Vazamento na Anatel expõe dados pessoais de radioamadores brasileiros

Sistema EASP sofreu acesso não autorizado em março de 2026; CPFs e nomes de titulares de certificados emitidos em julho de 2025 foram comprometidos

---

Por Carlos Rincon – PY2CER | Portal Antena Ativa

---

A Agência Nacional de Telecomunicações (Anatel) confirmou que sofreu, em 18 de março de 2026, um acesso não autorizado ao sistema responsável pelo cadastro de operadores de estações radioamadoras no Brasil. O incidente comprometeu dados pessoais — nome completo e CPF — de radioamadores que tiveram seus Certificados de Operador de Estação Radioamador (COER) concedidos em 25 de julho de 2025. A agência notificou os afetados com semanas de atraso, sob justificativa de que precisava primeiro mapear a extensão do dano.

Para a comunidade radioamadora brasileira, que há décadas convive com entraves burocráticos e atrasos no licenciamento, o episódio representa mais do que uma falha técnica pontual. É o sinal de que a infraestrutura digital que guarda suas informações mais sensíveis nunca foi tratada com a prioridade que merecia.

---

O que aconteceu — e quando

O sistema comprometido é o EASP (Entidades Autorizadas dos Serviços Privados), plataforma interna da Anatel utilizada para consulta e gestão de informações relativas ao COER. Trata-se, em linguagem simples, do sistema que diz quem tem licença para operar no espectro radioamador no país.

Segundo comunicado oficial divulgado pela agência, o acesso indevido não se limitou às informações disponíveis nos relatórios públicos — que já adotavam, como medida preventiva, o mascaramento parcial do CPF. O invasor alcançou a base de dados subjacente, onde as informações estão armazenadas de forma completa.

A Anatel sustenta que os relatórios convencionais expõem apenas CPF mascarado, nome do operador, classe do certificado, data de início, validade e status do COER. O problema é que o ataque contornou essa camada e chegou diretamente às tabelas do banco de dados, onde os números de CPF são guardados sem mascaramento.

O intervalo entre a detecção do incidente e a comunicação aos titulares dos dados chamou atenção. A brecha foi descoberta em março de 2026, mas os radioamadores afetados só foram notificados posteriormente — o próprio comunicado reconhece isso, alegando que o tempo foi necessário para identificar quem, de fato, teve dados expostos.

---

O perfil dos afetados

O recorte temporal do vazamento é preciso: radioamadores cujo COER foi emitido na data de 25 de julho de 2025. Isso indica que não se trata de uma exposição massiva de todo o cadastro histórico da agência, mas de um conjunto específico de registros — provavelmente vinculado a um processo de concessão em lote ou a uma atualização de sistema naquela data.

Ainda não há número oficial de quantas pessoas foram atingidas. A Anatel também não detalhou se o acesso indevido foi obra de um agente externo, de alguém com credenciais internas ou de uma combinação de fatores. A investigação segue em andamento com a equipe técnica da própria agência.

Para os radioamadores enquadrados nesse perfil, o risco concreto não é abstrato. Nome completo associado a CPF forma o par básico exigido para a abertura fraudulenta de contas bancárias, solicitação de crédito, cadastro em serviços digitais e uma série de outros golpes que mobilizam o ecossistema do crime cibernético no Brasil. Com esses dois dados, um fraudador tem o suficiente para iniciar um processo de engenharia social ou tentativa de roubo de identidade.

---

A resposta institucional — e suas lacunas

Ao tomar conhecimento do incidente, a Anatel adotou uma série de medidas que, no papel, seguem o protocolo esperado. O sistema EASP foi desativado e a consulta de dados migrada para o Painel de Dados da agência, eliminando o vetor de ataque original. A Agência Nacional de Proteção de Dados (ANPD) foi notificada, conforme exige a Lei Geral de Proteção de Dados (LGPD). A equipe técnica foi acionada para investigação, e o monitoramento contínuo foi reforçado.

A agência também comprometeu-se a elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), registrar formalmente as operações de tratamento de dados (IDP) e revisar contratos com terceiros que tenham acesso ao sistema.

Tudo isso é necessário. Mas parte do protocolo que deveria ter sido cumprido antes, não depois.

A LGPD, em vigor desde 2020, impõe às organizações que tratam dados pessoais a obrigação de adotar medidas técnicas e administrativas proporcionais ao risco. Um sistema que guarda CPF completo de cidadãos brasileiros sem as devidas camadas de proteção, auditoria de acessos e controles de autorização granular é, por definição, um sistema que não estava em conformidade com a lei — independentemente de qualquer ataque.

O fato de a anonimização do CPF nos relatórios públicos já ter sido adotada como medida preventiva antes do incidente revela que a agência sabia do risco. O problema é que a proteção parou na camada de apresentação, sem chegar à camada de armazenamento.

