Não tão seguro assim! Vazamentos de dados do Pix irão ocorrer com frequência, diz presidente do Banco Central

O presidente do Banco Central, Roberto Campos Neto, afirmou nesta sexta (11) que vazamentos de dados do Pix, sistema de pagamentos instantâneos, irão acontecer com "alguma frequência".


A declaração foi dada durante evento da Esfera Brasil sobre política monetária. "Como entendemos que esse mundo de dados vai crescer exponencialmente, os vazamentos vão acontecer com alguma frequência", disse.


No dia 3 de fevereiro, o BC comunicou o vazamento de 2.112 chaves Pix de clientes da instituição de pagamento Logbank, ocorrido entre os dias 24 e 25 de janeiro. Este foi o terceiro incidente desde o lançamento do sistema, em novembro de 2020.


Antes, cerca de 160,1 mil clientes da Acesso Soluções de Pagamento tiveram dados de chaves Pix vazados entre 3 e 5 de dezembro de 2021. Já o primeiro vazamento do tipo ocorreu em 24 de agosto de 2021, atingindo 414.526 chaves Pix ligadas ao Banese (Banco do Estado de Sergipe).


Campos Neto explicou que incidentes desse tipo tendem a ser mais comuns com o crescimento do serviço, mas garantiu que o BC agirá com transparência em todas as situações, ainda que de menor impacto.



O presidente do BC minimizou o vazamento de dados de usuários, argumentando que CPF e número de celular já são informações disponíveis para consulta em outras plataformas.


"É importante entender que o vazamento de dados do Pix não são relevantes no sentido de que são dados que não são tão sensíveis", disse.


Luca Belli, professor da FGV Direito Rio e coordenador do Centro de Tecnologia e Sociedade da FGV, discorda da distinção entre dados sensíveis e não sensíveis. "Não existe vazamento de dados ofensivo ou inofensivo. A LGPD (Lei Geral de Proteção de Dados) não faz essa distinção. Medidas de seguranças devem ser aplicadas a quaisquer bancos de dados", afirmou à Folha.


Ele cita o artigo 46 da lei, que determina que os agentes de tratamento de dados devem adotar medidas de segurança, técnicas e administrativas para proteger informações pessoais. "Qualquer entidade que processe e trate dados no Brasil precisa adotar essas medidas. Elas têm uma obrigação. Não se pode simplesmente dizer que ‘acontece’", explica.


Um dos casos que mais chamaram a atenção foi de um funcionário da Globo que transferiu 318 mil reais para conta errada


Em relação ao mais recente vazamento, o BC afirmou na semana passada que não foram expostos dados sensíveis, como senhas, informações de movimentações ou saldos financeiros em contas ou outras informações sob sigilo bancário.


"Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência", disse, em nota, na ocasião.


Belli aponta que o BC tem os recursos necessários para implementar medidas de segurança de alto nível, e que a entidade tem a obrigação de avaliar os riscos e pôr em prática as medidas necessárias para que os vazamentos não ocorram.


"Não estamos falando de dados triviais, estamos falando de dados de uma das maiores entidades reguladoras do país, com os funcionários mais capacitados", disse.


Atualmente, o Pix tem 120 milhões de usuários cadastrados, entre pessoas físicas e empresas.


Em dezembro de 2021, com o pagamento da segunda parcela do 13º salário, o número de operações em um dia com o sistema de pagamento instantâneos bateu recorde, com 51,9 milhões de transações em 24 horas.


O BC informou ao site que em todos os incidentes ocorridos, as instituições não implementaram todas as medidas de segurança previstas no Regulamento do Pix e apresentaram vulnerabilidades, mas que dados como senhas não foram exploradas por terceiros.


“O BC apura detalhadamente cada caso e aplica as medidas sancionadoras previstas nas normas vigentes. Vale ressaltar que não foi explorada nenhuma vulnerabilidade em qualquer sistema”, disse.


