O Banco Central revelou hoje que dados pertencentes a mais de 87 mil chaves Pix, vinculadas aos clientes da Sumup Sociedade de Crédito Direto S.A. (Sumup SCD), foram indevidamente acessados. Esse incidente, marcado como o sétimo desde o lançamento do sistema de pagamentos instantâneos em novembro de 2020, expôs informações sensíveis, incluindo nomes de usuários, CPFs mascarados, detalhes da instituição financeira, agência e número da conta.
A brecha na segurança ocorreu entre 28 de setembro de 2023 e 16 de março de 2024, de acordo com o comunicado do Banco Central. A vulnerabilidade foi atribuída a falhas específicas nos sistemas da instituição de pagamento. É crucial ressaltar que, embora os dados cadastrais tenham sido comprometidos, as informações protegidas pelo sigilo bancário, como senhas, saldos e extratos, permaneceram seguras.
Apesar de o impacto direto para os clientes ser considerado baixo, o Banco Central optou por comunicar o incidente em nome da transparência. A instituição garantiu que todos os afetados serão notificados exclusivamente através do aplicativo ou do internet banking da Sumup SCD, desencorajando a consideração de qualquer outra forma de comunicação, como chamadas telefônicas, SMS ou e-mails.
É importante ressaltar que a exposição dos dados não implica necessariamente que todas as informações tenham sido comprometidas, mas sim que estiveram vulneráveis por algum tempo, sujeitas a captura por terceiros. O Banco Central afirmou que uma investigação será conduzida e que sanções podem ser aplicadas conforme a gravidade do caso, incluindo multas e até exclusão do sistema Pix.
Este episódio se junta a uma série de incidentes semelhantes desde o lançamento do Pix. Desde agosto de 2021, quando 414,5 mil chaves foram comprometidas no Banco do Estado de Sergipe (Banese), até o mais recente caso, envolvendo 46 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia), a segurança do sistema tem sido desafiada repetidamente.
Todos os incidentes anteriores compartilham uma característica comum: a exposição de informações cadastrais, sem comprometer senhas ou saldos bancários. De acordo com a Lei Geral de Proteção de Dados, o Banco Central mantém uma página dedicada a informar o público sobre incidentes relacionados às chaves Pix e outros dados pessoais sob sua responsabilidade.