Criminosos fraudam cartões de vacinação no sistema do SUS e vendem esquema no Telegram

Em meio à expansão no Brasil do movimento antivacina, criminosos usam o Telegram para vender cartões de vacinação fraudados, com registro oficial no sistema do SUS (Sistema Único de Saúde), a pessoas que acreditam em teorias conspiratórias compartilhadas nesses mesmos grupos.

O Aos Fatos identificou um esquema do tipo envolvendo uma clínica da rede municipal do Rio de Janeiro, semelhante ao investigado pela Polícia Federal no caso do tenente-coronel Mauro Cid, ex-ajudante de ordens de Jair Bolsonaro (PL) que é suspeito de adulterar cartões de vacinação de pessoas da própria família e da família do então presidente, durante a pandemia de Covid-19.

No caso revelado pelo Aos Fatos, a quadrilha também foi capaz de inserir dados falsos — uma dose de imunizante contra febre amarela — na base do ConecteSUS.

• A reportagem encontrou 286 mensagens que promovem a venda de certificados de vacinação em grupos monitorados no Telegram, que somam mais de 762 mil visualizações;
• Os fraudadores oferecem todas as vacinas previstas no PNI (Programa Nacional de Imunizações) e também vacinas sazonais, como H1N1 e febre amarela, para adultos e crianças;
• Os preços variam de R$ 200 a R$ 600, valor da “imunização completa” de Covid-19;
• Usuários que solicitam o serviço ilegal devem oferecer nome completo, CPF e número do cartão do SUS e podem escolher as datas de inserção no sistema e o fabricante da vacina;
• Inserir dados falsos em sistema de informação da administração pública é crime federal, com pena de dois a 12 anos de prisão e multa;
• Quem contrata o serviço pode ser enquadrado no crime de uso de documento falso, com penas que chegam a seis anos de prisão;
• Em nota ao Aos Fatos, o Ministério da Saúde disse que “não poupará esforços para o envolvimento das demais autoridades competentes e punição diante da confirmação de fraude”;
• A Secretaria Municipal de Saúde do Rio de Janeiro repudiou “este crime contra a saúde pública”, situação que classificou como “gravíssima”, e disse esperar “uma apuração rigorosa com punição dos envolvidos”;
• O Telegram disse em nota que “tem removido conteúdo prejudicial, incluindo golpes e venda de produtos fraudulentos”.

O CAMINHO DO GOLPE

O esquema começa em grupos antivacina no Telegram, em que fraudadores disseminam mensagens enganosas sobre supostos efeitos colaterais dos imunizantes. O objetivo é promover o serviço ilegal, que promete livrar pessoas de todas as idades “dos venenos em seus corpos”.

“Fazemos todas picadas do PNI, todas as idades, desde o nascimento até fase adulta.”

Após mapear os grupos e analisar as mensagens, o Aos Fatos encontrou cinco perfis que anunciavam o serviço ilegal de inserção de dados falsos no sistema do SUS. A equipe se dividiu em três frentes e fez perguntas aos fraudadores sobre vacinas de Covid-19, imunizantes infantis e doses do PNI. Dois contatos responderam.

A reportagem identificou ao menos três pessoas que podem estar envolvidas no esquema:

• a titular da chave Pix informada para o pagamento;
• a que aparece no carimbo do documento vacinal físico;
• a que aparece no certificado digital do documento digital.

No entanto, há também a possibilidade de que os criminosos utilizem informações sem o conhecimento e o consentimento dessas pessoas, caso em que seriam vítimas.

Por isso, os dados pessoais identificados durante a apuração foram omitidos desta reportagem, mas foram repassados à Secretaria Municipal de Saúde do Rio de Janeiro e ao Ministério da Saúde. A reportagem também informou o número de CPF que teve informações adulteradas no perfil do ConecteSUS e que serviu para comprovar os crimes.

Primeiro contato. No início da primeira semana de setembro, a reportagem questionou os fraudadores sobre como funcionava o esquema. No mesmo dia, um deles respondeu que precisaria de dados como nome completo, CPF e número do cartão do SUS para inserir as informações falsas no sistema do Ministério da Saúde. Para gerar o certificado, ele orientou a criação de uma conta no portal gov.br e o download do aplicativo ConecteSUS.

Qual veneno você prefere? Fraudador informa os dados necessários para a fraude e como gerar o certificado forjado (Reprodução)

O fraudador perguntou qual dose a reportagem gostaria de comprar e ofereceu, em áudio, a possibilidade de “fazer um preço maneiro” caso fosse necessário inserir muitas vacinas no sistema. Essa conversa não foi adiante. Ouça abaixo.

‘Preço maneiro’

Alguns dias depois, o segundo vendedor respondeu. Em mensagem padrão com as “dúvidas mais comuns dos clientes”, ele explicou que o comprovante de vacinação forjado era válido em todo o país e que o pagamento só era solicitado após a confirmação de que o esquema funcionava.

“Fazemos esquema completo, datas retroativas e editamos caso tenha necessidade de rapidez para estar fechando o ciclo vacinal e assim obtendo seu certificado.”

Ao ser questionado sobre outros tipos de vacina, o fraudador parou de responder.

FAQ. Mensagem padrão com ‘dúvidas frequentes’ diz que certificado forjado vale em todo o território nacional e que vacinas podem ser registradas com data retroativa (Reprodução)

Segundo contato. Usando outra conta, a reportagem entrou em contato com os mesmos perfis e mostrou interesse no calendário de vacinação infantil. O fraudador disse ser capaz de inserir todas as doses, “desde o nascimento até a idade atual, devidamente aprazada no tempo correto”.

Além do certificado digital, foi oferecido um comprovante físico de vacinação, que poderia ser enviado por Sedex, com código de rastreio.

Envio por Sedex. Participante do esquema oferece envio do cartão físico de vacinação forjado pelo serviço expresso dos Correios (Reprodução)

Terceiro contato. Para se certificar de que não se tratava de uma tentativa de golpe — ou seja, que os criminosos de fato tinham a capacidade de adulterar o sistema do SUS —, a reportagem entrou em contato pela terceira vez, agora com o objetivo de fechar negócio. O passo seguinte foi, com a autorização da pessoa titular, enviar um número de CPF verdadeiro.

A fim de justificar a necessidade de rapidez, o serviço procurado pela reportagem foi uma dose de febre amarela, imunizante obrigatório para viajar a 127 países, segundo a lista da OMS (Organização Mundial da Saúde) — inclusive alguns dos destinos turísticos mais buscados por brasileiros, como a Colômbia e o México.

O primeiro golpista disse comercializar apenas fraudes de vacinas de Covid-19, mas indicou um contato que faria a inserção do imunizante contra febre amarela.

Segue contato. Diálogo com fraudador aponta que diversos intermediário oferecem o serviço ilegal (Reprodução)

Durante a conversa, o fraudador orientou sobre qual seria a data retroativa ideal para inserir no sistema e cobrou R$ 450 pelo serviço. Uma hora depois de confirmar os detalhes do serviço ilegal, o intermediário enviou a imagem do cartão de vacinação preenchido a caneta. No documento, há um carimbo com a assinatura de um enfermeiro e o endereço da Clínica da Família Augusto Boal, na Maré, bairro da zona norte do Rio de Janeiro.

Cartão. Concluída a negociação, fraudador enviou arquivo com cartão de vacinação carimbado e em nome da Clínica da Família Augusto Boal, no Rio de Janeiro (Reprodução)

Depois de enviar o comprovante, o responsável pela negociação encaminhou à reportagem seu nome completo e sua chave Pix para que o pagamento fosse efetivado. O Aos Fatos identificou por meio das informações que ele trabalhou até novembro de 2022 como empregado celetista na clínica que aparece no cartão fraudulento, conforme registros do CNES (Cadastro Nacional de Estabelecimentos de Saúde).

