ANPD

No ‘Face’, apagão, vazamento de dados e escândalo político preocupam usuários

O sócio fundador André Damiani e a advogada Flávia Bortolini foram destaques no ConJur:

A primeira semana de outubro foi complicada para o Facebook. Na segunda-feira, dia 4, um apagão deixou as redes de Facebook, Instagram e WhatsApp fora do ar por cerca de seis horas. A razão? Segundo o Facebook, uma falha de configuração na rede interna. Uma vez que as três redes utilizam os mesmos servidores, a pane foi conjunta e em escala global.

O apagão não causou prejuízos apenas aos usuários das redes, já que muitas empresas dependiam dos aplicativos para impulsionar seus negócios e realizar vendas. Com a queda das ações da empresa, que despencaram quase 5%, Mark Zuckerberg perdeu quase US$ 6 bilhões em um único dia. O prejuízo não chega a torná-lo pobre, mas soma-se a constante desvalorização das ações da companhia, iniciada em setembro, desde que o Wall Street Journal publicou uma série de reportagens revelando que o Facebook tinha conhecimento das falhas de segurança em suas plataformas.

Documentos entregues ao jornal norte-americano mostram que a plataforma sabia e acobertava o fato de que usuários selecionados, geralmente com maior visibilidade, poderiam violar as regras das redes sociais sem sofrer qualquer represália.

Além disso, relatórios mostram que a plataforma tinha ciência de sua prejudicialidade aos usuários, por meio de um ambiente hostil, promovendo conteúdos que incentivaram discussões entre os usuários.

Segundo uma ex-gerente, Frances Haugen, o Facebook tinha plena ciência de que seu algoritmo era “tóxico”, já que a entrega de conteúdo poderia ser prejudicial à saúde mental dos usuários das redes, em especial aos adolescentes.

Com o advento do TikTok, o Instagram passou a competir com a gigante chinesa, mudando seu algoritmo e priorizando conteúdos que prendessem a atenção do usuário. Um estudo realizado pela empresa alemã Algorithm Watch verificou que o Instagram passou a priorizar imagens em que seu usuário aparece com pouca roupa, mesmo a rede social podendo ser acessada por menores. Segundo a empresa alemã, o algoritmo do Instagram é programado para que o usuário consuma mais fotos de pessoas em roupas íntimas do que de paisagens, goste ele ou não, transformando o corpo em um chamariz.

Em uma rede constantemente utilizada por crianças e adolescentes, as consequências desse algoritmo podem ser devastadoras. Através de comparação com outros usuários, o indivíduo passa a desenvolver uma cobrança para atingir uma felicidade irreal, já que o que é exibido nas redes não reflete o dia a dia da esmagadora maioria dos usuários. Segundo a ex-gerente, preferindo lucro acima do bem-estar de seus usuários, o Instagram deixou de adotar políticas que pudessem minimizar o impacto causado.

E para coroar a pior semana desde o escândalo Cambridge Analytica, no qual uma gigante empresa de análise de dados utilizou dados obtidos pelas redes de Mark Zuckerberg para a campanha presidencial de Donald Trump, após o apagão ocorrido foi localizada uma postagem em um fórum da darkweb anunciando a venda de dados de 1,5 bilhão de usuários da rede.

De acordo com a postagem, dados como nome, e-mail, localização, número de telefone e ID de usuário estariam sendo vendidos em pacotes pelo valor de US$ 5 mil, cerca de R$ 27,3 mil, contendo dados de um milhão de usuários cada. Os dados não teriam relação com o vazamento ocorrido em abril, quando 500 milhões de usuários tiveram seus dados vazados.

Em que pese não haver confirmação sobre os números expostos, a única certeza é que o vazamento ocorrido não é fruto do apagão do início da semana, já que a postagem no fórum da darkweb seria datado de 22 de setembro, mas somente agora foi divulgado.

