O Banco Central informou nesta quarta-feira (10) a ocorrência de um incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da 99Pay Instituição de Pagamento S.A., “em razão de falhas pontuais em sistemas dessa instituição”.
Não houve menção de quantas pessoas teriam sido afetadas, com a autarquia dizendo apenas que o incidente tem “baixo impacto potencial para os usuários”.
Em comunicado, o BC ressalta que não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. “As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, diz o BC.
Continua depois da publicidade
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento.
Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
Procurada pelo InfoMoney, a 99Pay confirmou o vazamento por um “incidente de segurança”, que já foi resolvido. A empresa reforçou que nenhum dado pessoal sensível foi exposto, e que não houve perdas financeiras de qualquer tipo para qualquer cliente.
Continua depois da publicidade
“A empresa já contatou seus usuários afetados, que representam cerca de 0,0003% de sua base, para oferecer esclarecimentos e apoio. As demais pessoas que tiveram seus dados acessados, devido ao incidente, serão notificadas exclusivamente por meio do aplicativo, email ou pelo internet banking da sua própria instituição financeira”, afirma a empresa em seu comunicado.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Baixe uma planilha gratuita para calcular seus investimentos em renda fixa e fuja dos ativos que rendem menos
Continua depois da publicidade
Outros vazamentos
Esse foi o sexto incidente de vazamentos de dados do Pix só em 2024. Desde que o sistema foi criado, alguns episódios aconteceram: em agosto de 2021, ocorreu o vazamento de dados de 414,5 mil chaves Pix por número telefônico do Banco do Estado de Sergipe (Banese). Inicialmente, o BC tinha divulgado que o vazamento no Banese tinha atingido 395 mil chaves, mas o número foi revisado mais tarde.
Em janeiro de 2022, foi a vez de 160,1 mil clientes da Acesso Soluções de Pagamento terem informações vazadas. No mês seguinte, 2,1 mil clientes da Logbank pagamentos também tiveram dados expostos.
Em setembro de 2022, dados de 137,3 mil chaves Pix da Abastece Ai Clube Automobilista Payment Ltda. (Abastece Aí) foram vazados. O caso mais recente ocorreu em setembro do ano passado, quando 238 chaves Pix da Phi Pagamentos foram expostas.
Continua depois da publicidade
Já mais recentemente, em março de 2024 um total de 46.093 chaves Pix de clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia) tiveram dados cadastrais vazados. No mesmo mês, o BC informou que houve um novo vazamento de dados pessoais vinculados a chaves Pix de responsabilidade da Sumup Sociedade de Crédito Direto. O problema ocorreu em razão de falhas pontuais em sistemas da instituição financeira.
Ao todo, dados cadastrais vinculados a 87.368 chaves Pix sob a guarda e a responsabilidade da Sumup foram expostos. Ainda, em junho deste ano, o Banco Central (BC) informou o vazamento de dados pessoais vinculados a 22.046 chaves Pix sob a responsabilidade de Iugu e Pagcerto, duas empresas de pagamentos.
Em todos os casos, foram vazadas informações cadastrais, sem a exposição de senhas e de saldos bancários. Por determinação da Lei Geral de Proteção de Dados, a autoridade monetária mantém uma página em que os cidadãos podem acompanhar incidentes relacionados com a chave Pix ou demais dados pessoais em poder do BC.
Continua depois da publicidade
A exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O BC informou que o caso será investigado e que sanções poderão ser aplicadas. A legislação prevê multa, suspensão ou até exclusão do sistema do Pix, dependendo da gravidade do caso.
(Com informações de Reuters, Agência Brasil e Estado Conteúdo)
Baixe uma planilha gratuita para calcular seus investimentos em renda fixa e fuja dos ativos que rendem menos