Lorsque les premiers cas sont apparus, ils ont été traités comme ponctuels. Mais maintenant, avec plus d'un million de clés Pix exposées depuis 2021, selon des données récemment divulguées par la Banque centrale, il est plus correct de les appeler courantes. Le plus récent, celui de Cashway Tecnologia, qui bien que n'impliquant que 50 clés, a fait revenir le Brésil à la discussion sur la sécurité du système de paiements instantanés.
C'est pourquoi, au cours des premiers mois de cette année, de nouveaux incidents de fuite ont été enregistrés, ce qui a accru les préoccupations concernant la protection des données personnelles des utilisateurs. Avant Cashway, le problème s'était produit chez QI Société de Crédit Direct et avait exposé 25 349 clés Pix de clients. En plus de cela, le cas de XP (XPBR31), qui a informé ses clients à la fin avril qu'une base de données hébergée chez un fournisseur externe de l'institution financière avait subi un « accès non autorisé ». Ainsi, les utilisateurs ont été victimes d'une fuite d'informations, telles que le nom, le téléphone, l'e-mail, la date de naissance, le code postal, l'état civil, le poste et la nationalité, ainsi que les produits financiers souscrits, le numéro de compte chez XP et le solde du mois précédent.
Selon Thiago Guedes, PDG de DeServ, une entreprise spécialisée dans la sécurité de l'information et la confidentialité des données, pour que les entreprises responsables de la protection des clés Pix évitent la survenue de défaillances ponctuelles dans les systèmes, il est essentiel d'observer toute la chaîne de développement des applications et des systèmes, depuis la phase de programmation et de tests jusqu'à leur mise en production. Ce suivi est exigé justement pour prévenir les problèmes et défaillances possibles avant même qu'ils ne se produisent.
« De cette manière, toutes les entreprises qui traitent des données personnelles doivent développer des processus d'amélioration continue couvrant à la fois l'aspect juridique et la sécurité de l'information. À chaque étape du traitement des données, il est essentiel de rechercher une conformité immédiate avec la LGPD. La législation elle-même exige la réalisation d'un rapport d'impact sur la protection des données, et l'entreprise doit se structurer pour que ces processus soient bien en place afin de pouvoir gérer les risques éventuels », affirme.
En ce qui concerne les titulaires de clés Pix, il faut faire attention au fait qu'il n'est pas toujours possible de savoir quand et si ils ont été victimes d'une fuite ou non.Dans ce sens, l'idéal est toujours de prendre des mesures de sécurité renforcées. Bien que les données divulguées n'incluent pas de mots de passe ni ne permettent de transactions financières, toute exposition d'informations personnelles peut faciliter des tentatives d'escroquerie, notamment par ingénierie sociale », avertit-il.
Guedes donne quelques conseils sur comment se protéger.
Surveillez vos clés Pix :Suivez fréquemment l'utilisation de vos clés Pix via l'application de votre banque. Si vous remarquez quelque chose d'étrange ou d'inconnu, contactez immédiatement l'institution financière.
Activez les alertes et notifications :Maintenez activées les notifications de transactions via Pix sur votre téléphone pour identifier rapidement toute activité non autorisée.
Attention aux messages suspects :Les coupables de coups d'État ont tendance à utiliser des données divulguées pour envoyer de faux messages (phishing). Ne cliquez jamais sur les liens reçus par SMS, WhatsApp ou e-mail, même s'ils semblent légitimes.
Mettez à jour vos informations :Si vous suspectez que votre clé a été compromise, vous pouvez demander la portabilité ou la suppression de la clé Pix auprès de votre banque.
Utilisez plusieurs facteurs d'authentification :Chaque fois que possible, activez la vérification en deux étapes dans les applications financières et enregistrez des mots de passe forts et uniques.
Vérifiez si vos données ont été compromises :La Banque centrale met à disposition des canaux officiels pour informer l'utilisateur en cas de fuites éventuelles. Faites attention aux communiqués directement sur l'application de votre banque ou sur le site de la BC.
Selon la Banque centrale, les données divulguées comprennent des informations telles que le nom, le CPF, la banque de relation, le numéro de l'agence et la date de création de la clé Pix. Aucune donnée sensible, telle que mots de passe, soldes ou relevés, n'a été compromise. Cependant, la recommandation est de redoubler d'attention.
« Pix est un système sécurisé, mais aucune technologie n'est à l'abri de défaillances opérationnelles. C'est pourquoi la vigilance de l'utilisateur est une partie essentielle de la protection », conclut l'expert.
