o de gestão de riscos, o que indica que o tema ainda não está adequadamente incorporado à agenda institucional da maior parte das organizações fiscalizadas. Também foram identificadas deficiências em atividades de inteligência, investigação e remoção de conteúdos fraudulentos.

Para o ministro-relator do processo, Jorge Oliveira, o trabalho demonstra que esse tipo de golpe afeta diretamente a vida dos cidadãos. "Os golpes comprometem a confiança nos canais digitais do Estado e produzem reflexos para a economia nacional, inclusive pela transferência de recursos para atividades criminosas e pelos custos indiretos impostos à sociedade", afirmou durante a sessão.

Entre janeiro e setembro de 2025, o Catálogo de Fraudes da Rede Nacional de Ensino e Pesquisa registrou 75 casos de golpes envolvendo personificação de órgãos públicos, bancos e instituições do Judiciário. No mesmo período, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) identificou 855 páginas falsas e 572 ocorrências de phishing associadas a esse tipo de fraude.

A auditoria também destaca o contexto de crescente digitalização dos serviços públicos. Atualmente, o Brasil possui cerca de 170 milhões de contas ativas na plataforma Gov.br, mais de 4,7 mil serviços digitais disponíveis e bilhões de autenticações realizadas anualmente. O cenário amplia a importância de mecanismos de proteção capazes de reduzir a exposição dos cidadãos a golpes.

De acordo com o relatório, a subnotificação das ocorrências dificulta a mensuração do problema e reduz a capacidade de resposta das instituições públicas. Além das perdas financeiras, as vítimas frequentemente enfrentam impactos emocionais, como medo, estresse e perda de confiança nos canais digitais. Além de causar prejuízos às vítimas, também geram custos indiretos para a sociedade.

Embora não haja base oficial consolidada sobre a totalidade das ocorrências, estudos realizados pelo Instituto Datafolha e pela Global Anti-Scam Alliance estimam prejuízos da ordem de R$ 100 bilhões por ano no universo total dos golpes e fraudes digitais no país.

A dinâmica costuma seguir uma sequência semelhante. Inicialmente, o criminoso aborda a vítima por canais digitais. Em seguida, apresenta-se como representante de organização pública ou simula canal oficial do governo. Depois, cria uma situação de urgência ou de oportunidade e, a partir disso, induz o cidadão a realizar pagamentos ou transferências, fornecer dados pessoais, acessar links fraudulentos ou instalar aplicativos maliciosos.

Plano Nacional de Cibersegurança

A fiscalização analisou ainda a estrutura governamental voltada ao enfrentamento das ameaças cibernéticas. O trabalho apontou que o Plano Nacional de Cibersegurança, previsto na legislação e considerado essencial para transformar diretrizes em ações concretas, ainda não havia sido aprovado até a conclusão da fiscalização.

Recomendações

Diante dos resultados, o TCU determinou ao Gabinete de Segurança Institucional da Presidência da República (GSI) que conclua e aprove o Plano Nacional de Cibersegurança no prazo de 180 dias.

O Tribunal também recomendou que o plano contemple iniciativas específicas para o combate a golpes digitais praticados por meio de personificação governamental. Entre as medidas destacadas estão campanhas de conscientização, centros de denúncia e inteligência, cooperação entre governo e setor privado, mecanismos de verificação de remetentes e ações para identificar e remover conteúdos fraudulentos.

O TCU recomendou a diversos órgãos e entidades federais que adotem práticas e controles para redução do risco de golpes digitais que utilizem indevidamente a identidade de instituições públicas. O Tribunal também recomendou à Controladoria-Geral da União (CGU) que inclua categoria específica relacionada a golpes e fraudes digitais na plataforma Fala.BR, para facilitar o registro e a categorização das denúncias apresentadas pelos cidadãos.

À Secretaria de Comunicação Social da Presidência da República (Secom), o TCU recomenda que sejam estabelecidas diretrizes que orientem os órgãos federais a incluir, em seus portais oficiais, informações claras sobre como o cidadão deve comunicar tentativas de golpe.

SERVIÇO

Leia a íntegra da decisão: Acórdão 1535/2026 - Plenário

Processo: 012.850/2025-0

Sessão: 17/6/2026

Secom - CB/va

Atendimento à imprensa - e-mail: imprensa@tcu.gov.br

Atendimento ao cidadão - e-mail: ouvidoria@tcu.gov.br