Um total de 87.368 chaves Pix dos clientes da Sumup Sociedade de Crédito Direto SA (Sumup SCD) tiveram dados vazados, informou nesta sexta-feira (22) o Banco Central (BC). Este foi o sétimo vazamento de dados desde que o sistema de pagamentos instantâneos foi lançado em novembro de 2020.
Segundo o BC, o vazamento ocorreu entre 28 de setembro de 2023 e 16 de março de 2024 e abrangeu as seguintes informações: nome de usuário, Cadastro de Pessoa Física (CPF) com máscara, instituição de relacionamento, órgão e número da conta.
O vazamento ocorreu por falhas pontuais nos sistemas da instituição de pagamento, informou o BC, destacando que a exposição ocorreu em dados cadastrais, o que não afeta a movimentação de dinheiro. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram expostos.
Embora o caso não precisasse ser denunciado devido ao baixo impacto potencial para os clientes, o município decidiu divulgar o incidente em nome do “compromisso com a transparência”.
Todas as pessoas cujas informações foram expostas serão notificadas por meio do aplicativo da instituição ou do internet banking. O Banco Central destacou que esse será o único meio de alerta para exposição de chaves Pix e pediu aos clientes que desconsiderem comunicações como ligações, SMS e avisos via aplicativos de mensagens e e-mail.
A exposição dos dados não significa necessariamente que todas as informações foram vazadas, mas que elas estão visíveis para terceiros há algum tempo e podem ter sido capturadas. O BC informou que o caso será investigado e que sanções poderão ser aplicadas. A legislação prevê multa, suspensão ou até exclusão do sistema Pix, dependendo da gravidade do caso.
Histórico de vazamento
Foi o sétimo incidente de vazamento de dados do Pix desde a criação do sistema, em novembro de 2020. Em agosto de 2021, foram vazadas 414,5 mil chaves Pix pelo número de telefone do Banco do Estado de Sergipe (Banese). Inicialmente, o BC havia anunciado que o vazamento do Banese havia chegado a 395 mil chaves, mas o número foi posteriormente revisado.
Em janeiro de 2022, foi a vez de 160,1 mil clientes da Acesso Soluções de Ação terem suas informações vazadas. No mês seguinte, 2,1 mil clientes de pagamentos do Logbank também tiveram seus dados expostos.
Em setembro de 2022, dados de 137,3 mil chaves Pix da Abastece Ai Clube Automobilista Pagamento Ltda. (Abastece Aí) vazaram. Em setembro do ano passado, 238 chaves Pix da Phi Pagamentos tiveram informações expostas.
O caso mais recente foi na última segunda-feira (18), quando 46 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e a Empresa de Porte Limitada (Fidúcia) tiveram informações vazadas. Em todos os casos, informações cadastrais foram vazadas, sem exposição de senhas e saldos bancários. Conforme determina a Lei Geral de Proteção de Dados, a autoridade monetária mantém uma página onde os cidadãos podem acompanhar incidentes relacionados à chave Pix ou outros dados pessoais em poder do BC.
Em nota, a Sumup informou que foi informada do incidente pelo Banco Central. “A empresa agiu rapidamente para mitigar a situação, aumentar a proteção dos dados e reduzir as chances de o incidente ocorrer no futuro”, destacou o comunicado.
