Vazamento de dados da chave Pix permite acesso às contas das vítimas?
Especialistas ouvidos pelo Estadão afirmam que não é possível fazer transferências bancárias com essas informações, mas que há um risco de fraude indireta
O Banco Central (BC) confirmou, na noite desta quarta-feira, 23, que houve um acesso indevido a dados pessoais vinculados a chaves Pix de mais de 11 milhões de pessoas no Sistema de Busca de Ativos do Poder Judiciário (Sisbajud), operado pelo Conselho Nacional de Justiça (CNJ). O incidente aconteceu entre domingo, 20, e segunda-feira, 21.
As informações acessadas foram: nome da pessoa, chave Pix, nome da instituição financeira, número da agência e número da conta. O BC e o CNJ afirmaram que não houve vazamento de dados sensíveis, como senhas, saldos, extratos bancários ou informações protegidas por sigilo bancário.
Especialistas ouvidos pelo Estadão afirmam que o vazamento de informações cadastrais não é o suficiente para permitir que criminosos acessem as contas bancárias das vítimas e façam movimentações financeiras.
Adrian Cernev, professor de tecnologia financeira e meios de pagamento da Escola de Administração de Empresas de São Paulo da Fundação Getulio Vargas (FGV-EAESP) afirma que as chaves Pix já são relativamente públicas, porque representam simplesmente o endereço das contas bancárias.
"Quando eu quero que alguém me mande algum recurso, eu tenho que informar a chave Pix", aponta. "O que não é aceitável é essa chave ser compartilhada com pessoas que eu não gostaria que soubessem os meus dados bancários."
O que pode acontecer com quem teve os dados vazados?
Apesar de não permitir o acesso ao dinheiro das vítimas, a divulgação de dados pessoais abre espaço para outros golpes, como abertura de contas falsas, cadastro indevido em aplicativos e serviços e envio de comunicações enganosas com alto grau de personalização, de acordo com o advogado Alexander Coelho, sócio do Godke Advogados e especialista em direito digital, inteligência artificial e cibersegurança.
"Em outras palavras, embora a senha bancária não tenha sido comprometida, o risco de fraude indireta cresce consideravelmente", afirma.
Os criminosos podem ter tido acesso a informações privadas como número do Cadastro de Pessoa Física (CPF), número de telefone e e-mail das vítimas, já que esses dados estão frequentemente associados a chaves Pix.
A advogada Marina Fernandes, pesquisadora do programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec) afirma que a associação do número do CPF a outros dados relevantes facilita a aplicação de golpes e fraudes, não só no âmbito financeiro, mas também de outras naturezas. "Quando ocorre um vazamento de informações desse tipo, o consumidor deixa de ter conhecimento sobre o tratamento de seus dados", explica.
Os especialistas apontam que é preciso estar atento a pessoas que fingem ser funcionários de instituições financeiras, compradores ou vendedores e que podem entrar em contato com as vítimas por telefone, e-mail ou mensagem para tentar aplicar um golpe com as informações vazadas.
Como saber se tive informações acessadas?
O CNJ vai disponibilizar um canal exclusivo no seu site oficial para que os cidadãos possam consultar se tiverem algum dado exposto. O órgão destacou que não vai utilizar outros meios de comunicação com os afetados, como mensagens, SMS, e-mail ou ligações telefônicas.
Como se proteger?
A principal dica dos especialistas é redobrar a atenção com qualquer movimentação suspeita, especialmente mensagens de texto ou de WhatsApp e e-mails que simulem transações por Pix ou pedem confirmação de dados.
Eles também recomendam que as pessoas consultem periodicamente o Registrato, sistema do BC que permite que os consumidores acessem relatórios de informações sobre transações com instituições financeiras e operações de crédito e de câmbio feitas com seus dados. Por meio dessa ferramenta, é possível saber, por exemplo, se o cidadão tem empréstimos, chaves Pix ou contas bancárias em seu nome.
"É importante também ativar alertas de movimentação no aplicativo do banco, para receber notificações em tempo real", afirma Coelho.
Qual a responsabilidade do BC no vazamento de dados?
Cernev afirma que, além de ser responsável pela operação do sistema de pagamentos instantâneos, o BC também tem a função de identificar falhas na segurança do Pix, informar os usuários, investigar o problema e corrigir o que for necessário. "Ele também vai atribuir responsabilidades para quem quer que seja que tenha cometido um ato falho dentro desse ecossistema do Pix", completa.
O Idec entende que o vazamento de informações configura uma violação da Lei Geral de Proteção de Dados (LGPD), o que dá abertura para que os consumidores sejam ressarcidos. Contudo, Marina explica que essa posição ainda não está consolidada no Poder Judiciário.
"Em casos como esse, é especialmente difícil se comprovar a relação entre um dano, como um golpe, e o vazamento", aponta. "Torna-se fundamental, então, que as autoridades responsáveis investiguem o vazamento e identifiquem, se possível, os responsáveis pelo acesso indevido e por golpes e fraudes oriundos dele."
