Impune há sete meses, esquema de fraude de cartões de vacina no Telegram oferece até promoção
Sete meses depois da denúncia feita pelo Aos Fatos, o esquema de venda de certificados falsos de vacinação segue ocorrendo livremente no Telegram. É possível encontrar em grupos na plataforma publicações recentes que prometem a inserção de dados falsos diretamente no sistema Conecte SUS.
A última atualização sobre o caso ocorreu em outubro do ano passado, quando a AGU (Advocacia-Geral da União) acionou a Justiça para solicitar a exclusão dos grupos em que ocorrem as negociações.
A reportagem verificou que um dos usuários denunciados pelo texto publicado em setembro continua oferecendo o serviço ilegal. Em março, o perfil publicou em grupos antivacina promoções para a venda de certificados falsificados, prometendo “descontos surpreendentes”. São oferecidos registros de diversos imunizantes, desde a vacina da Covid-19 até as que constam no calendário infantil.
O esquema se assemelha ao caso que levou ao indiciamento do ex-presidente Jair Bolsonaro (PL), do tenente-coronel Mauro Cid e de outras 15 pessoas por falsificação de certificados de vacinas contra a Covid-19. Em janeiro, a CGU (Corregedoria-Geral da União) concluiu que a fraude ocorreu na Unidade Básica de Saúde Parque Peruche, em São Paulo. Até dezembro de 2021, as unidades de saúde da cidade possuíam login único, sem identificação de usuário.
O município do Rio de Janeiro, onde ocorreu a fraude revelada pelo Aos Fatos, também tem um sistema próprio de transmissão de dados de imunobiológicos, mas com login individual para cada usuário credenciado. Em nota, a Secretaria Municipal de Saúde informou ainda que só é possível acessar o sistema pelos computadores das próprias unidades de saúde.
Foi dessa forma que o órgão conseguiu identificar a senha usada pelo fraudador, que fez o registro falsificado na Clínica da Família Augusto Boal, na Maré, bairro da zona norte do Rio. Segundo as investigações, o criminoso trabalhou na clínica até novembro de 2022 e teria roubado a senha de uma profissional que ainda atua na unidade de saúde para inserir o registro de imunização no sistema. A funcionária que teve os dados roubados registrou um boletim de ocorrência à época com apoio da secretaria, mas o caso não avançou.
A venda de documentos falsos de vacinação pode ser enquadrada como crime de peculato digital, associação criminosa e infração de medida sanitária preventiva.
Aos Fatos questionou diversas autoridades sobre o andamento das investigações:
- A Secretaria Municipal de Saúde do Rio de Janeiro não deu informações e pediu que a reportagem questionasse a Polícia Civil;
- A corporação, que respondeu a apenas um dos sete emails enviados pelo Aos Fatos desde outubro de 2023, não retornou o contato;
- O Ministério Público Federal disse que há um processo que corre em sigilo envolvendo o Telegram e passaportes vacinais, mas não deu mais detalhes;
- O Ministério Público Estadual do Rio de Janeiro não conseguiu encontrar informações sobre o caso a partir do número do boletim de ocorrência, único dado que o Aos Fatos conseguiu fornecer;
- A AGU disse não ter novas atualizações.
O Ministério da Saúde afirmou que não foram identificadas quebras de segurança no caso da Clínica Augusto Boal, já que a inserção dos dados foi feita a partir de um login verdadeiro.
A conclusão é similar à do caso de Bolsonaro. Em nota técnica publicada em janeiro de 2024, a CGU também concluiu que não houve quebra de segurança e que os protocolos de inserção de dados foram cumpridos de maneira correta (veja o item 4.38, p. 21).
Questionado sobre como funciona a transmissão de dados de imunobiológicos (veja as notas aqui e aqui), o Ministério da Saúde disse possuir um sistema centralizado de informações, a RNDS (Rede Nacional de Dados em Saúde), que funciona da seguinte forma:
- Os dados são inseridos por profissionais de saúde nas salas de vacinação dos municípios;
- Essas informações são encaminhadas à RNDS, onde passam por “diversas validações para garantir sua precisão e integridade”;
- Finalizado o processo de autenticação, os dados vacinais aparecem em até 72 horas no aplicativo Conecte SUS, onde podem ser conferidos pelo paciente;
- O Ministério da Saúde também ressaltou que a RNDS realiza auditorias dos dados e permite “correções por parte de gestores estaduais e municipais, caso algum dado seja registrado incorretamente”.
Dados falsos continuam no sistema
Para comprovar a existência da fraude, Aos Fatos, com respaldo jurídico, negociou há sete meses um registro fraudulento em um perfil verdadeiro do SUS. Os criminosos inseriram uma dose da vacina contra a febre amarela e apagaram o registro real de um imunizante aplicado contra a H1N1.
Depois da publicação da reportagem, o Ministério da Saúde foi procurado para reverter as mudanças no registro. A orientação, no entanto, foi que a pessoa que teve os dados falsificados procurasse a unidade de saúde em que a vacina teria sido aplicada.
O processo dificulta a correção em casos de fraude, já que o registro falso foi feito em um estado diferente daquele onde vive a titular do cartão. Outro problema é que, sem investigação, a pessoa que teve os registros fraudados pode acabar se colocando em perigo e ser novamente alvo de criminosos ao buscar a correção de seus dados - já que, no caso revelado pelo Aos Fatos, o roubo da senha que possibilitou o esquema aconteceu no âmbito da unidade de saúde.