Na última terça-feira, 22 de agosto, o Banco Central comunicou que 238 chaves Pix pertencentes a clientes da Phi Serviços de Pagamentos S.A. (Phi Pagamentos) tiveram suas informações expostas. Isso marca o quinto incidente de vazamento de dados desde a introdução do sistema de pagamentos instantâneos em novembro de 2020.
De acordo com o Banco Central, essa exposição ocorreu devido a problemas pontuais nos sistemas da instituição de pagamento. É importante destacar que os mecanismos de segurança e monitoramento do Pix contribuíram para minimizar o alcance das informações vazadas. Isso resultou na exposição de apenas 238 chaves Pix, o que representa menos de 0,00004% do total de mais de 630 milhões de chaves registradas no Diretório de Identificadores de Contas Transacionais (DICT).
A exposição se restringiu a informações cadastrais e não afetou transações financeiras. É relevante salientar que dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, permaneceram confidenciais e não foram comprometidos. Embora o impacto potencial para os clientes tenha sido baixo a ponto de não exigir comunicação obrigatória, o Banco Central optou por informar o incidente em virtude do seu compromisso com a transparência.
Aqueles cujas informações foram expostas receberão notificações exclusivamente por meio do aplicativo da Phi Pagamentos ou do internet banking da instituição. O Banco Central enfatizou que esses serão os canais oficiais para alertas sobre a exposição das chaves Pix e orientou os clientes a desconsiderarem qualquer comunicação por telefone, SMS, aplicativos de mensagens ou e-mail.
Vale ressaltar que a exposição dos dados não implica necessariamente que todas as informações tenham sido vazadas, mas sim que ficaram acessíveis a terceiros por um período de tempo, com a possibilidade de terem sido capturadas. O Banco Central confirmou que uma investigação será conduzida e que penalidades poderão ser aplicadas conforme a legislação vigente. Dependendo da gravidade do caso, isso pode incluir multas, suspensão ou até mesmo exclusão do sistema Pix.
Histórico de incidentes
Este já é o quinto caso em que dados do sistema Pix foram acidentalmente compartilhados desde que o sistema foi estabelecido em novembro de 2020. Em agosto de 2021, um incidente resultou na divulgação não intencional de informações ligadas a 414,5 mil chaves Pix associadas a números de telefone vinculados ao Banco do Estado de Sergipe (Banese). Inicialmente, o Banco Central havia comunicado que o vazamento no Banese tinha impactado 395 mil chaves, mas essa quantidade foi posteriormente ajustada.
Em janeiro de 2022, aproximadamente 160,1 mil clientes da empresa Acesso Soluções de Pagamento tiveram suas informações acidentalmente expostas. No mês subsequente, 2,1 mil clientes da empresa Logbank Pagamentos também passaram pela mesma situação, com seus dados sendo inadvertidamente divulgados.
O incidente de vazamento mais recente ocorreu em setembro do ano passado, quando detalhes pertencentes a 137,3 mil chaves Pix registradas pela Abastece Ai Clube Automobilista Payment Ltda. (Abastece Aí) foram inadvertidamente revelados.