Tag: Instituições Financeiras

Publicado em por

PIX SOB ATAQUE: O QUE MUDA COM AS MEDIDAS DO BANCO CENTRAL CONTRA ATAQUES CIBERNÉTICOS

Desde junho, instituições financeiras e empresas de tecnologia ligadas ao sistema de pagamentos vêm registrando incidentes de segurança que atingem principalmente o Pix e, em menor escala, operações via TED. Esses episódios expuseram fragilidades exploradas por organizações criminosas, levando o Banco Central a adotar, de forma imediata, novas regras para conter abusos e reduzir vulnerabilidades.

Medidas regulatórias imediatas

O pacote anunciado estabelece um limite de R$ 15 mil para determinadas transações via Pix e TED, reforça a necessidade de autorização prévia para prestadores de serviços de tecnologia e fixa prazo de 30 dias para encerramento das atividades de quem tiver o pedido de autorização negado. Também prevê um período de quatro meses para adequação a novas exigências de governança, além da possibilidade de dispensar temporariamente o limite de valores para instituições que comprovem práticas sólidas de controle interno.

Outro ponto destacado foi a exigência de capital mínimo de R$ 15 milhões para prestadores de tecnologia que atuam no sistema financeiro. A medida busca elevar a responsabilidade dos parceiros que, muitas vezes, não possuem o mesmo padrão de governança das instituições reguladas diretamente pelo Banco Central.

Linha do tempo dos incidentes recentes

Nos últimos meses, os ataques ganharam novas formas. Houve desde sobrecarga por consultas massivas a QR Codes até desfalques expressivos com retirada direta de valores de clientes. Episódios envolvendo instituições tradicionais e fintechs de menor porte mostraram que a ameaça deixou de ser apenas tentativa de interrupção para alcançar subtrações financeiras efetivas.

O fator humano como vulnerabilidade

Embora a tecnologia seja o alvo aparente, boa parte das invasões decorre de falhas humanas. O uso de credenciais obtidas por meio de engenharia social e casos de conluio interno revelam que programas de conscientização são tão relevantes quanto firewalls ou criptografia. Transformar colaboradores em barreiras de proteção exige mais do que regras: é necessário criar cultura organizacional de segurança.

Popularidade do Pix e os riscos associados

O volume bilionário de transações torna o Pix o alvo mais rentável para criminosos digitais. A solução em si não é insegura, mas sua escala exige que a governança acompanhe a velocidade de uso. Se houver comprometimento de estruturas críticas, as consequências podem ultrapassar as transferências financeiras e atingir identidades digitais, biometria e até serviços públicos integrados à plataforma.

Inovação e segurança em equilíbrio

A transformação digital acelerou a oferta de serviços financeiros, mas nem sempre foi acompanhada de investimentos proporcionais em proteção. A inteligência artificial tende a ampliar tanto o potencial ofensivo quanto a capacidade defensiva das instituições. Reguladores, empresas e sociedade precisam trabalhar em conjunto para que a inovação não abra portas ao crime digital.

As medidas do Banco Central buscam endurecer as regras sem paralisar a inovação. A proteção efetiva, no entanto, depende menos de limites de valor ou capital mínimo e mais da maturidade de processos, da governança e da consciência dos profissionais envolvidos. A confiança no sistema de pagamentos exige respostas técnicas e organizacionais que se renovem na mesma velocidade das ameaças.

Publicado em por

EXPOSIÇÃO DE CHAVES PIX E A FRAGILIDADE DA SEGURANÇA DIGITAL NO SISTEMA BANCÁRIO

Os recentes episódios envolvendo a exposição de dados ligados ao Pix no Brasil trouxeram à tona não apenas falhas técnicas, mas também dilemas regulatórios e jurídicos que merecem análise cuidadosa. Ainda que as comunicações oficiais insistam em minimizar o alcance das ocorrências — alegando que apenas dados cadastrais foram expostos —, é inegável que tais informações constituem matéria-prima valiosa para golpes digitais sofisticados.

Entre março e julho de 2025, diferentes incidentes mostraram a vulnerabilidade de múltiplas frentes: desde vazamentos em fintechs, falhas em sistemas oficiais até ataques cibernéticos com participação de agentes internos. As situações variaram em gravidade, mas todas convergem para um ponto comum: a exposição de dados bancários, mesmo sem senhas ou saldos, compromete a confiança pública e amplia o campo de ação de fraudadores.

