top of page

Ataques hackers em prefeituras de Goiás: o que a LGPD ensina sobre segurança financeira na Administração Pública

  • Foto do escritor: Phillipe Marques
    Phillipe Marques
  • 1 de jul.
  • 6 min de leitura

Nos últimos dias, um caso chamou a atenção de todo o país e acendeu um importante alerta para gestores públicos, profissionais da tecnologia e especialistas em proteção de dados. Pelo menos sete prefeituras goianas foram vítimas de ataques cibernéticos que resultaram em prejuízos próximos de R$ 8 milhões. Segundo informações divulgadas pela Associação Goiana de Municípios (AGM), os ataques ocorreram entre 2024 e 2026, atingindo municípios como Caçu, Nazário, Santa Rita do Araguaia, Damianópolis, Castelândia, Cromínia e Lagoa Santa. Em alguns casos, os criminosos realizaram diversas transferências via PIX em questão de minutos, comprometendo recursos destinados ao pagamento de fornecedores, aquisição de medicamentos, folha de pagamento e demais serviços essenciais à população.


Embora o prejuízo financeiro seja o aspecto mais evidente, esse episódio revela um problema ainda maior: a necessidade de tratar a segurança da informação como parte da governança pública e da gestão financeira. Mais do que uma falha tecnológica, trata-se de um risco institucional que pode comprometer a continuidade dos serviços públicos e a confiança da sociedade.


Muito além do prejuízo financeiro


Os ataques cibernéticos modernos não têm como objetivo apenas roubar dinheiro. Na maioria das vezes, eles exploram vulnerabilidades humanas e tecnológicas para obter acesso privilegiado aos sistemas internos de uma organização.


Mesmo quando o foco do criminoso é exclusivamente financeiro, a invasão normalmente exige acesso a computadores, certificados digitais, sistemas bancários, credenciais de servidores públicos e outras informações estratégicas.


Isso significa que o incidente pode envolver também dados pessoais de servidores, fornecedores e cidadãos, aproximando o caso das obrigações previstas pela Lei Geral de Proteção de Dados.



O que a LGPD determina para os órgãos públicos?


A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), aplica-se integralmente à Administração Pública.


O artigo 46 estabelece que os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados, perda, destruição, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.


Na prática, isso significa que toda prefeitura deve possuir uma política estruturada de segurança da informação, incluindo:

  • controle rigoroso de acessos aos sistemas;

  • autenticação multifator;

  • gerenciamento de senhas e credenciais privilegiadas;

  • registro de logs e auditorias;

  • plano de resposta a incidentes;

  • gestão de riscos;

  • treinamento contínuo dos servidores;

  • plano de continuidade dos serviços públicos.


Caso seja constatado que essas medidas não foram implementadas de forma adequada, poderão surgir discussões sobre eventual responsabilização administrativa, civil e até judicial, sem prejuízo da responsabilização criminal dos autores dos ataques.


Como ataques dessa natureza costumam acontecer?


As investigações ainda estão em andamento, mas os elementos divulgados pelas reportagens permitem identificar vetores de ataque bastante conhecidos na área da segurança da informação.


Engenharia social


Ainda hoje, o fator humano continua sendo o elo mais vulnerável.


Um servidor pode receber um e-mail aparentemente legítimo contendo um link falso ou um arquivo malicioso. Ao fornecer suas credenciais, acaba entregando aos criminosos o acesso ao sistema.


Roubo de credenciais


Em muitos casos, malwares especializados capturam senhas, certificados digitais e sessões autenticadas, permitindo que o invasor opere como se fosse o próprio servidor autorizado.


Malware bancário


Alguns programas maliciosos conseguem alterar operações financeiras em tempo real, modificando favorecidos, valores e destinos das transferências sem que o operador perceba imediatamente.


Concentração de privilégios


Quando apenas um usuário possui autorização para movimentar milhões de reais, esse servidor torna-se um alvo extremamente valioso.


A segregação inadequada de funções aumenta significativamente o impacto de qualquer comprometimento.


Segurança financeira também é segurança da informação


Os ataques sofridos pelas prefeituras demonstram que proteger os recursos públicos exige muito mais do que antivírus e firewalls.


Existem diversos mecanismos de governança capazes de reduzir significativamente esse tipo de risco.


Assinatura eletrônica em múltiplas etapas


Transferências de alto valor jamais deveriam depender da autorização de um único servidor.

Uma boa prática consiste em exigir aprovação conjunta de diferentes responsáveis, como secretário de Finanças, tesoureiro e prefeito.


Essa segregação dificulta a atuação dos criminosos mesmo quando uma credencial é comprometida.


Limites inteligentes de movimentação


Os sistemas bancários podem estabelecer limites diários, limites por operação, por horário e por favorecido.


Movimentações excepcionais podem depender de validação adicional antes da efetivação.


Janela de retenção para grandes transferências


Operações acima de determinado valor podem permanecer temporariamente em análise automática antes da liquidação definitiva.


Esse mecanismo cria tempo suficiente para identificar comportamentos suspeitos e bloquear transações fraudulentas.


Autenticação multifator


A utilização apenas de usuário e senha já não oferece proteção adequada.


O ideal é combinar diferentes fatores de autenticação, como certificado digital, token físico, biometria e dispositivos previamente cadastrados.


Segregação das contas públicas


Outra medida importante consiste em distribuir os recursos públicos entre diferentes contas específicas para folha de pagamento, saúde, educação, convênios e investimentos.


Assim, mesmo diante de uma invasão, os danos tendem a ser limitados.


Monitoramento em tempo real


Ferramentas modernas de prevenção à fraude conseguem identificar comportamentos incomuns, como dezenas de transferências consecutivas, movimentações realizadas durante a madrugada, novos destinatários ou valores incompatíveis com o histórico da conta.


Esses eventos podem gerar alertas ou até bloqueios automáticos para análise.


Qual é o papel das instituições financeiras?


Outro aspecto relevante envolve os mecanismos de prevenção à fraude adotados pelas instituições financeiras.


Operações milionárias realizadas em poucos minutos, por meio de diversas transferências sucessivas para contas desconhecidas, representam um padrão bastante distinto da rotina financeira de uma prefeitura.


Em ambientes dotados de sistemas antifraude robustos, movimentações com essas características costumam gerar alertas, validações adicionais ou bloqueios preventivos. A eventual responsabilidade da instituição financeira, contudo, dependerá da apuração técnica de cada caso, das provas produzidas e da análise do Poder Judiciário.


Um alerta para toda a Administração Pública


O caso das prefeituras goianas demonstra que a transformação digital da gestão pública exige investimentos proporcionais em segurança da informação.


A LGPD não deve ser vista apenas como uma legislação voltada à proteção de dados pessoais. Ela representa um marco de governança, gestão de riscos e responsabilidade institucional.


Cada servidor treinado reduz significativamente as chances de um ataque bem-sucedido.


Cada política de segurança implementada fortalece a proteção do patrimônio público.


Cada camada adicional de autenticação dificulta a atuação dos criminosos.


Mais do que cumprir uma obrigação legal, investir em cibersegurança significa proteger recursos públicos, assegurar a continuidade dos serviços essenciais e preservar a confiança da população nas instituições.


Os ataques que atingiram sete prefeituras goianas evidenciam que os riscos cibernéticos já fazem parte da realidade da Administração Pública brasileira. Em um cenário de crescente digitalização dos serviços governamentais, a proteção dos sistemas, das informações e dos recursos financeiros deve ser tratada como prioridade estratégica.


A LGPD estabelece um importante marco regulatório para a proteção de dados, mas sua efetividade depende da adoção de medidas concretas de governança, gestão de riscos, capacitação de servidores e fortalecimento da segurança da informação. Investir em prevenção é sempre menos oneroso do que lidar com as consequências de um incidente que compromete milhões de reais e impacta diretamente a prestação de serviços essenciais à sociedade.


A cibersegurança deixou de ser um tema exclusivo da área de Tecnologia da Informação.


Hoje, ela é um dos pilares da boa gestão pública, da responsabilidade administrativa e da proteção do interesse coletivo.


Os ataques cibernéticos que atingiram prefeituras goianas não representam um episódio isolado, mas um reflexo dos desafios enfrentados pela Administração Pública em um cenário de crescente digitalização. À medida que serviços, processos administrativos e operações financeiras migram para o ambiente digital, a segurança da informação deixa de ser um diferencial e passa a ser um requisito essencial para a boa gestão dos recursos públicos.


A LGPD estabelece parâmetros importantes para a proteção de dados pessoais, porém seu verdadeiro propósito vai além da conformidade legal. Ela incentiva uma cultura de governança, prevenção e responsabilidade, na qual tecnologia, pessoas e processos devem atuar de forma integrada para reduzir riscos e garantir a continuidade dos serviços prestados à sociedade.


Os prejuízos financeiros decorrentes desse caso demonstram que investir em cibersegurança não é um custo, mas uma medida de proteção ao patrimônio público. Controles internos eficientes, autenticação multifator, segregação de funções, monitoramento contínuo, auditorias periódicas e capacitação constante dos servidores são instrumentos capazes de minimizar vulnerabilidades e fortalecer a confiança da população nas instituições.


Em um contexto em que ataques virtuais se tornam cada vez mais sofisticados, prevenir continua sendo a estratégia mais eficiente. A proteção de dados, a segurança financeira e a governança digital caminham lado a lado e devem integrar a agenda de qualquer órgão público comprometido com a transparência, a eficiência e a responsabilidade administrativa.


Na Marques Marketing, acreditamos que a transformação digital deve ser acompanhada por uma sólida estrutura de governança, compliance e proteção de dados. A integração entre Direito, tecnologia e comunicação estratégica é fundamental para que organizações públicas e privadas atuem com segurança, fortaleçam sua reputação e estejam preparadas para os desafios do ambiente digital. Afinal, proteger informações, recursos e pessoas é, acima de tudo, proteger a confiança que sustenta qualquer instituição.


bottom of page