Link de Assinatura da CAIXA é Seguro? Como Conferir

Sim, a CAIXA realmente envia links de assinatura por e-mail: é assim que o Portal de Assinatura Digital funciona — sem cadastro e sem senha própria. O endereço oficial é um só, assinador.siidx.prd.caixa.gov.br, e termina em .caixa.gov.br, domínio do próprio banco dentro do gov.br. Este guia ensina a conferir o link letra por letra, lista os sinais que denunciam página falsa e explica o que fazer se você já clicou em um link suspeito.

Primeiro, a boa notícia: receber esse link por e-mail é normal

A desconfiança é saudável — e, neste caso, a resposta começa entendendo como o serviço funciona. Segundo o portal oficial da CAIXA, o Portal de Assinatura Digital não tem cadastro nem senha própria: quando o banco precisa da sua assinatura em um contrato, termo ou formulário, ele envia um link por e-mail, e é por esse link que você entra, lê e assina. Ou seja, um e-mail da CAIXA pedindo assinatura digital pode ser perfeitamente legítimo — o golpe não está no formato, está na imitação. Todo o funcionamento do serviço está detalhado no nosso guia completo do Assinador Digital da CAIXA.

Como criminosos sabem que esse fluxo existe, e-mails falsos imitando o banco são o vetor clássico de phishing. A defesa é objetiva: saber exatamente qual é o endereço verdadeiro e o que a página verdadeira pede (e o que ela jamais pede).

O endereço oficial é um só: confira letra por letra

O próprio FAQ do portal informa o endereço de acesso: assinador.siidx.prd.caixa.gov.br (site do próprio banco; nós não somos a CAIXA). Dois detalhes desse endereço fazem todo o trabalho de verificação por você:

  • Ele termina em .caixa.gov.br — um domínio governamental brasileiro, que só a CAIXA Econômica Federal controla. Ninguém registra um site falso "dentro" de caixa.gov.br.
  • O que importa é o FINAL do endereço, imediatamente antes da primeira barra. Golpista adora colocar "caixa" no começo: um endereço como assinador-caixa.algumacoisa.com tem "caixa" no nome, mas o domínio real é algumacoisa.com — não é o banco.

Como conferir na prática, em qualquer dispositivo:

  1. Antes de clicar, pouse o mouse sobre o botão ou link do e-mail (no celular, toque e segure) para ver o endereço de destino completo.
  2. Leia o trecho entre o https:// e a primeira /. Ele precisa terminar exatamente em caixa.gov.br — sem letras trocadas, sem hífens extras, sem terminações como .com, .net ou .info.
  3. Depois de abrir, confira de novo na barra de endereços do navegador. É a barra do navegador que diz a verdade, não o texto do e-mail.
  4. Na dúvida, não clique: a confirmação de que existe documento esperando sua assinatura pode ser obtida na Central de Atendimento CAIXA, o canal de suporte que o próprio portal indica.

Legítimo × golpe: a tabela de conferência rápida

O que observar No portal verdadeiro Sinal de alerta (provável golpe)
Endereço na barra do navegador Termina em .caixa.gov.br Qualquer outra terminação, mesmo contendo a palavra "caixa"
Cadastro e senha Não existe: a entrada é com gov.br ou certificado digital Página pedindo para "criar conta" ou "cadastrar senha" para assinar
Dados bancários O fluxo descrito pelo portal não pede agência, conta nem senha do cartão Solicitação de senha bancária, dados do cartão ou código de segurança
Cobrança Nenhuma etapa de pagamento para assinar o documento Pix, boleto ou "taxa de liberação" para concluir a assinatura
Tom da mensagem Prazo real, exibido no próprio portal no rótulo "Assinar até:" Ameaças de bloqueio imediato da conta, multa ou urgência artificial

O que a página verdadeira pede — e o que ela jamais pede

No fluxo que o próprio portal descreve, assinar um documento envolve apenas três coisas: abrir o link, ler o documento e autenticar-se por um dos dois caminhos — "Entrar com gov.br" (conta nível Prata ou Ouro, grátis, sem comprar nada) ou "Entrar com certificado" (certificado digital ICP-Brasil). Não há criação de conta, não há senha do portal, não há pagamento.

Um detalhe que confunde muita gente e vira porta de golpe: a senha do gov.br não é a senha da sua conta na CAIXA. Quando você escolhe entrar com gov.br, a autenticação acontece no ambiente do próprio gov.br; em nenhum momento o fluxo oficial de assinatura pede senha bancária, dados do cartão ou código enviado por SMS do banco. Se a página pedir qualquer um desses itens para "liberar" a assinatura, feche-a: não é o portal.

