O Instituto Nacional do Seguro Social (INSS) informou nesta sexta-feira (22) que houve um vazamento de dados do Dataprev em 22 de abril, com acesso indevido a cadastros vinculados a CPFs. Segundo o órgão, cerca de 50 mil registros acessados pertencem a pessoas vivas, o equivalente a menos de 3% dos casos identificados. A maior parte dos dados, de acordo com o INSS, estaria relacionada a CPFs de cidadãos já falecidos.
Em nota, o instituto afirmou que as providências cabíveis foram adotadas e que a Agência Nacional de Proteção de Dados (ANPD) foi comunicada dentro do prazo devido. O caso ainda está em apuração pela Dataprev, empresa pública responsável por tecnologia e processamento de dados da Previdência Social.
“De acordo com informações preliminares, do total de CPFs acessados, 97% foram de cidadãos falecidos. A Dataprev apurou a ocorrência de aproximadamente 50 mil casos envolvendo indivíduos que não possuem registro de óbito — menos de 3% dos casos registrados. Os dados ainda estão sendo consolidados pela Dataprev”, afirmou o INSS.
INSS diz que dados ainda estão sendo consolidados
O INSS informou que os números são preliminares e que a Dataprev ainda consolida o levantamento sobre o episódio. A apuração busca dimensionar a extensão do acesso indevido, identificar a natureza dos dados expostos e avaliar eventuais riscos para os cidadãos afetados.
Segundo o instituto, o acesso indevido ocorreu em 22 de abril. O órgão não detalhou, no comunicado, quais bases foram atingidas, quais informações estavam disponíveis nos registros acessados nem como ocorreu a falha.
A comunicação à ANPD é uma etapa prevista na legislação de proteção de dados quando há incidente de segurança que possa gerar risco ou dano relevante aos titulares. A agência pode solicitar informações adicionais, acompanhar as providências adotadas e avaliar se houve descumprimento de normas de segurança e governança de dados.
O caso ganha relevância por envolver bases públicas de grande sensibilidade, vinculadas a benefícios previdenciários, histórico cadastral e registros de cidadãos brasileiros.
Cerca de 50 mil CPFs de pessoas vivas foram acessados
De acordo com o INSS, aproximadamente 50 mil CPFs acessados indevidamente pertencem a pessoas sem registro de óbito. Esse grupo representa menos de 3% do total de registros envolvidos no incidente.
O órgão afirmou que 97% dos CPFs acessados seriam de cidadãos falecidos. Mesmo assim, o acesso indevido a dados previdenciários exige investigação, porque bases cadastrais podem conter informações capazes de subsidiar tentativas de fraude, golpes digitais ou uso irregular de identidade.
A exposição de dados de pessoas vivas tende a ser o ponto mais sensível da apuração. Dependendo das informações acessadas, cidadãos podem ficar mais vulneráveis a tentativas de engenharia social, abertura indevida de cadastros, abordagem fraudulenta e golpes relacionados a benefícios.
O INSS não informou, até o momento, se notificará individualmente os cidadãos vivos afetados nem se houve uso efetivo dos dados acessados. A etapa de consolidação conduzida pela Dataprev deve indicar o alcance real do incidente.
Benefícios têm travas de segurança, afirma órgão
O INSS afirmou que a concessão de benefícios previdenciários exige documentos, etapas de comprovação e mecanismos de segurança. O órgão citou como exemplo os empréstimos consignados, que exigem biometria facial, e a pensão por morte, que depende de certidão de óbito e outros documentos.
A manifestação busca reduzir a percepção de risco imediato de concessões indevidas a partir do vazamento. Segundo o instituto, os processos de análise contam com travas para impedir fraudes e liberar benefícios apenas após a validação de informações obrigatórias.
Ainda assim, incidentes envolvendo dados públicos e previdenciários costumam exigir reforço de monitoramento. Mesmo quando não permitem, isoladamente, a concessão de benefícios, informações cadastrais podem ser usadas por criminosos para tornar golpes mais convincentes.
Golpistas podem utilizar dados pessoais para se passar por servidores, bancos, correspondentes financeiros ou intermediários de benefícios. Por isso, especialistas em segurança digital recomendam atenção redobrada após episódios de vazamento.
Empréstimos consignados exigem biometria facial
Um dos pontos destacados pelo INSS foi a existência de biometria facial em operações de empréstimo consignado. O mecanismo é usado para reduzir fraudes em contratações feitas em nome de aposentados, pensionistas e beneficiários.
O consignado é uma das áreas mais sensíveis do sistema previdenciário, porque envolve desconto direto no benefício. Nos últimos anos, segurados relataram problemas com contratações não reconhecidas, assédio comercial e inclusão indevida de operações em seus benefícios.
Com a exigência de biometria, a contratação passa a depender de uma etapa adicional de validação da identidade do titular. O INSS afirma que esse tipo de controle dificulta a utilização de dados cadastrais de forma isolada para obtenção de crédito.
