Banco Central informa vazamento de 395 mil chaves PIX de clientes do Banese

Banco Central diz que dados sensíveis, como senhas e saldos, não foram afetados; banco sergipano informa que vazamento não afetou confidencialidade

Banco Central informou que dados como senhas e saldos foram vazados
Foto: Lorena Amaro
Banco Central informou que dados como senhas e saldos foram vazados

Depois de o Banco Central (BC) alertar nesta quinta-feira sobre um vazamento de dados de chaves Pix pelo Banco do Estado de Sergipe (Banese), a instituição informou que detectou consultas indevidas a 395.009 chaves utilizadas no meio de pagamento.

O Banese informou porém, que o evento "não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes".

É o primeiro incidente de segurança de dados do Pix desde que o sistema da pagamentos instantâneos foi criado pelo BC em novembro de 2020.

Em comunicado divulgado na noite desta quinta-feira, o banco controlado pelo governo de Sergipe ressaltou que o vazamento ocorreu nas chaves cadastradas com números de telefone, de pessoas que não são clientes do banco, a partir do acesso de duas contas bancárias de clientes do Banese.

A instituição também comunicou que os dados provavelmente foram obtidos por meio de golpes de engenharia social, como phishing.

O banco informou ainda que tem trabalhado junto com o BC na apuração e comunicação dos fatos, e que adotou ações de contenção e medidas técnicas, como a revogação do acesso às duas contas utilizadas e a implementação de mecanismos de segurança para evitar que casos semelhantes voltem a ocorrer.

Em nota, a autoridade monetária confirmou que dados sensíveis, como senhas, informações de movimentações e saldos não foram afetados. O vazamento foi apenas das chaves Pix, que não permitem movimentação de recursos nem acesso às contas.

A chave Pix é como uma identidade de cada usuário no novo sistema de pagamento e pode ser tanto um CPF, um e-mail, um número de telefone quanto uma chave alfanumérica aleatória. O número é utilizado para facilitar as transações.

As pessoas que tiveram suas dados vazados serão notificadas pela instituição pelo aplicativo do seu banco. O BC alertou que nem a autoridade monetária nem outras instituições entrarão em contato com os clientes por qualquer outro meio de comunicação, como aplicativos de mensagem, telefone, SMS ou e-mail.

Segundo a nota, o BC já adotou as ações para apuração do caso e vai aplicar sanções previstas pela regulação do Pix.

"Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação", finalizou a nota.

Como forma de prevenção, o Banese recomendou que os clientes suspeitem de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca cliquem em links enviados por esses números.

Além disso, pediu que os clientes jamais forneçam informações pessoais, códigos recebidos via SMS ou senhas bancárias a estranhos e tenham cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira. Por fim, que utilizem senhas seguras, que não possam ser descobertas com facilidade.

Mais proteção

Recentemente, o Banco Central tem determinado a implementação de mais medidas de segurança para o uso do Pix. Em agosto, anunciou que o sistema terá limite de R$ 1 mil no período noturno para eivtar golpes e fraudes. A medida passa a valer no dia 4 de outubro.

Além disso, bancos e outras instituições financeiras terão prazo mínimo de 24 horas e máximo de 48 horas para efetivar um pedido do usuário para aumento do limite de transações por Pix, boleto, TEDs e DOCs e cartão de débito. A ideia é impedir a possibilidade do aumento imediato e diminuir as situações de risco. A redução do limite continua sendo imediata.

Nesta semana, o BC anunciou que bancos poderão bloquear recursos de usuarios por até 72 horas em casos de suspeita e fraude. As instituições também vão passar a marcar uma chave Pix quando há fundada suspeita de fraude. Essa informação será compartilhada com outras instituições participantes do Pix.