O Banco Central (BC) comunicou nesta sexta-feira que houve um vazamento de dados pessoais de 160,1 mil chaves Pix sob responsabilidade da Acesso Soluções de Pagamento. Segundo o BC, houve falhas pontuais no sistemas da empresa.

Em nota, o BC ressaltou que dados sensíveis e protegidos pelo sigilo bancário como senhas, saldos e informações de movimentações não foram expostos. As únicas informações que vazaram são de natureza cadastral, que não permitem movimentação de recursos, de acordo com o BC.

Os dados foram expostos do dia 3 a 5 de dezembro do ano passado. As informações potencialmente vazadas são de nome de usuário, CPF, instituição de relacionamento, número da agência e da conta.

Limite noturno de R$ 1 mil
Mudanças no Pix Foto: REMO CASILLI / REUTERSFoto: REMO CASILLI / REUTERS
Foi criado um limite padrão de R$ 1 mil para transações que ocorram das 20h às 6h. Mas o cliente pode optar também pelo horário inicial de 22h para esse limite. A medida vale para Pix, TEDs, transferências entre contas do mesmo banco e cartões de débito. Se desejar, o cliente pode aumentar ou reduzir o valor.

Mais tempo para alterar limite
Novas regras para o Pix Foto: Agência O GloboFoto: Agência O Globo
Bancos e outras instituições financeiras terão prazo mínimo de 24 horas e máximo de 48 horas para efetivar pedido de aumento do limite de transações feito por canal digital. Até então, o prazo para aumento de limite do Pix variava entre uma hora e o dia útil seguinte. A mudança vale também para TED, DOC, boleto, cartão de débito e transferências entre contas do mesmo banco.

Retenção da transferência

As instituições financeiras poderão reter transações para análise de risco por 30 minutos, durante o dia, ou 60 minutos, durante a noite.

Bloqueio cautelar

A própria instituição bancária que detém a conta de quem recebe o Pix pode efetuar o bloqueio preventivo do dinheiro por até 72 horas, caso suspeite de fraude. De acordo com o BC, essa opção vai permitir que o banco faça uma análise mais robusta do caso, o que aumenta a chance de recuperação do dinheiro, se o pagador tiver sido vítima de algum crime.

Devolução de dinheiroB

O mecanismo poderá ser acionado tanto pelo banco como pelo cliente, caso ele tenha feito uma transferência via Pix e se dê conta em seguida que foi vítima de um golpe. Para usar essa ferramenta, é preciso registrar um boletim de ocorrência e comunicar imediatamente o ocorrido à instituição financeira, por um canal de comunicação oficial, como SAC ou ouvidoria. Uma vez bloqueado o dinheiro, as instituições bancárias terão até sete dias para analisar o caso. O sistema pode ser acionado em caso de falha operacional, mas não em casos em que o usuário digita a chave Pix errada.

Contas fora do limite geral

As instituições financeiras deverão permitir que os clientes cadastrem previamente contas que poderão receber Pix acima dos limites estabelecidos. O cadastramento só terá efeito depois de 24 horas.

Identificação de contas suspeitas

Bancos e instituições financeiras passam a ser obrigados a marcar contas com indícios de utilização em fraudes no Diretório de Identificadores de Contas Transacionais (DICT). As instituições poderão consultar essa base de dados a fim de coibir outros crimes envolvendo uma mesma conta suspeita.

Controle de fraudes

As instituições reguladas pelo BC deverão ter controles adicionais de fraude. O Comitê de Auditoria ou o Conselho de Administração deverão ser avisados, e o BC deverá ter acesso a essas informações.

Histórico de atuação

As instituições deverão exigir histórico comportamental e de crédito para que empresas possam antecipar recebíveis no mesmo dia.

Segundo o BC, no período entre a exposição dos dados e a divulgação do vazamento, a instituição estava apurando “detalhadamente” o caso e acompanhamento as medidas adotadas pela Acesso para resolver as falhas nos sistemas da empresa. Ainda de acordo com o Banco Central, a empresa respeitou todos os prazos de resposta estabelecidos pelo BC.

As chaves Pix são uma identificação da conta para facilitar as transações. Elas podem ser um número de telefone, CPF ou CNPJ, um e-mail ou até uma chave aleatória alfanumérica.

Atualmente existem 365,7 milhões de chaves Pix para pessoa física e 15,5 milhões para empresas.

Medidas da empresa
A Acesso Pagamentos é um instituição de pagamento que oferece serviços como cartões recarregáveis, banco digital e de plataformas financeiras.

Em nota, a empresa informou que tomou ações para garantir a segurança das informações.

“Reforçamos que tomamos, de forma tempestiva, todas as providências necessárias para garantir a segurança das informações mantidas pela Companhia e o nosso compromisso em manter o mercado e nossos parceiros informados”, diz a nota.

Segundo o Banco Central, as pessoas que tiveram seus dados vazados serão notificadas apenas pelo aplicativo da Acesso ou por meio do internet banking. A autoridade monetária ressalta que não haverá comunicação por telefone, mensagens, SMS ou e-mail.

