O Banco Central do Brasil (BC) informou um incidente de segurança envolvendo dados cadastrais vinculados a chaves Pix sob a guarda da instituição de pagamentos QI SCD S.A. Segundo o BC, a falha não comprometeu informações sensíveis, como senhas ou saldos bancários. Os usuários afetados serão notificados apenas pelos canais oficiais de seus bancos. Medidas de apuração e sanções já estão em andamento.
Mesmo sem obrigatoriedade legal, o BC decidiu divulgar o incidente em nome da transparência e reforçou que mantém uma página específica em seu site para registrar eventos desse tipo. Além disso, alertou que nem o BC, nem as instituições financeiras entrarão em contato por aplicativos de mensagens, chamadas, SMS ou e-mail, evitando riscos de golpes envolvendo o vazamento.
Em outubro de 2024, o BC divulgou outro vazamento de chave Pix envolvendo a Caixa Econômica Federal. Este foi 16º vazamento do Pix em 2024. De acordo com a autoridade monetária, o vazamento teria comprometido informações como nome do usuário, CPF, instituição de relacionamento, agência, número e tipo e da conta, data de abertura da conta, data de criação da chave Pix e data a partir da qual o usuário tem a posse dessa chave.
A Security Report disponibiliza na íntegra o comunicado oficial do Banco Central sobre o caso:
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da QI SCD S.A., em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo.”