No Brasil, caso comprovado o vazamento, a gigante mundial pode ser multada em até R$ 50 milhões, em razão da Lei Geral de Proteção de Dados (LGPD). A lei, que entrou em vigor em 2020, disciplina como empresas e órgãos do governo podem realizar a coleta, tratamento, armazenamento e transferência de dados da população, bem como prevê sanções a quem a infringir, como no caso do vazamento. Assim, empresas que coletem dados de pessoa física em solo brasileiro devem estar adequadas à LGPD para evitar multas. Até o momento, o Facebook não confirmou o vazamento, alegando que estaria investigando e que já solicitara ao fórum de discussões que removesse a postagem. Contudo, certo é que a atenção ao que compartilhamos online deve ser redobrada, uma vez que incidentes de vazamento estão cada dia mais comuns.

Leia na íntegra.

Crise no Facebook: apagão, vazamento de dados e escândalo político causam prejuízos bilionários

O sócio fundador André Damiani e a advogada Flávia Bortolini foram destaques no Estadão:

A primeira semana de outubro foi complicada para o Facebook. Na segunda-feira, dia 4, um apagão deixou as redes do Facebook, Instagram e WhatsApp fora do ar por cerca de 6 horas. A razão? Segundo o Facebook, uma falha de configuração na rede interna. Uma vez que as três redes utilizam os mesmos servidores, a pane foi conjunta e em escala global.

O apagão não causou prejuízos apenas aos usuários das redes, já que muitas empresas dependiam dos aplicativos para impulsionar seus negócios e realizar vendas. Com a queda das ações da empresa, que despencaram quase 5%, Mark Zuckerberg perdeu quase US$ 6 bilhões em um único dia. O prejuízo não chega a torná-lo pobre, mas soma-se a constante desvalorização das ações da companhia, iniciada em setembro, desde que o Wall Street Journal publicou uma série de reportagens revelando que o Facebook tinha conhecimento das falhas de segurança em suas plataformas.

Documentos entregues ao jornal norte-americano mostram que a plataforma sabia e acobertava o fato de que usuários selecionados, geralmente com maior visibilidade, poderiam violar as regras das redes sociais sem sofrer qualquer represália.

Além disso, relatórios mostram que a plataforma tinha ciência de sua prejudicialidade aos usuários, por meio de um ambiente hostil, promovendo conteúdos que incentivaram discussões entre os usuários.

Segundo uma ex-gerente, Frances Haugen, o Facebook tinha plena ciência de que seu algoritmo era “tóxico”, já que a entrega de conteúdo poderia ser prejudicial à saúde mental dos usuários das redes, em especial aos adolescentes.

Com o advento do TikTok, o Instagram passou a competir com a gigante chinesa, mudando seu algoritmo e priorizando conteúdos que prendessem a atenção do usuário. Um estudo realizado pela empresa alemã Algorithm Watch verificou que o Instagram passou a priorizar imagens em que seu usuário aparece com pouca roupa, mesmo a rede social podendo ser acessada por menores. Segundo a empresa alemã, o algoritmo do Instagram é programado para que o usuário consuma mais fotos de pessoas em roupas íntimas do que de paisagens, goste ele ou não, transformando o corpo em um chamariz.

Em uma rede constantemente utilizada por crianças e adolescentes, as consequências deste algoritmo podem ser devastadoras. Através de comparação com outros usuários, o indivíduo passa a desenvolver uma cobrança para atingir uma felicidade irreal, já que o que é exibido nas redes não reflete o dia a dia da esmagadora maioria dos usuários. Segundo a ex-gerente, preferindo lucro acima do bem-estar de seus usuários, o Instagram deixou de adotar políticas que pudessem minimizar o impacto causado.

E para coroar a pior semana desde o escândalo Cambridge Analytica, no qual uma gigante empresa de análise de dados utilizou dados obtidos pelas redes de Mark Zuckerberg para a campanha presidencial de Donald Trump, após o apagão ocorrido foi localizada uma postagem em um fórum da darkweb anunciando a venda de dados de 1,5 bilhão de usuários da rede.

De acordo com a postagem, dados como nome, e-mail, localização, número de telefone e ID de usuário estariam sendo vendidos em pacotes pelo valor de US$ 5 mil, cerca de R$ 27,3 mil, contendo dados de 1 milhão de usuários cada. Os dados não teriam relação com o vazamento ocorrido em abril, quando 500 milhões de usuários tiveram seus dados vazados.

