COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Proteção de Dados >
  4. BC e Pix: simples "vazamentos" ou infrações a LGPD com comprometimento de dados pessoais

BC e Pix: simples "vazamentos" ou infrações a LGPD com comprometimento de dados pessoais

sexta-feira, 4 de março de 2022

Atualizado às 07:49

Preliminares

No dia 30 de setembro de 2021, em plena vigência da LGPD e da expectativa da aplicação das sanções (previstas para iniciarem no dia 1o de agosto do mesmo ano), o Banco Central (BC) comunicava o vazamento de mais de 400 mil chaves Pix1. O Pix ainda engatinhava nos seus recém completados 10 meses. Neste ano corrente já vimos outros dois vazamentos, e ainda nenhuma instituição foi penalizada. A Autoridade Nacional de Proteção de Dados, ANPD, responsável por apurar essas falhas de segurança relativas a dados pessoais, e punir os responsáveis, ainda se debate nas etapas preliminares de elaboração das sanções previstas na LGPD.  Enquanto isso, os correntistas afetados observam com desalento a adinamia da ANPD frente às entidades financeiras e o BC. Quem é quem nesta história toda é o que veremos a seguir.

PIX

O Pix é o sistema brasileiro de pagamento instantâneo; um sistema de transferência de fundos. Não é único no mundo. Similar ao FPS (Faster Payments Service), do Reino Unido, e o norte-americano Zelle, é um sistema auxiliar e precursor do real digital, a futura moeda digital brasileira. Embora tenha sido planejado, projetado, criado e gerenciado pelo respeitado Banco Central brasileiro, dados relacionados a mais de 500 mil chaves PIX já foram "vazados". Cabe afirmar que o termo "vazamento de dados" muitas vezes esconde a exposição indevida de dados pessoais ou o roubo de dados. Outras vezes, o roubo de dados seguido de exposição indevida. Duas infrações previstas na LGPD. Ambas situações são provenientes de falhas de segurança dos sistemas de informação (bancos de dados) nos quais se encontram informações pessoais.

O Pix é um sistema de transferência digital de recursos entre contas e está disponível para todos os usuários das 734 instituições aprovadas pelo Banco Central e que tenham uma conta corrente, uma conta poupança ou uma conta de pagamento pré-paga. Diferentemente das transferências tradicionais, tais como o DOC e o TED, as transferências Pix são realizadas sem necessariamente o cliente conhecer a instituição, a agência e o número da conta do recebedor. As transferências são realizadas usando um número de telefone, um endereço de e-mail ou mesmo o CPF/CNPJ que se tornam chaves Pix, ou seja, códigos que se referem à individualização das informações bancárias de contas de seus clientes. Adicionalmente, os usuários podem escolher também uma chave aleatória que, como as anteriores, também serve como um apontador para a identificação de uma conta no sistema bancário nacional. Recordo que o Pix vai além das transferências de fundos e atua também como um sistema de pagamento. No último mês de janeiro, o sistema movimentou mais de R$639 bilhões por mais 120 milhões de usuários cadastrados no Diretório de Identificadores de Contas Transacionais - DICT do BC2. Além das transferências e pagamentos, o BC lançou em 29 de novembro de 2021 dois novos serviços, o Pix Saque e o Pix Troco. O Real está mesmo se tornando mais digital a cada dia.

PIX: entendendo um pouco mais

Tecnicamente, o sistema Pix é formado por dois grandes módulos, que são: 1) O SPI (Sistema de Pagamentos Instantâneos) que foi criado e é gerido pelo BC e atua como o sistema unificado, centralizado, de liquidação dos pagamentos. Todas as instituições cadastradas pelo BC para operarem o Pix, os chamados Provedores de Serviços de Pagamento (PSPs), mantêm uma conta específica no SPI, e; 2) O DICT (Diretório de Identificadores de Contas Transacionais). É por meio do DICT que os dados de identificação de endereços bancários, como CNPJ/CPF, e-mail e telefone são cadastrados. É esse serviço que permite buscar detalhes de contas transacionais (nome, instituição, agência, conta) direcionados pelas chaves Pix. Os dados respondidos pelo DICT permitem ao pagador, por exemplo, confirmar a identidade do recebedor3.

Em resumo, todas as instituições vinculadas ao Pix usam o DICT para cadastrar e gerenciar as contas Pix, enquanto que o SPI é o sistema centralizado no BC que faz a liquidação, ou seja, o acerto de contas dos pagamentos e transferências.

Todo esse sistema é, na prática computacional, muito mais complexo e intrincado do que esse resumo feito acima e limitado a apenas dois sistemas. O Pix é na verdade um conglomerado de vários subsistemas inter-relacionados que exigem técnicas avançadas de computação, criptografia e segurança de dados estabelecidas num conjunto de normas regulatórias controladas pelo BC. Essa rigidez do sistema e o alto grau de sofisticação exigida nos processos pode ser vislumbrada na fase de cadastro e homologação dos PSPs. Nessa fase de cadastro e homologação as instituições financeiras solicitaram o seu ingresso no sistema Pix. Essa homologação terminou em 16 de outubro de 2020.  Nesta data, o BC informou que 218 potenciais PSP desistiram ou tiveram seus pedidos negados para fazerem parte do sistema Pix. Entre esses quase-PSP estavam, não menos, a Caixa Econômica (o maior banco brasileiro em número de correntistas), o Banco XP, o Citibank, a Méliuz (voltaremos a ver esse nome), o OLX, a Magalu, o PayPal e a Rede (antiga RedeCard) do banco Itaú4.