Esses fatos permitem identificar ao menos três níveis de risco:

  1. Exposição acidental ou falha operacional — vazamentos decorrentes de erros técnicos ou de processos de segurança mal implementados.
  2. Fragilidade em sistemas institucionais — falhas em plataformas oficiais que concentram grandes volumes de informações.
  3. Ação interna maliciosa e ataques estruturados — situações em que a combinação de agentes internos e técnicas avançadas amplia o potencial de fraude.

Do ponto de vista jurídico, a Lei Geral de Proteção de Dados é clara ao impor, no artigo 46, o dever de adoção de medidas eficazes de segurança da informação. Paralelamente, normas editadas pelo Banco Central exigem que o cliente seja informado imediatamente e por canais oficiais sobre qualquer incidente que envolva sua chave Pix. Tal obrigação dialoga tanto com o princípio da transparência da LGPD quanto com o dever de informação previsto no Código de Defesa do Consumidor.

O descumprimento desses deveres atrai a atuação de diferentes esferas regulatórias: a Autoridade Nacional de Proteção de Dados, o Banco Central e o Poder Judiciário. Além disso, a responsabilidade civil das instituições financeiras é, por natureza, objetiva. A Súmula 479 do Superior Tribunal de Justiça consolidou o entendimento de que as instituições respondem até mesmo por fraudes cometidas por terceiros quando relacionadas a falhas de segurança, o que inclui os vazamentos de dados cadastrais.

A leitura de que informações como nome, CPF, número de agência e conta seriam inofensivas não se sustenta diante da realidade criminológica. Esses dados, quando combinados com técnicas de engenharia social, são suficientes para:

  • induzir vítimas a transferências falsas via aplicativos de mensagem;
  • viabilizar a abertura de contas fraudulentas;
  • alimentar golpes envolvendo boletos adulterados;
  • explorar autenticações simplificadas em plataformas digitais.

A responsabilidade das instituições não se limita à prevenção. Uma vez ocorrido o incidente, impõe-se uma atuação diligente, que inclua comunicação imediata aos clientes, disponibilização de ferramentas de monitoramento, reforço dos protocolos de autenticação e plena cooperação com autoridades investigativas. A omissão ou a demora nesse processo intensificam a responsabilização civil e corroem a confiança do consumidor.

O Pix consolidou-se como um marco de inovação no sistema financeiro brasileiro, mas sua solidez depende da capacidade de mitigar riscos e preservar a confiança social. A afirmação de que “dados sensíveis não foram atingidos” não é suficiente. Qualquer dado pessoal que possa servir de base para fraude deve receber tratamento preventivo e corretivo adequado.

Em última análise, a resposta esperada das instituições vai muito além de comunicados formais. É necessário investimento contínuo em segurança digital, governança responsável e mecanismos efetivos de reparação. A inovação financeira só se sustenta quando caminha lado a lado com a proteção de dados pessoais e o respeito ao consumidor.

Publicado em por

FALHA EM SISTEMA BANCÁRIO EXPÕE DADOS CADASTRAIS DE CLIENTES

Na última sexta-feira, foi informado que uma instituição financeira estatal enfrentou um vazamento de dados pessoais relacionado a chaves Pix. O incidente, registrado no final de setembro, comprometeu informações de 644 clientes devido a falhas nos sistemas internos.

De acordo com o órgão regulador, os dados expostos incluem informações cadastrais básicas, como nome, CPF, data de abertura da conta e data de criação da chave Pix. Não houve comprometimento de dados sensíveis, como senhas, informações financeiras, saldos ou movimentações bancárias. O vazamento foi limitado a informações que, embora importantes, não permitem acesso direto às contas ou transações financeiras.

A instituição bancária envolvida declarou ter identificado e corrigido o problema rapidamente, notificando os clientes afetados por meio de seu aplicativo oficial e internet banking. Foi reforçado que nenhum outro canal de comunicação, como mensagens, ligações, SMS ou e-mails, será utilizado para esse tipo de notificação.