Questionada, a Secretaria Municipal de Saúde do Rio de Janeiro confirmou que o fraudador atuou como técnico de enfermagem da Clínica da Família Augusto Boal até novembro do ano passado, e que após o desligamento não deveria ter acesso ao sistema do Ministério da Saúde e nem ao do município.

De posse do comprovante físico, mas ainda sem conseguir visualizar a inserção fraudulenta no ConecteSUS, a reportagem afirmou que não pagaria pelo serviço ilegal enquanto não tivesse certeza do resultado. O intermediário justificou que o sistema do Ministério da Saúde apresentava lentidão e disse que exigiria o pagamento assim que o registro aparecesse. Ouça abaixo.

‘Sistema lento’

‘Quero meu pagamento’

Os dados apareceram no sistema dois dias depois. Hoje, consta no perfil da pessoa que é titular do CPF fornecido a informação falsa de que foi aplicada uma dose da vacina de febre amarela em 25 de janeiro, com nome completo e número do CNS (Cartão Nacional de Saúde) do enfermeiro responsável. A reportagem bloqueou o número do fraudador, que ligou diversas vezes para cobrar o pagamento.

Dados divergentes. Comparando os comprovantes físico e digital fornecidos pelos fraudadores, Aos Fatos verificou que há diferenças no lote da vacina aplicada e no nome do vacinador responsável.

Registro oficial. Certificado digital do aplicativo do governo federal mostra que inserção fraudulenta de vacina contra febre amarela foi bem-sucedida (Reprodução)

Outra inconsistência é que, no momento em que a vacina contra febre amarela foi inserida, um imunizante contra H1N1 que constava no sistema desapareceu. Isso levantou a suspeita de que, em vez de apenas adicionar novas vacinas, os fraudadores também editaram informações.

Em julho de 2022, o Ministério da Saúde disponibilizou uma atualização no sistema de dados que permite, entre outras ações, atualização e retificação de informações anteriormente inseridas.

Questionada por Aos Fatos sobre a possibilidade de os criminosos terem usado esse recurso, a pasta afirmou que "qualquer correção ou atualização de dados é realizada nos estabelecimentos de saúde onde a informação foi originalmente registrada", o que invalidaria a tese.

POSSÍVEIS CRIMES

De acordo com especialistas consultados pelo Aos Fatos, as pessoas envolvidas no esquema de fraude do sistema de vacinação do SUS podem responder a três crimes:

• Peculato digital, descrito no Código Penal como a atividade de “inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano”. Nesses casos, a pena prevista é de dois a 12 anos de prisão e multa;
• Associação criminosa, com pena de um a três anos de reclusão;
• Infração de medida sanitária preventiva, com detenção de um mês a um ano e multa;
• Nos casos de fraude de cartão de vacinação infantil, pode-se também responder ao crime de corrupção de menor, previsto no ECA (Estatuto da Criança e do Adolescente). A pena é de um a quatro anos de reclusão;
• O contratante também pode ser considerado coautor dos crimes praticados pelo fraudador, de acordo com o professor da Faculdade de Saúde Pública da USP e pesquisador de direito sanitário Fernando Aith;
• Além disso, quem contrata o serviço pode responder ainda por uso de documento falso, cuja pena pode chegar a até seis anos de reclusão.

Além de incorrer em prática criminosa, a pessoa que compra o serviço criminoso também fica suscetível a ter seus dados usados de maneira indevida. A advogada e diretora da ONG Data Privacy Brasil, Mariana Rielli, disse que, com o nome completo e o CPF, golpistas podem cometer fraudes bancárias e até extorsão.

