O Banco Central (BC) informou nesta terça-feira (22) um novo episódio de vazamento de dados relativos a chaves Pix. Desta vez, o incidente de segurança aconteceu com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Phi Pagamentos devido a falhas pontuais em sistemas da instituição. Esse é o quinto caso de vazamento de dados no Pix identificado pelo BC. O último havia ocorrido entre julho e setembro de 2022.
O Banco Central destacou que a extensão da exposição dos dados foi "sobremaneira" mitigada pelos mecanismos de segurança e de monitoramento do Pix. O impacto foi sobre 238 chaves — menos de 0,00004% das mais de 630 milhões cadastradas. No episódio ocorrido entre julho e setembro do ano passado, por falhas na Abastece Aí, do grupo Ipiranga, a exposição chegou a 137.285 chaves.
Após os episódios iniciais de vazamento de dados ou fraudes no sistema de pagamentos instantâneos, o BC tomou uma série de medidas para aumentar a segurança do sistema e também das instituições participantes, reforçando a responsabilidade das instituições financeiras.
"Mais importante, não foram expostos quaisquer dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos nem acesso às contas ou a outras informações financeiras", frisou o órgão.
De acordo com o BC, a natureza das informações expostas são nome do usuário, CPF, instituição de relacionamento, agência, número e tipo de conta.
Ainda segundo a autarquia, quem foi prejudicado pela falha na Phi Pagamentos será notificado exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. "Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail", alerta o BC.
O regulador do sistema financeiro ainda informou que já foram adotadas as ações necessárias para a apuração detalhada do caso e que serão aplicadas as medidas sancionadoras previstas na regulação vigente.
