PORTFÓLIO
Vazamento de dados de chaves Pix: saiba se você está na lista
Banco Central reportou incidente com dados de mais de 46 mil clientes de instituição financeira focada em pequenas e micro empresas
Por Shagaly Ferreira
(Foto: Marcello Casal Jr. / Ag. Brasil)
Pouco mais de 46 mil chaves Pix de clientes da Fidúcia, fintech de crédito ao microempreendedor, tiveram dados de cadastro vazados entre 1º de janeiro e 22 de fevereiro de 2024. O incidente foi confirmado pelo Banco Central (BC) nesta segunda-feira (18), e expôs informações como nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta. A Fidúcia, no entanto, nega o vazamento.
De acordo com o BC, o vazamento aconteceu devido a falhas pontuais no sistema da instituição financeira, mas não afetou dados protegidos por sigilo bancário, como saldos, senhas, movimentações e extratos. “As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, salientou.
A autarquia não informou se as contas afetadas foram de pessoas físicas ou jurídicas, e afirmou que todos os clientes que tiveram seus dados cadastrais expostosserão notificados exclusivamente por meio do aplicativo ou do internet banking da instituição financeira. Qualquer outro tipo de comunicado deve ser desconsiderado, alertou a entidade.
“Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, frisou.
O BC informou ainda que foram adotadas as ações necessárias para a apuração detalhada do caso. Medidas sancionadoras previstas na regulação vigente relacionada incidentes dessa natureza poderão ser tomadas. “Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação”, diz no seu site.
Segundo a advogada Nádia Cunha, coordenadora da área de contratos e compliance em proteção de dados, do escritório Jorge Advogados Associados, o incidente pode ser submetido também a sanções regulatórias da Agência Nacional de Proteção de Dados, nos termo da Lei Geral de Proteção de Dados. “Embora o banco informe que dados protegidos pelo sigilo bancário não tenham sido expostos, é certo que as chaves do Pix são em geral dados pessoais, como telefone, CPF e e-mail e, portanto, submetem-se à LGPD”, afirma. “Mas a princípio, as determinações legais que devem ser cumpridas.”
O que é a Fidúcia?
Criada em 2001, e sediada em Sorocaba (SP), a Fidúcia é um banco digital que oferece serviços financeiros e acesso a crédito, com foco em microempresas e empresas de pequeno porte. Em seu site oficial, a empresa possui uma política de privacidade datada de maio de 2022, na qual afirma valorizar o sigilo de informações pessoais dos clientes. Para isso, afirma que todos seus colaboradores e parceiros possuem por princípio o respeito à privacidade e a proteção de dados.
“Nossa empresa possui uma política de segurança e controle de acessos, implementada para o nosso dia a dia. Para isso contamos com soluções para nossa proteção na rede, utilização de firewalls, antivírus atualizados e acesso parametrizados por senhas. Mantemos atualizados todos os nossos controles, documentos e informações em cloud como backup, além da utilização de cópias físicas de HDs”, diz a página.
Procurada por PEGN para um pronunciamento acerca do incidente com dados cadastrais, a Fidúcia negou que tenha havido vazamento de dados de seus clientes. Em nota, a empresa afirmou que o incidente ocorreu devido a uma solicitação incomum feita pela fintech User Pay, que teve o contrato descontinuado com a empresa no dia 23 de fevereiro deste ano.
“Esclarecemos [que] não houve vazamento de nenhum dado bancário, chave Pix ou mesmo informações cadastrais de nenhum dos clientes Fidúcia. Não houve nenhuma movimentação financeira e nenhum cliente Fidúcia teve seus ativos ou saldos subtraídos ou alterados. O que aconteceu foi uma solicitação de confirmação de chaves Pix ao Banco Central realizado por um único cliente da Fidúcia SCMEPP, a empresa User Pay, que utilizou uma base de dados proprietária para esta consulta”, afirmou a Fidúcia.
“Essa atividade incomum de solicitação de confirmação de chaves Pix foi prontamente identificada pelo provedor tecnológico e rapidamente bloqueada. O cliente User Pay foi descontinuado junto à Fidúcia e teve seu contrato rescindido por operação diversa daquela prevista contratualmente”, complementou.
A Fidúcia disse ainda que seguiu todos os protocolos de notificar as instâncias competentes sobre o caso no mesmo dia da ocorrência, e acrescentou já ter tomado providências preventivas, alinhadas com o Banco Central, para impedir que usos indevidos como este voltem a ocorrer.
A reportagem de PEGN entrou em contato com a User Pay, mas não teve resposta.
Sexto vazamento
Desde a criação do sistema de pagamentos instantâneos Pix, em 2020, esse foi o sexto vazamento de dados registrado pelo BC. O primeiro deles ocorreu em 2021, quando 414,5 mil chaves Pix do Banco do Estado de Sergipe (Banese) foram vazadas. Antes do caso da Fidúcia, a exposição de dados mais recente havia sido registrada em agosto de 2023, com 238 chaves Pix ligadas à empresa Phi Pagamentos.
