Em 3 de novembro de 2025, o Conselho Nacional de Justiça iniciou a obrigatoriedade da autenticação em dois fatores (MFA) para usuários externos do PJe, Jus.br e PDPJ. Segundo o próprio CNJ, a medida serviria para combater o chamado “golpe do falso advogado”.[1]
Há uma cena curiosa em Brasília: alguém resolve criar um novo “reforço de segurança”, escreve um texto cheio de boas intenções, aprova uma portaria e vai dormir com a sensação de ter salvo o mundo digital.
Nasce então o herói do compliance — o baluarte da “segurança da informação”, o paladino da ciberdefesa estatal. De convicção firme e noção frouxa, acredita, com solenidade, ter reinventado a roda.
O pano de fundo da medida é o tal “golpe do falso advogado”: criminosos que consultam processos públicos, coletam nomes de partes e advogados e, com esses dados, aplicam fraudes por telefone ou mensagem.
Nenhum sistema é invadido; as informações quase sempre vêm de consultas públicas. Mesmo assim, o CNJ decidiu reagir impondo uma barreira tecnológica justamente a quem já se identifica com certificado digital.
O advogado e o labirinto digital
Enquanto isso, o advogado tenta apenas trabalhar. Abre o notebook, clica no PJe – e descobre que, para acessar o próprio processo, precisa instalar aplicativo autenticador, sincronizar código, gerar token e rezar para não ter que trocar de celular.
Muitos são idosos, outros mal familiarizados com informática básica, mas todos agora obrigados – ilegalmente – a usar um mecanismo que nunca lhes foi apresentado, sem período de adaptação, treinamento ou suporte. O Poder Judiciário, claro, não perde a chance de humilhar a advocacia.
Promotores, procuradores e defensores não passam por isso: seus sistemas seguem livres, integrados, protocolando diretamente via MNI. Em diversos órgãos, a assinatura digital é até compartilhada – institucional, genérica, impessoal – algo juridicamente aberrante, mas tolerado em silêncio. O peso da lei, como sempre, recai sobre o lado errado.
Chamam isso de segurança. Na prática, é só burocracia com marketing – uma encenação em que quem entende finge que acredita, e quem não entende acredita de verdade.
O que é o MFA
MFA (autenticação multifator) é quando, além da senha, o sistema exige um segundo passo: um código no celular, um token, uma confirmação via app. Funciona bem em bancos, lojas e e-mails – onde o ataque mais comum é o roubo de senha.
Mas o PJe não é banco, e o advogado já possui um certificado digital ICP-Brasil: um dos mecanismos de autenticação mais seguros e juridicamente sólidos do planeta. Diferente de uma senha, o certificado não depende de servidor remoto, aplicativo ou validador externo. Ele reside fisicamente em token criptográfico, protegido por chave privada que nunca sai do dispositivo do titular. Cada uso gera uma assinatura digital única, vinculada matematicamente ao conteúdo assinado e validável publicamente – hoje impossível de falsificar sem acesso direto à chave do advogado.
Além da robustez técnica, há a garantia legal plena: a MP nº 2.200-2/2001, ainda em vigor e com força de lei, criou a ICP-Brasil e conferiu presunção absoluta de validade jurídica às assinaturas feitas com esse certificado. Nada se sobrepõe a isso: é norma federal que estrutura todo o ecossistema de identificação digital do país.
A inversão de hierarquia
O certificado ICP-Brasil é previsto em lei. O MFA do CNJ nasce de portaria[2] – e, ao que consta, menciona um processo administrativo que sequer está acessível ao público, nem referenciado corretamente (processo SEI nº 10142/2020), embora devesse ser.
A prioridade do Conselho deveria ser outra: permitir que o acesso ao SEI fosse feito diretamente com o login do gov.br, de forma simples, automática e segura – como determinam a Lei de Acesso à Informação (Lei 12.527/2011) e a Constituição Federal. Essa integração já existe, é oficial e está pronta há anos; bastariam poucos minutos de trabalho de implementação para colocá–la em funcionamento.
Mas o CNJ não se interessou. Hoje, os processos administrativos do Conselho permanecem inacessíveis ao público. Não se acessa, não se fiscaliza, não se sabe. Que se dane a Lei de Acesso à Informação, que se dane o princípio da publicidade: o sistema segue fechado, e o cidadão – inclusive o advogado – é mantido do lado de fora.