O órgão regulador também destacou que está conduzindo investigações detalhadas e tomará medidas necessárias para garantir a segurança dos sistemas e aplicar eventuais sanções previstas na regulamentação. O caso chama atenção para a importância de mecanismos robustos de segurança cibernética e resposta rápida a incidentes que envolvam dados pessoais sensíveis.

A recomendação para os usuários é manter atenção a notificações oficiais e evitar interagir com mensagens suspeitas que possam se passar por contatos da instituição financeira.

Publicado em por

O EQUILÍBRIO ENTRE SEGURANÇA E PRIVACIDADE: A RESOLUÇÃO 6 DO BACEN E A LGPD

No dia 1º de novembro, uma importante determinação do Banco Central (Bacen) entrou em vigor, marcando um passo significativo em direção a uma cultura de segurança aprimorada nas transações financeiras. A Resolução Conjunta nº 6 do Bacen, publicada em conjunto com o Conselho Monetário Nacional (CMN), estabelece critérios para o compartilhamento de dados e informações sobre indícios de fraudes entre instituições financeiras, empresas de pagamento e outras instituições autorizadas pelo Bacen.

Essa iniciativa visa criar um sistema eletrônico que permita o registro, alteração, exclusão e consulta de dados e informações relacionados a indícios de fraudes detectadas por essas instituições em suas operações. Isso é particularmente relevante, uma vez que bancos, fintechs, empresas de crédito e pagamento estão entre os principais alvos de cibercriminosos no Brasil, que utilizam táticas avançadas, como deepfake, fraudes de identidade facial e documental, para acessar aplicativos bancários de forma não autorizada. No ano anterior, as perdas atribuídas a fraudes no sistema financeiro nacional atingiram a marca de R$ 2,5 bilhões.

Com a entrada em vigor da Resolução 06 do Bacen, as instituições financeiras autorizadas pelo Banco Central devem compartilhar informações sobre indícios de fraude entre si. Isso ampliará a visibilidade das características de alto risco nas operações comerciais para todos os participantes do mercado.

No entanto, surgem algumas preocupações com relação à conformidade com a Lei Geral de Proteção de Dados (LGPD). A LGPD estabelece exceções ao consentimento para o tratamento de dados pessoais com base em obrigações legais, o que já se aplicaria ao cliente do sistema financeiro. Portanto, a exigência de consentimento para inclusão na base de dados de combate à fraude imposta pelo Bacen parece contrariar a LGPD.

A Resolução Conjunta nº 6 também aborda a necessidade de cumprir a legislação de proteção de dados ao compartilhar informações para prevenir fraudes. A LGPD prevê explicitamente a justificativa do tratamento de dados pessoais sensíveis na prevenção de fraudes, alinhando-se com essa finalidade.

Para resolver essa aparente incompatibilidade, sugere-se que as instituições devem manter documentação relacionada ao sistema de compartilhamento eletrônico à disposição do Bacen, incluindo os dados compartilhados, bem como informações sobre os mecanismos de acompanhamento e controle. Elas devem esforçar-se para operar em conformidade com a legislação vigente, preservando o sigilo, a proteção dos dados pessoais e a livre concorrência.

Nesse cenário, as instituições financeiras precisam estar preparadas para enfrentar os desafios tecnológicos que surgem e adotar práticas que fortaleçam seus controles internos, garantindo assim a resiliência cibernética e a proteção de seus ativos e interesses dos stakeholders.

Publicado em por

DESAFIOS DA RESOLUÇÃO CONJUNTA Nº 6 DO BANCO CENTRAL: HARMONIZAÇÃO COM A LGPD

A partir de 1º de novembro, uma nova regulamentação do Banco Central (Bacen) entra em vigor, com o intuito de fortalecer a segurança nas transações financeiras. A Resolução Conjunta nº 6 do Bacen, publicada em conjunto com o Conselho Monetário Nacional (CMN), estabelece diretrizes para o compartilhamento de dados e informações relacionadas a indícios de fraudes entre instituições financeiras, empresas de pagamento e outras entidades autorizadas pelo Bacen.

