Banco Central comunica vazamento de dados de 238 chaves Pix

Na terça-feira (22/08), o Banco Central revelou que informações de 238 chaves Pix pertencentes a clientes da Phi Serviços de Pagamentos S.A. (Phi Pagamentos) foram inadvertidamente expostas. Este incidente representa o quinto episódio de vazamento de dados desde o lançamento do sistema de pagamentos instantâneos em novembro de 2020.

O Banco Central explicou que essa divulgação de dados ocorreu devido a falhas específicas nos sistemas da instituição de pagamento. No entanto, o BC assegura que os mecanismos de segurança e monitoramento do Pix conseguiram conter a extensão do vazamento, limitando a exposição a somente 238 chaves Pix, o que representa uma parcela ínfima de 0,00004% das mais de 630 milhões de chaves cadastradas no Diretório de Identificadores de Contas Transacionais (DICT).

É importante ressaltar que a exposição se restringiu a dados cadastrais, não tendo impacto nas transações financeiras. Informações protegidas pelo sigilo bancário, como saldos, senhas e extratos, permanecem seguras e não foram comprometidas. Embora o impacto potencial para os clientes seja mínimo, o Banco Central optou por divulgar o incidente para manter seu compromisso com a transparência.

Todos os indivíduos cujas informações foram comprometidas receberão notificações por intermédio do aplicativo da Phi Pagamentos ou do serviço de internet banking da instituição. O Banco Central reiterou que esses canais são os exclusivos meios de comunicação utilizados para alertar sobre a exposição das chaves Pix. O banco também enfatizou que é importante que os clientes ignorem quaisquer outras formas de comunicação, como chamadas telefônicas, mensagens de texto (SMS) e alertas enviados por aplicativos de mensagens ou e-mails.

Caso Banese: A história do maior vazamento de dados de chaves Pix já ocorrida no Brasil

Este representa o quinto caso de divulgação indevida de informações do sistema Pix desde a sua inauguração em novembro de 2020. Em agosto de 2021, ocorreu o incidente em que os dados de 414,5 mil chaves Pix vinculadas a números de telefone do Banco do Estado de Sergipe (Banese) foram expostos. Inicialmente, o Banco Central havia informado que o vazamento no Banese afetou 395 mil chaves, mas esse número foi revisado posteriormente.

Em janeiro de 2022, aproximadamente 160,1 mil clientes da Acesso Soluções de Pagamento tiveram suas informações comprometidas. No mês subsequente, ocorreu mais um incidente envolvendo a exposição de dados de 2,1 mil clientes da Logbank Pagamentos.

O incidente mais recente ocorreu em setembro do ano passado, quando dados pertencentes a 137,3 mil chaves Pix da empresa Abastece Ai Clube Automobilista Payment Ltda. (Abastece Aí) foram indevidamente expostos.

Em todas as ocorrências, dados de cadastro foram inadvertidamente divulgados, sem que senhas ou detalhes de saldos bancários tenham sido expostos. Em conformidade com as disposições da Lei Geral de Proteção de Dados, a autoridade monetária mantém um site onde os indivíduos podem monitorar incidentes relacionados a chaves Pix ou outros dados pessoais sob a responsabilidade do Banco Central.

Já é o quinto vazamento de chaves Pix

No anúncio feito pelo Banco Central na terça-feira passada, foi revelado o quinto incidente de vazamento relacionado às chaves Pix. Como parte de sua política de transparência, a instituição mantém uma página dedicada a divulgar detalhes sobre todos esses episódios.

A primeira instância de exposição ocorreu em 24 de agosto de 2021, quando informações de 414.526 chaves Pix foram divulgadas (inicialmente, havia sido informado o vazamento de 395 mil chaves Pix).

Esse incidente ocorreu devido a uma falha de segurança no Banco do Estado de Sergipe S.A. (Banese). Além de ser o primeiro caso, esse vazamento foi o mais grave dentre todos os ocorridos, considerando a quantidade de dados expostos.

Posteriormente, ocorreram vazamentos que afetaram 160.147 chaves Pix (entre 3 e 5 de dezembro de 2021), 2.112 chaves Pix (24 e 25 de janeiro de 2022), 137.285 chaves Pix (de 1º de julho a 14 de setembro de 2022) e o mais recente incidente envolvendo 238 chaves Pix.

Sanções do Banco Central

De acordo com o Banco Central, cada uma dessas ocorrências está sendo minuciosamente investigada, e as instituições responsáveis estão sujeitas às sanções determinadas pelas regulamentações aplicáveis.

A revelação de dados não implica automaticamente no vazamento de todas as informações, mas indica que essas informações ficaram expostas a terceiros durante um período e podem ter sido acessadas. O Banco Central esclareceu que a situação será alvo de investigação, e medidas punitivas podem ser implementadas. Conforme estabelecido pela legislação, sanções como multas, suspensões ou até mesmo a exclusão do sistema Pix podem ser aplicadas, dependendo da gravidade da situação.

As principais sanções do Banco Central contra instituições de pagamentos, bancos e fintechs, que tem problemas de segurança:

O Banco Central possui uma série de sanções que pode aplicar contra instituições de pagamentos, bancos e fintechs que enfrentam problemas de segurança ou violações de normas regulatórias. Aqui estão algumas das principais sanções que podem ser impostas:

• Multa Monetária: O Banco Central tem o poder de impor multas monetárias às instituições que não cumprem as normas de segurança ou regulatórias. As multas podem variar de acordo com a gravidade da violação.

• Suspensão Temporária: Em casos graves, o Banco Central pode suspender temporariamente as operações de uma instituição. Isso pode ser feito para permitir que a instituição corrija os problemas de segurança ou outras violações.

• Restrições Operacionais: O Banco Central pode impor restrições específicas às operações de uma instituição, limitando suas atividades até que os problemas sejam resolvidos.

• Intervenção Administrativa: Em situações extremas, o Banco Central pode intervir administrativamente em uma instituição, afastando a administração existente e nomeando um interventor para resolver os problemas.

• Exclusão de Sistemas: Em casos de violações graves ou repetidas, o Banco Central pode decidir excluir a instituição de determinados sistemas financeiros, como o Sistema de Pagamentos Brasileiro (SPB) ou o Sistema de Pagamentos Instantâneos (Pix).

• Revogação da Autorização: O Banco Central pode revogar a autorização de funcionamento de uma instituição, encerrando suas operações no mercado financeiro.

• Publicidade das Sanções: O Banco Central pode divulgar publicamente as sanções aplicadas a uma instituição, aumentando a exposição e o impacto negativo sobre sua reputação.

• Obrigações de Investimento em Segurança: O Banco Central pode impor que a instituição invista em melhorias de segurança e infraestrutura para garantir a proteção dos dados dos clientes.

É importante ressaltar que as sanções variam de acordo com a gravidade da violação e as circunstâncias específicas de cada caso. O objetivo do Banco Central ao aplicar essas sanções é garantir a integridade e a segurança do sistema financeiro, protegendo os interesses dos consumidores e a estabilidade do mercado.

Quer integrar uma API de pagamentos segura e confiável?

Faça a integração de uma SDK ou API de pagamentos testada e aprovada por profissionais de cibersegurança. Clique aqui e confira as soluções!