É uma contradição gritante: o órgão que prega “segurança e modernização” prefere gastar energia impondo uma segunda autenticação sobre quem já usa o certificado digital mais seguro do país, em vez de abrir à sociedade o que, por lei, deveria ser público. Fecha o que deveria estar aberto e complica o que já estava resolvido.
E o paradoxo é ainda maior: o dever de transparência do próprio CNJ não muda com a adoção do MFA. O sistema continua a alimentar o painel de intimações eletrônicas[3], que hoje substitui os Diários Oficiais – uma base pública, automatizada e acessível sem qualquer segundo fator de autenticação. Ou seja, mesmo sob o novo modelo, os atos administrativos e processuais seguem publicados e disponíveis, como exige a Constituição e a Lei de Acesso à Informação. O MFA, portanto, não reforça a segurança institucional; apenas interdita o acesso do cidadão e do advogado ao que já é, por natureza, público.
Subordinar o certificado legal à portaria burocrática é inverter a hierarquia do Direito. Um instrumento previsto em lei federal é tratado como se fosse uma senha fraca de e–mail – e o ato administrativo, como se tivesse força de lei.
O que o CNJ não entende – ou não explica
O PJe sempre teve duas formas de acesso, ambas legítimas e oficiais.
A primeira, a interface web, voltada ao uso humano, que permite três modos:
- login e senha,
- login gov.br,
- ou certificado digital ICP-Brasil (via PJeOffice, Shodô ou nativo).
Nos dois primeiros casos – login e senha ou gov.br sem certificado –, o MFA até faz sentido: é um reforço sobre credenciais frágeis ou não tratadas pela MP 2.200-2. Discutível, mas compreensível.
O problema começa quando o CNJ aplica o mesmo MFA a quem usa certificado ICP-Brasil, seja diretamente ou via gov.br vinculado ao certificado. Aí não há reforço: há violação de lei.
Ao impor MFA sobre o certificado, o CNJ não aprimora segurança – esvazia a MP 2.200-2, tratando o certificado oficial do Estado como senha fraca de e–mail. MFA sobre login e senha é aceitável; sobre certificado ICP-Brasil, é materialmente ilegal.
A segunda forma de acesso é através da API (MNI), a tal interface de integração entre sistemas – uma linguagem de comunicação de máquina a máquina, que permite que softwares jurídicos, órgãos públicos e aplicativos automatizados consultem processos e andamentos diretamente no PJe, por exemplo. Pois bem: o MFA foi aplicado somente à interface web.
A MNI, por sua própria natureza, nunca comportou MFA – e continua assim. Não se trata de falha nem de distração: é questão de arquitetura. O protocolo simplesmente não suporta uma segunda camada de autenticação sem romper dezenas de integrações que dependem dele – tribunais, procuradorias, defensorias, escritórios e sistemas jurídicos automatizados.
E, pasmem: o acesso é feito com o mesmo login e senha do usuário humano, exatamente o mesmo que, na interface web, agora exige o tal “reforço de segurança”. Em outras palavras, o CNJ impôs o MFA onde ele é inútil – e, no caso do certificado, ilegal –, mas manteve senha simples onde o acesso é feito por máquinas.
Todos sabem disso, mas ninguém ousa dizer. Ainda assim, o discurso oficial insiste na “nova era da segurança digital”. É melancólico ver autoridades entoando discursos épicos sobre “revolução tecnológica” fingindo não saber que, na prática, nada mudou. O MNI segue autenticando apenas com login e senha – e continuará assim.
Enquanto o advogado aperta botões no celular para provar que é ele mesmo, os sistemas automáticos trafegam silenciosamente com acesso pleno e legítimo. E o CNJ, encantado com a própria invenção, segue aplaudindo o ritual do constrangimento digital – não uma política de segurança.
O resultado prático
Tudo gira em torno do chamado “golpe do falso advogado”, citado expressamente pelo CNJ como justificativa da medida. Mas, ao contrário da narrativa oficial, não há invasão de sistema nem vazamento sigiloso algum. Criminosos continuam explorando dados públicos, disponíveis nos próprios sistemas judiciais – capas, partes, advogados, andamentos. Essas informações, expostas por design, servem de matéria–prima para fraudes de engenharia social.
Ou seja: o golpe nasce fora do sistema de Justiça, não dentro dele. Não é falha de senha, nem de advogado – é o uso criminoso de informações públicas. O problema é de polícia, não de advocacia.
