Fraude em agência da Caixa mostra fragilidade interna, e não da biometria facial

São Paulo, 22/09/2025 - Um funcionário da Caixa Econômica entra no sistema do aplicativo Caixa Tem, modifica os dados cadastrados, incluindo a biometria facial, e desvia R$ 600 mil em benefícios sociais, como Bolsa Família e FGTS. 

Parece cena de filme, mas é o resultado de uma ação da Polícia Federal (PF), que levou os investigadores até uma agência do banco na avenida Rio Branco, no Rio de Janeiro (RJ), cenário da fraude que durou ao menos cinco anos. 

Na sexta-feira, 19, dois homens ligados ao esquema foram presos, enquanto quatro permanecem foragidos. De acordo com a PF, o grupo fraudava cadastros de beneficiários, mantendo apenas o nome e o CPF, ligados ao benefício. 

Em nota ao Viva e à Broadcast, a Caixa esclareceu que "identificou fraudes no sistema de biometria facial do aplicativo CAIXA Tem, tendo tratado o assunto com a máxima prioridade, por meio de medidas corretivas rigorosas, que incluem o aprimoramento contínuo dos algoritmos de detecção de fraudes e a recomposição integral das contas eventualmente impactadas". A nota afirma que "não houve qualquer prejuízo para os usuários do CAIXA Tem."

O banco reforça que "atua em parceria com a Polícia Federal e demais órgãos de controle na investigação e repressão a fraudes, e que todos os casos identificados são tratados com rigor e os valores movimentados indevidamente são integralmente restituídos aos clientes."

Para substituir a biometria, os fraudadores utilizavam disfarces, como perucas e pintura facial, rostos criados por inteligência artificial ou, até mesmo ‘laranjas’, mais precisamente, pessoas em situação de rua que não tinham a face armazenada em nenhum banco de dados conhecido. 

À primeira vista, pode parecer que o esquema criminoso valida uma tese de que a biometria facial não é tão segura assim, já que o sistema de autenticação em dois fatores pouco influenciou na proteção das informações sensíveis. 

Entretanto, para o engenheiro da computação, doutor em cibersegurança e professor da PUCPR, Altair Olivo Santin, a fraude é um resultado de uma falha interna da Caixa na fiscalização da conduta dos funcionários, e não necessariamente de uma falha na biometria. “Era uma pessoa que tinha um acesso privilegiado, pois os sistemas de cibersegurança são construídos assumindo que quem opera o sistema é uma pessoa confiável, ainda mais no caso de um servidor concursado”, defende. 

“Os mecanismos de segurança deveriam vir do banco, como promover treinamentos e auditorias. Mas a Caixa não espera a rigor que um funcionário que lide com dados sensíveis vá agir dessa maneira.”

O especialista ainda destaca que já existem à disposição no mercado, sistemas biométricos mais seguros, como a leitura da digital ou das características da palma da mão por infravermelho, mas que a facial ainda é amplamente difundida pela facilidade de acesso. 

Leia também: Projeto com idosos no metrô do DF lê palma da mão com biometria na catraca

“A câmera é um dispositivo que todo celular tem. O problema é que existem alguns detalhes da captura da imagem que exigem um hardware mais avançado. Mas, neste caso, não houve falha da biometria em si, e sim má conduta do funcionário.”

Como fortalecer a segurança

Os sistemas biométricos já estão interligados em grandes bancos de dados no País, como do Tribunal Superior Eleitoral e do Detran. Também já são uma exigência para operações como autorização ou desbloqueio do crédito consignado pelo INSS, como detalhado em julho pelo Viva. 

Leia também: É beneficiário do INSS e tem dificuldade com biometria? Saiba o que fazer

Nessas operações, o cruzamento da biometria do indivíduo com bases de dados pré-existentes pode ter sido um fator para desestruturar o esquema, mas é importante que as instituições fortaleçam as operações, como aponta o professor. 

“A Caixa poderia, por exemplo, realizar uma espécie de ‘prova de vida’, ou seja, exigir que a pessoa esteja registrada em algum banco para liberar o benefício. Uma possível solução é colocar um terceiro para validar o cadastro posteriormente, ou então exigir com que o indivíduo se apresente presencialmente na agência para permitir o acesso.”

Para Alexander Coelho, sócio do Godke Advogados e especialista em direito digital e cibersegurança, a Caixa pode, a partir deste episódio reforçar a tecnologia, com detecção do uso de inteligência artificial, já disponível em sistemas biométricos avançados, além de permitir a fiscalização de órgãos independentes. 

“A Caixa tem o dever de informar os cidadãos de como os dados são tratados, armazenados e protegidos. E eles podem solicitar que a própria Agência Nacional de Proteção de Dados (ANPD) fiscalize e elabore relatórios frequentes, com protocolos para incidentes.”

Como ficam as vítimas?

O advogado destaca que as vítimas, que tiveram os benefícios desviados, têm direito a reparação por danos materiais e morais e acesso irrestrito à informação de como seus dados foram utilizados e por quem. A Caixa também precisa eliminar ou bloquear os cadastros fraudulentos.

“A recomendação é que os beneficiários procurem auxílio jurídico para entrar com uma ação individual ou coletiva. O Ministério Público ou o Procon também podem atuar para responsabilizar os envolvidos”, detalha.

Quanto aos responsáveis pelo crime, de acordo com Coelho, tanto a Caixa, quanto os autores do golpe podem responder pela ação. “Caso seja constatado no processo que o banco não adotou as medidas de segurança adequadas, descritas nos artigos 42 e 46 da Lei Geral de Proteção de Dados (LGPD), a Caixa terá que reparar os danos às vítimas. Já os criminosos respondem por estelionato, falsidade ideológica e peculato digital, que é o crime cometido por funcionário público”, conclui o advogado. 

Na nota  enviada ao Viva e a Broadcast, a Caixa informou também que "mantém uma equipe técnica altamente qualificada, dedicada à identificação e mitigação de vulnerabilidades, além de promover melhorias contínuas em seus mecanismos de segurança, com foco na prevenção de fraudes e na proteção dos dados dos clientes".

Para o engenheiro de computação, o caso da fraude na agência evidencia a fragilidade de um sistema, que prejudica quem mais precisa. “Estamos falando de pessoas vulneráveis, de baixa renda, que dependem financeiramente dos benefícios. Por outro lado, temos as pessoas em situação de rua também, utilizadas de forma cruel neste esquema”, opina.

Leia a nota na íntegra: