Juliana Braz: «Você não consegue verificar o que não consegue identificar de forma única»

Juliana Braz lidera a área de Negócios Internacionais e é porta-voz da Serpro, a espinha dorsal tecnológica do governo federal brasileiro. Nessa função, ela conecta direito, administração pública e engenharia para enfrentar um dos maiores desafios do Estado: provar, com confiança, quem é quem em escala nacional. Ela começou sua trajetória ajudando a transformar a Carteira Nacional de Habilitação em papel na premiada CNH Digital e, desde então, se tornou uma voz clara e pragmática em identidade digital, prevenção à fraude e direitos dos cidadãos. Para Juliana, identidade é um bem público e “segurança by design” não é negociável: biometria e tokenização onde realmente acrescentam confiança; cumprimento rigoroso da LGPD e controle de acesso baseado em papéis para proteger a privacidade; e caminhos inclusivos para que a tecnologia nunca deixe ninguém de fora.

Ela defende o modelo de níveis de segurança do Gov.br (Bronze, Prata, Ouro) como um blueprint para escalar confiança, ao mesmo tempo em que pressiona por interoperabilidade entre silos de dados para conter identidades sintéticas e quadrilhas de engenharia social. Com uma visão realista sobre os riscos de deepfakes e ataques de SIM swap, ela sustenta que cultura e capacitação precisam acompanhar o ritmo das ferramentas. Olhando para frente, ela enxerga um ecossistema ancorado no CPF caminhando em direção à SSI (Self-Sovereign Identity), com a Serpro como camada de confiança soberana do Brasil e hub de inteligência antifraude em tempo real.

Pergunta: Juliana, sua carreira combina direito, administração pública e tecnologia. O que a motivou a se especializar em identidade e fraude na sua atuação na Serpro?

Minha motivação para me especializar em identidade e fraude na Serpro vem diretamente da minha experiência prática desenvolvendo sistemas nacionais críticos. Iniciei minha trajetória na Serpro trabalhando com a base de dados existente da Carteira Nacional de Habilitação (CNH), que já era uma das principais fontes de identificação do Brasil.

Foi por meio da minha participação ativa no projeto de criação da CNH Digital — uma iniciativa que transformou um documento físico em uma credencial de alta segurança, reconhecida nacionalmente com prêmios como o iBest — que eu me tornei profundamente fascinada por esse campo. Percebi que identidade é o ativo mais fundamental da Administração Pública e que a tecnologia é a melhor resposta para problemas complexos de confiança e fraude em larga escala.

Por isso, minha especialização na Serpro é a evolução lógica desse trabalho. Eu uso minha formação em Administração Pública e meu conhecimento técnico para compreender onde estão as vulnerabilidades dos processos (onde a fraude acontece) e, a partir daí, aplicar tecnologias avançadas — como biometria e tokenização — para desenhar soluções de segurança robustas, protegendo o cidadão e garantindo a integridade da digitalização do Estado.

Pergunta: Como gestora em uma instituição-chave para a digitalização do governo, o que você aprendeu sobre o valor da identidade digital para os cidadãos e para o Estado?

Minha experiência à frente de iniciativas de digitalização do governo me mostrou que o valor da Identidade Digital é absolutamente estrutural: ela é o motor central de um Estado moderno, eficiente e inclusivo. Não é apenas uma atualização tecnológica; é algo que redefine a relação entre cidadão e governo, transformando ineficiências históricas em serviços ágeis e confiáveis.

Para o cidadão, o grande valor é a inclusão universal e o acesso simplificado. A Identidade Digital elimina a necessidade de presença física, filas e papelada, permitindo que milhões de pessoas acessem serviços essenciais de qualquer lugar, a qualquer hora, garantindo que os direitos cheguem efetivamente a quem precisa deles. Além disso, uma identidade digital forte, muitas vezes apoiada em biometria, é bem mais segura contra fraude do que documentos físicos. Isso não apenas protege o indivíduo contra roubo de identidade, como também dá a ele maior controle sobre seus próprios dados.

