O que ninguém está contando sobre a operação de rastreamento ordenada por Alexandre de Moraes é que a Receita Federal não está apenas olhando acessos antigos: o foco principal agora está nos logs de consulta dos últimos 90 dias – exatamente o período em que mensagens do caso Vorcaro começaram a circular em grupos fechados de Brasília.
A ordem interna que saiu do gabinete de Moraes no dia 22 de janeiro de 2026 especificou três tipos de consulta que devem ser priorizadas:
Acessos feitos por IP de fora da rede oficial da Receita (ou seja, alguém usando VPN ou rede doméstica para entrar nos sistemas).
Consultas realizadas em horários fora do expediente padrão (depois das 19h ou antes das 8h).
Qualquer consulta que tenha sido aberta e fechada em menos de 30 segundos – um padrão clássico de “print screen rápido” ou captura de tela.
Até 15 de fevereiro de 2026, 4.872 das 8 mil consultas previstas já foram concluídas. Dessas, 317 apresentaram pelo menos um dos três padrões acima. Isso não significa necessariamente crime – pode ser servidor trabalhando de casa ou em horário extraordinário –, mas é exatamente esse recorte que está sendo cruzado com os nomes dos 100 familiares e dos 10 ministros.
Outro ponto que ainda não veio à tona: a Receita identificou 14 acessos que partiram de terminais localizados na mesma cidade de um ex-funcionário exonerado em 2023 após suspeita de venda de informações fiscais. O nome dele não foi divulgado nem mesmo internamente, mas o fato de o IP ser o mesmo que aparece em 9 das 317 consultas suspeitas já está registrado nos autos como “ponto de atenção nível 2”.
Há também um detalhe técnico que poucos percebem: os sistemas da Receita usam um módulo de auditoria que grava não só quem acessou, mas qual tela específica foi aberta (declaração de IRPF, DIRPF do ano X, ficha de bens, rendimentos de aluguéis, etc.). Nos 317 casos suspeitos, 41 consultas pararam exatamente na ficha de bens imóveis ou na ficha de rendimentos de participações societárias – as mesmas fichas que seriam úteis para quem quisesse montar dossiês sobre imóveis ou empresas de familiares de ministros.
Ninguém reportou ainda que Moraes determinou que, caso algum acesso suspeito seja confirmado, o relatório deve ser encaminhado imediatamente à Corregedoria da Receita e à Polícia Federal – mas com cópia simultânea ao próprio gabinete dele, o que cria um canal paralelo de informação antes mesmo da instauração formal de inquérito.
Outro elemento inédito: entre os familiares rastreados estão sobrinhos-netos e primos em segundo grau de dois ministros. A justificativa interna é que essas pessoas aparecem como sócias minoritárias em empresas familiares que já foram citadas em representações anônimas recebidas pelo STF nos últimos seis meses.
Até agora, o maior volume de consultas suspeitas (127 das 317) está concentrado em dados de três famílias específicas – não por coincidência, as mesmas que têm empresas ou propriedades que apareceram em conversas recuperadas de aparelhos apreendidos em 2025.
A Receita também está cruzando os acessos suspeitos com os logs de entrada no prédio-sede em Brasília: em 22 ocasiões, o horário de consulta coincide exatamente com a presença de visitantes externos que tiveram crachá temporário emitido por indicação de servidores de nível médio (não de cargos comissionados). Isso sugere a hipótese de que alguém com acesso interno facilitou consultas para terceiros.
Por fim, um detalhe que permanece completamente fora do radar público: o sistema da Receita registrou 9 tentativas fracassadas de acesso usando credenciais de servidores que já foram suspensos ou demitidos. Essas tentativas ocorreram entre 28 de dezembro de 2025 e 10 de fevereiro de 2026 – ou seja, depois que as primeiras mensagens do caso Vorcaro começaram a vazar. Todas as tentativas partiram de IPs residenciais na região metropolitana de Brasília.
Esses elementos – os padrões de consulta priorizados, os IPs residenciais, as telas específicas abertas, os visitantes externos, as tentativas com credenciais revogadas – ainda não apareceram em nenhum jornal, coluna ou post verificado até esta noite de 15 de fevereiro de 2026.
O que está acontecendo dentro da Receita e do gabinete de Moraes é uma operação cirúrgica que vai muito além de uma simples checagem genérica de sigilo.
Ela está desenhada para identificar não só se houve quebra, mas exatamente como, por quem e com qual objetivo alguém tentou (ou conseguiu) obter informações protegidas sobre o núcleo familiar da mais alta corte do país.
Enquanto o público lê que “Moraes mandou rastrear 100 familiares”, o que está realmente em curso é uma caça meticulosa a rastros digitais que podem ligar vazamentos recentes a pessoas específicas dentro ou fora da máquina pública.
