Nesta quarta-feira (19), o Banco Central (BC) informou a exposição de dados de 150 chaves Pix de clientes da SHPP Brasil Instituição de Pagamentos, empresa vinculada à Shopee. Este é o 14º incidente relacionado ao sistema de pagamentos instantâneos desde sua implementação em novembro de 2020.
A exposição, que ocorreu entre os dias 2 e 4 de setembro de 2024, trouxe à tona preocupações sobre a segurança dos dados no Pix e a forma como instituições de pagamento estão lidando com a proteção das informações dos usuários.
Segundo o BC, a exposição envolveu informações cadastrais como nome completo, CPF, instituição de relacionamento bancário, agência, número e tipo de conta. Embora os dados revelados não incluam informações financeiras sensíveis, como senhas, saldos ou extratos, o incidente reacendeu debates sobre a necessidade de maior vigilância e segurança nos sistemas de pagamento.
O que foi exposto pelo BC?
Os dados expostos dizem respeito apenas a informações cadastrais, como esclareceu o Banco Central. Isso significa que, embora os dados possam ter ficado visíveis a terceiros por um curto período, informações protegidas pelo sigilo bancário, como saldos e senhas, não foram comprometidas. O BC destacou que, em casos como esse, a exposição de dados não implica automaticamente que essas informações foram de fato acessadas ou utilizadas indevidamente, mas que ficaram disponíveis para visualização por terceiros durante o período da falha.
O BC também reforçou que as pessoas afetadas pela exposição de dados serão notificadas diretamente por meio do aplicativo ou do internet banking da instituição. É importante que os clientes desconsiderem qualquer contato que não seja feito por esses canais, uma vez que comunicações por telefone, SMS, e-mail ou aplicativos de mensagens não serão utilizadas para informar sobre o incidente.
Transparência e segurança
Embora a exposição de dados tenha um impacto potencial considerado baixo para os clientes, o BC decidiu divulgar o incidente em nome da transparência, como parte de seu compromisso com a segurança do sistema financeiro. A comunicação pública sobre falhas como essa é um passo importante para garantir que os usuários estejam informados e possam tomar medidas de proteção caso necessário.
De acordo com o BC, falhas pontuais nos sistemas da instituição de pagamento foram responsáveis pela exposição. O incidente está sendo investigado, e medidas corretivas poderão ser tomadas, inclusive a aplicação de sanções, conforme estipulado pela legislação. Dependendo da gravidade do caso, as penalidades podem incluir multas, suspensão das atividades da instituição envolvida ou até sua exclusão do sistema Pix.
A Lei Geral de Proteção de Dados (LGPD) e a proteção dos usuários
Esse tipo de incidente reforça a importância da Lei Geral de Proteção de Dados (LGPD) que determina que as instituições financeiras, e outras entidades que lidam com dados pessoais, adotem medidas rigorosas para proteger as informações dos usuários. No caso de um vazamento ou exposição de dados, como o ocorrido com as chaves Pix, a legislação brasileira exige que as empresas sejam transparentes e tomem ações para minimizar os impactos sobre os indivíduos afetados.
Leia também: Confira as redes sociais mais utilizadas nas eleições de 2024
O Banco Central mantém uma página dedicada onde os cidadãos podem acompanhar incidentes relacionados ao Pix e a outros dados pessoais sob sua responsabilidade. Essa iniciativa faz parte dos esforços da autoridade monetária para garantir maior transparência e permitir que os cidadãos estejam cientes de possíveis exposições de suas informações.
Aumento de incidentes com chaves Pix
Este é o 14º incidente registrado com chaves Pix desde que o sistema foi lançado. Em todos os casos, a natureza dos dados expostos foi semelhante: informações cadastrais que, embora não permitam movimentações financeiras, podem ser utilizadas por terceiros para fins de fraude ou engenharia social. Esses incidentes têm levado a um crescente debate sobre a necessidade de aprimorar os sistemas de segurança das instituições de pagamento que operam no Brasil.
Para o Banco Central, a crescente adesão ao Pix por parte dos brasileiros também torna o sistema um alvo mais atraente para tentativas de exploração de vulnerabilidades. Por isso, a instituição tem reforçado as diretrizes de segurança e monitoramento constante para mitigar novos incidentes.
Shopee como instituição de pagamentos no Brasil
A SHPP Brasil Instituição de Pagamentos, vinculada à Shopee, obteve autorização do BC em maio de 2022 para operar no Brasil. Desde então, a empresa tem oferecido serviços financeiros e de pagamentos vinculados à sua plataforma de e-commerce. A reportagem aguarda uma manifestação oficial da Shopee sobre o incidente e as medidas adotadas para corrigir a falha em seu sistema de segurança.
O incidente de exposição de 150 chaves Pix associadas à Shopee destaca a necessidade de reforçar a segurança dos dados pessoais no sistema financeiro. Embora os dados expostos sejam limitados a informações cadastrais, sem envolver senhas ou movimentações financeiras, a exposição revela a vulnerabilidade de sistemas de pagamento digitais. O Banco Central, ao manter seu compromisso com a transparência, continuará a investigar o caso e garantir que as instituições de pagamento adotem medidas rigorosas para evitar futuros incidentes.
Aos clientes, a recomendação é de permanecer atentos a possíveis comunicações fraudulentas e a notificações legítimas emitidas apenas pelos canais oficiais da Shopee. Além disso, é importante que os usuários revisem suas práticas de segurança digital para evitar possíveis tentativas de golpes baseados na exposição dessas informações.