Por Raul Silva para O estopim | 22 de maio de 2026

Uma falha de segurança identificada na plataforma Meu INSS expôs dados de segurados da Previdência Social e abriu uma nova frente de desgaste para o Instituto Nacional do Seguro Social, a Dataprev e a política federal de proteção de dados. O incidente foi detectado em 22 de abril de 2026, comunicado à Autoridade Nacional de Proteção de Dados, a ANPD, em 27 de abril, e confirmado publicamente nesta semana, em meio a mais um ciclo de desconfiança sobre a capacidade do Estado de proteger informações de aposentados, pensionistas e demais beneficiários.

Segundo o INSS, a falha foi identificada pela Dataprev no fluxo de requerimentos feitos na plataforma digital do órgão. Em nota, o instituto informou que adotou medidas de contenção no mesmo dia em que o problema foi detectado e afirmou que ainda consolida o número exato de pessoas atingidas.

Os dados já divulgados mostram, porém, que o episódio está longe de ser residual. O próprio INSS informou que 97% dos CPFs acessados pertenciam a pessoas falecidas. Nos casos sem registro de óbito, o total ficou em cerca de 50 mil. A partir dessa proporção, a exposição potencial pode chegar a algo em torno de 1,6 milhão de cadastros, embora técnicos ouvidos pela imprensa falem em universo próximo de 2 milhões de segurados.

Relatos técnicos apontam que a brecha surgia quando um terceiro tentava apresentar, em nome do segurado, um requerimento de benefício, como aposentadoria, pensão por morte ou auxílio-reclusão. Ao digitar o CPF do beneficiário, o sistema poderia exibir nome completo, data de nascimento e, em alguns casos, histórico de vínculos empregatícios.

O ponto central não é apenas a exposição de tela. Em sistemas previdenciários, dados cadastrais, histórico laboral e informações de benefício compõem material de alto valor para golpes, engenharia social, assédio comercial e tentativas de fraude documental. Mesmo quando não há concessão automática de benefício, a base exposta ajuda a montar abordagens mais convincentes contra idosos e pessoas em situação de vulnerabilidade.

O INSS sustenta que a exposição dos dados, por si só, não garante acesso a benefícios. A autarquia afirma que a concessão exige documentos adicionais, validações específicas e etapas de comprovação. Também cita a biometria facial como barreira para empréstimos consignados e diz ter reforçado controles internos depois da descoberta da falha.

A Dataprev confirmou que existe um evento de segurança em apuração envolvendo o Meu INSS, mas não detalhou a extensão do impacto. Já a ANPD informou que recebeu a comunicação do incidente e que iniciou a análise preliminar da documentação, aguardando manifestação complementar do instituto.

A gravidade do episódio não se mede apenas pelo número de registros potencialmente expostos. O problema atinge um banco de dados ligado a benefícios previdenciários e assistenciais, com forte presença de idosos, pensionistas e famílias dependentes de renda pública. A própria ANPD considera que incidentes em larga escala, sobretudo os que podem facilitar roubo de identidade e atingir grupos vulneráveis, têm potencial de gerar dano relevante.

O caso também amplia a pressão sobre o dever de transparência. Desde 2024, a regulamentação da ANPD prevê que incidentes de segurança com risco ou dano relevante devem ser comunicados à autoridade e aos titulares em até três dias úteis, com possibilidade de complementação posterior quando faltarem dados técnicos. Se não for possível individualizar os afetados, a comunicação pode ter de alcançar toda a base atingida por meios amplos.

O novo vazamento não ocorre em terreno neutro. Em fevereiro de 2024, a ANPD sancionou o INSS por violações à Lei Geral de Proteção de Dados em um incidente de 2022 que atingiu o Sistema Corporativo de Benefícios, o SISBEN, com exposição de CPF, dados bancários e data de nascimento. Na ocasião, a autoridade entendeu que o órgão deveria ter comunicado os titulares afetados.

Poucos meses depois, em junho de 2024, o próprio INSS confirmou a exposição de dados cadastrais de até 40 milhões de segurados por meio de acessos sem controle ao sistema Suibe, usados por servidores de órgãos externos que já haviam deixado seus cargos. A reação incluiu suspensão de senhas e adoção de certificado digital e criptografia para acessos externos.

Em maio de 2025, em outra frente de contenção, o instituto passou a exigir validação biométrica no Meu INSS para desbloqueio de benefícios para crédito consignado. O argumento oficial era reduzir descontos indevidos e limitar a circulação de dados de margem consignável entre bancos e financeiras.

O episódio desta semana aponta para algo maior que um erro pontual de programação. Ele revela uma fragilidade recorrente na governança de dados da Previdência: sistemas críticos com alto valor econômico, grande massa de usuários vulneráveis e reação institucional quase sempre posterior à exposição.

Há ainda um elemento adicional. A ANPD mantém processo de fiscalização sobre INSS e Dataprev para verificar a conformidade do tratamento de dados pessoais no compartilhamento de informações para oferta de empréstimos consignados. Em outras palavras, o debate sobre uso comercial e segurança das bases previdenciárias já estava aberto antes da nova falha.

Para o cidadão, a reação precisa ser prática. A recomendação mais imediata é desconfiar de mensagens, e-mails e links que prometam consulta de vazamento, restituição automática ou regularização urgente. A ANPD orienta os titulares a não responderem comunicações suspeitas, trocarem senhas, ativarem autenticação em dois fatores quando disponível e monitorarem contas e serviços relacionados aos dados expostos.

No caso específico do INSS, aposentados e pensionistas devem conferir com frequência o extrato de pagamento e o extrato de empréstimo no Meu INSS, para identificar descontos não autorizados. O instituto também recomenda manter o benefício bloqueado para consignado quando não houver interesse em contratar crédito. Se aparecer uso fraudulento de dados, o caminho inclui reclamação em consumidor.gov.br, registro de boletim de ocorrência e comunicação aos canais oficiais do órgão.

A confirmação do incidente resolve apenas a primeira etapa do caso. Ainda faltam respostas públicas sobre cinco pontos centrais: quantos cadastros foram realmente expostos, por quanto tempo a falha permaneceu ativa, quais campos puderam ser visualizados em cada situação, quantos titulares vivos serão formalmente notificados e quais medidas permanentes serão adotadas para impedir reincidência.

Sem isso, o caso corre o risco de repetir o roteiro que já se tornou familiar no ecossistema previdenciário brasileiro: falha descoberta, contenção emergencial, divulgação parcial e pouca clareza sobre responsabilização.

O vazamento de dados do Meu INSS não é apenas um episódio técnico. Ele atinge a confiança em um serviço público essencial, expõe a assimetria entre o cidadão e a máquina estatal e recoloca no centro uma pergunta que o país ainda não respondeu de forma satisfatória: quem protege, de fato, os dados de quem depende do Estado para sobreviver?

O estopim — O começo da notícia!

Acesse o nosso perfil no Instagram e veja essa e outras notícias: @oestopim_ & @muira.ubi

Raul Silva é jornalista e produtor de conteúdo de O estopim. Atua com cobertura de política, direitos sociais e temas de interesse público, com foco em apuração, contexto e impacto social.