O Banco Central do Brasil (BC) informou esta semana a ocorrência de um “incidente de segurança com dados pessoais vinculados a chaves Pix, em razão de falhas pontuais nos sistemas dessa instituição”.
No registro de incidentes de dados pessoais mantido pelo Bacen, o vazamento teria ocorrido entre 23 de julho a 5 de agosto de 2024, envolvendo dados cadastrais ligados a mais de 8 mil chaves Pix. Esses dados incluiriam nomes de usuário, CPFs mascarados, instituição de relacionamento, agência e número de contas.
O BC ainda aponta que os registros não viabilizam movimentações de recursos nem acesso às contas ou dados financeiros adicionais. “Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário”, acrescenta a nota.
Por meio de comunicado enviado à Security Report, o BTG Pactual aponta que o vazamento não é fruto de invasão a nenhum sistema interno, que permanece íntegro neste momento. Da mesma forma, o banco acrescenta que não foram expostos dados sensíveis, como cadastros, senhas e outras informações de caráter confidencial.
“O BTG Pactual esclarece que identificou consultas pontuais, a partir da utilização de números de CPFs obtidos fora do sistema do banco, que permitiram a visualização unicamente dos dados de agência e conta-corrente vinculados a esses respectivos CPFs. Imediatamente o Banco restringiu o acesso a essas informações”, explica a mensagem do BTG Pactual.
A instituição reforça que a segurança das informações é sua prioridade e segue disponível para esclarecimento de dúvidas dos clientes através de seus canais oficiais de atendimento. O Banco Central também alerta que as instituições financeiras do país não contatam os clientes afetados com aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail, sendo o aplicativo ou internet banking as formas mais usadas.
O BC encerra justificando a necessidade de divulgação da nota em respeito aos princípios de transparência da instituição. “Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação”, conclui.
De acordo com o registro mantido pela autoridade monetária, esse teria sido o 8º incidente de vazamento em 2024. O mais recente até então havia afetado três unidades cooperadas ligadas ao Unicred do Brasil, mas, da mesma forma, não foram vazados dados que comprometessem o acesso dos clientes da Cooperativa.
A Security Report divulga, na íntegra, as notas do BTG Pactual e do Banco Central:
“O BTG Pactual esclarece que identificou consultas pontuais, a partir da utilização de números de CPFs obtidos fora do sistema do banco, que permitiram a visualização unicamente dos dados de agência e conta-corrente vinculados a esses respectivos CPFs. Imediatamente o Banco restringiu o acesso a essas informações.
O BTG Pactual reforça que não houve nenhuma invasão a nenhum sistema do banco, e que não foram expostos dados sensíveis, como dados cadastrais, senhas e outros dados sigilosos. O BTG Pactual reforça, ainda, que a segurança das informações é prioridade e está disponível em caso de dúvidas em seus canais de atendimento.”
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade do Banco BTG Pactual, em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo”.
