Vazamento de dados do Pix: saiba quais são os riscos e como se proteger
Publicado em 04/11/2024 , por Karilayn Areias
Somente neste ano, o Banco Central comunicou nove incidentes; novas medidas de segurança começaram a valer a partir de sexta-feira
Rio - Desde que foi lançado, em novembro de 2020, o Pix se tornou o meio de pagamento mais utilizado pelos brasileiros. Mas, somente neste ano, o Banco Central comunicou nove vazamentos de dados de chaves que permitem realizar transações. Estes incidentes abrem brecha para o cliente se questionar: é realmente seguro utilizar o Pix? Quais são os riscos que se corre a cada vazamento?
De acordo com o especialista em Direito Digital e Proteção de Dados e sócio do Godke Advogados, Alexander Coelho, o sistema Pix, em si, conta com uma robusta infraestrutura de segurança gerida pelo Banco Central. Entretanto, os vazamentos não ocorrem diretamente pelo sistema Pix, mas sim nos bancos e nas instituições financeiras que gerenciam as contas dos usuários.
"O maior causador desses vazamentos é a falha de segurança nessas instituições, seja por vulnerabilidades em sistemas internos ou por ataques de engenharia social. Adicionalmente, a gestão inadequada de dados por parte de algumas empresas também expõe essas informações. Logo, o problema está na proteção dos dados dentro dessas instituições e não no sistema Pix propriamente dito", explica.
Sobre os riscos imediatos, Coelho diz que com os dados vazados, golpistas podem realizar fraudes, como tentativas de phishing e até golpes mais sofisticados, como a clonagem de contas.
"Mesmo que o Pix em si não permita transações sem a autorização, golpistas podem usar dados vazados para enganar o usuário a autorizar transferências ou a fornecer dados adicionais que permitam mais golpes. Além disso, dados como CPF, número de celular e informações bancárias podem ser cruzados com outras bases de dados, aumentando o potencial de exposição e riscos", frisa.
Especialista em Direito Digital e sócio do CNF Advogados, Rafael Federici lembra que os vazamentos ocorrem invariavelmente por falhas de segurança da informação nas instituições participantes, ou seja, vulnerabilidades provocadas por configurações inadequadas, softwares desatualizados, erro humano ou ataques cibernéticos.
"Estes dados cadastrais podem ser usados para falsificação de documentos, abertura de cadastros e contas bancárias em nome das vítimas. Não raro os dados vazados passam a integrar bancos de dados de informações pessoais que são comercializados na chamada dark web, ou seja, uma parte obscura da internet onde não existe regulação nem indexação por mecanismos de busca comuns, portanto, um ambiente propício à disseminação de crimes e atos ilegais", ressalta.
Vale lembrar que as empresas que não protegem os dados dos clientes podem enfrentar consequências severas, incluindo multas e sanções da Autoridade Nacional de Proteção de Dados (ANPD). O vazamento de dados sensíveis fere diretamente a Lei Geral de Proteção de Dados (LGPD).
Procurado por O DIA, o Banco Central informou que "atua tempestivamente sempre que identifica falhas individuais na atuação de participantes do Pix" e que "adota uma política de máxima transparência com a sociedade brasileira".
"Nesse sentido, mesmo eventos classificados como de baixo impacto, caso dos episódios relacionados às chaves Pix, envolvendo dados meramente cadastrais e bastante acessíveis, foram amplamente divulgados. A segurança do Pix é pilar fundamental do ecossistema e novas medidas são implementadas sempre que necessário, com amplo diálogo com o mercado, em especial no âmbito do Grupo Estratégico de Segurança do Fórum Pix", informou a instituição em nota.
Na última sexta-feira (1º), o Pix ganhou novas regras para dar mais segurança em suas transações, com novidades para o cadastramento de novos dispositivos usados por clientes em suas transações. As novas regras determinam que, a partir de novembro, se o cliente trocar de celular ou computador, ele terá um limite de R$ 200 por operação, ou R$ 1 mil por dia. Para elevar esses limites será necessário cadastrar o novo aparelho em suas instituições financeiras. Cabe ao banco enviar uma mensagem diretamente ao cliente por meio de seu aplicativo, indicando os dados necessários e onde deve ser feito esse cadastro.
Nada mudará para os clientes que estão com suas contas ativas e com seu dispositivo já cadastrado em suas instituições. Segundo a Federação Brasileira de Bancos (Febraban), o objetivo da medida é reduzir a probabilidade de fraudadores usarem dispositivos diferentes daqueles utilizados pelo cliente para gerenciar chaves e iniciar transações Pix.