---

Radioamadorismo e dados pessoais: uma relação historicamente negligenciada

A comunidade radioamadora brasileira é pequena, mas relevante. O Brasil conta com dezenas de milhares de operadores licenciados, distribuídos por todas as regiões do país. São técnicos, engenheiros, entusiastas, e também voluntários que atuam em situações de emergência e desastre — exatamente os momentos em que as telecomunicações convencionais falham.

Apesar dessa relevância, o radioamadorismo nunca foi tratado como prioridade administrativa. Os processos de licenciamento e renovação do COER são historicamente lentos, o portal da Anatel voltado para o setor vive em manutenção, e a digitalização dos serviços avançou de forma desigual.

Nesse contexto, a existência de um sistema como o EASP — ativo há anos, acessível via web e carregando dados sensíveis — sem uma arquitetura de segurança à altura é, no mínimo, consistente com o padrão de descaso histórico.

“A gente sempre soube que a segurança digital do nosso licenciamento era frágil”, comenta um operador veterano que prefere não ser identificado. “Nunca foi surpresa. A surpresa é terem admitido.”

A fala, extraída de uma conversa em grupo de radioamadores no WhatsApp, resume um sentimento que circula amplamente na comunidade desde que o comunicado da Anatel foi divulgado.

---

O que fazer agora

A Anatel listou recomendações padrão para os afetados: não compartilhar senhas por nenhum canal, evitar clicar em links suspeitos, digitar diretamente os endereços de sites no navegador, trocar senhas repetidas em diferentes serviços e ativar a verificação em duas etapas onde disponível.

São orientações corretas — e insuficientes.

Para quem teve CPF e nome expostos, o passo mais importante é monitorar ativamente seu histórico de crédito. O serviço gratuito Registrato, do Banco Central, permite verificar se há empréstimos ou financiamentos em aberto vinculados ao CPF. Os birôs de crédito — Serasa, SPC e Boa Vista — oferecem alertas de novas consultas ao cadastro. Ativar esses alertas é mais eficaz do que aguardar passivamente por danos.

Também é recomendado registrar um Boletim de Ocorrência preventivo na Delegacia de Crimes Cibernéticos, caso seja detectado qualquer uso indevido. O BO serve como proteção legal caso a pessoa precise comprovar que foi vítima de fraude de identidade.

---

A questão regulatória que ninguém quer tocar

O episódio levanta uma questão que vai além do incidente em si: qual é o nível de maturidade em segurança da informação dos sistemas regulatórios brasileiros que tratam dados de pessoas físicas?

A Anatel não é caso isolado. Ao longo dos últimos anos, diversos órgãos públicos federais e estaduais registraram incidentes semelhantes — do Ministério da Saúde ao Detran de vários estados, passando por prefeituras e autarquias. O denominador comum quase sempre é o mesmo: sistemas legados, controles de acesso insuficientes e ausência de testes regulares de penetração.

A ANPD tem competência para apurar o caso e aplicar sanções administrativas caso conclua que a Anatel descumpriu obrigações previstas na LGPD. As penalidades vão desde advertências até multas de até 2% do faturamento da entidade no Brasil, limitadas a R$ 50 milhões por infração.

No caso de um órgão público, a aplicação prática dessas sanções é mais complexa — mas o processo de investigação e o relatório resultante têm valor público considerável. Tornam visível o que normalmente permanece enterrado em notas técnicas.

---

O que vem a seguir

A Anatel comprometeu-se a manter os afetados informados sobre novos desenvolvimentos. Nos próximos meses, o Relatório de Impacto à Proteção de Dados Pessoais deverá ser concluído — documento que, se tornados públicos os resultados, pode revelar com mais precisão quantas pessoas foram atingidas, qual foi o vetor exato do ataque e que controles estavam ausentes no momento do incidente.

A migração do EASP para o Painel de Dados representa uma mudança positiva de arquitetura, desde que o novo ambiente tenha sido construído com os princípios de privacidade desde a concepção (privacy by design), exigidos pela LGPD.

Para a comunidade radioamadora, o episódio é mais um argumento na lista de razões para exigir mais do órgão regulador. Não apenas no licenciamento, não apenas nos prazos — mas na forma como a agência guarda, protege e presta contas sobre as informações que os operadores são obrigados a fornecer para exercer uma atividade legal.

Confiança regulatória não se constrói apenas com sistemas funcionando. Constrói-se, sobretudo, quando eles falham e o regulador responde com transparência, velocidade e responsabilização.

Até agora, a Anatel cumpriu parte desse roteiro. A outra parte ainda está sendo escrita.

---

Carlos Rincon – PY2CER é jornalista e radioamador. Cobre telecomunicações e política de espectro pelo Portal Antena Ativa.

Dúvidas sobre o incidente podem ser encaminhadas diretamente à Anatel pelo telefone 1331, pelo WhatsApp 0800 61 0 1331, pelo e-mail orle@anatel.gov.br ou pelo encarregado de proteção de dados em encarregado@anatel.gov.br. O atendimento ocorre de segunda a sexta, das 9h às 18h (horário de Brasília).