O Banco Central do Brasil (BC) anunciou, em nota oficial, a ocorrência de um incidente de segurança relacionado a dados pessoais vinculados a chaves Pix sob a responsabilidade do Banco Agibank S.A. Segundo a instituição, falhas pontuais nos sistemas do banco permitiram o acesso a informações cadastrais de clientes.
De acordo com o BC, foram expostos "dados cadastrais vinculados a 5.290 chaves Pix: nome do usuário, CPF com máscara, instituição de relacionamento, número da agência e número e tipo da conta".
O BC, no entanto, informa que não houve exposição de dados sensíveis, como senhas, saldos, movimentações financeiras ou informações protegidas por sigilo bancário. As informações acessadas são de caráter cadastral e não permitem movimentação de recursos ou acesso às contas.
Notificações
Os clientes afetados serão notificados exclusivamente por meio do aplicativo ou do internet banking da instituição financeira. O Banco Central reforçou que não utilizará outros canais de comunicação, como mensagens de texto, ligações telefônicas, e-mails ou aplicativos de mensagens.
A autoridade monetária informou ainda que já iniciou a apuração detalhada do caso e que o Banco Agibank poderá sofrer medidas sancionadoras previstas na regulação vigente. Apesar de o impacto potencial ser considerado baixo, o BC decidiu comunicar o episódio.
Mais de 20 incidentes
Essa não é a primeira vez que o Banco central relata um episódio de vazamento de dados cadastrais. Desde a criação do Pix, foram registrados mais de 20. Em todos os casos, segundo dados do BC, os dados expostos foram de natureza cadastral, como nome, CPF mascarado, agência, tipo de conta, sem comprometer movimentações financeiras ou senhas.
Conforme a autoridade monetária, os vazamentos têm impacto considerado baixo para os clientes, já que não permitem movimentação de recursos. Nestes casos, o Banco Central aplica sanções regulatórias às instituições responsáveis.
É importante ressaltar que os clientes afetados são sempre notificados exclusivamente pelos canais oficiais (aplicativo ou internet banking), nunca por telefone, SMS ou e-mail.
O primeiro grande incidente com o Pix registrado pelo Banco Central ocorreu em 2021, no Banco do Estado do Sergipe (Banese), quando 400 mil dados cadastrais (nome, CPF mascarado, agência, tipo de conta) foram expostos.
