Na última sexta-feira (22), o Banco Central (BC) informou que um total de 87.368 chaves Pix de clientes da Sociedade de Crédito Direto S.A. (Sumup SCD) teve seus dados vazados, marcando o sétimo incidente do tipo desde o lançamento do sistema instantâneo de pagamentos, em novembro de 2020. Casos anteriores envolveram o Banco do Estado de Sergipe (Banese), Acesso Soluções de Pagamento e Logbank Pagamentos.

De acordo com o BC, o vazamento ocorreu no período entre 28 de setembro de 2023 e 16 de março de 2024, e incluiu informações como nome do usuário, Cadastro de Pessoa Física (CPF) com máscara, instituição de relacionamento, agência e número da conta.

As falhas pontuais nos sistemas da instituição de pagamento foram apontadas como a causa do vazamento, sendo destacado pelo BC que apenas dados cadastrais foram expostos, sem afetar a movimentação de dinheiro. Informações protegidas pelo sigilo bancário, como saldos, senhas e extratos, permaneceram seguras.

Apesar do baixo impacto potencial para os clientes, o BC optou por divulgar o incidente em nome da transparência. Todos os afetados serão notificados através do aplicativo ou internet banking da instituição, sendo ressaltado que esses serão os únicos meios de aviso, e alertando para desconsiderarem comunicações por outros meios, como chamadas telefônicas, SMS ou e-mails.

A exposição de dados não implica necessariamente que todas as informações tenham sido vazadas, mas sim que ficaram visíveis para terceiros durante certo período, podendo ter sido capturadas. O BC anunciou que o caso será investigado e que medidas punitivas poderão ser aplicadas, incluindo multas, suspensão ou exclusão do sistema do Pix, dependendo da gravidade do ocorrido.