Como se proteger
Para minimizar o risco de vazamento de dados, o usuário deve escolher de forma mais criteriosa o banco, instituição de pagamento ou fintech na qual manterá o seu relacionamento para pagamentos via Pix, dando preferência a empresas que coloquem a segurança da informação em primeiro plano e invistam de forma consistente em proteções aos dados dos usuários, defende Federici.
"Normalmente os grandes bancos e instituições possuem mais recursos e meios para realizar esse investimento em segurança", diz.
Já Coelho aconselha que o cidadão deve evitar clicar em links desconhecidos ou atender a ligações que solicitem informações pessoais ou bancárias, mesmo que pareçam confiáveis. A ativação da autenticação em dois fatores e o monitoramento de notificações no aplicativo bancário também ajudam a manter o controle sobre a conta e evitam autorizações acidentais.
"Outra dica é limitar o compartilhamento de dados pessoais em redes sociais, para reduzir as chances dos golpistas obterem informações complementares que possam usar em fraudes", frisa.
Para não esquecer!
- Considere a criação de chaves Pix aleatórias ao invés de dados pessoais como CPF, telefone ou e-mail;
- Monitore regularmente as suas transações bancárias;
- Utilize autenticação de dois fatores nos acessos às contas bancárias;
- Seja cauteloso com e-mails, mensagens e ligações solicitando informações pessoais;
- Mantenha softwares atualizados em seus dispositivos;
- Esteja atento às notificações de instituições sobre possíveis vazamentos;
- Em caso de suspeita de uso indevido de dados, notifique imediatamente a instituição financeira e considere o bloqueio temporário da chave Pix.
Vazamentos em 2024
Período | Dados vazados | Instituição envolvida |
1º de janeiro a 22 de fevereiro | 46.093 | Fidúcia |
20 de março a 13 de abril | 3.020 | Banpará |
23 a 24 de abril | 2.197 | Pagcerto |
21 a 27 de maio | 19.849 | IUGU |
26 de junho a 2 de julho | 39.088 | 99Pay |
5 a 8 de julho | 174 | Unicred |
23 de julho a 5 de agosto | 8.032 | BTG Pactual |
2 a 4 de setembro | 150 | Shopee |
10 a 19 de setembro | 53.383 | Qesh |
Fonte: O Dia Online - 03/11/2024
Notícias
- 27/11/2024 68,1 milhões de consumidores estavam inadimplentes em outubro
- Inflação já é uma realidade
- Bancos pressionam governo por revisão do teto de juros do empréstimo consignado do INSS
- Black Friday 2024: veja quais são os direitos do consumidor para a data
- Gastos do Bolsa Família aumentaram 47,1% em 2023, aponta IBGE
- TJDFT mantém indenização por cobranças indevidas e assédio telefônico a consumidor
- Um em cada três proprietários de imóveis enfrenta dificuldades para definir preço de venda ou aluguel
Perguntas e Respostas
- Quanto tempo o nome fica cadastrado no SPC, SERASA e SCPC?
- A consulta ao SPC, SERASA ou SCPC é gratuita?
- Saiba quais os bens não podem ser penhorados para pagar dívidas
- Após quantos dias de atraso o credor pode inserir o nome do consumidor no SPC ou SERASA?
- Protesto de dívida prescrita é ilegal e dá direito a indenização por danos morais
- Como consultar SPC, SERASA ou SCPC?
- ACORDO - Em caso de acordo, após o pagamento da primeira parcela o credor é obrigado a tirar o nome do devedor dos cadastros de SPC e SERASA ou pode mantê-lo cadastrado até o pagamento da última parcela?
- CHEQUE – Não encontro à pessoa para qual passei um cheque que voltou por falta de fundos. O que posso fazer para pagar este cheque e regularizar minha situação?
- Problemas com dívidas? Dicas para você não entrar em desespero
- PROTESTO - Qual o prazo para o protesto de um cheque, nota promissória ou duplicata? O protesto renova o prazo de prescrição ou de inscrição no SPC e SERASA?
- O que o consumidor pode fazer quando seu nome continua incluído na SERASA ou no SPC após o pagamento de uma dívida ou depois de 5 anos?
- Cartão de Crédito: Procedimentos em caso de perda, roubo ou clonagem
- Posso ser preso por dívidas ?
- SPC e SERASA, como saber se seu nome está inscrito?
- Acordo – Paga a primeira parcela nome deve ser excluído dos cadastros negativos (SPC, SERASA, etc)