O Banco Central (BC) relatou nesta sexta-feira (22) que um total de 87.368 chaves Pix de clientes da Sumup Sociedade de Crédito Direto S.A. (Sumup SCD) tiveram seus dados vazados. Este é o sétimo vazamento de dados registrado desde o lançamento do sistema instantâneo de pagamentos em novembro de 2020.
De acordo com o BC, o vazamento ocorreu entre 28 de setembro de 2023 e 16 de março de 2024, e incluiu informações como nome do usuário, Cadastro de Pessoa Física (CPF) com máscara, instituição de relacionamento, agência e número da conta.
O vazamento foi atribuído a falhas pontuais nos sistemas da instituição de pagamento, informou o BC, ressaltando que os dados expostos eram apenas cadastrais e não afetavam transações financeiras. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, permaneceram seguros.
Apesar do baixo impacto potencial para os clientes, o BC optou por divulgar o incidente em nome da transparência. Todos os afetados serão notificados através do aplicativo ou internet banking da instituição. O BC enfatizou que esses são os únicos canais de comunicação oficiais e alertou contra mensagens por telefone, SMS, aplicativos de mensagens e e-mails.
A exposição de dados não implica necessariamente que todas as informações tenham sido comprometidas, mas indica que estiveram acessíveis a terceiros por algum período, podendo ter sido capturadas. O BC anunciou que o caso será investigado e que sanções poderão ser aplicadas, incluindo multas, suspensões ou exclusões do sistema Pix, conforme a gravidade.
Este é o sétimo incidente de vazamento de dados do Pix desde sua criação. O BC mantém uma página para acompanhamento de incidentes relacionados às chaves Pix e outros dados pessoais sob sua responsabilidade, conforme determinado pela Lei Geral de Proteção de Dados.