Quando os primeiros casos surgiram, eles foram tratados como pontuais. Mas agora, com mais de 1 milhão de chaves Pix expostas desde 2021, segundo dados divulgados recentemente pelo Banco Central, é mais correto chamá-los de comuns. O mais recente, foi o da Cashway Tecnologia, que apesar de envolver apenas 50 chaves, fez o Brasil voltar a discutir a segurança no sistema de pagamentos instantâneos.
Isto porque nos primeiros meses deste ano, novos incidentes de vazamento foram registrados, elevando a preocupação sobre a proteção de dados pessoais dos usuários. Antes da Cashway, o problema havia ocorrido na QI Sociedade de Crédito Direto e exposto 25.349 chaves Pix de clientes. Além desses, teve grande repercussão o caso da XP (XPBR31), que comunicou aos clientes, no final de abril, que uma base de dados hospedada em um fornecedor externo da instituição financeira teve um “acesso não autorizado”. Desta forma, usuários foram vítimas de vazamento de informações, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, cargo e nacionalidade, além quais produtos financeiros foram contratados, número da conta na XP e saldo no mês anterior.
Segundo Thiago Guedes, CEO da DeServ, empresa especializada em segurança da informação e privacidade dos dados, para as empresas responsáveis pela proteção das chaves Pix evitarem a ocorrência de falhas pontuais em sistemas é fundamental observar toda a esteira de desenvolvimento das aplicações e dos sistemas desde a fase de programação e testes até quando ele vai para a produção. Este acompanhamento é exigido justamente para prevenir os possíveis problemas e falhas antes mesmo de acontecerem.
“Desta forma, todas as empresas que tratam de dados pessoais precisam desenvolver processos de melhoria contínua abrangendo tanto o aspecto jurídico quanto o de segurança da informação. Durante todas as etapas de tratamento de dados, é fundamental buscar uma adequação imediata com a LGPD. A própria legislação exige que se faça um relatório de impacto à proteção de dados e a empresa precisa se estruturar para que tenha esses processos bem encaminhados para conseguir gerenciar possíveis riscos”, afirma.
Já com relação aos titulares de chaves Pix, é preciso se atentar para o fato de que nem sempre é possível saber quando e se foi vítima de vazamento ou não. Nesse sentido, o ideal é sempre tomar medidas redobradas de segurança. “Embora os dados vazados não incluam senhas ou permitam movimentações financeiras, qualquer exposição de informações pessoais pode facilitar tentativas de golpe, especialmente por engenharia social”, alerta
Guedes dá algumas dicas sobre como se proteger.
Monitore suas chaves Pix: acompanhe frequentemente o uso das suas chaves Pix através do aplicativo do seu banco. Caso note algo estranho ou desconhecido, entre em contato com a instituição financeira imediatamente.
Ative alertas e notificações: mantenha habilitadas as notificações de transações via Pix no seu celular para identificar rapidamente qualquer movimentação não autorizada.
Cuidado com mensagens suspeitas: golpistas costumam usar dados vazados para enviar mensagens falsas (phishing). Nunca clique em links recebidos por SMS, WhatsApp ou e-mail, mesmo que pareçam legítimos.
Atualize suas informações: caso desconfie que sua chave foi comprometida, você pode solicitar a portabilidade ou exclusão da chave Pix junto ao seu banco.
Use múltiplos fatores de autenticação: sempre que possível, ative a verificação em duas etapas nos aplicativos financeiros e cadastre senhas fortes e únicas.
Verifique se seus dados foram vazados: o Banco Central disponibiliza canais oficiais para informar ao usuário sobre eventuais vazamentos. Fique atento a comunicados diretamente no app do seu banco ou no site do BC.
Segundo o Banco Central, os dados vazados incluem informações como nome, CPF, banco de relacionamento, número da agência e data de criação da chave Pix. Nenhum dado sensível, como senhas, saldos ou extratos, foi comprometido. Ainda assim, a recomendação é redobrar a atenção.
“O Pix é um sistema seguro, mas nenhuma tecnologia está imune a falhas operacionais. Por isso, o cuidado do usuário é parte essencial da proteção”, conclui o especialista.