Os dados vazados se restringem a informações de identificação do usuário, como nome completo e CPF, bem como número da conta, número da agência do banco e tipo de chave Pix.


“Importante destacar que essas informações não são sensíveis ou sigilosas e parte delas são usualmente informadas pelos usuários ao se fazer uma TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações”, destacou o BC.


A entidade monetária afirmou que implementou medidas adicionais de verificação de aderência ao regulamento pelas instituições financeiras participantes e está aperfeiçoando o processo de monitoramento de incidentes envolvendo o Pix.


Marcos Zanini, CEO da Dínamo, explicou que os três casos de vazamento de dados recentes estão ligados a uma falha no aplicativo da instituição que começa a fazer a transação financeira. Ele reforçou que não houve erro nos sistemas do Banco Central.


O que acontece é que quando se digita a chave Pix para fazer uma transferência ou pagamento, alguns dados do destinatário que não deveriam aparecer no momento da transação estão sendo expostos, como dados da conta bancária ou o número do CPF completo (quando este não é a chave Pix).


No caso do vazamento mais recente, informado em 3 de fevereiro, da LogBank, as operações feitas nos dias 24 e 25 de janeiro tiveram essa falha em mais de 2 mil chaves. O primeiro vazamento foi comunicado em 30 de setembro, e afetou mais de 395 mil chaves do Banco de Sergipe. Em 21 de janeiro, o BC divulgou que mais de 160 mil chaves do banco Acesso foram expostas.


“Vamos imaginar que o usuário entra no seu aplicativo do banco e vai iniciar o pagamento. Na hora em que ele digita a chave Pix, essa aplicação vai para o Banco Central, para uma consulta sobre o destino daquela chave, do banco, da agência e da conta. Nesse momento, se a aplicação não está bem escrita do ponto de vista de segurança do software, ela pode expor essas informações na tela para quem está consultando, que no caso é o banco que está originando a transferência”, explicou.


Zanini também disse que as informações vazadas são pessoais, mas não sensíveis. Segundo ele, são dados que não permitem que os usuários sejam lesados por si só, mas facilitam eventualmente algum tipo de fraude.


“A informação sensível na transação financeira é a senha, e esse dado não fica exposto. Mas os fraudadores tentam, a partir das informações disponíveis, fazer uma engenharia social, ligando para a pessoa ou mandando e-mail, se passando pelo banco com o intuito de capturar a senha dela”, declarou.


Para Arthur Igreja, especialista em tecnologia e segurança digital, as pessoas precisam ficar atentas para não cair neste tipo de golpe, que se iniciam com abordagens convincentes de que o golpista é alguém do banco, pois tem as informações cadastrais do indivíduo.


“Importante lembrar que a partir do momento que alguém conhece a sua chave Pix, ela só pode transferir dinheiro, não tem como operacionalizar o Pix de outro indivíduo”, afirmou.


O especialista acredita que a grande quantidade de instituições que operam o Pix levam mais opções ao consumidor, mas também podem aumentar as chances de novos vazamentos deste tipo no futuro.


“De um lado temos a praticidade e a expansão no número de players, o que é muito saudável para o consumidor. Por outro, temos a inserção no mercado de empresas que não necessariamente têm o mesmo nível de maturidade tecnológica dos grandes bancos, o que não quer dizer que o próximo vazamento, por exemplo, não ocorra justamente com um banco”, afirmou Igreja.


“Eu não ficaria nem um pouco surpreso com vazamentos futuros, afinal temos que lembrar que as instituições financeiras são as mais visadas pelos hackers”, completou.


O Banco Central recomenda aos usuários que possuem chave Pix sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números.


Além disso, a entidade ressalta que é preciso ter atenção redobrada ao receber ligações de pessoas se passando por bancos e jamais fornecer informações sensíveis, códigos recebidos via SMS ou senhas bancárias, nem tampouco autorizar acesso remoto ao aplicativo ou internet banking.


“O BC reforça que as pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, comunicou.



Tecnologia do Blogger.