Golpes que se passam por órgãos do governo: como reconhecer, se proteger e reagir
Direito Digital17 de junho de 2026

Golpes que se passam por órgãos do governo: como reconhecer, se proteger e reagir

Por Dr. Matheus Puppe

Golpes que se passam por órgãos do governo são fraudes digitais que usam nomes, brasões, linguagem oficial e páginas falsas para induzir a vítima a clicar em links, pagar cobranças inexistentes ou entregar dados pessoais. A proteção começa por uma regra simples: diante de qualquer urgência, pare, verifique o domínio oficial e confirme a informação diretamente no canal do órgão público.

O que caracteriza um golpe em nome do governo?

Um golpe em nome do governo acontece quando criminosos simulam comunicações de órgãos públicos, como Receita Federal, INSS, Detran, tribunais, secretarias ou serviços vinculados ao gov.br, para criar aparência de legitimidade. A fraude costuma misturar identidade visual oficial, mensagens de urgência, links encurtados, boletos falsos, chaves Pix suspeitas e solicitações de dados sensíveis.

Na prática, o objetivo é reduzir o tempo de reflexão da vítima. Por isso, mensagens que falam em bloqueio de CPF, multa, suspensão de benefício, regularização imediata, dívida ativa ou atualização cadastral devem ser tratadas com cautela. Comunicação pública legítima pode existir, mas a validação deve ocorrer sempre pelo site, aplicativo ou central oficial, nunca pelo link recebido de forma inesperada.

Tenho dito, em diferentes espaços, que a fraude digital deixou de ser um problema de poucos para se tornar uma experiência coletiva. Um levantamento recente da TransUnion, no Relatório de Tendências de Fraude, mostra por que faço essa afirmação: aproximadamente quatro em cada dez brasileiros já receberam tentativas de golpe por e-mail, telefone ou mensagens em redes sociais. Entre quem efetivamente caiu, cerca de 10% sofreram algum tipo de prejuízo financeiro. E boa parte dessas investidas têm um disfarce em comum: a imitação de comunicações oficiais de órgãos do governo federal.

Para mim, esse cenário diz algo maior do que uma estatística de segurança da informação. Quando um criminoso veste a identidade de uma instituição pública, o que está em jogo é a confiança do cidadão no Estado,  e é justamente essa confiança que a fraude transforma em arma. Por isso, acredito que entender a mecânica do golpe é o primeiro passo para neutralizá-lo.

Por que esses golpes funcionam

Na minha avaliação, as fraudes que simulam mensagens de órgãos federais têm ficado cada vez mais sofisticadas porque exploram dois gatilhos muito sensíveis: a confiança nas instituições públicas e o medo de um prejuízo imediato,  o bloqueio do CPF, uma cobrança fiscal, uma multa, a inscrição em dívida ativa, a suspensão de um benefício ou um suposto problema com documento oficial.

O ataque costuma combinar engenharia social, uso indevido da identidade visual de órgãos públicos, criação de páginas falsas e tentativa de captura de dados pessoais, bancários ou credenciais de acesso. E aqui está o ponto que mais gosto de frisar, porque é contraintuitivo: na maioria dos casos, o golpe não começa com uma invasão tecnológica complexa, e sim com uma mensagem bem construída, pensada para levar a própria vítima a clicar, pagar ou entregar informações. O elo mais frágil deixou de ser o sistema. Passou a ser a pressa e o susto de quem recebe a mensagem.

Os métodos mais comuns

De acordo com o Serpro, dois métodos se destacam. O primeiro são links que instalam programas maliciosos no smartphone da vítima, capazes de monitorar a tela, interceptar senhas e capturar códigos. O segundo são páginas fraudulentas que imitam sites oficiais para colher dados pessoais e financeiros.

A lição que sempre repito é simples: a aparência de um site não prova nada. Hoje é trivial copiar logotipos, cores, brasões e layouts de páginas governamentais. O que separa o verdadeiro do falso não é o visual, é o endereço.