Em que pese não haver confirmação sobre os números expostos, a única certeza é que o vazamento ocorrido não é fruto do apagão do início da semana, já que a postagem no fórum da darkweb seria datado de 22 de setembro, mas somente agora foi divulgado.

No Brasil, caso comprovado o vazamento, a gigante mundial pode ser multada em até R$ 50 milhões, em razão da Lei Geral de Proteção de Dados (LGPD). A lei, que entrou em vigor em 2020, disciplina como empresas e órgãos do governo podem realizar a coleta, tratamento, armazenamento e transferência de dados da população, bem como prevê sanções a quem a infringir, como no caso do vazamento. Assim, empresas que coletem dados de pessoa física em solo brasileiro devem estar adequadas à LGPD para evitar multas.

Até o momento, o Facebook não confirmou o vazamento, alegando que estaria investigando e que já solicitara ao fórum de discussões que removesse a postagem. Contudo, certo é que a atenção ao que compartilhamos online deve ser redobrada, uma vez que incidentes de vazamento estão cada dia mais comuns.

Leia na íntegra.

Vazamento de dados das chaves PIX: de quem é a responsabilidade?

A advogada Flávia Bortolini foi destaque no portal LexLatin:

A inovação trazida pelo sistema PIX mudou a forma de fazer transferências bancárias no mercado brasileiro. Mas com a novidade vieram alguns problemas que têm preocupado usuários desse sistema. Com a facilidade de movimentação do dinheiro, 24 horas por dia durante os 7 dias da semana, cresceram – e muito – os golpes contra pessoas físicas: tanto os roubos com pedidos de senhas quanto os sequestros-relâmpago. Agora, um novo tipo de problema tem preocupado os consumidores: o vazamento das chaves de acesso de milhares de brasileiros.

Na última semana, o Banco Central informou o primeiro caso de vazamento de dados das chaves PIX. Foram expostos dados de 395 mil usuários, números de telefone usados como chave de acesso, que estavam armazenados no Banco do Estado de Sergipe, o Banese. As falhas no sistema não comprometem ou permitem a movimentação de valores nem ameaçam o que está depositado em contas de usuários atingidos.

Em um comunicado, o BC disse que “não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário”. Foram identificados vazamentos de nome, CPF, banco, agência e conta em que as chaves foram registradas.

Em outro comunicado, o Banese aconselhou os atingidos a tomar algumas medidas preventivas: “i) sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números; ii) ter atenção redobrada ao receber ligações de pessoas se passando por Bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias; iii) ter cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira; iv) nunca utilizar senhas fáceis de serem descobertas”, diz em comunicado.

Em outro trecho, a instituição afirmou que tomou as medidas necessárias para garantir a segurança dos usuários. “De forma tempestiva foram adotadas ações de contenção e
medidas técnicas, como a revogação do acesso às duas contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer”, afirma a nota.

Desde novembro de 2020, quando foi implementado pelo Banco Central, o PIX bateu recordes de utilização, tornando-se muito popular. Graças a essa popularidade ele vem sendo altamente visado, o que fez com que o Bacen anunciasse, na última terça-feira (28), novas regras de segurança para a ferramenta.

A partir de agora os bancos podem estabelecer limites máximos de transações, de acordo com o perfil do cliente. As transações entre pessoas físicas no período noturno ficam limitadas a R$ 1 mil. Essas e outras medidas passam a valer a partir de 16 de novembro.

“O Regulamento do Pix agora deixa claro que as instituições que ofertam o Pix a seus clientes têm o dever de responsabilizar-se por fraudes decorrentes de falhas nos seus próprios mecanismos de gerenciamento de riscos, compreendendo a inobservância de medidas de gestão de risco”, diz o BC em nota.

O vazamento desse tipo de dados, considerado sensível e crítico pelos especialistas, deixou muitos brasileiros preocupados, com medo de que golpistas usassem as informações para fazer movimentações. E quais são as questões jurídicas que envolvem esse tipo de transação? De quem é a responsabilidade em caso de golpe?

