Banco Central comunica vazamento de dados de 238 chaves Pix

Nessa terça-feira (22), o Banco Central (BC) informou que foram vazados os dados de um total de 238 chaves Pix, pertencentes a clientes da Phi Serviços de Pagamentos S.A. (Phi Pagamentos). Desde seu lançamento, em novembro de 2020, o sistema instantâneo de pagamentos já sofreu cinco vazamentos de dados.

De acordo com o BC, a exposição ocorreu em decorrência de falhas pontuais em sistemas da instituição de pagamento. O banco destaca que a extensão dos dados cadastrais vazados foi minimizada por mecanismos de segurança e de monitoramento do Pix, o que limitou a divulgação a 238 chaves Pix, representando menos de 0,00004% das mais de 630 milhões de chaves cadastradas no Diretório de Identificadores de Contas Transacionais (DICT).

O Banco Central ainda informa que os dados vazados foram cadastrais, o que não afeta a movimentação monetária.

A exposição não incluiu dados protegidos pelo sigilo bancário, como saldos, senhas e extratos. A instituição financeira esclareceu que, mesmo que não houvesse necessidade da comunicação do ocorrido, devido ao baixo impacto potencial para os clientes, decidiu informar o incidente em nome do “compromisso com a transparência”.

As pessoas que foram afetadas pela exposição das informações serão avisadas através do aplicativo da Phi Pagamentos ou do internet banking da instituição. O BC reforçou que os clientes devem desconsiderar comunicações que diferem dos meios de aviso informados, como chamadas telefônicas, SMS e avisos por aplicativos de mensagens e por e-mail.

O vazamento das informações não culmina necessariamente na exposição de todas as informações dos clientes, mas elas ficaram visíveis para terceiros durante um período de tempo e podem ter sido capturadas. De acordo com o Banco Central, o caso será investigado e podem ser aplicadas sanções. Multa, suspensão ou até exclusão do sistema do Pix são consequências previstas pela legislação, dependendo da gravidade do caso.

No mês de agosto de 2021, 414,5 mil chaves Pix por foram divulgadas por número telefônico do Banco do Estado de Sergipe (Banese), sendo o primeiro incidente de vazamento de dados do Pix desde a criação do sistema, em novembro de 2020. Em um primeiro momento, o BC havia informado que o vazamento no Banese tinha afetado 395 mil chaves, mas realizou a revisão do número posteriormente.

O segundo incidente ocorreu em janeiro de 2022, quando 160,1 mil clientes da Acesso Soluções de Pagamento tiveram seus dados divulgados. Logo em seguida, em fevereiro do mesmo ano, 2,1 mil clientes da Logbank pagamentos também foram vítimas da exposição de dados.

Mais recentemente, em setembro de 2022, ocorreu mais um vazamento, em que dados de 173,3 mil chaves Pix da Abastece Aí Clube Automobilista Payment Ltda (Abastece Aí) foram expostos.

Em todas as situações, os vazamentos incluíram apenas informações cadastrais, sem a exposição de senhas e de saldos bancários. A Lei Geral de Proteção de Dados determina que a autoridade monetária deve manter uma página em que a população possa acompanhar incidentes que envolvam a chave Pix ou demais dados pessoais em poder do Banco Central.

Por Rebeca Negreiros

Com informações da Agência Brasil