A solução é simples – e sempre foi: investigação. As polícias civis e a Polícia Federal dispõem de meios técnicos para rastrear cada acesso: os logs do PJe e de qualquer sistema do CNJ registram IPs, carimbos de tempo, tokens de sessão e histórico completo de consultas. Com esses dados, é possível identificar exatamente de onde e por quem cada processo foi acessado.
Mas, em vez de investigar, as instituições preferem punir o usuário legítimo. Criam camadas artificiais de autenticação e obrigações abusivas – uma cortina de fumaça tecnológica que nada resolve e só demonstra o desespero institucional por parecer moderno. Transformam um problema policial em problema administrativo da advocacia.
É o retrato do teatro do compliance: o Estado, incapaz de agir onde deve, encena eficiência sobre quem já cumpre a lei.
A ilegalidade da imposição
O CNJ é órgão administrativo, não legislativo. Quando edita portarias, age como gestor público, não como juiz. E, como gestor, está sujeito à legalidade, proporcionalidade, moralidade e eficiência – não à própria vontade.
A EC nº 45, que o criou, deu-lhe poder para regulamentar apenas o que está sob seu guarda-chuva institucional: servidores, magistrados e estrutura interna. Não para se comportar como o “dono da bola” e mudar regras conforme o humor do plenário.
É verdade que a OAB tem assento no Conselho, mas presença não é o mesmo que poder. A advocacia, embora função essencial à Justiça, não é subordinada ao CNJ, e tampouco pode ser tratada como extensão de seu corpo administrativo. Nada na Constituição autoriza o Conselho a impor obrigações diretas a profissionais que atuam fora da sua estrutura funcional. Muito menos através de Portaria.
Isso não é regulação – é exibicionismo administrativo. Virou hábito de alguns membros agir como “visionários” de gabinete: editam portarias, resoluções, esperam aplausos e ignoram a realidade. É um espetáculo autoritário travestido de gestão – o poder de regular transformado em capricho institucional.
Fazer isso é abuso de poder – uma usurpação administrativa mascarada de zelo digital. E, como sempre, sem consequência alguma.
Enquanto isso, o advogado que aponta a ilegalidade é tratado com condescendência ou silêncio. A plateia assiste, amarrada, ao espetáculo do arbítrio – e o palco sorri.
A MP 2.200-2/2001 define, com clareza, a estrutura de identificação digital válida no Brasil. Nada autoriza o CNJ a exigir um plus burocrático inexistente em lei. Criar obrigações por portaria é legislar – e legislar é papel do Parlamento, não de órgão administrativo.
Se o CNJ quer mudar o regime de autenticação, que o faça com responsabilidade: proponha lei, ouça a sociedade, debata com quem usa o sistema. Mas não edite portaria para obrigar centenas de milhares de advogados brasileiros a virar perito em aplicativo autenticador.
Seria pedir demais que o “bastião da segurança” respeitasse a legalidade. Parece ser mais fácil posar de visionário, apertar botões e acreditar que reinventou a cibersegurança mundial. É o tipo de “modernização” que enche discursos e esvazia a República.
Conclusão
O MFA no PJe é o retrato do teatro do compliance: medidas que parecem sofisticadas, mas só produzem sofrimento para quem age corretamente. Os sistemas continuam vulneráveis, o problema estrutural segue intocado e a burocracia cresce em nome de uma segurança que não existe.
Segurança não se faz com aplicativos nem com manchetes. Faz-se com arquitetura, auditoria e diálogo. O resto é só encenação de quem não entende o palco em que está – um teatro caro, pago com o tempo, o esforço e a dignidade de quem apenas tenta trabalhar.
No fim, o advogado continua fazendo seu papel: o de vítima da burocracia, que paga a conta da inépcia alheia, enquanto o espetáculo segue, triunfante, em nome de uma segurança que nunca existiu.
Como em todo teatro ruim, quem paga o ingresso é quem menos deveria estar ali. O advogado comum perde tempo, o “analfabeto digital” perde o ofício, e o sistema ganha apenas a ilusão de movimento. No palco, mandam os que não têm poder de mandar; na plateia, a advocacia engole seco – e a Justiça aplaude o próprio constrangimento.
[1] https://www.cnj.jus.br/em-combate-ao-golpe-do-falso-advogado-cnj-inicia-autenticacao-em-dois-fatores-para-usuarios-do-pje/
[2] Portaria Nº 140 de 22/04/2024. https://atos.cnj.jus.br/atos/detalhar/5536
[3] https://comunica.pje.jus.br/
Deixe um comentário