Para o Estado, a Identidade Digital é o pilar da boa governança e da integridade fiscal. Ela gera eficiência e economia ao padronizar e automatizar processos de autenticação em todos os órgãos. E, principalmente, é a ferramenta antifraude mais poderosa: ao garantir que cada cidadão é um indivíduo único e verificável, o Estado assegura que recursos públicos — como benefícios sociais e auxílios emergenciais — sejam pagos apenas ao destinatário correto, evitando desvios e pagamentos em duplicidade.

Por fim, a identidade digital permite consolidar e cruzar dados de forma segura entre diferentes silos governamentais, oferecendo uma visão única e precisa do cidadão para formular políticas públicas mais eficazes e melhor direcionadas.

Pergunta: A fraude de identidade no Brasil é um desafio constante. Na sua visão, quais são hoje as principais vulnerabilidades exploradas pelos criminosos?

A fraude de identidade no Brasil é um desafio persistente que os criminosos exploram de forma estratégica, atacando o cruzamento entre sistemas legados, a proliferação de dados roubados e a fragilidade humana. Do ponto de vista da digitalização e da segurança, as vulnerabilidades começam pelo vazamento de dados pessoais. O principal combustível da fraude é a enorme quantidade de dados pessoais roubados e expostos — incluindo CPF, nome da mãe e data de nascimento — disponível na dark web, servindo de base para abertura de contas fraudulentas e campanhas massivas de engenharia social.

Além disso, os criminosos exploram a fragmentação cadastral criando identidades sintéticas, combinando um CPF legítimo, porém roubado, com dados fictícios para passar pelas checagens iniciais de onboarding em setores que não têm uma visão unificada do cidadão.

Em segundo lugar, criminosos são especialistas em atacar processos e o elo mais fraco de qualquer sistema: o ser humano. Engenharia social e phishing continuam sendo táticas extremamente eficazes; fraudadores usam dados vazados para construir narrativas convincentes, manipulando a vítima até que ela mesma entregue os códigos de segurança. Da mesma forma, o ataque de SIM swap explora uma vulnerabilidade de procedimento nas operadoras de telefonia: ao portar o número da vítima para um novo chip, o criminoso passa a receber os códigos de autenticação multifator (MFA) enviados por SMS, contornando a segurança do aplicativo.

Por fim, sistemas legados perpetuam vulnerabilidades: a multiplicidade histórica de documentos de identidade e a dependência de processos manuais facilitam a falsificação e o uso de documentos roubados. Somam-se a isso ameaças tecnológicas emergentes, que testam as novas defesas. À medida que a biometria facial se torna padrão, criminosos investem em vídeos deepfake e máscaras digitais de alta qualidade para enganar mecanismos de prova de vida na abertura de contas. E os ataques à cadeia de suprimentos ficaram mais sofisticados, mirando pequenos fornecedores terceirizados, menos protegidos, para roubar dados sensíveis ou injetar código malicioso em sistemas amplamente utilizados.

Pergunta: O Brasil investiu em biometria e soluções digitais para autenticar milhões de pessoas. Na sua opinião, o que funcionou bem e que limitações ainda persistem nessas iniciativas?

O compromisso do Brasil com o uso de biometria e soluções digitais para autenticação em massa tem sido pioneiro. Vimos avanços significativos, especialmente na consolidação de dados críticos, mas ainda enfrentamos desafios importantes que precisam ser superados para atingir uma segurança digital verdadeiramente universal.

A plataforma Gov.br, que utiliza autenticação cruzando dados com bases oficiais do governo (como CNH/Denatran e Receita Federal), é uma grande conquista. Ela trabalha com níveis graduados de autenticação (Bronze, Prata, Ouro), incentivando os cidadãos a elevar seu nível de segurança por meio da biometria e oferecendo ao Estado uma camada robusta de identidade digital verificada para acesso a milhares de serviços.

No entanto, ainda lutamos com a falta de interoperabilidade fluida entre grandes bases de dados governamentais. Temos vários “silos” biométricos de alta qualidade que ainda não se comunicam de forma plena e simples entre si. Essa fragmentação obriga diferentes órgãos a refazerem verificações e dificulta a criação de um histórico de identidade realmente unificado.

