Na sexta-feira (22), o Banco Central divulgou que ocorreu outro incidente de vazamento de informações pessoais associadas às chaves Pix, sob responsabilidade da Sumup Sociedade de Crédito Direto. As falhas específicas nos sistemas da instituição financeira foram apontadas como a causa desse problema.
De acordo com o Banco Central, o vazamento aconteceu no período entre 28 de setembro de 2023 e 16 de março de 2024, e incluiu as informações referentes ao nome do usuário, CPF (Cadastro de Pessoa Física) com máscara, instituição financeira de relacionamento, agência e número da conta. No total, os dados cadastrais de 87.368 chaves Pix sob a custódia e responsabilidade da Sumup foram comprometidos.
Na nota divulgada pelo BC, não houve exposição de dados sensíveis, como senhas, detalhes de transações ou saldos em contas bancárias, nem outras informações protegidas por sigilo bancário. O vazamento foi resultado de falhas específicas nos sistemas da instituição de pagamento, segundo informações do banco, ressaltando que apenas dados cadastrais foram expostos, não impactando as operações financeiras.
Todos os usuários afetados pelo vazamento serão notificados através do aplicativo ou internet banking da instituição. O Banco Central enfatizou que esses serão os únicos canais de comunicação utilizados para informar sobre a exposição das chaves Pix e aconselhou os clientes a ignorarem quaisquer outras formas de comunicação, como ligações, SMS, mensagens enviadas por aplicativos de mensagens e e-mails.
A divulgação dos dados não implica no vazamento completo de todas as informações, mas sim que estiveram acessíveis a terceiros por algum período e podem ter sido capturadas. O Banco Central anunciou que o incidente será investigado e que medidas disciplinares podem ser adotadas. De acordo com a legislação, punições como multas, suspensões ou até mesmo exclusão do sistema Pix podem ser aplicadas, dependendo da gravidade do ocorrido.
Vazamento da Fidúcia
Na segunda-feira passada (18) também ocorreu um vazamento de informações envolvendo 46 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia). Assim como o caso mais recente, apenas informações cadastrais foram expostas, sem exposição de senhas ou saldos bancários. O BC informou que as falhas pontuais nos sistemas da instituição de pagamento foram responsáveis pelo vazamento.
No entanto, a Fidúcia negou o vazamento dos dados. Em um comunicado à imprensa, a instituição financeira declarou que um cliente tentou acessar informações em grande quantidade, mas teve seu acesso bloqueado e não ocorreu vazamento de dados bancários, informações cadastrais ou chaves Pix. A instituição esclareceu que houve um pedido de um único cliente que utilizou uma “base de dados proprietária” para realizar uma consulta.
A Fidúcia ainda comunicou ter adotado medidas preventivas em conformidade com o Banco Central, visando evitar consultas indevidas no futuro.A instituição financeira ressaltou estar implementando o recurso de ocultação parcial de dados das chaves Pix, após solicitação da autoridade monetária.
De acordo com a Lei Geral de Proteção de Dados, o Banco Central mantém uma página onde os cidadãos podem monitorar incidentes relacionados às chaves Pix ou outros dados pessoais sob sua custódia. Ao todo, já houveram sete incidentes envolvendo vazamento de dados do Pix desde sua criação em novembro de 2020.