A Polícia Federal cumpriu, nessa semana, quatro mandados de busca e apreensão com vistas a investigar possíveis vazamentos de dados de ministros do Supremo Tribunal Federal (STF) e familiares mantidos na Receita Federal. A ocorrência reforça, na visão dos CISOs da comunidade Security Leaders, a necessidade de controle constante dos acessos de usuários à registros sigilosos, seja na repartição pública ou na iniciativa privada.
A ação da PF responde a uma determinação do próprio STF, em resposta à representação da Procuradoria Geral da República, para averiguar se informações de caráter sigiloso foram acessados sem a devida autorização por agentes públicos com entrada nos registros do Fisco. Essa investigação vinha sendo movida desde o final de janeiro, quando a Corte tomou conhecimento sobre as possíveis quebras de integridade.
Conforme apontaram os Líderes de Cibersegurança, possuir acesso a bancos de dados e armazéns de registros críticos é uma responsabilidade de alto valor em qualquer instituição, seja ela pública ou particular. Por conta disso, é preciso que os profissionais disponíveis para essas entradas possuam o máximo de parcimônia e controle no momento de gerenciar esses dados, com vistas a mitigar riscos de exposição indesejada.
Da mesma forma, é mandatório que as empresas estabeleçam controles e políticas rígidas para o uso desses dados, de forma a monitorar tanto o acesso em si quanto as atividades exercidas pelo usuário dentro do ambiente. Manter um histórico de movimentação detalhado dentro desses ambientes também é crucial para, caso necessário, investigar as origens e causas de um eventual data leak.
A própria Receita Federal, em nota pública, reforçou que segue promovendo ampla auditoria sobre para identificar desvios no acesso a dados de ministros da Corte, parentes e outros nos últimos 3 anos. “A auditoria, que envolve dezenas de sistemas e contribuintes, está em andamento, sendo que desvios já detectados foram preliminarmente informados ao relator no STF”, acrescenta o comunicado.
O Fisco também reafirmou que seus sistemas são totalmente rastreáveis, de modo que qualquer desvio é detectável, auditável e punível, inclusive na esfera criminal. “Desde 2023, foram ampliados os controles de acessos a dados, com forte restrição aos perfis de acesso e ampliação de alertas. Foram concluídos 7 processos disciplinares no período, com 3 demissões e sanções nos demais. O mesmo rigor orienta e orientará todo o processo”, conclui.
Diante desse posicionamento, a expectativa dos executivos de SI é de que os acessos e os seus usuários tenham sido detectados de forma rápida e detalhada, permitindo a condução efetiva e correta das investigações. Em nota, o STF confirmou ter recebido relatório da Receita em que detectavam “bloco de acessos cuja análise, pelas áreas responsáveis, não identificou justificativa funcional”. Os acessos teriam sido movidos por quatro servidores públicos do Fisco.
A Security Report divulga, na íntegra, notas da Receita Federal e do Supremo Tribunal Federal:
Receita Federal:
“A Receita Federal do Brasil não tolera desvios, especialmente relacionados ao sigilo fiscal, pilar básico do sistema tributário.
Além dos procedimentos no âmbito do inquérito, noticiados hoje (17/2/2026), com base em informações prestadas pela própria Receita Federal do Brasil, há prévio procedimento investigatório em parceria com a autoridade policial, cujos resultados poderão ser divulgados oportunamente.
Em 12 de janeiro desde ano, o STF solicitou à Receita Federal auditoria em seus sistemas para identificar desvios no acesso a dados de ministros da Corte, parentes e outros nos últimos 3 anos. O trabalho foi incluído em procedimento que já havia sido aberto no dia anterior pela Corregedoria da Receita Federal com base em notícias veiculadas pela imprensa.
A auditoria, que envolve dezenas de sistemas e contribuintes, está em andamento, sendo que desvios já detectados foram preliminarmente informados ao relator no STF.
Os sistemas da Receita Federal são totalmente rastreáveis, de modo que qualquer desvio é detectável, auditável e punível, inclusive na esfera criminal.
Desde 2023, foram ampliados os controles de acessos a dados, com forte restrição aos perfis de acesso e ampliação de alertas. Foram concluídos 7 processos disciplinares no período, com 3 demissões e sanções nos demais. O mesmo rigor orienta e orientará todo o processo”.
Supremo Tribunal Federal:
“Nos autos da PET 15256, autuada por prevenção ao Inquérito 4.781/DF, para apuração de possível vazamento indevido de dados sigilosos de Ministros do Supremo Tribunal Federal, do Procurador Geral da República e de seus familiares foram constatados diversos e múltiplos acessos ilícitos ao sistema da Secretaria da Receita Federal do Brasil, seguindo-se de posterior vazamento das informações sigilosas.
As investigações iniciais demonstraram, conforme relatório enviado pela Receita Federal ao STF, a existência de “bloco de acessos cuja análise, pelas áreas responsáveis, não identificou justificativa funcional”.
Esses diversos e múltiplos acessos ilegais, conforme destacado pela Procuradoria-Geral da República, “apresentam aderência típica inicial ao delito previsto no art. 325 do Código Penal (violação de sigilo funcional)”, porém “o caso não se exaure apenas na violação individual do sigilo fiscal, uma vez que a exploração fragmentada e seletiva de informações sigilosas de autoridades públicas, divulgadas sem contexto e sem controle jurisdicional, tem sido instrumentalizada para produzir suspeitas artificiais, de difícil dissipação”.
A pedido da Procuradoria-Geral da República, o Supremo Tribunal Federal decretou as seguintes medidas cautelares em relação aos servidores da Receita Federal, ou cedidos por outros órgãos, Luiz Antônio Martins Nunes, Luciano Pery Santos Nascimento, Ruth Machado dos Santos e Ricardo Mansano de Moraes: (a) busca e apreensão domiciliar e pessoal, (b) afastamento dos sigilos bancário, fiscal e telemático, (c) proibição de se ausentar da Comarca e recolhimento domiciliar no período noturno e nos finais de semana mediante uso de tornozeleira eletrônica, (d) afastamento imediato do exercício da função pública, proibição de ingresso nas dependências do Serviço Federal de Processamento de Dados (SERPRO) e da Receita Federal do Brasil e proibição de acesso a seus sistema e bases informatizadas, (e) proibição de se ausentar do país, cancelamento de todos os passaportes e determinação de impedimento migratório.
Os investigados prestarão depoimentos à Polícia Federal que prosseguirá nas investigações.”
*Com informações do Estado de São Paulo, do Portal G1, da Polícia Federal e da Receita Federal