Cinco defesas práticas

Adotar uma rotina simples de verificação reduz drasticamente o risco. Na minha experiência, cinco hábitos fazem a maior diferença:

  1. Desconfie da urgência. Expressões como "último aviso", "regularize agora", "seu CPF será bloqueado" ou "clique imediatamente" existem para reduzir a sua capacidade de análise. Órgãos públicos podem comunicar pendências, mas eu costumo dizer: quanto maior a pressão por uma ação imediata, maior deve ser a sua desconfiança.
  2. Não clique em links recebidos. Em vez de tocar no link de um WhatsApp, SMS, e-mail ou Telegram, digite você mesmo o endereço oficial no navegador ou use o aplicativo oficial. Serviços federais costumam seguir o padrão "gov.br"; golpistas usam endereços parecidos, com letras extras, hífens ou números.
  3. Confira o domínio, não a aparência. Antes de informar CPF, senha, dados bancários ou foto de documento, verifique o endereço completo da página,  sobretudo quando ela pedir login, pagamento, atualização cadastral ou envio de documentos.
  4. Nunca compartilhe senhas e códigos. Um código de verificação recebido por SMS equivale a uma chave de acesso: ao repassá-lo, você pode entregar o controle de contas de e-mail, bancos e plataformas de governo. Códigos de autenticação jamais devem ser informados a terceiros.
  5. Verifique em canais oficiais. Antes de pagar, emitir boleto ou fazer um Pix, confirme a pendência no site, no aplicativo ou na central de atendimento do órgão. E desconfie de cobranças via Pix para pessoas físicas ou empresas incompatíveis com o órgão público citado.

Caiu no golpe? O que fazer agora

Mesmo com todos os cuidados, ninguém está totalmente imune,  e digo isso sem qualquer julgamento a quem foi vítima. Se o golpe se concretizou, a primeira providência é agir rápido para reduzir danos: interrompa o contato com o golpista, não clique em novos links e não envie mais informações. Em seguida, recomendo organizar a sua resposta:

  • Reúna provas: prints das mensagens, números de telefone, e-mails, links recebidos, comprovantes de pagamento, dados da chave Pix, boletos e páginas acessadas.
  • Registre boletim de ocorrência (presencial ou pela delegacia eletrônica do seu estado).
  • Se houve pagamento, acione o banco imediatamente para tentar bloquear a transação, solicitar contestação e, no caso de Pix, recorrer ao Mecanismo Especial de Devolução (MED).
  • Comunique as partes envolvidas: a plataforma usada no golpe, a instituição financeira e o órgão público indevidamente citado.

A dimensão jurídica, para além do prejuízo imediato.

O dano de um golpe raramente termina na transação financeira, e é isso que mais me preocupa. Quando dados pessoais são capturados, abre-se uma cadeia de riscos: abertura de cadastros fraudulentos, contratação de crédito em nome da vítima e novos golpes alimentados pelas mesmas informações. Por isso, costumo dizer que esses episódios também são, em essência, incidentes de proteção de dados. A Lei Geral de Proteção de Dados (LGPD) assegura ao titular direitos sobre o tratamento de suas informações e impõe deveres a quem as coleta e custodia, incluindo o dever de notificar e mitigar vazamentos.

No plano criminal, a fraude eletrônica passou a ter tratamento mais severo com a Lei nº 14.155/2021, que qualificou o estelionato praticado por meios digitais. No plano civil, a vítima pode buscar a reparação de danos materiais e morais; e, quando há relação de consumo, o Código de Defesa do Consumidor pode reforçar a responsabilização de plataformas e instituições financeiras que falharam em deveres de segurança.

Esse mosaico, proteção de dados, direito penal, direito do consumidor e responsabilidade civil,  mostra que enfrentar a fraude digital exige uma leitura jurídica integrada, e não respostas isoladas. É exatamente nessa interseção entre direito digital como infraestrutura jurídica moderna que escolhi atuar, e que orienta o trabalho que faço à frente da MPUPPE & Associados: traduzir cenários técnicos complexos em estratégias concretas de proteção e de gestão de risco.

A melhor defesa contra golpes que imitam o governo continua sendo a mais simples: diante da urgência, pare; antes de agir, confirme pelo canal oficial. A tecnologia evolui, e os fraudadores também, mas a verificação paciente do domínio e a recusa em compartilhar códigos e senhas seguem sendo barreiras eficazes. E, quando o ataque acontece, reagir com rapidez e com as provas certas faz toda a diferença para limitar o dano e preservar direitos.

Aviso: este conteúdo tem finalidade exclusivamente informativa e educacional e não constitui consulta, parecer ou orientação jurídica para casos concretos. Cada situação deve ser avaliada individualmente por profissional habilitado. Material em conformidade com as normas de publicidade da advocacia da OAB.

Fontes: Relatório de Tendências de Fraude (TransUnion); Serpro; LGPD (Lei nº 13.709/2018); Lei nº 14.155/2021.