“Apesar de não vazarem dados como senhas ou saldo bancário, o ocorrido é grave, já que expuseram chaves do tipo ‘número de telefone’. Em um momento de aumento de golpes por uso de aplicativos de mensagens como o WhatsApp, no qual criminosos utilizam os números de celular dos usuários para pedir transferências via PIX, a exposição de mais de 300 mil números de telefone merece atenção, já que os infratores poderão utilizar essa base de dados para fazer novas vítimas”, avalia Flávia Bortolini, especialista em direito digital e proteção de dados do Damiani Sociedade de Advogados.

A especialista faz o alerta: aos usuários, é importante ter atenção aos pedidos de transferência via PIX realizados pelo WhatsApp e não informar seus dados por aplicativo. “Se algum parente, amigo ou conhecido entrar em contato solicitando informações ou transferências bancárias, desconfie.
Outro ponto que merece atenção é que o ocorrido acontece durante a fase final de implementação do Open Banking, o que levanta sérios questionamentos sobre como as instituições bancárias estão realizando tratamento, armazenamento de dados de seus clientes e se preparando para realizar a transferência desses dados para outras instituições. Mesmo que uma falha dita como ‘pontual’ pelo Banese, o alerta deve servir para todas as instituições financeiras”, diz a advogada.

Wilson Sales Belchior, sócio do RMS Advogados e conselheiro da OAB Federal, explica que o incidente demonstra a importância de uma conscientização sobre as noções básicas de segurança cibernética e da informação. “A técnica de engenharia social é um exemplo de ameaça que explora justamente a falta de conhecimento do usuário. Nesse caso, é destacável a postura de transparência do Banco Central ao comunicar o incidente à sociedade e esclarecer as pessoas sobre como se portar diante do ocorrido”, afirma.

Juliana de Oliveira Peixinho, advogada especialista em direito digital e proteção de dados do Chenut Oliveira Santiago Advogados, explica que essa postura do Bacen deixa os especialistas e o mercado mais tranquilos. “Assim, consolida-se como uma boa prática o compromisso de dar informações claras sobre o tratamento dos dados, especialmente em situações de incidentes de segurança”.

Para os advogados especializados em segurança digital, esse vazamento mostra a importância das empresas não só investirem na segurança dos seus sistemas, mas também em conscientizar os seus colaboradores sobre os riscos relacionados à segurança da informação.

“Infelizmente, este tipo de violação de dados deixa as pessoas mais inseguras quanto à capacidade das empresas em protegerem os seus dados. É importante que a Instituição financeira aja com transparência com os clientes e apure rapidamente as causas do vazamento. As instituições financeiras que investem para reduzir o risco de ataques e priorizam a educação em segurança cibernética terão mais chances na retenção de seus clientes”, diz Sofia Rezende, do núcleo de LGPD do Nelson Wilians Advogados.

Apesar da preocupação de usuários e mercado, especialistas acreditam que incidentes como esse fazem parte desse momento de implementação deste tipo de tecnologia. “O que importa é reforçar a confiabilidade da inovação e a indispensabilidade de programas de governança que atendam as boas práticas em segurança da informação e a exigência da LGPD por medidas técnicas e administrativas, capazes de salvaguardar a privacidade e os direitos dos titulares”, avalia Wilson Sales Belchior.

Leia na íntegra.

Procon-SP pede suspensão temporária do Pix e novas medidas de segurança

A advogada Flávia Bortolini foi destaque no ConJur:

Nesta quarta-feira (15/9), o Procon de São Paulo pediu ao Banco Central a suspensão temporária do Pix até a adoção de novas medidas de segurança. O órgão de defesa do consumidor teme um aumento ainda maior dos crimes envolvendo a plataforma.

O Banco Central anunciou novas regras da plataforma, como o limite de R$ 1 mil para transferências noturnas, o saque e o troco. Mas as mudanças não agradaram o Procon-SP.

“Essa solução do Banco Central não vai ajudar em nada as vítimas. Limitar em mil reais a transferência noturna vai deixar a vítima em poder do sequestrador até o amanhecer”, afirma Fenando Capez, diretor-executivo do órgão.

