Na última segunda-feira (18), o Banco Central confirmou o vazamento de 46.093 chaves Pix, provenientes de clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia). Algo que deixou os usuários apreensivos sobre os perigos que o incidente representaria.

A descoberta aconteceu por meio de uma página que registra vazamentos com dados pessoais. Ao todo, já foram seis casos de exposição relacionados a chaves Pix desde a sua criação. Um total de mais de 760 mil informações de brasileiros vazadas.

Afinal, quais são os tipos de informações que foram expostas no incidente mais recente? O que diz a LGPD sobre a situação? O Detetive TudoCelular explica em detalhes a você nesta coluna.

De acordo com o comunicado do Banco Central, não foram apenas as chaves Pix expostas durante este novo vazamento. A exposição também exibiu dados cadastrais dos usuários – o que poderia incluir nomes, datas de nascimento, entre outros detalhes.

Apesar da quantidade de informações, os chamados “dados sensíveis”, como saldos, senhas e extratos, ficaram de fora do ocorrido. Além disso, a Fidúcia chegou a explicar que a exposição das informações não significa que elas foram necessariamente exploradas por cibercriminosos.

Histórico preocupa

A preocupação dos especialistas está no fato de ser o sexto caso do tipo. Na somatória de todos esses acontecimentos relatados pelo BC desde 2021, as informações sobre brasileiros disponibilizadas de maneira indevida já chegam a 760.401.

A primeira ocorreu em agosto de 2021, com o casamento de 414,5 mil chaves Pix por número telefônico, provenientes do Banco do Estado de Sergipe (Banese). Já em janeiro de 2022, 160,1 mil clientes da Acesso Soluções de Pagamento tiveram suas informações expostas.

Em fevereiro do mesmo ano, 2,1 mil clientes da Logbank sofreram a mesma situação. No mês de setembro de 2022, 137,3 mil chaves Pix da Abastece Aí Clube Automobilista Payment Ltda. (Abastece Aí) foram vazadas. O último caso havia ocorrido em agosto de 2023. Na ocasião, ficaram expostas 238 chaves Pix da Phi Pagamentos.

Todos os casos não geraram exposição de senhas e saldos de banco, e sim das informações cadastrais das pessoas afetadas.

A Lei Geral de Proteção de Dados (LGPD) divide os detalhes de cada indivíduo em duas categorias: dados pessoas e dados pessoais sensíveis. As normas exigem uma proteção maior para a segunda.

Porém, de acordo com a sócia da DeServ Academy, Bruna Fabiane da Silva, isso não isenta a responsabilidade dos agentes de tratamento na hora de garantir a segurança de todos os tipos de dados, inclusive os cadastrais. Além de incluir o respeito aos direitos e liberdades dos indivíduos.

“Cada vez mais é evidente a necessidade da adoção de medidas técnicas e organizacionais de segurança da informação para a proteção de dados pessoais. Ainda que as informações vazadas não possibilitem a movimentação de recursos e que sejam dados cadastrais, não significa que os titulares dos dados não estejam vulneráveis a determinados prejuízos ou danos em razão desta violação de dados. Um vazamento de dados, uma exposição indevida de dados pessoais viola o pilar da confidencialidade da informação, acarretando a perda do controle do fluxo que a informação deveria percorrer.”

Bruna Fabiane da Silva

Sócia da DeServ Academy

Do lado do usuário, não é possível prever e se proteger contra uma situação do tipo, caso queira cadastrar uma chave Pix em determinada instituição financeira. No entanto, por parte das companhias do setor, há maneiras para evitar esse tipo de ocorrência.

De acordo com o CEO da Kronoos – plataforma SaaS para compliance –, Alexandre Pegoraro, as boas práticas incluem monitorar os riscos também sobre os dados cadastrais, e não achar que apenas haverá consequências quanto às informações sensíveis.

A solução apontada pelo especialista consiste na necessidade de as organizações intensificarem a aplicação dos Indicadores Chave de Desempenho de Conformidade. Eles consistem em métricas e medidas quantitativas ou qualitativas para avaliação do grau de aderência de uma empresa às normais legais, regulamentações, políticas internas e princípios éticos.

“Esse acompanhamento criterioso e contínuo é essencial para as organizações entenderem seu verdadeiro nível de conformidade com a LGPD e outras regulamentações em todos os momentos e situações. Acreditar que só haverá problemas reais caso sejam vazados dados sensíveis e transacionais é uma forma amadora de lidar com a questão. O profissionalismo considera que a lei é bem clara sobre a responsabilidade das empresas com todo tipo de dado pessoal, inclusive os cadastrais. Desta forma, as melhores práticas orientam no sentido de monitorar também os riscos relacionados a este tipo de informação.”

Alexandre Pegoraro

CEO do Kronoos

Caso queira sempre ficar atualizado quando houver alguma exposição de chaves Pix na internet, o Banco Central – por exigência da LGPD – mantém uma página que fornece aos cidadãos os incidentes relacionados a esse dado ou outras informações que estejam sob os cuidados do próprio BC.

• Página do Banco Central sobre vazamentos de chaves Pix – link

Você chegou a ser vítima de algum desses vazamentos de chaves Pix e outros dados cadastrais? Como procedeu em relação a isso? Participe conosco!