Novo vazamento ameaça credibilidade do Pix

O sócio fundador André Damiani e a advogada Caroline Kersting foram destaques no Valor Econômico:

Com mais de 120 milhões de usuários cadastrados, o sistema de pagamentos instantâneos Pix é um sucesso incontestável em termos de adoção pela população. Ainda assim, com um terceiro vazamento de dados em seis meses, começam a surgir receios sobre a segurança do projeto capitaneado pelo Banco Central.

O BC informou ontem que vazaram dados cadastrais vinculados a 2.112 chaves Pix da LogBank. Em dezembro, haviam vazado dados de 160.147 chaves da Acesso Pagamentos. E em agosto do ano passado, no primeiro incidente do tipo, foram 414.526 chaves do Banese.

Segundo o BC, houve vazamento de dados de chaves Pix sob a guarda e a responsabilidade da LogBank em razão de falhas pontuais em sistemas dessa instituição de pagamento. “Não foi explorada nenhuma vulnerabilidade em qualquer sistema do BC. O desconhecido acessou as informações utilizando a infraestrutura tecnológica do sistema da Logbank, explorando falhas de segurança na implementação da instituição.”

Nos três casos de vazamento, os criminosos se utilizaram do Diretório de Identificadores de Contas Transacionais (Dict), administrado pelo BC e de acesso restrito às instituições que iniciam o procedimento para realização de uma transação por Pix. O diretório contém informações de natureza cadastral, como nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e de registro da chave.

Segundo o BC, quem acessou o Dict foi o próprio participante Logbank e o desconhecido não autorizado jamais teve acesso direto aos sistemas do BC. Questionado pelo Valor se novos vazamentos podem ocorrer, a autoridade disse que, caso as instituições participantes não implementem as medidas previstas no regulamento do Pix, é possível a incidência de casos de natureza similar. “Entretanto, cabe ressaltar que as medidas implementadas pelo BC possibilitam a identificação tempestiva e mitigam sobremaneira o potencial de chaves que podem ser expostas. Além disso, é importante destacar que o BC realiza uma série de ações de verificação de aderência da atuação dos participantes ao Regulamento do Pix. As melhorias adotadas pelo BC em relação aos mecanismos de prevenção fizeram com que, em caso de incidente, o potencial de chaves expostas fosse bastante reduzido.”

Ainda assim, uma fonte próxima aos bancos defende que haja uma fiscalização mais rigorosa do BC nos participantes do Pix. Segundo esse interlocutor, o regulador precisa assegurar que as instituições financeiras e de pagamentos que participam do mercado têm sistemas de monitoramento para detectar ações de hackers e suspender as que não fazem um controle adequado. “Senão, vai acabar fragilizando o Pix e criando um problema de credibilidade.”

Com um rastreamento adequado, afirma, é possível identificar, por exemplo, se alguém consulta um número elevado de chaves e não faz nenhuma transação – um forte indício de tentativa de invasão. As sucessivas tentativas de fraude também têm provocado outro tipo de desconforto entre os bancos. O BC quer que cada um fique responsável por informar a seus clientes que os dados deles foram vazados, mesmo que a origem do vazamento tenha sido em outra instituição. Os bancos, no entanto, relutam em ficar com a missão de relatar um problema que não foi originado internamente.

No caso divulgado ontem, a LogBank disse que sofreu uma tentativa de invasão de suas plataformas digitais nos dias 24 e 25 de janeiro. Segundo a companhia, o incidente foi detectado e controlado instantaneamente pelas ferramentas e equipes de segurança. “Nenhum dado sensível foi vazado e não houve qualquer movimentação financeira indevida ou prejuízo financeiro para os clientes relacionados com este incidente, cujo alcance permaneceu extremamente limitado. Os recursos dos clientes estão e sempre estiveram sob máxima vigilância e segurança.” A companhia diz ainda que, além de investir em tecnologia e processos contínuos de melhorias, mantém uma rotina de comunicação com o BC e autoridades competentes, de forma a fortalecer os mecanismos de proteção.

Ainda que o BC afirme que os dados vazados não são sensíveis, especialistas apontam que, de posse das chaves, hackers têm informações que facilitam a aplicação de golpes – ligando para uma pessoa e se passando pelo banco dela, por exemplo. Para André Damiani, especialista em direito penal econômico, os vazamentos podem comprometer a reputação do Pix. “Antes de completar 15 meses, ocorre a terceira exposição de dados pessoais no sistema. Essas 2.112 pessoas tiveram seus nomes, CPFs, telefones ou e-mails expostos, tornando-se potenciais vítimas para fraudadores e estelionatários”, pontuou.

A especialista em direito digital Caroline Kersting ressalta que as ações do BC não têm sido suficientes para coibir novos vazamentos de dados. “O BC se limita a emitir posicionamentos idênticos a cada novo vazamento de dados, quando deveria implementar uma gestão de crise transparente e ágil, com foco na proteção dos usuários, na identificação da extensão dos possíveis danos e na recuperação dos dados”, avaliou.

(…)

Leia na íntegra.