O Procon-SP não é o único a questionar o Banco Central sobre o tema. No fim do último mês, o deputado federal Lucas Vergílio (Solidariedade/GO) protocolou um requerimento de informações sobre as ações do BC para evitar fraudes no sistema de pagamento. O pedido é dirigido ao ministro da Economia, Paulo Guedes, e foi enviado ao presidenta da Câmara, Arthur Lira (PP-AL).

Já o deputado estadual Campos Machado (Avante-SP) apresentou, no início do mês, um projeto de lei para proibir temporariamente o uso do Pix em todo o estado até que o Banco Central torne a ferramenta mais segura.

De acordo com a advogada Sofia Coelho, sócia do escritório Daniel Gerber Advogados e especialista em Direito Público e do Consumidor, o Banco Central deve ser responsabilizado se falhar na fiscalização e permitir que o consumidor seja vítima de fraude ou golpe. “Em outras palavras, existe nexo direto entre o dano causado e a ação estatal”, explica.

Segundo Fernanda Zucare, especialista em Direito do Consumidor, o fornecedor deve zelar pela segurança do serviço e atender as necessidades dos consumidores. “Cada golpe tem suas peculiaridades e isso pode intervir diretamente na responsabilidade ou não da instituição financeira”, indica.

Para Flávia Bortolini, advogada especializada em Direito Digital e Proteção de Dados, sócia do Damiani Sociedade de Advogados, não basta confiar nas medidas do Banco Central. “O usuário deve sempre adotar certos cuidados ao utilizar suas plataformas: usar senhas com grau de dificuldade elevado, não compartilhar senhas com terceiros, utilizar autenticação em duas etapas nos aplicativos e limitar o valor de transferência são boas práticas que devem ser adotadas”, ressalta.

Revista Consultor Jurídico, 15 de setembro de 2021, 20h04

Procon vai ao Banco Central tentar suspender o Pix

A advogada Flávia Bortolini foi destaque no Portal Monitor do Mercado:

O Procon de São Paulo vai ao Banco Central pedir a suspensão temporária do Pix. A proposta será apresentada nesta quarta-feira (15/9) a técnicos do BC pelo diretor-executivo do Procon, Fenando Capez.

Dados do próprio Banco Central apontam para um crescimento exponencial na quantidade de reclamações do PIX na comparação entre o quarto trimestre de 2020 (o primeiro após o lançamento tecnologia que permite a transferência instantânea) e o primeiro trimestre de 2021.

No entanto, até agora o Bacen se recusa a indenizar as vítimas de estelionatários e fraudadores. Segundo a instituição, o problema é dos bancos — que dizem ter sido “atropelados” pelo lançamento do PIX pelo Bacen.

Diante da avalanche de reclamações, o deputado federal Lucas Vergílio (Solidariedade/GO) protocolou dia 31 de agosto, junto ao presidente da Câmara dos Deputados, requerimento de informações dirigido ao ministro Paulo Guedes, da Economia, questionando o que o Banco Central tem feito para evitar fraudes aos usuários do Sistema de Pagamento Instantâneo Brasileiro (PIX).

Dentre outras perguntas endereçadas a Paulo Guedes, o deputado indaga quais as medidas tomadas pelo Banco Central para evitar vazamentos de dados dos usuários dessa ferramenta.

“Perante o consumidor/usuário do PIX, o Banco Central responde ou não pelos prejuízos causados por falhas de segurança do sistema? Pelo uso da ferramenta por criminosos, para obter transferências de dinheiro que de outra forma não seriam feitas pela vítima?”, questiona o documento.

Já o deputado estadual Campos Machado (Avante) apresentou, dia 3 de setembro, projeto de lei na Assembleia Legislativa de São Paulo para proibir temporariamente o uso do PIX em todo o estado até que o Banco Central anuncie novas medidas para tornar a ferramenta mais segura.

A advogada Sofia Coelho, especialista em direito público e do consumidor, e sócia de Daniel Gerber Advogados, lembra que o próprio Banco Central, em seu site https://www.bcb.gov.br/estabilidadefinanceira/pix , “destaca a segurança como uma das características da ferramenta”.

