Fraudes expostas: O pagamento do transporte coletivo está protegido?
Falhas na criptografia causaram prejuízo de milhares de reais e colocaram o sistema em alerta
Em 2024, a Operação Passe Livre revelou um esquema de clonagem de cartões do transporte coletivo em Ponta Grossa, com prejuízo superior a R$500 mil à empresa concessionária, Viação Campos Gerais (VCG). A investigação, conduzida pelo Grupo de Atuação Especial de Combate ao Crime Organizado (Gaeco), identificou a principal fragilidade que possibilitou as fraudes: a criptografia defasada dos cartões MIFARE Classic – cartão inteligente de proximidade sem contato -, que permitia a multiplicação indevida de créditos eletrônicos.
As irregularidades vieram à tona após auditoria interna da própria empresa, que identificou cartões com saldos multiplicados sem registro de pagamento. A concessionária encaminhou o caso ao Ministério Público, e a partir das evidências iniciais, o Gaeco iniciou a operação. Foram cumpridos cinco mandados de busca e apreensão em Ponta Grossa e Cambé, que resultaram na apreensão de computadores, dispositivos eletrônicos e dinheiro em espécie.
Segundo o promotor de Justiça do Núcleo Regional de Ponta Grossa do Gaeco, Antonio Juliano Souza Albanez, os investigadores constataram que o grupo criminoso utilizava um equipamento acoplado a um computador, com software específico para clonar cartões. “A clonagem acontecia porque o sistema de criptografia era falho. O equipamento permitia a multiplicação de créditos a partir de um único cartão, causando prejuízos de milhares de reais com valores iniciais de apenas R$40”, explica. “Na apreensão, já foi possível identificar que a fraude era feita diretamente através do computador e do software instalado, que quebrava a camada de proteção dos bilhetes eletrônicos”.
O modelo MIFARE Classic utilizado até então pela empresa Dataprom, terceirizada para operação dos cartões e validadores, é baseado na tecnologia RFID (Identificação por Radiofrequência) e apresenta falhas na criptografia. Esses cartões armazenam dados em blocos de memória, com um nível de proteção considerado ultrapassado por especialistas em segurança cibernética. A quebra do algoritmo de segurança permite que fraudadores leiam e copiem informações do cartão.
O especialista em segurança cibernética, Juan Mathews Rebello Santos, explica que os sistemas de bilhetagem eletrônica funcionam por meio de cartões inteligentes, que armazenam créditos eletrônicos e se comunicam com validadores instalados nos ônibus e terminais. “A tecnologia mais comum nesses cartões é o RFID, que utiliza comunicação por radiofrequência entre o cartão e o leitor. Existem dois tipos principais de cartões: os de memória, mais simples e vulneráveis, e com microprocessador, que são mais seguros por permitirem operações criptográficas”, esclarece o especialista.
A falha de segurança nos modelos mais simples não se restringe à clonagem. Também há riscos de ataques por interceptação de dados, rastreamento indevido de usuários e até ataques de repetição, nos quais transações legítimas são captadas e reproduzidas para simular novas passagens. Em 2025, a Prefeitura de Ponta Grossa iniciou a implantação do novo sistema de bilhetagem eletrônica, o ConectaPG. Segundo a assessoria a Secretaria Municipal de Infraestrutura e Planejamento (SMIP), a empresa contratada para a operação, a Transdata, está entre as melhores do setor no país e adota mecanismos de segurança avançados. A escolha da empresa para fornecer a nova tecnologia de bilhetagem eletrônica, o AtlasBox, foi feita com base em uma cláusula do edital que autoriza a prefeitura a indicar a empresa responsável pelo sistema de ITS (Sistemas Inteligentes de Transporte), independentemente da operadora atual.
Ainda de acordo com a Secretaria, não existiram indícios de vazamentos de dados pessoais dos usuários durante a fraude, e o novo sistema segue protocolos da Lei Geral de Proteção de Dados (LGPD). O investimento no ConectaPG e valor do contrato com a Transdata é de R$91 mil por mês, custo que inclui o fornecimento de equipamentos e softwares para controle da bilhetagem.
O especialista Juan Mathews destaca que, para aumentar a segurança nos pagamentos, é necessário utilizar cartões com microprocessadores, como o modelo MIFARE DESfire, que adota criptografia AES-128, caracterizado pela autenticação mútua e proteção contra ataques de repetição. Ele também recomenda a implementação de sistemas com inteligência artificial para detecção de fraudes em tempo real e atualizações constantes da base criptográfica.
A Secretaria também informou que os padrões de utilização dos cartões estão sendo mapeados para identificação automatizada de anomalias, através do monitoramento da Centro de Controle de Operações (CCO) do município. A partir da nova licitação, a administração financeira da bilhetagem também passará a ser de responsabilidade da Prefeitura de Ponta Grossa, e não mais da concessionária. Essa alteração permite maior controle sobre os fluxos financeiros e sobre a segurança das transações. O processo criminal decorrente da Operação Passe Livre ainda está em andamento. Cinco pessoas foram denunciadas por participação no esquema de clonagem, e o Instituto de Criminalística do Paraná está elaborando os laudos dos equipamentos apreendidos. “A ação foi eficaz para interromper as fraudes, e tivemos a confirmação de que a empresa alterou o sistema após o episódio, o que torna muito difícil que o mesmo tipo de crime se repita da mesma forma”, afirmou o promotor do Gaeco.
A reportagem entrou em contato com a Viação Campos Gerais para obter mais informações sobre o impacto das fraudes nos cofres da empresa e na operação do transporte coletivo, mas não recebeu respostas até o fechamento desta reportagem. Também foram procuradas a Dataprom, empresa responsável pelos cartões utilizados à época das fraudes, e a Transdata, atual operadora dos *softwares* do sistema ConectaPG. Nenhuma das três empresas respondeu aos questionamentos até o fechamento desta edição da revista.
Reportagem e Fotos: Laura Urbano
Edição e publicação: Betania Ramos e Nicolle Brustolim
Supervisão de produção: Manoel Moabis e Aline Rios