O Banco Central publicou nesta terça-feira (26) uma resolução endurecendo as regras em casos de falhas de segurança relacionadas ao Pix. Entre as alterações, aumenta a responsabilidade das instituições em casos de vazamento de dados e prevê penalidades mais severas nos episódios de maior impacto.
Em incidentes envolvendo dados pessoais dos usuários, o cálculo da multa a ser aplicada à instituição responsável pela falha levará em consideração a quantidade de chaves Pix potencialmente afetadas.
Na norma em vigor até então, a conta só considerava o tipo de instituição e o percentual do total de transações Pix do participante no sistema de pagamentos.
A autoridade monetária fala em “aperfeiçoamentos” no arcabouço de penalidades do Pix em caso de descumprimentos dos requisitos técnicos e regulatórios de segurança, “considerando não apenas o descumprimento regulatório em si, mas as repercussões ocasionadas por tal inconformidade.”
Com as novas regras, que entram em vigor imediatamente, as instituições terão de avisar os clientes em caso de falhas de segurança, independentemente da causa do incidente e do nível de risco ao usuário final ou da relevância dos dados vazados.
“Apesar de a Lei Geral de Proteção de Dados Pessoais (LGPD) determinar obrigação de comunicação apenas nos casos com potencial risco ou dano relevante, desde o lançamento do Pix o BC optou pela comunicação mesmo nos casos de menor impacto, pautado pela transparência, aspecto fundamental para a manutenção da confiança da população no meio de pagamento”, disse a instituição, em nota.
“É importante ressaltar que o dever recai sobre a instituição de relacionamento do cliente, mesmo que não tenha dado causa ao evento, uma vez que é ela que possui canal seguro de comunicação com o cliente, acessível exclusivamente por meio de identificação pessoal, como senha, reconhecimento biométrico etc.”, acrescentou.
O BC vem anunciando uma série de medidas para mitigar os problemas relacionados ao sistema de pagamentos instantâneos.
Desde 1º de setembro, polícias, Ministérios Públicos e outras autoridades de persecução penal podem consultar automaticamente dados cadastrais, vinculados às chaves Pix, de usuários sob investigação.
O último incidente de segurança informado pelo BC ocorreu em agosto, quando houve vazamento de dados pessoais vinculados a 238 chaves Pix sob a guarda da Phi Pagamentos.
Esse foi o 5º episódio de exposição de dados de usuários desde a implementação do sistema de pagamentos instantâneos, em novembro de 2020.
Antes, o BC comunicou o vazamento de dados vinculados a 137.285 chaves Pix de clientes do Abastece Aí, aplicativo da rede de postos Ipiranga, entre 1º de julho e 14 de setembro de 2022, e um incidente envolvendo 2.112 chaves Pix de clientes da instituição de pagamento Logbank, ocorrido entre 24 e 25 de janeiro de 2022.
Outro caso semelhante foi divulgado em janeiro do ano passado. Cerca de 160,1 mil clientes da Acesso Soluções de Pagamento tiveram dados das chaves Pix vazados entre 3 e 5 de dezembro de 2021. O primeiro vazamento do tipo ocorreu em 24 de agosto de 2021, atingindo 414.526 chaves Pix ligadas ao Banese (Banco do Estado de Sergipe).
Em maio deste ano, a autarquia anunciou também o aperfeiçoamento de duas funcionalidades para reforçar a segurança do Pix: a notificação de infração e a consulta de informações vinculadas às chaves Pix para análise antifraude. Essas medidas, que exigem ajustes no sistema, entrarão em vigor em 5 de novembro.
A notificação de infração é um mecanismo usado pelas instituições financeiras para marcar chaves e usuários em casos de suspeita de fraude na transação. Com a mudança, serão criadas “etiquetas” específicas para a identificação das infrações cometidas.
No caso da consulta das informações para análise antifraude de transações via Pix, o BC dará acesso para as instituições financeiras a um conjunto mais relevante de dados e por um período maior de tempo, passando de seis meses para o prazo de até cinco anos.
NATHALIA GARCIA / Folhapress