Essa partilha de informações será efetuada por meio de um sistema eletrônico que permitirá o registro, modificação e consulta de dados e informações sobre indícios de fraudes identificadas durante as atividades dessas instituições. Isso se torna especialmente relevante devido ao fato de que bancos, fintechs, empresas de crédito e pagamento têm sido alvos frequentes de cibercriminosos, que utilizam táticas como manipulação de imagens, deepfake e fraudes de identidade facial e documental para acessar indevidamente aplicativos bancários. No ano passado, as perdas relacionadas a fraudes no sistema financeiro atingiram R$ 2,5 bilhões.

A resolução visa ampliar a visibilidade das instituições financeiras e demais atores do mercado sobre os perfis de maior risco em operações comerciais, contribuindo para o combate a fraudes.

Entretanto, surge uma questão relacionada ao Open Banking e à exigência de consentimento para inclusão na base de dados de combate à fraude. Aparentemente, isso pode entrar em conflito com a Lei Geral de Proteção de Dados (LGPD). No entanto, a LGPD prevê exceções à necessidade de consentimento em casos de obrigação legal, o que poderia ser aplicável a situações de prevenção à fraude. Nesse sentido, a resolução 6 do Bacen parece contrariar a LGPD ao exigir consentimento prévio e geral para o compartilhamento de dados com essa finalidade.

Para contornar essa incompatibilidade, sugere-se que as instituições mantenham documentação detalhada relacionada ao sistema de compartilhamento eletrônico, os dados compartilhados e os mecanismos de controle. Além disso, é crucial que as instituições esforcem-se para cumprir a legislação e regulamentação vigentes, respeitando o sigilo, a proteção de dados pessoais e a livre concorrência.

Diante dessas mudanças, as instituições financeiras devem estar preparadas para enfrentar desafios tecnológicos, fortalecer seus controles internos e melhorar sua resiliência cibernética, garantindo a proteção de ativos e interesses de seus stakeholders.

Publicado em por

DECISÃO DO STJ: RESPONSABILIDADE DOS BANCOS NA PROTEÇÃO DE DADOS PESSOAIS

A inadequada manipulação de informações pessoais vinculadas a transações e serviços bancários é considerada uma violação na prestação do serviço, pois é responsabilidade das instituições financeiras garantir a confidencialidade desses dados sensíveis. Recentemente, a 3ª Turma do Superior Tribunal de Justiça emitiu uma decisão favorável em um recurso especial, no qual uma cliente caiu no “golpe do boleto” devido ao vazamento de seus dados por parte do banco.

A jurisprudência estabelece diretrizes para determinar quando os bancos podem ser responsabilizados por golpes de engenharia social, usando como base a Lei Geral de Proteção de Dados (LGPD).

Em termos gerais, a responsabilidade das instituições financeiras depende do tipo de informação em posse dos criminosos. Se forem dados genéricos que poderiam ser obtidos de outras fontes, mesmo que sejam considerados sensíveis, não haverá uma conexão causal. Isso ocorre quando os fraudadores utilizam informações como nome, sobrenome, estado civil, profissão, endereço, telefone, origem racial ou étnica, crença religiosa, orientação política, filiação a sindicatos, informações de saúde ou dados biométricos, por exemplo.

No entanto, os bancos podem ser responsabilizados quando os dados usados pelos criminosos estão relacionados às operações financeiras. Geralmente, essas informações são exclusivamente tratadas pelas instituições, que têm o dever de armazená-las com segurança.

A ministra relatora afirmou que “dados pessoais vinculados a operações e serviços bancários são sigilosos, e é responsabilidade das instituições financeiras garantir seu tratamento seguro. O armazenamento inadequado dessas informações, que permite que terceiros tenham acesso a elas e causem prejuízos aos consumidores, constitui uma falha na prestação do serviço”.

No caso específico que foi julgado, uma mulher contratou um financiamento de veículo em uma financeira e optou por quitar a dívida antecipadamente. Ela seguiu as instruções do site da instituição e enviou um e-mail solicitando informações sobre o contrato e o valor devido. Poucos dias depois, uma funcionária da financeira entrou em contato via WhatsApp, informando que havia 32 parcelas em aberto e enviando um boleto de R$ 19,2 mil. A cliente efetuou o pagamento, mas posteriormente percebeu que havia sido vítima de fraude.

