As funções privilegiadas das quais ninguém fala

As 'funções privilegiadas das quais ninguém fala' não se referem apenas ao foro por prerrogativa ou aos altos salários visíveis, mas a mecanismos estruturais de autoproteção e opacidade que beneficiam carreiras de elite do Estado brasileiro — como magistrados, membros do Ministério Público, TCU, AGU e delegados da Polícia Federal. Um exemplo crítico é a PEC 10/2023 (PEC dos quinquênios), em tramitação no Senado desde 2023 e com emendas apresentadas em 10 de abril de 2024 para ampliar seu alcance. Se aprovada, instituirá adicionais de 5% a cada cinco anos de serviço, até 35%, fora do teto remuneratório constitucional, com impacto fiscal estimado entre R$ 8,3 bilhões e R$ 9,9 bilhões na União. Essa mudança opera sob o conceito de 'vantagens em série', termo usado no livro 'O País dos Privilégios' (Bruno Carazza, 2024) para descrever benefícios que contornam o teto constitucional sem transparência na remuneração total divulgada nos editais de concurso.

O privilégio silencioso também reside na forma como certas carreiras escapam ao controle externo: 54.990 autoridades tinham foro especial em 2017 (dados CNJ), mas poucas são submetidas a auditorias independentes ou prestação de contas pública equivalente à de políticos eleitos. A estabilidade funcional, a licença paternidade estendida (20 dias no setor público federal contra 5 no privado) e a proteção jurídica via crime de desacato (art. 331 do CP) reforçam uma assimetria institucional que não depende de lei nova, mas da aplicação seletiva de normas já existentes.

Esses privilégios não são meramente financeiros: eles corroem a legitimidade do Estado ao criar uma casta burocrática com poder decisório, influência regulatória e consumo de recursos públicos, mas com baixa responsabilização. Diferentemente de cargos políticos sujeitos ao voto e à mídia, essas funções operam em esferas técnicas ou jurídicas onde a opacidade é sistêmica — como na divulgação de 'vencimento base' em editais, omitindo gratificações que elevam a remuneração real em até 100% ou mais. Isso distorce o debate fiscal, dificulta a avaliação de eficiência do gasto público e alimenta a percepção de que o serviço público é 'inchado' em custo, não em pessoal (12% da força de trabalho no Brasil, contra 15% nos EUA, segundo dados de 2024).

A governança dessas funções é crítica porque sua blindagem não exige atos ilegais, mas a inércia de órgãos de controle e o corporativismo de associações de classe — um risco análogo ao de credenciais privilegiadas mal protegidas em TI: não há necessidade de zero-day, basta uma console mal configurada ou uma norma mal fiscalizada. A ausência de monitoramento de abusos, seja em service principals no Azure AD ou em acumulações lícitas de vantagens no serviço público, revela a mesma falha estrutural: governança do acesso privilegiado como prioridade secundária.

Profissionais de tecnologia e segurança da informação devem reconhecer que os mesmos princípios de mitigação aplicados a funções privilegiadas em ambientes cloud — como just-in-time (PIM), MFA resistente a phishing, aprovação múltipla para ações destrutivas e detecção de padrões como IsApiActor — têm paralelo direto na governança de carreiras públicas privilegiadas. Por exemplo, o uso de RBAC customizado em sistemas de gestão de pessoal pode impedir que um único agente autorize acúmulos de vantagens; logs de acesso a sistemas de folha de pagamento devem seguir o mesmo rigor de auditoria exigido para Graph API com permissões DeviceManagement*.ReadWrite.All.

O modelo MITRE ATT&CK (T1072, T1059.001, T1098, T1578) descrito na notícia original ilustra cadeias de exploração que começam com credenciais fracas — o equivalente administrativo seria a falta de revisão periódica de acumulações lícitas ou de validação de requisitos para quinquênios. Assim como um infostealer rouba tokens de sessão, brechas legislativas e lacunas de fiscalização 'roubam' transparência. Para desenvolvedores e arquitetos de segurança, integrar controles de governança de acesso privilegiado em soluções de RH digital não é opcional: é exigência de compliance ético e fiscal, alinhada às melhores práticas globais de soberania de dados e accountability institucional.