O Banco Central (BC) confirmou, nesta segunda-feira (17), que 25.349 chaves Pix de clientes da fintech QI SCD tiveram dados expostos devido a falhas pontuais nos sistemas da instituição de pagamento. O incidente ocorreu entre 23 de fevereiro e 6 de março e representa o 18º vazamento de dados do Pix desde o lançamento do sistema de pagamentos instantâneos, em novembro de 2020.
De acordo com o BC, as informações expostas incluem nome do usuário, CPF parcialmente ocultado (com máscara), instituição de relacionamento, agência, número e tipo da conta. A autarquia ressaltou que os dados vazados são de caráter cadastral, sem afetar a movimentação financeira dos clientes. Informações protegidas pelo sigilo bancário, como saldos, senhas e extratos, não foram comprometidas.
Embora a divulgação do incidente não fosse obrigatória por conta do baixo impacto potencial, o BC afirmou que optou por informar o caso em nome do “compromisso com a transparência”.
Notificação e medidas de segurança
Os clientes afetados serão comunicados exclusivamente por meio do aplicativo ou do internet banking da instituição. O Banco Central alertou que quaisquer tentativas de contato via telefone, SMS, e-mail ou aplicativos de mensagens devem ser desconsideradas, pois podem indicar tentativas de golpe.
A exposição de dados não significa necessariamente que todas as informações tenham sido acessadas por terceiros, mas que ficaram visíveis e poderiam ter sido capturadas. O BC informou que investigará o caso e poderá aplicar sanções à QI SCD, como multas, suspensão ou até exclusão do sistema do Pix, conforme prevê a legislação vigente.
A fintech afirmou, em nota, que a falha foi pontual e corrigida imediatamente. A empresa reforçou que as informações expostas não permitem movimentações financeiras ou acesso a dados bancários sensíveis.
Histórico de incidentes
Desde a criação do Pix, 18 incidentes de exposição de dados já foram registrados, todos envolvendo informações cadastrais, sem comprometimento de senhas ou saldos bancários. O BC mantém uma página oficial onde os cidadãos podem acompanhar ocorrências desse tipo, conforme determinação da Lei Geral de Proteção de Dados (LGPD).