Checklist rápido para validar uma mensagem suspeita

Sinal de alertaComo verificar com segurança
Pressão por ação imediataNão clique. Abra o navegador e acesse o canal oficial do órgão citado.
Link fora do padrão oficialConfira o domínio completo antes de inserir CPF, senha, código ou documento.
Cobrança por Pix ou boleto incomumValide a pendência no aplicativo, site ou atendimento oficial antes de pagar.
Pedido de código de verificaçãoNão informe códigos recebidos por SMS, WhatsApp, e-mail ou aplicativo autenticador.
Página com aparência oficialNão confie no visual isoladamente: logotipos, cores e brasões podem ser copiados.

Esse checklist também ajuda empresas a orientar colaboradores, equipes financeiras e áreas de atendimento. Em ambientes corporativos, um único clique pode expor credenciais, instalar malware ou abrir caminho para fraudes maiores envolvendo fornecedores, clientes e dados pessoais protegidos pela LGPD.

Como empresas devem tratar esse risco

Para empresas, golpes que imitam órgãos públicos não são apenas um problema individual do colaborador. Eles entram na agenda de direito digital para empresas, segurança da informação, compliance, proteção de dados e governança de pagamentos. O risco aumenta quando a organização não possui fluxos claros para validar cobranças, aprovar pagamentos, responder a incidentes e preservar evidências.

Uma rotina mínima deve definir quem pode validar comunicações oficiais, quais canais serão usados para confirmar pendências, como registrar tentativas de fraude e em que momento acionar jurídico, tecnologia, banco ou autoridade policial. Essa disciplina evita decisões tomadas no susto e reduz a chance de prejuízo financeiro, exposição de dados e responsabilização por falhas de segurança.

Quando há captura ou proteger sua empresa contra vazamento de dados pessoais, o episódio também deve ser analisado à luz da LGPD e proteção de dados para empresas. Dependendo do caso, pode ser necessário avaliar medidas de contenção, comunicação interna, documentação do incidente, preservação de logs e eventual notificação às partes afetadas ou autoridades competentes.

Outro ponto crítico é a preparação antes do incidente. Políticas internas, treinamentos curtos, autenticação multifator, gestão de acessos e revisão de fornecedores ajudam a diminuir os riscos jurídicos no ambiente digital. A prevenção jurídica e operacional costuma custar menos do que reagir depois de uma fraude consolidada.

Perguntas frequentes sobre golpes que imitam órgãos do governo

Órgãos do governo enviam links por WhatsApp, SMS ou e-mail?

Alguns órgãos podem enviar comunicações digitais, mas a orientação segura é não usar o link recebido para informar dados, baixar arquivos ou pagar cobranças. O caminho mais prudente é acessar manualmente o site oficial, usar o aplicativo oficial ou ligar para a central de atendimento divulgada pelo próprio órgão.

Como saber se um site do governo é verdadeiro?

Verifique o domínio completo, procure erros de grafia, palavras extras, hífens suspeitos, números fora de contexto e páginas que imitam o visual oficial. A aparência não basta: golpistas conseguem copiar layouts, brasões e logotipos. O endereço da página e a confirmação em canal independente são os principais filtros.

O que fazer se eu paguei um Pix ou boleto falso?

Entre em contato com o banco imediatamente, registre a contestação e solicite as medidas disponíveis para bloqueio ou tentativa de recuperação. No caso de Pix, pergunte sobre o Mecanismo Especial de Devolução. Em paralelo, reúna comprovantes, mensagens, links, dados da chave Pix e registre boletim de ocorrência.

Compartilhei meus dados pessoais. Isso é um incidente de LGPD?

Pode ser. Se dados pessoais foram coletados, expostos ou usados indevidamente, é recomendável avaliar o caso como possível incidente de proteção de dados. Empresas devem documentar o ocorrido, conter o risco e analisar se há dever de comunicação, mitigação ou revisão de controles internos.

Empresas podem ser responsabilizadas por fraudes digitais?

Depende do contexto. Quando há falha em deveres de segurança, controle, informação ou resposta a incidentes, podem surgir discussões envolvendo responsabilidade civil, direito do consumidor, proteção de dados e contratos. Por isso, a resposta jurídica deve considerar tecnologia, processos internos, evidências e cadeia de fornecedores.

Em resumo

  • Golpes que se passam por órgãos do governo exploram confiança institucional e senso de urgência.
  • Aparência oficial não prova autenticidade; o domínio e o canal de confirmação são decisivos.
  • Senhas, códigos de autenticação, documentos e dados bancários nunca devem ser compartilhados por pressão de mensagem.
  • Se houver pagamento ou vazamento de dados, a reação deve ser rápida, documentada e orientada por evidências.
  • Para empresas, o tema envolve direito digital, LGPD, segurança da informação e governança de risco.

Tags

direito digitalfraude digitalgolpes digitaisgoverno digitalLGPDproteção de dadossegurança da informação