Falhas de infraestrutura da Aadhaar detalhadas no relatório de auditoria CAG no funcionamento da UIDAI; HCL, HP nomeada para problemas

A Controladoria e Auditor Geral da Índia (CAG) publicou um relatório detalhado sobre o funcionamento da Autoridade de Identificação Única da Índia (UIDAI), no qual apontou uma lista de falhas que existem na infraestrutura de Aadhaar. O relatório também destaca as armadilhas no processo de geração de números de identificação exclusivos para residentes indianos por meio do sistema que foi introduzido em 2009 e recebeu um respaldo legal separado para o sistema Aadhaar em 2016. Além de apontar os problemas, o relatório nomeia HCL Infosystems e A HP como duas das entidades privadas por trás de alguns dos principais problemas de TI na infraestrutura de Aadhaar.

o relatório de 108 páginas que foi preparado para apresentação ao presidente inclui uma série de falhas que afetam a infraestrutura de Aadhaar. Incluiu a avaliação do sistema de identificação único implementado pela UIDAI que ocorreu entre 2014–15 e 2018–19.

Um dos maiores problemas que o relatório CAG sublinhou no sistema Aadhaar são as inscrições duplicadas onde a HCL Infosystems foi indicada como tendo um papel principal. A empresa de TI foi nomeada como provedora de serviços gerenciados para lidar com a infraestrutura de ponta a ponta da UIDAI em agosto de 2012. Ela trabalha com fornecedores privados que fornecem sistemas automáticos de identificação biométrica para ajudar a identificar duplicação nos dados.

A UIDAI tem um processo de duas etapas para identificar inscrições duplicadas em que a primeira etapa corresponde aos dados demográficos e a segunda etapa procura a correspondência biométrica de impressão digital e íris.

O relatório disse que o corpo nodal de Aadhaar depende da autodeclaração para verificar o status de ‘Residente’ dos aplicativos no momento de suas inscrições. Permite, assim, a emissão de cartões Aadhaar a “residentes não de boa fé”, conforme auditoria realizada pela CAG.

Também foi notado que o processo de desduplicação pelo UIDAI é vulnerável por gerar vários números Aadhaar. CAG sugeriu que a autoridade poderia resolver este problema por meio de intervenções manuais.

O relatório destacou que a UIDAI não foi capaz de fornecer nenhum dado do Escritório Regional sobre o número de múltiplos Aadhaar, pois não estava disponível com a autoridade. No entanto, o Escritório Regional da UIDAI em Bangalore mostrou 5.38.815 casos de vários números de Aadhaar entre 2015–16 e 2019–20. Instâncias de números de identificação únicos com os mesmos dados biométricos para diferentes residentes também foram relatadas no Escritório Regional de Bengaluru, de acordo com o relatório.

A CAG também observou que até julho de 2016, a UIDAI tinha a HP responsável por armazenar os conjuntos físicos de registros fornecidos pelos indivíduos no momento da inscrição. Descobriu-se através da auditoria que todos os números Aadhaar armazenados no banco de dados UIDAI não eram suportados com documentos.

A autoridade constitucional disse que, apesar de estar ciente do fato de que nem todos os números Aadhaar estavam emparelhados com as informações pessoais de seus titulares, a UIDAI “ainda não identificou a extensão exata da incompatibilidade, embora quase dez anos tenham se passado desde a emissão do primeiro Aadhaar”. em janeiro de 2009.

Constatou-se também que um grande número de atualizações biométricas voluntárias ocorreu nos últimos anos, sugerindo incapacidade de capturar dados biométricos precisos durante as matrículas.

O relatório também apontou que a UIDAI não conseguiu verificar a infraestrutura e o suporte tecnológico reivindicado por terceiros oferecendo o envio de informações de identidade para verificação do Aadhaar.

Desde o seu lançamento, o Aadhaar tem sido usado como fonte de identificação para aproveitar os esquemas de bem-estar oferecidos pelo governo. As operadoras de telecomunicações e os bancos também exigem números Aadhaar para facilitar o cadastro de clientes em seus serviços. Tudo isso levou a um crescimento maciço de portadores de cartões Aadhaar no país. O número monta a mais de um bilhão neste momento.

No entanto, o relatório observou que a UIDAI ainda não desenvolveu uma política de arquivamento de dados através da qual poderia efetivamente mover dados que não estão mais em uso.

As entidades que usam a verificação Aadhaar também não são obrigadas a armazenar os dados pessoais dos residentes em um cofre separado.

A UIDAI exigiu a exigência de cofre Aadhaar para todas as Agências de Usuários de Autenticação e Agências de Usuários e-KYC em julho de 2017. No entanto, a auditoria do CAG sugeriu que a autoridade “não havia estabelecido nenhuma medida/sistema para confirmar que as entidades envolvidas aderiram aos procedimentos” para estabelecer cofres para armazenar dados de moradores.

O relatório de auditoria também destaca as brechas na restrição de agências de autenticação para usar apenas dispositivos seguros para armazenar biometria e assinaturas de titulares de cartões Aadhaar. Além disso, sugere que a UIDAI optou por não penalizar nenhuma das entidades privadas com as quais está trabalhando e, em vez disso, reestruturou contratos.

“Houve falhas na gestão de vários contratos celebrados pela UIDAI. A decisão de dispensa de multas para provedores de soluções biométricas não foi do interesse da Autoridade dar vantagem indevida aos provedores de soluções, enviando uma mensagem incorreta de aceitação de qualidade da biometria capturada por eles”, disse o relatório.

A Gadgets 360 entrou em contato com UIDAI, HCL Infosystems e HP para seus comentários sobre o relatório. Este artigo será atualizado quando as entidades responderem.

Problemas de segurança, preocupações com privacidade e falhas de infraestrutura com o Aadhaar foram muito bem relatados no passado. No entanto, a UIDAI ainda não trouxe grandes atualizações para seu sistema.