Quebra de segurança
Marco Zanini, CEO da Dinamo Networks, empresa de segurança digital, conta que uma das possibilidades para o vazamento ter acontecido seria a de um hacker construir um programa para utilizar a plataforma da Acesso para consultar as informações das contas de pessoas.

Zanini explica que o hacker pode ter utilizado um banco de CPFs, colocado essa informação no aplicativo para fazer um Pix e, em vez de transferir, coletou os dados de agência, conta e nome das pessoas.

Segundo ele, essa possibilidade seria uma quebra de segurança porque esses dados de conta e agência deveriam estar anonimizados e o aplicativo deveria bloquear tantas consultas às chaves Pix sem transferência.

— Pelas boas prática de segurança, depois de três vezes que eu consulto chave Pix e não faço transferência, eu tenho que bloquear aquela sessão e fazer você entrar na aplicação novamente porque pode ser um robô que tá verificando chaves para pegar informação de conta. Se eu não tiver controle, eu deixo o cara ficar consultando dezenas, centenas de chaves e vai capturando as informações de agência, conta e esse tipo de informação — relata o especialista.

Com esses dados em mãos, Zanini dá um exemplo. Um golpista pode ligar para a pessoa cujo o dado foi vazado alegando que representa o banco na qual ele tem conta. Ele informa que houve o vazamento e faz uma série de questionamentos para tentar conseguir outras informações.

— Eu ligo e falo: “Sou do departamento de segurança do banco X e estou fazendo uma verificação. Como houve quebra de segurança no banco tal, vou fazer perguntas por questão de segurança. Qual o nome da sua mãe? Do seu pai? Qual a sua senha?” Muitos não falam e outros falam porque você vai induzindo a pessoa a responder. Ele fala a senha, eu anoto. Agora eu tenho a agência, conta e senha dele, eu já consigo entrar no internet banking dele e fazer uma transferência para mim — exemplificou.

O sócio do escritório Urbano Vitalino, Nagib Barakat, ressalta que as pessoas que tiveram os dados vazados precisam ter atenção redobrada para possíveis golpes.

— Neste momento o que pode acontecer: Com os dados cadastrais, a engenharia social pode ser utilizada por alguém que queira ter acesso às suas senhas, outros dados bancários, páginas falsas na internet podem ser criadas, e-mails com links para baixar software maliciosos também podem ser criados e recebidos. Tem que ter um certo cuidado — recomenda.

O BC também anunciou que adotou as “ações necessárias” para apurar o caso e poderá aplicar as sanções previstas no regulamento do Pix, que podem ser multa, suspensão ou até exclusão do sistema.

Precaução
Cecilia Choeri, especialista em proteção digital e compliance, sócia de Chediak Advogados, sugere que quem tenha tido seus dados expostos troque as chaves Pix e fique atento aos indícios de que as informações estão sendo utilizadas indevidamente, como para abrir contas em outros serviços.

— Por exemplo, se você recebe uma comunicação de operadora de telefonia dizendo “obrigado por abrir uma nova conta” é algo que tem que chamar a atenção. A recomendação é não clicar no link, mas procurar uma fonte confiável para verificar se está tudo certo, como ir até um ponto físico da operadora — explicou.

Thiago Cabral, sócio diretor da empresa Athena Security, disse que é difícil identificar como o vazamento ocorreu, se houve um acesso ao banco de dados por um hacker, se foi um trabalho interno, mas ressaltou que a empresa terá de responder pela ocorrência.

O especialista destaca que é natural que algumas empresas tenham um nível de segurança maior para dados sensíveis do que para informações cadastrais, como as que foram vazadas.

— Não tira a responsabilidade da empresa em também proteger os dados que não necessariamente são sensíveis porque ainda representam riscos. Essas informações mal utilizadas podem ser oportunidade para hackers, criminosos, utilizarem os dados para diversos tipo de golpes — afirmou.

Vazamento no Banese
A ocorrência comunicada nesta sexta-feira é o segundo vazamento de dados de chaves Pix desde o lançamento do sistema, em novembro de 2020. A primeira aconteceu em agosto de 2021 no banco do Sergipe, o Banese.

Naquela ocasião, 395 mil chaves foram vazadas e, como nesta vez, dados sensíveis como senhas e saldos não faziam parte das informações afetadas.

Zanini, da Dinamo Networks, ressalta que o problema é na construção dos aplicativos dos bancos, fintechs e cooperativas. Para evitar novos casos, ele sugere a ideia do BC construir um guia para uma programação mais segura dos aplicativos.

— Acho que o Banco Central podia lançar um guia de melhores práticas de desenvolvimento das aplicações e colocar alguma certificadora que pudesse certificar que os softwares estão bem escritos. Assim como a gente faz isso nos equipamentos de criptografia, os aplicativos de banco poderiam ter isso sim.

Informações: O Globo