O Banco Central (BC) publicou nesta terça-feira (26) a Resolução BCB nº 342, que altera as regras do Pix sobre comunicação aos titulares das contas em caso de incidentes de segurança, como vazamento de dados. A medida também endurece as penalidades para as instituições que descumprirem as normas. Prevê, ainda, punições mais severas para casos de “maior impacto”.
Conforme as novas regras, as instituições detentoras de conta terão o dever de comunicar seus próprios clientes, independentemente de terem “dado” causa ao incidente e ainda que o caso não possa acarretar risco ou dano relevante aos usuários finais.
“Apesar de a Lei Geral de Proteção de Dados Pessoais (LGPD) determinar obrigação de comunicação apenas nos casos com potencial risco ou dano relevante, desde o lançamento do Pix o BC optou pela comunicação mesmo nos casos de menor impacto, pautado pela transparência, aspecto fundamental para a manutenção da confiança da população no meio de pagamento”, disse o órgão, em nota.
No texto, o regulador reforça que o dever recai sobre a instituição de relacionamento do cliente, “mesmo que não tenha dado causa ao evento”. Isso porque é ela quem tem o “canal seguro de comunicação” com o cliente. E esse relacionamento ocorre exclusivamente por meio de identificação pessoal, por exemplo, senha e reconhecimento biométrico.
Penalidades mais severas
A nova resolução aperfeiçoou, ainda, o arcabouço de penalidades do Pix para as instituições que descumprirem os requisitos de segurança. Assim, os incidentes poderão ser penalizados de acordo com seus efeitos. Os casos de maior impacto e repercussão, aliás, podem sofrer “penalidades mais severas”, afirmou o regulador.
Além disso, nos incidentes de segurança com dados pessoais relacionados ao Pix, o cálculo do valor da multa levará em consideração como fator de ponderação a quantidade de chaves potencialmente afetadas por aquele caso.
O procedimento que entra em vigor de imediato é o implementado em casos anteriores. Novos aperfeiçoamentos poderão ocorrer no futuro, diz o órgão. O tema, inclusive, é uma das principais discussões nas reuniões do Fórum Pix.
No mês passado, vale lembrar, o BC anunciou que polícias, Ministérios Públicos (MPs) e demais entes públicos com atribuições de persecução penal poderão consultar diretamente dados cadastrais de usuários que estejam sob investigação. O objetivo é facilitar a identificação e eventual responsabilização de pessoas que utilizaram o Pix para cometer atos ilícitos.
Desde o lançamento do Pix, em novembro de 2020, houve cinco casos de vazamento de dados detectados pelo BC. O último deles, comunicado em agosto, envolveu 283 chaves sob a guarda e responsabilidade da Phi Pagamentos devido a “falhas pontuais em sistemas” da instituição.
Saiba mais:
Cronograma definitivo do Pix Automático será anunciado na semana que vem