Na fila do supermercado, a pergunta virou reflexo: “CPF na nota?”.
E a resposta oficial é tranquilizadora.
A Receita Federal explica que o cruzamento de dados mira grandes movimentações — compra de imóvel, transferência atípica, aquisição de veículo — e que sua compra semanal de arroz, feijão e detergente não chega nem perto da malha fina.
O objetivo real do mecanismo, dizem, é combater a sonegação: quando você exige o documento com seu número, a loja fica obrigada a registrar a venda e recolher os tributos.
E ainda tem o bônus — programas como a Nota Fiscal Paulista e o Nota Paraná devolvem créditos e sorteiam dinheiro.
Tudo isso é verdade.
Mas o problema é a parte que os comunicados oficiais convenientemente deixam de fora…
O que o CPF na nota realmente faz
Repare na engenharia da coisa.
O Estado não contratou um exército de fiscais para vigiar cada caixa de supermercado do país.
Ele fez algo muito mais barato: transformou você no fiscal.
Ao exigir a nota com CPF, é o consumidor quem força o estabelecimento a declarar aquela venda.
Em troca dessa “fiscalização terceirizada”, o cidadão recebe uma gorjeta em forma de cashback e a chance remota em um sorteio.
É inteligente, reconheça-se.
Mas chame as coisas pelo nome: o que o discurso oficial vende como “cidadania premiada” funciona, na prática, como uma engrenagem em que o varejo é pressionado a recolher mais e o consumidor entrega o próprio dado como combustível.
Uma “extorsão fiscal” elegante, em que a parte mais frágil da equação — a sua privacidade — é trocada por centavos.
E aqui mora a pergunta que ninguém faz: tudo bem entregar o dado, desde que ele esteja seguro.
Mas ele realmente está protegido?
“Mas com o governo meus dados estão protegidos, certo?” Errado.
Na madrugada de sábado, 20 de junho de 2026, milhões de brasileiros em pelo menos cinco estados foram acordados por um alarme de “alerta extremo” — aquela categoria reservada a desastres iminentes, que toca mesmo com o celular no silencioso.
A mensagem?
Uma única palavra: “misantropia”.
O sistema Defesa Civil Alerta, do Ministério da Integração e Desenvolvimento Regional, tinha sido invadido.
O comando partiu de um usuário externo, sem qualquer vínculo com o órgão, e o serviço precisou ser tirado do ar às pressas.
A parte constrangedora vem agora…
O responsável, que se identifica como “Misantropo”, é, segundo a própria comunidade de segurança, um script kiddie — provavelmente um adolescente de São Paulo.
Não um hacker de elite, não um grupo estrangeiro patrocinado por algum Estado.
Um adolescente entediado.
E o método foi tão trivial quanto isso sugere: credenciais antigas e um sisteminha de segurança que dependia de captcha matemático, sem autenticação de dois fatores.
Sobre as críticas de que nem teria feito nada difícil, ele respondeu com indiferença, dizendo que o episódio só mostra o quão fraco a segurança do governo é
.
Pois é.
Se um adolescente consegue sequestrar o sistema que deveria avisar sobre rompimento de barragem ou desastre químico, o que se pode esperar do banco de dados que guarda o seu CPF e a sua lista de compras?
E não é caso isolado.
Em janeiro de 2021, o Brasil viveu o apelidado “vazamento do fim do mundo”: uma base com 223,7 milhões de CPFs — número maior que a população, porque incluía até pessoas falecidas.
Não eram só os números: vinham acompanhados de nome, data de nascimento, endereço, telefone, e-mail, score de crédito, salário, renda, dados de INSS e até benefícios como o Bolsa Família, além de mais de 100 milhões de registros de veículos.
Parte do material foi oferecida de graça em fórum e chegou a ser indexada na busca do Google.
Até hoje não há um culpado oficialmente confirmado.
E quando o vazamento não vem de uma invasão?
Vem de dentro.
Em 2026, três servidores da Receita Federal e outro do Serpro foram presos acusados de vender dados — inclusive de autoridades ligadas ao STF.
Às vezes o ponto fraco não é o muro, é o porteiro.
“Então é melhor confiar nas empresas privadas?” Também não.
Se a tentação é achar que a iniciativa privada faz melhor, os fatos atrapalham o argumento.
As duas empresas de tecnologia mais valiosas e mais bem defendidas do planeta — com orçamento de segurança que faz inveja a país inteiro — já vazaram.
A Meta teve dados de cerca de 533 milhões de usuários do Facebook expostos: telefones, nomes completos, localização e e-mails, raspados de uma falha em 2019 e despejados publicamente em 2021.