O tribunal de primeira instância considerou a dívida quitada, mas o Tribunal de Justiça de São Paulo (TJ-SP) revogou a sentença, argumentando que a fraude ocorreu devido à falta de cautela da consumidora. Alguns indícios incluíam a troca de mensagens informais via WhatsApp e inconsistências no boleto, como o banco e o beneficiário indicados, que eram diferentes dos do contrato de financiamento, além de um número incorreto do documento.

Não era razoável esperar que a cliente percebesse essas discrepâncias, uma vez que a pessoa que a contatou em nome da financeira possuía informações confidenciais sobre ela. Os fraudadores tinham conhecimento de que a mulher era cliente da empresa, que havia enviado um e-mail para quitar a dívida e que tinham informações sobre o financiamento contratado. Essas informações são sigilosas e deveriam ser protegidas pela instituição financeira.

Portanto, se esses dados chegaram ao conhecimento dos criminosos, a responsabilidade da financeira não pode ser descartada devido ao tratamento inadequado dessas informações, o que facilitou a fraude.

Publicado em por

NOVAS MEDIDAS DE SEGURANÇA: COMBATE ÀS FRAUDES FINANCEIRAS NO MUNDO DIGITAL

À medida que a revolução digital continua a se expandir, o setor financeiro também segue o mesmo caminho. O aumento das transações financeiras digitais é acompanhado pelo crescimento de fraudes, golpes e crimes cibernéticos.

De acordo com dados do Banco Central, impressionantes 95% das transações financeiras ocorrem agora no ambiente digital, sendo que cerca de 80% delas são realizadas por meio de dispositivos móveis. No entanto, o aumento das transações digitais também se traduz em um aumento proporcional de golpes e fraudes. Em 2022, foram registradas mais de 4 milhões de ocorrências em 34 instituições supervisionadas pelo BC.

Como resposta a essa crescente ameaça, o Conselho Monetário Nacional e o Banco Central publicaram a resolução conjunta nº6. Essa resolução, que entrará em vigor em novembro de 2023, abrangerá instituições financeiras, instituições de pagamento e outras entidades autorizadas pelo BC. Seu principal objetivo é prevenir fraudes por meio do compartilhamento de informações entre essas instituições.

A partir de novembro, as informações serão armazenadas em um sistema eletrônico com registro e consulta de dados e informações. Isso permitirá um maior controle sobre atividades suspeitas, já que as instituições financeiras poderão compartilhar informações sobre possíveis fraudadores, detalhes de ocorrências e muito mais.

A resolução enfatiza a importância das instituições financeiras garantirem a confidencialidade e qualidade dos dados compartilhados. Os dados incluirão informações sobre possíveis fraudadores, descrições das ocorrências ou tentativas, instituições responsáveis pelo registro dos dados, detalhes da conta destinatária e de seu titular em transferências ou pagamentos.

O compartilhamento de informações visa criar uma rede de cooperação, uma vez que fraudes e golpes podem afetar qualquer instituição financeira. A ideia é que todas as entidades estejam conectadas e alertas, em vez de competir entre si.

É importante observar que a resolução não determina as ações específicas que os bancos devem tomar em casos de fraudes, mas sim gerir o risco. As instituições podem adotar controles e decisões de acordo com seu perfil operacional. No entanto, o BC espera que as instituições desenvolvam controles internos de gestão para lidar com atividades suspeitas e proteger o sistema financeiro como um todo.

Em relação à Lei Geral de Proteção de Dados Pessoais (LGPD), as movimentações bancárias precisam ser transparentes para os consumidores. Os clientes devem estar cientes de como seus dados serão tratados e devem consentir com o compartilhamento. Especialistas enfatizam que os termos de consentimento devem ser claros e conter todas as informações necessárias para que o consumidor tome uma decisão informada.

Para clientes existentes, o consentimento pode ser obtido por meio de atualizações cadastrais regulares realizadas pelas instituições. No entanto, os clientes não podem ser coagidos ou ameaçados a consentir. O BC não faz recomendações específicas para as instituições em relação a isso.

As novas medidas visam fortalecer a segurança no mundo financeiro digital e promover a cooperação entre instituições. O consentimento dos clientes é essencial, mas deve ser livre e informado. A luta contra fraudes financeiras se torna mais eficaz quando todos os participantes estão atentos e colaboram.