Mesmo assim, beneficiários devem acompanhar regularmente o extrato de pagamento e verificar se há descontos desconhecidos. Qualquer movimentação suspeita deve ser contestada pelos canais oficiais.
Pensão por morte também exige comprovação documental
O INSS também citou a pensão por morte como exemplo de benefício com exigência documental específica. Para a concessão, é necessário apresentar certidão de óbito e cumprir critérios legais relacionados à dependência econômica e à qualidade de segurado.
A menção é relevante porque a maior parte dos CPFs acessados indevidamente, segundo o instituto, seria de pessoas já falecidas. O órgão sustenta que a simples existência de dados cadastrais não permitiria a concessão automática de benefícios.
A análise de benefícios previdenciários passa por cruzamento de informações, validações documentais e controles internos. Esses procedimentos são usados para reduzir o risco de concessão indevida.
No entanto, a presença de CPFs de falecidos no incidente também exige apuração cuidadosa. Dados de pessoas mortas podem ser usados em tentativas de fraude documental, abertura de cadastros ou simulações em sistemas externos ao INSS.
Dataprev fica no centro da apuração
A Dataprev é responsável por sistemas tecnológicos e bases de dados usados na execução de políticas públicas, especialmente na área previdenciária e trabalhista. Por isso, incidentes envolvendo a empresa têm impacto direto sobre a confiança na segurança das informações públicas.
O INSS afirmou que a Dataprev identificou os casos e ainda consolida os dados. A empresa deverá apurar como ocorreu o acesso indevido, quais informações foram atingidas, quem acessou a base e quais medidas foram adotadas para impedir novas ocorrências.
A apuração também deve avaliar se houve falha de credenciais, acesso interno indevido, vulnerabilidade em sistema ou outro tipo de incidente de segurança. Cada hipótese exige resposta técnica e administrativa diferente.
Em casos dessa natureza, a resposta institucional costuma envolver bloqueio de acessos, revisão de permissões, auditoria de logs, comunicação a autoridades competentes e reforço de controles.
ANPD foi comunicada sobre o incidente
O INSS informou que comunicou o caso à Agência Nacional de Proteção de Dados dentro do prazo devido. A ANPD é a autoridade responsável por fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD).
A comunicação de incidentes é uma obrigação prevista quando há risco ou dano relevante aos titulares. A autoridade pode pedir esclarecimentos sobre o volume de dados afetados, a natureza das informações, as medidas de contenção e a estratégia de comunicação aos cidadãos.
A depender da avaliação, a ANPD pode determinar providências adicionais. Em situações de descumprimento da LGPD, também pode aplicar sanções administrativas.
A atuação da agência será importante para verificar se as medidas adotadas pelo INSS e pela Dataprev foram suficientes para proteger os titulares e reduzir riscos decorrentes do vazamento.
Cidadãos devem reforçar atenção a golpes
Embora o INSS afirme que seus processos possuem travas de segurança, cidadãos devem manter atenção a contatos suspeitos após a divulgação do incidente. Golpes envolvendo benefícios previdenciários costumam usar linguagem oficial, dados pessoais e promessas de liberação de valores para enganar vítimas.
A recomendação é não informar senhas, códigos, dados bancários ou documentos por telefone, mensagens ou links recebidos por aplicativos. O segurado também deve desconfiar de pedidos de pagamento para liberar benefício, antecipar valores ou resolver supostos bloqueios.
Beneficiários podem acompanhar informações pelos canais oficiais do INSS e verificar extratos, descontos e solicitações vinculadas ao CPF. Em caso de movimentação desconhecida, o ideal é registrar contestação imediatamente.
O vazamento informado pelo INSS ainda está em apuração, mas o episódio reforça a necessidade de vigilância sobre dados pessoais e benefícios vinculados à Previdência.
Vazamento amplia pressão por segurança em bases públicas
O acesso indevido a dados do Dataprev coloca novamente em evidência a segurança das bases públicas brasileiras. Sistemas que concentram informações previdenciárias, trabalhistas e cadastrais precisam operar com controles rigorosos, auditoria permanente e resposta rápida a incidentes.
O INSS afirma que reforçou seus controles internos para oferecer maior segurança na análise de benefícios. A efetividade dessas medidas, porém, dependerá da identificação precisa da origem do acesso indevido e da correção das falhas que permitiram o episódio.
Como os dados ainda estão sendo consolidados, novas informações poderão alterar a dimensão do caso. Até o momento, o órgão informa que cerca de 50 mil CPFs de pessoas vivas foram acessados e que 97% dos registros envolvidos pertencem a cidadãos falecidos.
A apuração da Dataprev e o acompanhamento da ANPD serão decisivos para esclarecer a extensão do vazamento, eventuais responsabilidades e medidas adicionais para proteger os cidadãos afetados.