Pergunta: Quando se fala em tecnologia antifraude, muitas pessoas pensam apenas em ferramentas. Pela sua experiência, qual é a importância da cultura organizacional e do treinamento das equipes na prevenção da fraude?

Esse ponto é essencial. Embora o debate público muitas vezes se concentre nas ferramentas mais modernas — biometria, IA, criptografia —, minha experiência mostra que a cultura organizacional e o treinamento das equipes são tão importantes quanto a tecnologia em si, se não mais.

O sucesso em antifraude se apoia em um triângulo: Tecnologia, Processo e Pessoas. Se os lados de Pessoas e Cultura forem frágeis, mesmo a tecnologia mais avançada vai falhar.

Uma cultura antifraude forte precisa começar na alta liderança e se espalhar por todos os níveis da instituição. Ela transforma a prevenção da fraude de uma lista de exigências de compliance em um valor central do negócio. A tecnologia emite alertas, mas são as pessoas bem treinadas que trazem contexto, análise e resposta rápida.

Pergunta: Na Serpro vocês trabalham com dados em larga escala. Como você equilibra a necessidade de segurança e precisão na identificação com o respeito à privacidade e aos direitos dos cidadãos?

Trabalhar com dados governamentais em larga escala em uma instituição como a Serpro exige uma abordagem rigorosa para equilibrar três necessidades igualmente críticas: segurança (prevenção à fraude), precisão (identificação correta) e privacidade (direitos do cidadão).

Esse equilíbrio não é alcançado com uma única ferramenta, mas com um arcabouço profundamente integrado de governança, tecnologia e conformidade legal.

O ponto de partida é a obediência estrita à lei, em particular à Lei Geral de Proteção de Dados (LGPD). Ela fornece a base jurídica inegociável. Aplicamos o princípio da “necessidade de saber”: a coleta e o uso de dados são estritamente limitados ao que é absolutamente necessário para o serviço. Por exemplo, para verificar se um usuário é maior de idade, acessamos apenas a data de nascimento, não o endereço ou os nomes dos pais. Isso é pensado desde o desenho da arquitetura. Além disso, qualquer consulta ou transferência de dados precisa ter uma finalidade lícita, clara e específica. Garantimos que dados coletados para fins tributários, por exemplo, não sejam usados de forma indiscriminada em um serviço de saúde, a menos que isso seja autorizado por lei ou por consentimento expresso. Também asseguramos que os cidadãos sejam informados sobre quais dados estão sendo usados e para quê, respeitando integralmente seus direitos sob a LGPD, incluindo o direito de acessar, corrigir ou solicitar a anonimização de seus dados quando isso é legalmente aplicável.

A tecnologia é usada para proteger os dados e garantir seu uso correto, não simplesmente para ampliar o acesso. O acesso a dados sensíveis de identificação é compartimentado, monitorado e altamente restrito. Utilizamos um modelo de controle de acesso baseado em papéis (RBAC) muito rigoroso, de modo que apenas pessoal autorizado possa manipular esses dados, e cada acesso é registrado e auditável. Para tarefas como análise de padrões de fraude, testes de qualidade ou modelos de machine learning, priorizamos o uso de dados anonimizados (sem identificadores pessoais) ou pseudonimizados (com identificadores substituídos por tokens). Isso permite gerar inteligência sobre tendências sem expor identidades individuais. Os dados são criptografados tanto em trânsito (quando circulam entre sistemas) quanto em repouso (quando armazenados em bancos de dados). Além disso, utilizamos tokenização em identidade digital, substituindo dados sensíveis — como o CPF completo — por tokens sem significado fora do contexto da transação, reduzindo ao mínimo a exposição de informações.

Pergunta: Nos últimos anos surgiram fraudes mais sofisticadas, como deepfakes ou uso de identidades sintéticas. Como você avalia a capacidade do Brasil de se antecipar a essas ameaças emergentes?

Ameaças sofisticadas como deepfakes e fraude com identidades sintéticas representam a fronteira do cibercrime e exigem uma mudança de postura: sair da defesa reativa para uma antecipação proativa.

Na minha avaliação, a capacidade do Brasil de lidar com essas ameaças é ambivalente: temos forças importantes em dados de grande escala e em marcos regulatórios, mas ainda enfrentamos lacunas em inteligência unificada e maturidade tecnológica.