A fraude ainda tem impacto negativo no funcionamento do sistema de informação sobre a vacinação no Brasil, afirma Rielli. “Nesse caso, você não tem um dano individual quando insere uma ou várias informações inverídicas no sistema”, ela diz, citando a possibilidade de distorções em dados que embasam políticas públicas, como o percentual de cobertura vacinal da população.

Ver essa foto no Instagram

Uma publicação compartilhada por Aos Fatos (@aosfatos)

Responsabilidade da União. De acordo com Fernando Aith, o governo federal pode ser responsabilizado pela fraude nas esferas civil e administrativa se comprovado um dano coletivo ou difuso pela falsificação dos dados de vacinação.

Já na esfera criminal, só há responsabilização do Estado caso seja comprovado dolo (intenção de cometer a infração) ou culpa (imperícia, imprudência ou negligência).

Outro ponto levantado pelos especialistas é que, ainda que a iniciativa de fornecer informações pessoais tenha sido feita de maneira proativa pelo consumidor do serviço fraudulento, a LGPD (Lei Geral de Proteção de Dados) exige que instituições competentes, como o Ministério da Saúde, garantam a segurança da preservação dos dados que entram e saem do sistema.

“A LGPD não é uma lei criminal, mas tem algumas regras que visam a proteção dos dados pessoais que circulam nas esferas pública e privada. A alteração dos dados de maneira ilícita, sendo identificada, implica na vulnerabilidade do sistema”, salienta Rielli. “É necessário que se cobre a responsabilidade de um sistema que detém tantos dados sensíveis, de se proteger contra ataques, não importa se em grande ou pequena escala.”

A ANPD (Autoridade Nacional de Proteção de Dados), responsável por garantir o cumprimento da LGPD, instaurou 15 processos de fiscalização desde que foi criada, dos quais nove são relativos a órgãos públicos. “A lei vale para todo mundo: vale para o setor público, para o setor privado, para a grande empresa, para a microempresa”, disse o diretor-presidente da autarquia, Waldemar Gonçalves, em entrevista recente ao Aos Fatos.

OUTRO LADO

Por telefone, Aos Fatos relatou o esquema à Secretaria Municipal de Saúde do Rio de Janeiro, onde fica a Clínica da Família Augusto Boal, e ao Ministério da Saúde. Também foram fornecidos por escrito os dados pessoais dos fraudadores identificados pela reportagem, além de provas que atestam a existência do esquema.

Em nota, a secretaria afirmou que o fraudador usou a senha de uma funcionária da clínica, que fará boletim de ocorrência. Também serão verificados os registros das câmeras de segurança da unidade e o IP da máquina usada na fraude.

O Ministério da Saúde afirmou que irá investigar a denúncia e que, confirmada a irregularidade, os cadastros dos usuários serão imediatamente bloqueados. “A plataforma de registro de vacinas do SUS é 100% rastreável, o que tem sido fundamental para aprimorar a auditoria na base de dados e detecção de uso indevido”, informou a pasta.

Ainda de acordo com a pasta, a inserção dos dados de vacinação é feita por profissionais credenciados e cadastrados e o histórico de alterações no sistema pode ser auditado, “garantindo a transparência e rastreabilidade dos dados sempre que necessário”.

O Aos Fatos também enviou a troca de mensagens e detalhou o funcionamento do esquema ao Telegram, que solicitou os nomes dos grupos encontrados pela reportagem e afirmou que irá investigar. “Desde a sua criação, o Telegram tem removido conteúdo prejudicial, incluindo golpes e venda de produtos fraudulentos”, disse a empresa em nota.

“Nossos moderadores patrulham proativamente as partes da plataforma voltadas ao público e aceitam denúncias de usuários para encontrar esse tipo de conteúdo.”

Referências:

1. Aos Fatos (1 e 2)
2. G1
3. OMS
4. Veja
5. Ministério da Saúde
6. TJDFT
7. Planalto (1, 2, 3, 4 e 5)
8. Ministério Público do Paraná