Já quem entra com certificado digital vê o diálogo de provedores de certificado em nuvem (SafeID, BirdID, VIDaaS e outros — lista que verificamos no portal em 15/07/2026) ou usa o certificado instalado no computador. Explicamos essas opções no nosso guia de certificado em nuvem no Assinador da CAIXA.

Vai entrar com certificado digital e o seu está vencido — ou você ainda não tem? Emitimos e-CPF A1 por R$99 e e-CNPJ A1 por R$149, 100% online, por videoconferência com agente de registro, geralmente no mesmo dia. Somos um site independente: a verificação de segurança deste guia vale igual, com qualquer certificado ICP-Brasil.

Falar no WhatsApp →  ·  Conhecer o e-CPF A1

Cliquei em um link suspeito. E agora?

O tamanho do problema depende do que aconteceu depois do clique:

  1. Só abriu a página e fechou? Em geral, o clique isolado não entrega seus dados. Não digite nada, feche a aba e apague o e-mail. Se quiser confirmar se existe documento real esperando você, procure a Central de Atendimento CAIXA pelos canais oficiais do banco — nunca pelos contatos que aparecem no próprio e-mail suspeito.
  2. Digitou senha do gov.br? Troque a senha imediatamente em acesso.gov.br e ative a verificação em duas etapas.
  3. Informou senha bancária ou dados de cartão? Contate a CAIXA pelos canais oficiais sem demora para bloquear e trocar as credenciais, e registre boletim de ocorrência — ele documenta o caso para contestações.
  4. Em qualquer cenário, marque a mensagem como phishing no seu provedor de e-mail: isso ajuda a proteger as próximas vítimas.

Link verdadeiro também "morre": o caso do prazo vencido

Nem todo link que não funciona é golpe. Cada documento no portal tem um prazo, exibido no rótulo "Assinar até:" — e, segundo o FAQ oficial, quando esse prazo expira o documento deixa de aparecer para assinatura. Nesse caso o caminho é pedir à CAIXA a redisponibilização, como detalhamos no guia sobre prazo de assinatura e via do contrato da CAIXA.

Resumo de bolso: endereço terminando em .caixa.gov.br + nenhum pedido de senha bancária, cadastro ou pagamento = pode assinar tranquilo. Qualquer coisa diferente disso, pare e confirme com o banco.

Autor: Leandro Albertini, Certificado Digital Brasília

Perguntas Frequentes sobre a segurança do link de assinatura da CAIXA

Recebi um e-mail da CAIXA com link para assinar documento. Pode ser golpe?

Pode ser legítimo: segundo o portal oficial, o Portal de Assinatura Digital da CAIXA funciona exatamente assim — o banco envia um link por e-mail e não há cadastro nem senha própria. Antes de clicar, confira se o destino é assinador.siidx.prd.caixa.gov.br, terminando em .caixa.gov.br. Endereço diferente, pedido de dados bancários ou cobrança para assinar são sinais de golpe.

Como conferir se um link de assinatura da CAIXA é verdadeiro?

Leia o endereço na barra do navegador, do https:// até a primeira barra: ele precisa terminar exatamente em caixa.gov.br, domínio governamental que só a CAIXA controla. Desconfie de endereços que apenas contêm a palavra "caixa" no meio, de terminações .com ou .net e de letras trocadas. Na dúvida, não clique e confirme na Central de Atendimento CAIXA se há documento aguardando assinatura.

O Assinador da CAIXA pede senha da conta ou dados do cartão?

Não. No fluxo descrito pelo portal oficial, a autenticação é feita com conta gov.br nível Prata ou Ouro ou com certificado digital ICP-Brasil — e a senha do gov.br não é a senha bancária. Página que solicita senha da conta, dados do cartão, código de SMS do banco ou pagamento para "liberar" a assinatura não é o portal da CAIXA: feche e reporte como phishing.

Cliquei em um link falso de assinatura da CAIXA. O que devo fazer?

Se apenas abriu a página, não digite nada, feche e apague o e-mail. Se digitou a senha do gov.br, troque-a imediatamente em acesso.gov.br e ative a verificação em duas etapas. Se informou senha bancária ou cartão, acione a CAIXA pelos canais oficiais para bloquear as credenciais e registre boletim de ocorrência. Em todos os casos, marque a mensagem como phishing no seu e-mail.

Confirmou que o link é verdadeiro? Assine com validade máxima

Com um certificado digital ICP-Brasil você entra pelo botão "Entrar com certificado". Emissão 100% online, por videoconferência com agente de registro — e-CPF A1 por R$99 e e-CNPJ A1 por R$149.

Este conteúdo é informativo e independente. Não somos o portal oficial da CAIXA nem temos vínculo com a CAIXA Econômica Federal. "CAIXA", "gov.br" e as marcas dos provedores citados pertencem aos seus respectivos titulares.