No dia 22 da última semana, o Banco Central (BC) emitiu um comunicado a respeito do quinto episódio de um incidente de segurança que envolveu informações pessoais relacionadas ao sistema Pix. Nessa ocasião, dados cadastrais de 238 chaves, incluindo nome do titular, CPF, instituição financeira de vinculação, agência, número e tipo de conta, foram inadvertidamente expostos.
O BC identificou que as chaves Pix afetadas estavam sob a responsabilidade da Phi Serviços de Pagamentos S.A. (Phi Pagamentos), e a falha na proteção dessas informações ocorreu devido a deficiências pontuais nos sistemas da mencionada empresa de serviços de pagamento.
No pronunciamento oficial, o Banco Central enfatizou que os robustos mecanismos de segurança e monitoramento implementados no sistema Pix desempenharam um papel fundamental na contenção da extensão do vazamento, limitando a exposição aos dados cadastrais de apenas 238 chaves. Esse número representa uma parcela ínfima, equivalente a menos de 0,00004%, das mais de 630 milhões de chaves cadastradas no sistema.
O BC também tranquilizou o público ao afirmar que não ocorreu a divulgação de dados sensíveis, como senhas, detalhes de transações financeiras, saldos ou qualquer outra informação confidencial. Devido à natureza estritamente cadastral das informações vazadas, como nome do titular, CPF, banco e agência, não existe a possibilidade de movimentação de recursos ou acesso indevido às contas bancárias.
O comunicado divulgado pelo BC destacou ainda que os usuários impactados por esse incidente serão notificados exclusivamente por meio dos aplicativos bancários ou dos serviços de internet banking oferecidos pelas instituições financeiras. O BC e as instituições envolvidas não farão contato por telefone, SMS, e-mail ou WhatsApp, garantindo assim a segurança das comunicações.
Este episódio representa o quinto incidente envolvendo vazamento de dados no contexto das chaves Pix. O Banco Central tem se empenhado na transparência ao manter uma página específica com detalhes sobre cada uma dessas ocorrências. O primeiro vazamento ocorreu em agosto de 2021, quando dados de 414.526 chaves Pix foram expostos. Na ocasião, a vulnerabilidade de segurança foi identificada no Banco do Estado de Sergipe S.A. (Banese). Esse incidente, assim como o atual, se destacaram em termos de escala, visto que a quantidade de dados afetados foi significativa.
Os eventos subsequentes ocorreram em dezembro de 2021, quando 160.147 chaves Pix foram vazadas; em janeiro de 2022, com 2.112 chaves afetadas; e entre julho e setembro de 2022, quando 137.285 chaves tiveram suas informações expostas. O caso mais recente envolveu 238 chaves Pix.
O BC enfatizou que todos esses incidentes são minuciosamente investigados, e as instituições envolvidas são submetidas às sanções previstas pela regulamentação vigente. A instituição reafirmou seu compromisso com a segurança e aprimoramento constante do sistema Pix, a fim de proteger os dados sensíveis dos usuários e preservar a confiabilidade desse meio de pagamento.