O Banco Central (BC) notificou dois casos de vazamento de dados cadastrais de cerca de 133 mil chaves Pix nesta semana. Os episódios foram tornados públicos na segunda-feira (18/3) e na sexta-feira (22/3). O BC, contudo, informou que, em ambas as situações, não foram expostas informações sensíveis – e protegidas por sigilo bancário –, como senhas, movimentações e saldos das contas dos usuários do meio de pagamento.
No último caso revelado pelo BC, na sexta, foram vazadas informações de 87.368 chaves sob a guarda da Sumup Sociedade de Crédito Direto S.A. (Sumup SCD). O problema ocorreu entre 28 de setembro de 2023 e 16 de março de 2024. Os dados expostos incluíam o nome do usuário, o CPF com máscara, a instituição de relacionamento, a agência e o número conta.
O outro incidente, divulgado na segunda, aconteceu entre 1º de janeiro a 22 de fevereiro, quando foram expostas informações cadastrais de 46.093 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia). Os dados abrangiam o nome do usuário, o CPF, a instituição de relacionamento, a agência, o número e o tipo da conta.
Notificações
Todas as pessoas que tiveram informações expostas serão avisadas, exclusivamente, por meio do aplicativo ou do internet banking. “Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, alertou o Banco Central.
O órgão observa que, apesar dos vazamentos, isso não quer dizer que todas as informações dos usuários do sistema foram expostas. Significa, porém, que elas ficaram visíveis para terceiros durante um período de tempo e podem ter sido capturadas. O BC informou que os dois últimos casos serão investigados e sanções poderão ser aplicadas. A legislação prevê multa, suspensão ou até exclusão do sistema do Pix, dependendo da gravidade da situação.
Sete incidentes
De acordo com o Banco Central, foram registrados sete incidentes de vazamento de dados do Pix desde a criação do sistema, em novembro de 2020. O primeiro deles foi divulgado em agosto de 2021, com a exposição de 414,5 mil chaves Pix por número telefônico do Banco do Estado de Sergipe (Banese).
Em janeiro de 2022, foi a vez de 160,1 mil chaves da Acesso Soluções de Pagamento e, no mês seguinte, mais 2,1 mil da Logbank. Em setembro de 2022, o problema atingiu 137,3 mil chaves da Abastece Ai Clube Automobilista Payment Ltda. (Abastece Aí). Em setembro do ano passado, outro caso incluiu a exposição de 238 chaves da Phi Pagamentos.