Os "vazamentos" ou infrações à LGPD

Até o momento, foram três ocorrências de incidentes do sistema Pix, informadas pelo BC, que comprometeram dados pessoais.

A primeira aconteceu em 24 de agosto de 2021 e foi comunicada pelo BC somente seis dias depois. Na ocasião, o Banco do Estado de Sergipe (BANESE) vazou 415,5 mil chaves Pix do tipo telefone. O vazamento ocorreu a partir do acesso de duas contas bancárias de clientes do BANESE [1, 5].

Cerca de seis meses depois, precisamente no dia 21 de janeiro deste ano, o BC informou que 160.147 chaves Pix em poder da Acesso Soluções de Pagamento foram vazadas. O incidente ocorreu entre os dias 3 e 5 de dezembro do ano anterior, comprometendo os seguintes dados pessoais: nome de usuário, CPF, instituição de relacionamento, número de agência e número da conta. A Acesso é uma empresa pertencente à Méliuz, uma startup unicórnio mineira. Aquela mesma que não participou da primeira homologação do Pix.5

Por fim, no último dia 3 de fevereiro, o BC informou que nos dias 24 e 25 de janeiro a LogBank expos 2.112 chaves Pix de clientes desta instituição de pagamento. Como nos casos anteriores, as informações vazadas eram cadastrais, como nome do usuário, CPF, instituição de relacionamento e número da conta.6

Quem falhou!

A LGPD, no seu art. 5º, traz dois conceitos importantes relativos à aquisição, operação e administração de dados pessoais: as figuras do controlador e do operador de dados. "O controlador é aquele a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador é aquele que realiza o tratamento dos dados em nome do controlador."7

Dados os incidentes de segurança apontados aqui, especula-se que todos esses estejam diretamente relacionados às falhas de segurança por parte dos Provedores de Serviços de Pagamento, os PSP, que são responsáveis por relacionar as chaves Pix aos dados bancários das contas de seus clientes. Percebe-se que o Pix se configura, em parte, com uma grande base de chaves Pix, base essa fracionada e cujas frações correspondem aos dados enviados pelos PSP. Nesta configuração, entende-se que os PSP são operadores de dados, enquanto o BC é o controlador.

O art. 46 da lei 13.709/2018 (LGPD) explicita que ambos agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais de acessos não autorizados.8

Ainda, o art. 44 da mesma lei, em seu parágrafo único, afirma que o controlador ou o operador respondem "pelos danos decorrentes da violação da segurança dos dados ... ao deixar de adotar as medidas de segurança previstas no art. 46 desta lei, der causa ao dano."9

Como sanção, em razão das infrações cometidas às normas previstas, de acordo com o art. 52 da LGPD, esta lei prevê punições que vão de advertência à multa de R$50 milhões por infração. No entanto, com exceção da multa pecuniária caso a penalidade seja aplicada ao Banco Central, a lei prevê a aplicação apenas às pessoas jurídicas de direito privado.10

É "vazamento" ou não.

Segundo a ANPD, o vazamento de dados é uma das formas de "qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais". Além do vazamento, são listados como eventos adversos, os seguintes: "acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, ... ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais."11

Pelo episódio da última infração a LGPD e, similarmente às divulgações dos vazamentos anteriores, o controlador, ou seja, o BC avisou o seguinte: "Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência. Como nos casos anteriores, não foram expostos dados sensíveis, a ANPD (Autoridade Nacional de Proteção de Dados) foi avisada e as pessoas afetadas serão notificadas".

Nesse comunicado, o BC alega que essas infrações têm baixo impacto por envolver apenas dados cadastrais, e não informações sigilosas, que permitiriam, por exemplo, movimentar recursos nas contas. O BC erra ao tentar desqualificar as informações como "dados não sensíveis", as quais, na forma da lei, realmente são pois não são dados "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico". Notem que o comprometimento de dados como, nome, instituição bancária, número da agência, número da conta corrente e chave Pix, como nos casos da Acesso e da LogBank, apesar de não serem "dados sensíveis" podem sim serem suficientes para, por exemplo, uma confirmação de dados numa conversa telefônica de um falso agente bancário. De posse destas informações, esse falso agente bancário, poderia levá-lo a uma grande variedade de golpes contra sua própria conta. Ademais, como em outros arroubos aos dados pessoais, tais informações podem ser complementares para uma eventual perfilização (profiling), um crime que ostenta enorme potencial lesivo12.

Do ponto de vista técnico essas infrações podem ser consideradas como um comprometimento parcial do banco de dados. Faz-se uma analogia desta situação com a do bandido que almeja atacar um cofre escondido num quarto, mas que não consegue adentrar no cômodo, limitando-se "apenas" a pular o muro e entrar na sala de estar.

