O Banco Central do Brasil (BC) relatou um novo episódio de segurança envolvendo o sistema de pagamentos instantâneos Pix, marcando este como o sétimo vazamento de dados desde a implementação da plataforma em novembro de 2020. O episódio mais recente afetou 87.368 chaves Pix associadas aos clientes da Sumup Sociedade de Crédito Direto S.A. (Sumup SCD), com a divulgação acontecendo nesta sexta-feira (22).
O vazamento de informações, que ocorreu no intervalo entre 28 de setembro de 2023 e 16 de março de 2024, incluiu dados como o nome do usuário, Cadastro de Pessoa Física (CPF) parcialmente oculto, bem como detalhes da instituição financeira, número da agência e da conta dos clientes afetados. Segundo o BC, o incidente foi resultado de falhas específicas nos sistemas da entidade de pagamento, enfatizando que apenas informações cadastrais foram expostas, sem comprometer a movimentação financeira dos usuários, visto que dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram afetados.
O BC optou por tornar público o episódio, reiterando seu compromisso com a transparência, apesar de o vazamento ter sido classificado como de baixo impacto para os clientes envolvidos. A autarquia informou que todos os indivíduos cujas informações foram expostas serão notificados exclusivamente através do aplicativo ou do internet banking da instituição, aconselhando os clientes a ignorarem quaisquer tentativas de comunicação por outros meios, como chamadas telefônicas, SMS e e-mails.
A exposição de dados não implica necessariamente que todas as informações foram acessadas por terceiros, mas há uma possibilidade de que tenham sido visualizadas ou capturadas durante o período de vulnerabilidade. O Banco Central garantiu que o caso está sob investigação e que medidas punitivas, incluindo multas, suspensão ou exclusão do sistema Pix, podem ser aplicadas de acordo com a gravidade da infração.
Este não é um caso isolado na história do Pix. Desde sua criação, outros seis incidentes de vazamento de dados foram registrados, afetando uma ampla gama de instituições e números significativos de usuários. O BC mantém uma página dedicada à transparência, onde os cidadãos podem acompanhar incidentes relacionados à chave Pix ou outros dados pessoais sob a tutela da autoridade monetária, em conformidade com a Lei Geral de Proteção de Dados (LGPD).