O maior ativo do Brasil é a amplitude e a qualidade dos seus dados. Instituições públicas como a Serpro gerenciam dados biométricos e cadastrais em escala nacional. Esse grande volume de dados verificados é a melhor defesa contra identidades sintéticas, pois torna muito mais difícil fabricar uma pessoa fictícia que passe por verificações cruzadas rigorosas. A existência da LGPD obriga as organizações a adotar princípios de “segurança by design” e reforça a responsabilização. Essa pressão regulatória estimula investimento contínuo em segurança avançada, incluindo ferramentas para detectar manipulações sofisticadas de dados.

O setor bancário e fintech brasileiro, altamente competitivo e digital, funciona também como laboratório vivo. Essas instituições implementam rapidamente técnicas antifraude avançadas, como biometria comportamental em tempo real e mecanismos reforçados de prova de vida em reconhecimento facial, elevando continuamente o padrão do mercado na defesa contra deepfakes e ataques de apresentação.

Apesar dessas forças, lacunas estruturais e tecnológicas reduzem nossa capacidade de verdadeira antecipação. Embora os dados existam, a inteligência muitas vezes fica presa em silos. Fraudadores, por outro lado, compartilham métodos de forma global e quase instantânea. Para se antecipar, o setor público (polícia, receita, justiça eleitoral) e o setor privado (bancos, telecom) precisam criar um hub de inteligência de ameaças em tempo real, juridicamente sólido. Sem isso, a detecção de uma identidade sintética usada em um banco pode ocorrer bem depois de ela ter sido usada em um órgão público — ou vice-versa.

Além disso, a tecnologia para gerar deepfakes está se tornando mais barata e acessível em um ritmo muito mais rápido do que a tecnologia de detecção. O Brasil precisa investir de forma coordenada em técnicas de anti-spoofing baseadas em IA, que vão além de checagens simples de prova de vida e analisam sinais fisiológicos sutis ou artefatos no vídeo. Isso exige P&D contínuo e um nível de especialização que ainda está concentrado em poucos laboratórios privados de segurança.

Do ponto de vista regulatório, a resposta costuma ser reativa, fechando a porta depois que o “cavalo da fraude” já saiu do estábulo. Antecipar ameaças exige que os reguladores emitam diretrizes não apenas sobre vulnerabilidades atuais, mas também sobre possíveis vetores futuros de ataque, modelando ativamente como tecnologias como IA generativa e computação quântica podem comprometer protocolos de segurança existentes.

Em resumo, o Brasil tem a “força bruta” de dados necessária para combater identidades sintéticas e a dinâmica de mercado para reagir a deepfakes. Mas, para realmente se antecipar a essas ameaças, precisamos priorizar o compartilhamento de inteligência entre setores e investir em uma P&D proativa de defesa baseada em IA, fazendo com que a defesa seja tão ágil quanto o ataque.

Pergunta: Pela sua experiência direta, quais são os fatores críticos de sucesso em um projeto público de verificação de identidade: tecnologia, governança de dados, colaboração entre órgãos… ou algo mais?

Minha experiência direta mostra que o sucesso de um projeto público de verificação de identidade se apoia em uma tríade de fundamentos não estritamente técnicos, com a tecnologia atuando como habilitadora.

O fator mais crítico é a Governança de Dados e a Unicidade. Sem estabelecer um Padrão Nacional Único e sem garantir que os dados centrais estejam limpos, corretos e constantemente atualizados, qualquer solução biométrica ou digital avançada construída sobre essa base vai falhar; em outras palavras, você não consegue verificar aquilo que não consegue identificar de forma única.

Em segundo lugar, a Colaboração Interinstitucional é absolutamente essencial. O sucesso não vem de construir um silo melhor, mas de transformar órgãos isolados em uma rede unificada e confiável de verificação, capaz de compartilhar inteligência e cruzar informações em tempo real.

Por fim, o projeto precisa ser guiado por Usabilidade e Inclusão. O sistema tem que ser seguro o suficiente para combater a fraude, mas também simples o suficiente para atingir uma adoção próxima de 100% pelos cidadãos. Isso significa garantir múltiplos caminhos de verificação, acessíveis e adaptados, para evitar que medidas de segurança excluam justamente as populações mais vulneráveis.