Entre os números vazados estava, ironicamente, o do próprio Mark Zuckerberg.
O Google, por sua vez, foi alvo em 2025 de um ataque do grupo ShinyHunters, que comprometeu o sistema de CRM (Salesforce) usado pela empresa.
A companhia chegou a orientar algo na casa dos 2,5 bilhões de usuários a reforçar suas credenciais.
As senhas em si não vazaram diretamente, mas os dados roubados alimentaram uma onda agressiva de golpes de phishing que se passavam por comunicados oficiais do Google.
E há o pano de fundo: em 2025, pesquisadores revelaram uma compilação batizada de “Mother of All Breaches”, com cerca de 16 bilhões de credenciais — reunindo logins de Apple, Google, Facebook, GitHub e Telegram, coletados por malwares ao longo de anos.
Para efeito de comparação histórica, nos EUA o vazamento do birô de crédito Equifax expôs os dados de 145 milhões de pessoas.
Aqui está o ponto que liga tudo: se nem a Meta e o Google conseguem blindar o que coletam, qual exatamente é a chance de o banco de dados do hipermercado da esquina — ou da Secretaria da Fazenda do seu estado — estar realmente seguro?
O CPF na nota é um ponto único de falha
O detalhe que poucos param para pensar: cada vez que você informa o CPF no caixa, você costura num único fio o que comprou, quando, onde e em que quantidade — e amarra esse retrato ao seu cadastro.
Esse registro não fica num lugar só. Ele segue para a Sefaz estadual e alimenta os sistemas do próprio varejo, que usa essa informação para montar seu perfil de consumo, ajustar estoque e direcionar promoção.
São, portanto, múltiplas cópias da sua vida de consumo espalhadas por sistemas distintos — públicos e privados — que, como acabamos de ver, vazam com constância deprimente.
E você não controla nenhum deles. Não escolhe a política de segurança da rede de supermercados, não audita o servidor da Sefaz, não sabe quantas integrações de terceiros têm acesso àquela base. Você só aperta os números no terminal e torce.
A ironia mora no próprio aviso
O mais revelador é que o próprio comunicado tranquilizador entrega o jogo.
Junto com o “relaxa, é só para combater sonegação”, vêm os conselhos de praxe: não fale seu CPF em voz alta na fila, não publique foto de nota fiscal nas redes — porque o número visível numa imagem pública já é suficiente para tentativas de fraude e uso indevido do cadastro em diferentes serviços.
Traduzindo: o mesmo texto que diz “é seguro, pode informar” também ensina você a esconder o número como se fosse senha de banco. As duas afirmações não cabem confortavelmente na mesma frase.
Ou o dado é trivial, ou é perigoso o bastante para exigir cuidado de cofre. Não dá para ser as duas coisas conforme a conveniência do argumento.
O que dá para fazer na prática
- Saiba que recusar é um direito. Pela LGPD, você pode não informar o CPF e ainda assim concluir a compra normalmente. A loja não pode negar a venda por causa disso.
- Decida caso a caso. Vale informar quando o programa estadual é oficial e o cashback realmente compensa para você. Só pese, honestamente, se a migalha justifica o rastro que ela deixa.
- Trate o número como sensível. Não fale o CPF em voz alta em filas e nunca compartilhe foto de nota fiscal — o número exposto basta para golpe.
- Cobre transparência. Você tem o direito de saber o que o varejo faz com o seu perfil de consumo e de pedir a exclusão desses dados.
O sintoma, não o vilão
O CPF na nota não é um vilão isolado — é o sintoma de um arranjo maior.
De um lado, um Estado que terceiriza a própria fiscalização para o consumidor e batiza isso de benefício.
De outro, uma cadeia de bancos de dados, públicos e privados, que já provou repetidas vezes não saber guardar o que coleta.
No meio, você, decidindo se entrega mais um pedaço da sua rotina em troca de alguns centavos.
Talvez, da próxima vez que ouvir “CPF na nota?”, a melhor resposta não seja sim nem não. Seja “por quê?”.
Fontes: Agência Brasil, Mobile Time e Seu Dinheiro (invasão do sistema Defesa Civil Alerta, junho/2026); Tecnoblog, Portal FGV e Wikipédia (megavazamento de 223 milhões de CPFs, 2021); Newsweek, Trend Micro e Cybernews (vazamento Google/Salesforce e a compilação de 16 bilhões de credenciais, 2025); The Hacker News e The Washington Post (vazamento de 533 milhões de usuários do Facebook/Meta, 2021).
