A expansão do modelo de pedágio free flow no Brasil — que estreou na BR-116/SP em novembro passado — esconde uma camada de risco pouco debatida: segundo artigo de Eduardo Gomes, Gerente de Cibersegurança da TÜV Rheinland, as câmeras OCR, sensores e redes conectadas que sustentam o sistema já foram alvo de ataques em outros países e representam superfícies de ataque crescentes na infraestrutura crítica brasileira.
O avanço do pedágio sem cancela no Brasil
Em novembro passado, a rodovia Presidente Dutra (BR-116/SP) tornou-se o primeiro trecho brasileiro a operar com cobrança proporcional por quilômetro rodado, marcando a consolidação do modelo de pedágio eletrônico sem cancela — o chamado free flow. A primeira experiência nacional havia sido implantada ainda em 2023, na BR-101/RJ (Rio-Santos).
Amparado por regulamentações recentes, o modelo avança como solução para aumentar a fluidez do trânsito e tornar a cobrança mais justa. No entanto, essa modernização traz consigo novos riscos: por trás da comodidade de não parar em praças de pedágio, existe uma complexa infraestrutura digital crítica — que depende de câmeras, sensores e redes conectadas — e que já foi alvo de ciberataques em outros países.
Ataques reais: o que já aconteceu no mundo
Os precedentes internacionais são um alerta concreto. Em 2017, na Austrália, 55 câmeras de trânsito foram infectadas pelo ransomware WannaCry, que criptografou os sistemas e desativou parte da operação. Dois anos depois, nos Estados Unidos, hackers invadiram uma empresa que operava tecnologia de pedágio e vazaram 105 mil imagens de placas e rostos de motoristas.
No Brasil, criminosos já vêm explorando dados reais de veículos e condutores — obtidos de vazamentos externos — para montar sites falsos que simulam a cobrança do pedágio free flow. Embora esses golpes não tenham comprometido diretamente os sistemas de pedágio, eles evidenciam como vulnerabilidades em ecossistemas adjacentes podem impactar operadoras e fornecedores, servindo como vetor para fraudes associadas à nova operação.
Por que o free flow é mais vulnerável que o pedágio tradicional
A principal diferença entre o free flow e o modelo tradicional está no grau de dependência tecnológica. No novo sistema, a identificação e a cobrança dos veículos ocorrem exclusivamente por meios digitais — o que significa que cada componente da cadeia se torna uma potencial superfície de ataque.
Equipamentos de campo, sistemas de processamento e redes de comunicação precisam operar em total sintonia e segurança para garantir a continuidade do serviço e a integridade das cobranças. Não há fallback manual: se o sistema falha, a operação para.
IoT e OCR: os pontos mais expostos
As câmeras OCR (Reconhecimento Óptico de Caracteres), responsáveis pela leitura das placas, são um dos alicerces do sistema — e também um alvo em potencial. Estudos recentes revelaram vulnerabilidades graves em câmeras de leitura automática de placas: um boletim da agência de cibersegurança dos EUA (CISA) detalhou sete falhas em modelos populares de câmeras ALPR, incluindo ausência de criptografia de dados e credenciais de acesso expostas.
Em um caso emblemático, todas as câmeras de determinada fabricante chegavam ao cliente com uma rede Wi-Fi ativada por padrão e senha idêntica e fixa em todos os aparelhos — permitindo que qualquer pessoa com acesso a essa senha pudesse se conectar remotamente ao dispositivo.
As redes de comunicação que interligam os componentes do free flow representam outro ponto crítico. A troca de informações entre pórticos de cobrança, centrais regionais e sistemas de retaguarda ocorre em tempo real, geralmente sobre infraestruturas de fibra óptica, enlaces de rádio de longa distância ou redes móveis seguras. A resiliência dessas redes é tão importante quanto sua segurança: é preciso prever redundância de rotas, failover de conexões e sistemas locais de armazenamento temporário (buffer) para reter dados de passagens em caso de perda momentânea de link.
Dados pessoais sob vigilância constante
A segurança da informação no free flow vai além da proteção operacional e financeira — ela envolve diretamente a privacidade dos motoristas. Cada passagem sob um pórtico gera registros com placa, data, hora, local e, frequentemente, imagens do veículo e do condutor. Com diversos pontos de leitura ao longo das rodovias, torna-se possível mapear com precisão os deslocamentos de um veículo e, por consequência, traçar padrões de comportamento e rotina.
Esses dados são enquadrados como pessoais pela Lei Geral de Proteção de Dados (LGPD), impondo obrigações legais a concessionárias e órgãos públicos quanto ao seu tratamento. Como a coleta ocorre de forma automática, sem ação direta do motorista, práticas como minimização de dados, criptografia, anonimização e políticas claras de retenção e descarte seguro tornam-se ainda mais urgentes.
Segurança por design: proteger antes de operar
Para enfrentar esses desafios, o ponto de partida deve ser a adoção de uma arquitetura de segurança por design — ou seja, prever mecanismos de proteção desde a concepção do projeto, e não tentar adicioná-los depois que o sistema já está em operação.
Isso inclui práticas como:
- Modelagem de ameaças (threat modeling) ainda na fase de projeto
- Seleção de plataformas com certificações reconhecidas
- Criptografia de ponta a ponta para dados em trânsito e em repouso
- Controles de acesso robustos para todos os módulos, físicos e digitais
No plano da aplicação, o desenvolvimento seguro é indispensável. Interfaces web e mobile que permitem consultar extratos e efetuar pagamentos precisam estar protegidas contra ataques como SQL injection, cross-site scripting (XSS) e falsificação de requisições (CSRF).
No campo, é necessário aplicar hardening aos dispositivos: desativar serviços desnecessários, atualizar firmwares regularmente, usar autenticação multifator para acessos de manutenção e, quando viável, substituir senhas por certificados digitais.
Monitoramento contínuo e auditorias independentes
Mesmo com todas as precauções, nenhuma defesa é absoluta. Por isso, monitoramento contínuo, testes de penetração (pentests) e auditorias recorrentes devem ser práticas obrigatórias — tanto antes da inauguração de novos sistemas quanto de forma periódica durante a operação.
Especialistas devem ser contratados para simular cenários reais de ataque: tentar explorar falhas nas redes, comprometer sensores ou interceptar APIs de integração com sistemas externos. Além disso, é fundamental realizar auditorias técnicas independentes que avaliem não apenas as defesas tecnológicas, mas também as políticas de segurança da informação, o treinamento das equipes e os procedimentos de resposta a incidentes — os chamados Planos de Contingência de Negócios (PCN).
A adoção de um Sistema de Gestão de Segurança da Informação certificado pela norma ISO 27001, nesse contexto, vem se tornando um diferencial competitivo relevante para operadores de infraestrutura crítica.
Mobilidade e cibersegurança: duas faces da mesma moeda
Proteger o sistema contra ataques e falhas não é excesso de zelo — é condição básica para o sucesso do modelo a longo prazo. A confiança do usuário e a sustentabilidade do free flow dependem da garantia de que, por trás das passagens livres e sem fricção, existe uma fortaleza tecnológica preparada para resistir a ameaças digitais.
Ao impulsionar a mobilidade, é preciso também impulsionar a cibersegurança. Na era das rodovias inteligentes, essas duas dimensões são indissociáveis.
Eduardo Gomes é Gerente de Cibersegurança na TÜV Rheinland — empresa global com 150 anos de atuação em serviços de teste, inspeção e certificação, presente em mais de 50 países.
