O Banco Central (BC) informou nesta segunda-feira (17) que 25.349 chaves Pix de clientes da fintech QI SCD tiveram dados expostos. Este foi o 18º incidente com o sistema de pagamentos instantâneos desde seu lançamento, em novembro de 2020, e o primeiro registrado neste ano.
De acordo com o BC, a falha ocorreu entre 23 de fevereiro e 6 de março e expôs informações como nome do usuário, CPF parcialmente mascarado, instituição de relacionamento, agência, número e tipo da conta. No entanto, senhas, saldos e extratos bancários não foram afetados.
A autarquia destacou que o incidente foi causado por falhas pontuais no sistema da instituição de pagamento e que não havia obrigação de divulgação por causa do baixo impacto potencial. No entanto, a decisão de tornar o caso público foi tomada em nome do compromisso com a transparência.
Os clientes afetados serão notificados exclusivamente pelo aplicativo ou internet banking da instituição. O BC alertou que comunicações via ligações telefônicas, SMS, e-mails ou aplicativos de mensagens devem ser desconsideradas.
A autoridade monetária esclareceu que a exposição de dados não significa necessariamente um vazamento total das informações, mas que elas ficaram visíveis e podem ter sido acessadas por terceiros. O caso será investigado, e sanções como multas, suspensão ou exclusão do sistema do Pix poderão ser aplicadas, conforme a gravidade da ocorrência.
Em nota, a QI SCD afirmou que a exposição se deu por uma “falha pontual, que foi imediatamente corrigida” e reforçou que as informações expostas não permitem acesso a contas bancárias ou movimentação de dinheiro.