Segundo ela, a atuação do Bacen inclui diversas funções, como autorizar e fiscalizar o funcionamento de outras instituições financeiras, garantindo, em tese, maior segurança aos clientes. “Portanto, se o consumidor foi vítima de uma fraude ou de um golpe e o Bacen falhou na fiscalização que lhe cabia, o Banco Central, deve, sim, ser responsabilizado civilmente pelos danos sofridos. Em outras palavras, existe nexo direto entre o dano causado e a ação estatal”, garante.

Fernanda Zucare, especialista em direito do consumidor, destaca por sua vez que na mesma velocidade com que o consumidor foi aderindo ao PIX, lançado em novembro de 2020 pelo Banco Central, “foi surgindo grande número de golpes eletrônicos através do PIX, demonstrando problemas de segurança e também entraves técnicos como, por exemplo, impossibilitar o cancelamento imediato de uma transação”.

Nesse sentido, a advogada destaca que o artigo 14º do Código de Defesa do Consumidor estabelece que o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos. Ou seja, o fornecedor deve zelar pela segurança de seus serviços, aprimorando a sua prestação a fim de que seja possível atender às necessidades dos consumidores.

“Cada golpe tem suas peculiaridades e isso pode intervir diretamente na responsabilidade ou não da Instituição Financeira”, explica Fernanda, lembrando que após o lançamento do PIX registrou-se aumento de 39% nos sequestros-relâmpago, no País.

Flávia Bortolini, advogada especializada em Direito Digital e Proteção de Dados, sócia do Damiani Sociedade de Advogados, observa, por sua vez, que o Bacen, respondendo a essa onda crescente de golpes, anunciou dia 27 de agosto algumas mudanças no PIX, que deverão ser adotadas pelos bancos nas próximas semanas. Dentre elas está a escolha de um limite de transferência pelo usuário, a redução no limite para transferência no período noturno para apenas R$ 1.000,00 e cadastro prévio de contas que possam receber transferências em valores acima do estabelecido pelo usuário.

“Contudo, não basta apenas confiar nas medidas impostas pelo Bacen. O usuário deve sempre adotar certos cuidados ao utilizar suas plataformas: usar senhas com grau de dificuldade elevado, não compartilhar senhas com terceiros, utilizar autenticação em duas etapas nos aplicativos e limitar o valor de transferência são boas práticas que devem ser adotadas”, destaca. Afinal, comenta, “não há como alterar o conceito de uma transferência imediata entre contas, porque tal mudança afetaria o espírito basilar do PIX, que é de trazer mais praticidade no dia a dia”.

As tentativas de fraudes e golpes financeiros mais comuns com o Pix são:

Phishing
Usam mensagens que aparentam ser reais para que o indivíduo forneça informações confidenciais, como senhas e números de cartões.

Clonagem de WhatsApp
De posse do código de segurança do app, a conta é replicada em outro celular. A partir daí, os criminosos enviam mensagens para os contatos da pessoa, fazendo-se passar por ela, pedindo dinheiro emprestado por transferência via Pix, por exemplo.

Engenharia Social no WhatsApp
O criminoso escolhe uma vítima e copia sua foto nas redes sociais. Depois, envia mensagens para os contatos dela, informando que teve de trocar de número. Assim, aproveita e pede uma transferência via Pix, dizendo passar por alguma emergência.

Falsos funcionários
A vítima recebe o contato de um suposto funcionário do banco ou empresa financeira oferecendo ajuda para cadastro da chave Pix, ou afirmando a necessidade de realizar algum teste, induzindo a realização de uma transferência.

Falso sequestro
Autor entra em contato com a vítima afirmando que sequestrou algum familiar e pede uma quantia para liberá-lo. O golpista aproveita o desespero da pessoa para convencê-la a fazer a transação.

Golpe do Bug
Aproveita da má-fé da vítima, pois espalha notícias de que o Pix está com alguma falha no funcionamento e é possível ganhar o dobro do valor transferido. Ao tentar tirar proveito dessa ação, a vítima enviará dinheiro para os criminosos.

ANPD vai decidir se WhatsApp pode compartilhar dados com Facebook

O sócio fundador André Damiani e a advogada Flavia Bortolini foram destaques no LexLatin.

Continue Reading
Scroll to top