Pergunta: Pensando em inclusão financeira e acesso a serviços, como evitar que sistemas antifraude criem barreiras para cidadãos vulneráveis que talvez não tenham todos os documentos ou tecnologia necessária?

O paradoxo é que segurança não pode virar barreira. Para evitar que sistemas antifraude excluam cidadãos vulneráveis, precisamos sair da lógica de “cumprir regras a qualquer custo” e adotar a inclusão by design.

Trabalhamos com autenticação em múltiplos níveis, como no modelo do Gov.br. Um serviço simples exige apenas um nível de segurança mais baixo, enquanto serviços de alto risco (como pagamento de benefícios) requerem verificação biométrica completa. Isso garante que a maioria das pessoas tenha acesso fácil, reservando as provas mais robustas para operações de maior impacto.

Também é crucial manter pontos de verificação assistida por pessoas (como unidades presenciais de atendimento ao cidadão). Para quem não tem smartphone ou internet estável, um profissional treinado precisa ser capaz de validar a identidade, fechando a lacuna digital.

O sistema deve ainda aceitar provas alternativas de identidade e cruzamento de dados históricos (como registros fiscais ou de saúde), em vez de exigir sempre um único documento perfeito. Em resumo, a segurança deve ser desenhada para encontrar maneiras de dizer “Sim, é você” por meio de múltiplos caminhos acessíveis, em vez de erguer um muro que apenas os mais capacitados tecnologicamente conseguem escalar.

Pergunta: Juliana, se você pudesse dar um conselho a um jovem profissional que está começando em compliance e prevenção à fraude, que tipo de experiência ou aprendizado recomendaria priorizar?

Mais do que o conhecimento técnico, eu recomendo fortemente buscar experiência operacional e “histórias de guerra”. Teoria sozinha não basta. É preciso entender o ciclo de vida completo da fraude, seja acompanhando a equipe de resposta a incidentes, seja mapeando processos de negócio de ponta a ponta.

O criminoso sempre vai mirar a brecha mais fraca do processo; por isso, aprender a pensar como um atacante — e entender como coletar evidências e coordenar uma resposta sob pressão — é a formação mais valiosa que se pode ter. Essa visão transversal é o que transforma um especialista em compliance em uma liderança realmente indispensável.

Pergunta: Por fim, olhando para frente, como você imagina o ecossistema de identidade digital do Brasil em 10 anos, e que papel a Serpro deve desempenhar nesse cenário?

Daqui a dez anos, imagino o ecossistema de identidade digital do Brasil totalmente consolidado, com o CPF como identificador único e autoritativo, e o país avançando para um modelo de Identidade Autossoberana (SSI). Isso significa que a identidade digital será uma credencial privada e criptografada, gerenciada pelo próprio cidadão em seu dispositivo móvel, permitindo o compartilhamento seletivo apenas dos dados estritamente necessários (por exemplo, comprovar maioridade sem revelar a data de nascimento). Essa base eliminará a fragmentação atual de bases de dados e permitirá verificação em tempo real, de alta integridade, em todos os serviços públicos e privados.

De forma crucial, esse sistema vai se integrar naturalmente com os modelos econômicos do futuro, fornecendo a camada de confiança digital necessária para a adoção em larga escala de novas tecnologias.

O papel da Serpro nesse futuro deve evoluir: de fornecedora de aplicações específicas para “Habilitadora de Confiança Soberana” e “Hub de Inteligência” do governo federal. Isso significa manter a infraestrutura crítica e segura onde residem os dados fundacionais e usar a escala massiva desses dados para oferecer Inteligência Antifraude avançada, em tempo real, como serviço. A Serpro deve se tornar a camada primária de confiança que verifica os dados biométricos e cadastrais de uma pessoa frente às fontes oficiais para todos os serviços públicos.

Ao focar em segurança e integridade de dados, a Serpro permite que outros órgãos governamentais e empresas inovem sem precisar se preocupar em reconstruir, do zero, a verificação de identidade como problema central.