Foram expostas informações de clientes da SumUp, informa BC. Não foram atingidos dados protegidos pelo sigilo bancário, como saldos, senhas e extratos

Um total de 87.368 chaves Pix de clientes da SumUp Sociedade de Crédito Direto S.A. foram vazados, informou nesta sexta-feira (22) o Banco Central (BC). Este foi o sétimo vazamento de dados desde o lançamento do sistema instantâneo de pagamentos, em novembro de 2020. A SumUp atua com meios de pagamento móveis (gestão de maquininhas).

Segundo o BC, o vazamento ocorreu entre 28 de setembro de 2023 e 16 de março de 2024, abrangendo as seguintes informações: nome do usuário, Cadastro de Pessoa Física (CPF) com máscara, instituição de relacionamento, agência e número da conta.

O vazamento ocorreu por causa de falhas pontuais em sistemas da instituição de pagamento, informou o BC, destacando que a exposição ocorreu em dados cadastrais, que não afetam a movimentação de dinheiro. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram expostos.

Embora o caso não precisasse ser comunicado por causa do baixo impacto potencial para os clientes, a autarquia decidiu divulgar o incidente em nome do “compromisso com a transparência”.

Todas as pessoas que tiveram informações expostas serão avisadas por meio do aplicativo ou do internet banking da instituição. O Banco Central ressaltou que estes serão os únicos meios de aviso para a exposição das chaves Pix e pediu que os clientes desconsiderem comunicações como chamadas telefônicas, SMS e avisos por aplicativos de mensagens e por e-mail.

A exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O BC informou que o caso será investigado e que sanções poderão ser aplicadas. A legislação prevê multa, suspensão ou até exclusão do sistema do Pix, dependendo da gravidade do caso.

Histórico

Foi o sétimo incidente de vazamentos de dados do Pix desde a criação do sistema, em novembro de 2020. Em todos os casos, foram vazadas informações cadastrais, sem a exposição de senhas e de saldos bancários. Por determinação da Lei Geral de Proteção de Dados, a autoridade monetária mantém uma página em que os cidadãos podem acompanhar incidentes relacionados com a chave Pix ou demais dados pessoais em poder do BC. Confira:

• Em agosto de 2021, ocorreu o vazamento de dados 414,5 mil chaves Pix por número telefônico do Banco do Estado de Sergipe (Banese). Inicialmente, o BC tinha divulgado que o vazamento no Banese tinha atingido 395 mil chaves, mas o número foi revisado mais tarde.
• Em janeiro de 2022, foi a vez de 160,1 mil clientes da Acesso Soluções de Pagamento terem informações vazadas.
• No mês seguinte, 2,1 mil clientes da Logbank pagamentos também tiveram dados expostos.
• Em setembro de 2022, dados de 137,3 mil chaves Pix da Abastece Ai Clube Automobilista Payment Ltda. (Abastece Aí) foram vazados.
• Em setembro do ano passado, 238 chaves Pix da Phi Pagamentos tiveram informações expostas.
• Na última segunda-feira (18), 46 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia) tiveram informações vazadas.

Em comunicado, a SumUp informou ter sido comunicada da ocorrência pelo Banco Central. “A empresa agiu rapidamente para mitigar a situação, aumentar a proteção dos dados e diminuir as chances de que o fato ocorra no futuro”, destacou o comunicado.

(Agência Brasil e BC)