Aumentando o desconforto e o desalento sobre esses vazamentos de dados, o presidente do Banco Central, Roberto Campos Neto, comentou, após os três primeiros episódios de vazamentos de dados em seis meses, que devido ao crescimento da base de operações do Pix, esses vazamentos irão ocorrer com alguma frequência13.

O Pix é mais um sistema conhecido pelo nome genérico de Electronic Funds Transfer System (EFTS), ou simplesmente Electronic Funds Transfer (EFT). Este é um tipo de pagamento que, comparado às transferências eletrônicas anteriores, é mais rápido, simples, acessível e faz o pagamento diretamente. Tanto no Brasil, como no exterior, com a crescente descentralização bancária, os movimentos Open Banking e a forte presença das fintech, os EFT deverão ocupar a liderança nos sistemas de transferência e pagamento peer-to-peer, P2P, ponto a ponto.

Infelizmente, todas essas facilidades trouxeram consigo novos tipos de crimes financeiros que podem ser divididos em quatro categorias: 1) Apropriação de contas, ou seja, o acesso não autorizado a conta; 2) Fraude por dispositivos móveis; 3) Vazamento de dados, e; 4) Atividades criminosas provenientes da Dark Web. Os tipos 1 e 2 são os tipos mais comuns de crimes financeiros e têm como causa principal o roubo de identidade. Para os dois serviços EFT mencionados anteriormente, o Zelle e o FPS, não foram divulgadas notícias sobre vazamentos de dados. Penso que a arquitetura e o gerenciamento destes dois serviços poderiam indicar ao BC novos direcionamentos que, ao menos, mitigassem esses vazamentos de dados e afastassem deste controlador a certeza e a impunidade nestas infrações a LGPD.

*Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP com estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

__________

Security Report. Banco Central confirma vazamento de chaves PixÚltimo acesso em 26 de fevereiro de 2022.

2 BC. Estatísticas do sistema PIX. Último acesso em 28 de fevereiro de 2022.

3 BC. Regulamentação relacionada ao PixÚltimo acesso em 26 de fevereiro de 2022.

Folha, out de 2020. Banco Central aprova 762 instituições para o Pix; 218 desistem ou têm pedido negado. Último acesso em 28 de fevereiro de 2022.

5 EBC. Banco Central comunica vazamento de dados de 160,1 mil chaves PixÚltimo acesso em 26 de fevereiro de 2022.

6 Valor Investe. Banco Central comunica segundo caso de vazamento de chaves Pix em menos de um mêsÚltimo acesso em 28 de fevereiro de 2022.

7 Sobre os agentes de tratamento de dados: DRESCH, Rafael Freitas Valle; MELO, Gustavo da Silva. Quem vai colocar o guizo no gato? Migalhas de Proteção de Dados, 11 jun. 2021. Migalhas de peso. LGPD: Esclarecendo os papéis de controlador e operadorÚltimo acesso em 28 de fevereiro de 2022.

8 Sobre compliance e LGPD: ROSENVALD, Nelson. compliance e a redução equitativa da indenização na LGPDMigalhas de Proteção de Dados, 19 mar. 2021, último acesso em 03 mar. 2022.

9 Sobre responsabilidade civil e LGPD: ROSENVALD, Nelson. A polissemia da responsabilidade civil na LGPDMigalhas de Proteção de Dados,  06 nov. 2021, último acesso em 03 mar. 2022.

10 Cf. LIMA, Cíntia Rosa Pereira de Lima; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPDMigalhas de Proteção de Dados,  06 ago. 2021, último acesso em 03 mar. 2022. DRESCH, Rafael Freitas Valle; MELO, Gustavo da Silva. A Autoridade Nacional de Proteção de Dados (ANPD): entre sanção e fiscalizaçãoMigalhas de Proteção de Dados,  05 nov. 2021, último acesso em 03 mar. 2022.

11 ANPD. Comunicação de incidentes de segurançaÚltimo acesso em 28 de fevereiro de 2022. Vide também: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Dever de Notificação dos Incidentes de Segurança com Dados Pessoais - Parte 1. 20 jun. 2021. Instituto Avançado de Proteção de Dados (IAPD), último acesso em 03 mar. 2022.

12 DA SILVA, Luciana Ferreira; SANTOS, Pedro Otto Souza; DE JESUS, Tâmara Silene Moura. Novos contornos do direito à privacidade: Profiling e a proteção de dados pessoais New contours of the right to privacy: Profiling and the protection of personal data. Brazilian Journal of Development, v. 7, n. 11, p. 104173-104185, 2021. Sobre Relatório de Impacto à Proteção de Dados: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 1, 28 maio 2021. Instituto Avançado de Proteção de Dados (IAPD)último acesso em 03 mar. 2022; ______; ______. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 2, 03 jun. 2021. Instituto Avançado de Proteção de Dados (IAPD).  https://iapd.org.br/relatorio-de-impacto-a-protecao-de-dados-parte-2/, último acesso em 03 mar. 2022.

 

13 Estadão. Pix: "Vazamentos vão ocorrer em alguma frequencia"Último acesso em 26 de fevereiro de 2022.