Trudno o gorszy moment: brazylijska agencja zabezpieczenia społecznego INSS opublikowała 22 czerwca w dzienniku urzędowym rozporządzenie wprowadzające obowiązek biometrycznej weryfikacji tożsamości w przypadku kluczowych świadczeń socjalnych – zaledwie miesiąc po tym, jak agencja musiała przyznać się do masowego wycieku danych w swoich systemach.

Według doniesień brazylijskich mediów, szczególnie dotknięte są nowe wnioski o emerytury, świadczenia z pomocy społecznej (BPC) oraz świadczenia alimentacyjne dla osób pozostających na utrzymaniu więźniów. Każdy, kto nie zarejestrował swoich danych biometrycznych w rządowej bazie danych, ma na to 30 dni. Po upływie terminu wniosek jest automatycznie zamykany – co jest traktowane jako „zrzeczenie się” wnioskodawcy. Nie ma żadnego powiadomienia: ani listu, ani telefonu, ani e-maila, jak podkreślają brazylijskie portale specjalistyczne.

Agencja nie gromadzi danych bezpośrednio, lecz porównuje je z istniejącymi rejestrami rządowymi: nowym biometrycznym dowodem osobistym (CIN), rejestrem wyborców lub prawem jazdy. Każdy, kto nie jest nigdzie zarejestrowany, musi zarejestrować się ponownie – w praktyce za pośrednictwem CIN, który zawiera odciski palców i obraz twarzy. Według amerykańskiego portalu „Reclaim The Net”, CIN ma być jedynym akceptowanym standardem przyznawania, utrzymywania i przedłużania świadczeń od 1 stycznia 2028 roku.

Wyjątki dotyczą osób powyżej 80. roku życia, uchodźców i bezpaństwowców, Brazylijczyków mieszkających za granicą, mieszkańców trudno dostępnych terenów oraz osób, które nie mogą podróżować ze względów zdrowotnych. Zasiłki chorobowe, macierzyńskie i renty rodzinne są również zwolnione z wymogu biometrycznego. Obecni emeryci nie muszą na razie podejmować żadnych działań – wymóg ten dotyczy nowych wniosków, a w późniejszym terminie również przedłużania.

Miliony rekordów danych publicznie dostępnych w Internecie – władze bagatelizują sytuację.

Władze uzasadniają ten środek zapobieganiem oszustwom: biometria ma zapewnić, że pieniądze trafią do prawowitego odbiorcy. Jednak uzasadnienie to wydaje się dość dziwne w świetle wydarzeń z wiosny.

21 maja INSS (Narodowy Instytut Ubezpieczeń Społecznych) przyznał, że naruszenie bezpieczeństwa w systemie państwowej spółki holdingowej Dataprev ujawniło dane osób ubezpieczonych. Zapytanie w aplikacji „Meu INSS”, które powinno wymagać logowania, było dostępne bez rejestracji. Według późniejszych informacji Dataprev, przekazanych przez państwową Agência Brasil, naruszono 2,8 miliona numerów identyfikacji podatkowej wraz z datami urodzenia – około 98% z nich dotyczyło osób zmarłych, ale także około 52 000 żyjących osób ubezpieczonych. Według Folha de S. Paulo, agencja doświadczyła naruszenia bezpieczeństwa danych już w 2024 roku.

INSS zapewnił opinię publiczną: przyznawanie świadczeń podlega „szeregom zabezpieczeń”, a kontrole wewnętrzne zostały wzmocnione. Dane biometryczne nie zostały naruszone przez wyciek.

Krytycy pozostają nieprzekonani. „Reclaim The Net” ostrzega, że ​​Brazylia gromadzi w ten sposób dane biometryczne dziesiątek milionów beneficjentów pomocy społecznej w centralnej bazie danych – dokładnie w takim systemie przechowywania danych, gdzie pojedynczy źle skonfigurowany punkt dostępu może doprowadzić do masowego wycieku. Dane osób zmarłych również nie są nieszkodliwe: mogą zostać wykorzystane do oszustw przeciwko żyjącym krewnym i spadkobiercom.