O Banco Central (BC) confirmou o vazamento de dados de mais de 87 mil chaves Pix que estavam sob responsabilidade da instituição financeira SumUp. As informações relacionadas às chaves Pix dos clientes da SumUp, Sociedade de Crédito Direto, foram expostas entre 28 de setembro de 2023 e 16 de março de 2024.

O vazamento expôs detalhes como nome do usuário, CPF com máscara, instituição de relacionamento, agência e número da conta. No entanto, dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram comprometidos.

De acordo com o BC, a falha de segurança ocorreu no sistema da instituição financeira responsável pela gestão dos dados. Todos os indivíduos cujas informações foram expostas serão notificados por meio do aplicativo ou do internet banking da instituição.

O Banco Central enfatizou que esses serão os únicos canais oficiais de notificação sobre a exposição de informações. Qualquer outro tipo de contato, como chamadas telefônicas, SMS e mensagens de aplicativos ou e-mails, deve ser ignorado.

O BC declarou que o incidente será investigado e que sanções poderão ser impostas. Conforme a legislação, multas, suspensões ou até mesmo exclusões do sistema Pix podem ser aplicadas, dependendo da gravidade do ocorrido.

Este é o segundo caso de notificação pelo Banco Central sobre vazamento de chaves Pix em uma semana. Na segunda-feira anterior, 46 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e da Empresa de Pequeno Porte Ltd tiveram suas informações vazadas.

Desde o lançamento do sistema de pagamento instantâneo, já foram registrados sete incidentes desse tipo, afetando de alguma forma quase 800 mil clientes de instituições financeiras.

Em comunicado, a SumUp relatou ter sido informada do ocorrido pelo Banco Central. A empresa afirmou ter agido prontamente para mitigar a situação, reforçar a proteção dos dados e reduzir as chances de que o incidente se repita no futuro.