Ataque hacker desvia centenas de milhões de reais e afeta Pix; entenda o que fazer caso haja vazamento de dados sensíveis
Uma fornecedora de serviços tecnológicos, responsável por conectar instituições financeiras ao sistema de pagamentos Pix, comunicou ao Banco Central nesta quarta-feira (2) que foi alvo de um ataque cibernético que comprometeu seus sistemas. O desvio foi de quase R$ 1 bi.
A invasão às contas reserva do Banco Central, viabilizada por uma falha crítica na infraestrutura da integradora C&M Software, é um alerta severo — talvez o mais contundente dos últimos anos — sobre a fragilidade dos bastidores técnicos que sustentam o sistema financeiro nacional.
Para Alexander Coelho, sócio do Godke Advogados e especialista em Direito Digital e Cibersegurança, não se trata de um erro pontual em uma fintech ou de uma falha de aplicativo. “Estamos falando de uma brecha explorada dentro do próprio ecossistema de liquidação do Bacen, algo que deveria ser blindado por camadas rigorosas de segurança, governança e supervisão”, alerta.
Embora o ataque tenha atingido inicialmente contas reserva — usadas apenas na compensação entre instituições financeiras e o Banco Central —, isso não significa que o usuário final esteja automaticamente fora de risco.
“Em casos como esse, sempre há a possibilidade de efeitos colaterais indiretos, como instabilidade no sistema de pagamentos, bloqueio temporário de operações e, principalmente, exposição de dados operacionais que, se mal gerenciados, podem levar a fraudes em outras pontas da cadeia bancária”, explica o advogado.
Como se proteger?
A Lei Geral de Proteção de Dados (LGPD) estabelece que, em caso de incidente de segurança no tratamento de dados pessoais, o controlador dos dados deve comunicar imediatamente à Autoridade Nacional de Proteção de Dados (ANPD) sobre o ocorrido, e, a depender da gravidade do incidente, a ANPD pode impor ao controlador a obrigação de promover ampla divulgação do fato em meios de comunicação e a adotar medidas para reverter ou mitigar os efeitos do incidente.
“A LGPD também estabelece que o titular dos dados tem direito de livre acesso à forma como seus dados foram tratados, podendo exigir transparência sobre os incidentes de segurança e informações sobre a adoção de medidas para prevenir a ocorrência de danos”, destaca Aloísio Costa Jr., sócio do Ambiel Advogados, especialista em Processo Civil e pós-graduando em Direito Digital pela FGV/SP.
Quanto a eventual reparação, o Superior Tribunal de Justiça (STJ) tem adotado o entendimento de que o mero vazamento de dados, ainda que por fraude ou ataque hacker, não implica em obrigação do controlador de dados de indenizar os titulares atingidos. “Então, para que faça jus a uma indenização, o titular dos dados que entrar na Justiça tem que comprovar a ocorrência de um dano efetivo decorrente do incidente de segurança de seus dados pessoais”, conclui Costa Jr.
Entretanto, Alexander Coelho orienta que, se futuramente for constatado que dados pessoais foram indevidamente acessados ou utilizados, o titular tem respaldo jurídico com base na LGPD. Entre eles, o usuário pode:
- Exigir da instituição financeira informações claras e imediatas sobre a extensão do incidente (art. 9º e 18 da LGPD);
- Solicitar cópia dos dados tratados e revisão de processos automatizados (art. 20);
- Registrar reclamação junto à ANPD e, dependendo do caso, ajuizar ação judicial por danos morais ou materiais, se houver nexo entre o vazamento e uma fraude efetiva, por exemplo.
Mesmo sem impacto direto aos correntistas até o momento, o dever de transparência e diligência é permanente. Instituições financeiras e seus parceiros devem monitorar, comunicar e agir preventivamente para proteger o consumidor. “Afinal, quando falha a tecnologia, quem paga a conta costuma ser o elo mais frágil: o usuário”, conclui Coelho.
Fontes:
Alexander Coelho – sócio do escritório Godke Advogados. Especialista em Direito Digital, Inteligência Artificial e Cibersegurança. Membro da Comissão de Privacidade e Proteção de Dados e Inteligência Artificial (IA) da OAB/São Paulo. Pós-graduado em Digital Services pela Faculdade de Direito de Lisboa (Portugal).
Aloísio Costa Jr. – sócio do Ambiel Advogados e pós-graduando em Direito Digital pela FGV/SP. Bacharel em Direito pela USP e pós-graduado em Direito Processual Civil pela FGV/SP. Possui atuação na área de Mídia e Entretenimento.
+ Golpes com voz clonada usam IA para extorquir vítimas: saiba como se proteger