Primeiro, a boa notícia: receber esse link por e-mail é normal
A desconfiança é saudável — e, neste caso, a resposta começa entendendo como o serviço funciona. Segundo o portal oficial da CAIXA, o Portal de Assinatura Digital não tem cadastro nem senha própria: quando o banco precisa da sua assinatura em um contrato, termo ou formulário, ele envia um link por e-mail, e é por esse link que você entra, lê e assina. Ou seja, um e-mail da CAIXA pedindo assinatura digital pode ser perfeitamente legítimo — o golpe não está no formato, está na imitação. Todo o funcionamento do serviço está detalhado no nosso guia completo do Assinador Digital da CAIXA.
Como criminosos sabem que esse fluxo existe, e-mails falsos imitando o banco são o vetor clássico de phishing. A defesa é objetiva: saber exatamente qual é o endereço verdadeiro e o que a página verdadeira pede (e o que ela jamais pede).
O endereço oficial é um só: confira letra por letra
O próprio FAQ do portal informa o endereço de acesso: assinador.siidx.prd.caixa.gov.br (site do próprio banco; nós não somos a CAIXA). Dois detalhes desse endereço fazem todo o trabalho de verificação por você:
- Ele termina em
.caixa.gov.br— um domínio governamental brasileiro, que só a CAIXA Econômica Federal controla. Ninguém registra um site falso "dentro" de caixa.gov.br. - O que importa é o FINAL do endereço, imediatamente antes da primeira barra. Golpista adora colocar "caixa" no começo: um endereço como
assinador-caixa.algumacoisa.comtem "caixa" no nome, mas o domínio real éalgumacoisa.com— não é o banco.
Como conferir na prática, em qualquer dispositivo:
- Antes de clicar, pouse o mouse sobre o botão ou link do e-mail (no celular, toque e segure) para ver o endereço de destino completo.
- Leia o trecho entre o
https://e a primeira/. Ele precisa terminar exatamente emcaixa.gov.br— sem letras trocadas, sem hífens extras, sem terminações como .com, .net ou .info. - Depois de abrir, confira de novo na barra de endereços do navegador. É a barra do navegador que diz a verdade, não o texto do e-mail.
- Na dúvida, não clique: a confirmação de que existe documento esperando sua assinatura pode ser obtida na Central de Atendimento CAIXA, o canal de suporte que o próprio portal indica.
Legítimo × golpe: a tabela de conferência rápida
| O que observar | No portal verdadeiro | Sinal de alerta (provável golpe) |
|---|---|---|
| Endereço na barra do navegador | Termina em .caixa.gov.br |
Qualquer outra terminação, mesmo contendo a palavra "caixa" |
| Cadastro e senha | Não existe: a entrada é com gov.br ou certificado digital | Página pedindo para "criar conta" ou "cadastrar senha" para assinar |
| Dados bancários | O fluxo descrito pelo portal não pede agência, conta nem senha do cartão | Solicitação de senha bancária, dados do cartão ou código de segurança |
| Cobrança | Nenhuma etapa de pagamento para assinar o documento | Pix, boleto ou "taxa de liberação" para concluir a assinatura |
| Tom da mensagem | Prazo real, exibido no próprio portal no rótulo "Assinar até:" | Ameaças de bloqueio imediato da conta, multa ou urgência artificial |
O que a página verdadeira pede — e o que ela jamais pede
No fluxo que o próprio portal descreve, assinar um documento envolve apenas três coisas: abrir o link, ler o documento e autenticar-se por um dos dois caminhos — "Entrar com gov.br" (conta nível Prata ou Ouro, grátis, sem comprar nada) ou "Entrar com certificado" (certificado digital ICP-Brasil). Não há criação de conta, não há senha do portal, não há pagamento.
Um detalhe que confunde muita gente e vira porta de golpe: a senha do gov.br não é a senha da sua conta na CAIXA. Quando você escolhe entrar com gov.br, a autenticação acontece no ambiente do próprio gov.br; em nenhum momento o fluxo oficial de assinatura pede senha bancária, dados do cartão ou código enviado por SMS do banco. Se a página pedir qualquer um desses itens para "liberar" a assinatura, feche-a: não é o portal.
Já quem entra com certificado digital vê o diálogo de provedores de certificado em nuvem (SafeID, BirdID, VIDaaS e outros — lista que verificamos no portal em 15/07/2026) ou usa o certificado instalado no computador. Explicamos essas opções no nosso guia de certificado em nuvem no Assinador da CAIXA.
Vai entrar com certificado digital e o seu está vencido — ou você ainda não tem? Emitimos e-CPF A1 por R$99 e e-CNPJ A1 por R$149, 100% online, por videoconferência com agente de registro, geralmente no mesmo dia. Somos um site independente: a verificação de segurança deste guia vale igual, com qualquer certificado ICP-Brasil.
Cliquei em um link suspeito. E agora?
O tamanho do problema depende do que aconteceu depois do clique:
- Só abriu a página e fechou? Em geral, o clique isolado não entrega seus dados. Não digite nada, feche a aba e apague o e-mail. Se quiser confirmar se existe documento real esperando você, procure a Central de Atendimento CAIXA pelos canais oficiais do banco — nunca pelos contatos que aparecem no próprio e-mail suspeito.
- Digitou senha do gov.br? Troque a senha imediatamente em acesso.gov.br e ative a verificação em duas etapas.
- Informou senha bancária ou dados de cartão? Contate a CAIXA pelos canais oficiais sem demora para bloquear e trocar as credenciais, e registre boletim de ocorrência — ele documenta o caso para contestações.
- Em qualquer cenário, marque a mensagem como phishing no seu provedor de e-mail: isso ajuda a proteger as próximas vítimas.
Link verdadeiro também "morre": o caso do prazo vencido
Nem todo link que não funciona é golpe. Cada documento no portal tem um prazo, exibido no rótulo "Assinar até:" — e, segundo o FAQ oficial, quando esse prazo expira o documento deixa de aparecer para assinatura. Nesse caso o caminho é pedir à CAIXA a redisponibilização, como detalhamos no guia sobre prazo de assinatura e via do contrato da CAIXA.
Resumo de bolso: endereço terminando em .caixa.gov.br + nenhum pedido de senha bancária, cadastro ou pagamento = pode assinar tranquilo. Qualquer coisa diferente disso, pare e confirme com o banco.
Autor: Leandro Albertini, Certificado Digital Brasília