O Banco Central informou na semana passada que foram vazadas 395 mils chaves Pix. Os dados estavam armazenados no Banco do Estado de Sergipe, o Banese.
Segundo comunicado do BC, “não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário”. Foram identificados vazamentos de nome, CPF, banco, agência e conta em que as chaves foram registradas.
Já o Banese aconselhou os atingidos a tomar algumas medidas preventivas: “i) sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números; ii) ter atenção redobrada ao receber ligações de pessoas se passando por Bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias; iii) ter cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira; iv) nunca utilizar senhas fáceis de serem descobertas”.
A instituição também afirmou que tomou as medidas necessárias para garantir a segurança dos usuários. “De forma tempestiva foram adotadas ações de contenção e medidas técnicas, como a revogação do acesso às duas contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer”, disse.
Na última terça (28), o BC também anunciou que os bancos podem estabelecer limites máximos de transações, de acordo com o perfil do cliente. As transações entre pessoas físicas no período noturno ficam limitadas a R$ 1 mil.
“O Regulamento do Pix agora deixa claro que as instituições que ofertam o Pix a seus clientes têm o dever de responsabilizar-se por fraudes decorrentes de falhas nos seus próprios mecanismos de gerenciamento de riscos, compreendendo a inobservância de medidas de gestão de risco”, disse o BC em nota.
Ao LexLatin, advogados consideraram o ocorrido preocupante.
“Apesar de não vazarem dados como senhas ou saldo bancário, o ocorrido é grave, já que expuseram chaves do tipo ‘número de telefone’. Em um momento de aumento de golpes por uso de aplicativos de mensagens como o WhatsApp, no qual criminosos utilizam os números de celular dos usuários para pedir transferências via PIX, a exposição de mais de 300 mil números de telefone merece atenção, já que os infratores poderão utilizar essa base de dados para fazer novas vítimas”, avalia Flávia Bortolini, especialista em Direito Digital e proteção de dados do Damiani Sociedade de Advogados.
Bortolini também alertou que é importante ter atenção aos pedidos de transferência via Pix realizados pelo WhatsApp. “Se algum parente, amigo ou conhecido entrar em contato solicitando informações ou transferências bancárias, desconfie”, diz.
Wilson Sales Belchior, sócio do RMS Advogados e conselheiro da OAB Federal, explica que o incidente demonstra a importância de uma conscientização sobre as noções básicas de segurança cibernética e da informação. “A técnica de engenharia social é um exemplo de ameaça que explora justamente a falta de conhecimento do usuário. Nesse caso, é destacável a postura de transparência do Banco Central ao comunicar o incidente à sociedade e esclarecer as pessoas sobre como se portar diante do ocorrido”, afirma.
Juliana de Oliveira Peixinho, advogada especialista em Direito Digital e proteção de dados do Chenut Oliveira Santiago Advogados, comenta que a postura adotada pelo Bacen deixa os especialistas e o mercado mais tranquilos. “Assim, consolida-se como uma boa prática o compromisso de dar informações claras sobre o tratamento dos dados, especialmente em situações de incidentes de segurança”.
Para os advogados especializados em segurança digital, esse vazamento mostra a importância das empresas não só investirem na segurança dos seus sistemas, mas também em conscientizar os seus colaboradores sobre os riscos relacionados à segurança da informação.
“Infelizmente, este tipo de violação de dados deixa as pessoas mais inseguras quanto à capacidade das empresas em protegerem os seus dados. É importante que a Instituição financeira aja com transparência com os clientes e apure rapidamente as causas do vazamento. As instituições financeiras que investem para reduzir o risco de ataques e priorizam a educação em segurança cibernética terão mais chances na retenção de seus clientes”, diz Sofia Rezende, do núcleo de LGPD do Nelson Wilians Advogados.
Apesar da preocupação de usuários e mercado, especialistas acreditam que incidentes como esse fazem parte desse momento de implementação deste tipo de tecnologia. “O que importa é reforçar a confiabilidade da inovação e a indispensabilidade de programas de governança que atendam as boas práticas em segurança da informação e a exigência da LGPD por medidas técnicas e administrativas, capazes de salvaguardar a privacidade e os direitos dos titulares”, avalia Belchior.