Nesta quinta-feira (30) o Banco do Estado de Sergipe (Banese) informou que uma brecha de segurança foi detectada pela instituição. Nesse contexto, segundo o banco, dados cadastrais de pessoas que não são clientes do banco, como chaves PIX, foram acessados indevidamente.
Em comunicado, o Banco Central (BC) informou que não foram expostos dados sensíveis, como senhas, valores movimentados e saldos nas contas. No entanto, telefones de clientes foram detectados por pessoas de fora da instituição. Desse modo, 395.009 chaves PIX foram expostas mediante “engenharia social”.
O banco relatou que o sistema ao qual os invasores tiveram acesso, chamado Diretório de Identificadores de Contas Transacionais (DICT), guarda dados pessoais dos clientes. Esses dados são nome, CPF, banco em que a chave está registrada, agência, conta, data da abertura da conta e data de registro da chave PIX.
De acordo com o Banco Central, as informações vazadas não permitem movimentação de recursos nem acesso às contas dos clientes ou a outras informações financeiras. Por motivo de segurança, as pessoas que tiveram dados vazados serão notificadas exclusivamente por meio do aplicativo da instituição financeira.
Ainda segundo o comunicado do Banco Central, o vazamento decorreu de “falhas pontuais” nos sistemas do Banese. Assim, o órgão informou ter adotado as ações necessárias para a apuração detalhada do caso e manutenção maior da segurança de seus sistemas e aplicará as medidas sancionadoras previstas na regulamentação.
Ademais, a autoridade monetária esclareceu que a divulgação do vazamento de dados cadastrais do PIX não é exigida pela legislação. Isto porque a divulgação tem pouco impacto para os usuários do sistema de transações instantâneas. Desse modo, o incidente foi comunicado para clientes por conta do compromisso da instituição com a transparência.
Como novas medidas de segurança, o Banco Central permitiu que instituições financeiras possam bloquear o recebimento de transferências via Pix a pessoas físicas por até 72 horas. A medida é feita caso haja suspeita que o PIX da conta seja usado para fraudes. Nesse sentido, segundo o BC, o bloqueio preventivo permite que a instituição financeira faça uma análise mais cuidadosa no caso de fraudes em contas de pessoas físicas.
As novas medidas também tornaram obrigatória a notificação de infração. Sendo assim, por meio desta, as instituições podem registrar eventuais irregularidades e compartilhar informações com as demais instituições sempre que houver consulta a uma chave PIX. Atualmente, a notificação é facultativa para cada instituição.
Além disso, o uso de informações vinculadas às chaves PIX de usuários será ampliado para prevenir fraudes. Dessa maneira, os bancos poderão consultar as notificações de fraudes vinculadas a usuários finais mesmo em procedimentos não vinculados diretamente ao sistema de pagamentos instantâneos, como abertura de contas.
Por fim, as novas medidas obrigaram que os mecanismos de segurança adotados pelas instituições financeiras sejam no mínimo iguais aos procedimentos do Banco Central. Assim, casos de excessivas consultas de chaves PIX que não resultem em liquidação ou de consultas a chaves inválidas deverão ser identificados e devidamente tratados.