O Banco Central informou nesta terça-feira (11) o vazamento de dados pessoais vinculados a chaves Pix sob responsabilidade de duas instituições de pagamento, Iugu e Pagcerto.
No caso da Iugu, o incidente de segurança envolveu dados cadastrais vinculados a 19.849 chaves Pix entre 21 e 27 de maio, e no caso da Pagcerto, vazaram informações relativas a 2.197 chaves Pix nos dias 23 e 24 de abril.
Ao todo, já são dez ocorrências do tipo desde o lançamento do serviço de pagamentos instantâneos, em novembro de 2020, sendo cinco casos apenas neste ano. A última notificação havia sido feita em abril, envolvendo clientes do Banpará (Banco do Estado do Pará).
Em comunicado, o BC afirma que os novos vazamentos ocorreram devido a "falhas pontuais nos sistemas" dessas instituições.
Em ambos os casos, os dados correspondiam a nome dos usuários, CPF com máscara (com proteção de alguns números), instituição de relacionamento, número da agência, além de número e tipo de conta.
"Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras", diz a autoridade monetária em nota.
Também de acordo com o BC, as pessoas que tiveram seus dados cadastrais vazados serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking da instituição de relacionamento.
"Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail", acrescenta.
A autoridade monetária afirma que foram adotadas as ações necessárias para a apuração detalhada do caso e que serão aplicadas as sanções previstas na regulação vigente.
No ano passado, o BC endureceu as regras em casos de falhas de segurança relacionadas ao Pix, aumentando a responsabilidade das instituições em casos de vazamento de dados e prevendo penalidades mais severas nos episódios de maior impacto.
Em nota, a Iugu disse que foi detectado "um ataque para engenharia social em seu aplicativo móvel no dia 27 de maio", mas assegurou que a questão foi resolvida em menos de 24 horas e que não houve vazamento de dados sensíveis.
"Durante a ação, foram criadas 24 contas no app para consultar dados de contas bancárias via Pix. Não houve vazamento de informações sensíveis, como CPF, movimentações, saldos financeiros em contas transacionais ou quaisquer outras informações sob sigilo bancário", afirmou.
"A Iugu reforça seu compromisso com a segurança e privacidade de dados dos usuários como prioridade em todas as operações. Atualmente, é uma das maiores empresas do setor, responsável por 10% das transações via Pix no Brasil, e continuamente direciona esforços para ofertar um ambiente seguro e confiável", continuou.
A Folha não conseguiu contato com a Pagcerto.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.