O Banco PAN, controlado pelo BTG Pactual, sofreu uma invasão de cibercriminosos, que vazaram os dados de usuários de cartões de crédito da instituição. O número de pessoas atingidas, no entanto, ainda está em apuração. Atualmente, o banco tem cerca de 13 milhões de clientes que utilizam cartão de crédito, segundo uma fonte.
O ataque de cibercriminosos ocorreu na madrugada de quinta-feira (14). Foram expostos, segundo informações preliminares, os seguintes dados: nome, CPF, data de nascimento, número do cartão (de forma mascarada), fatura e limite de crédito, inclusive os que eventualmente estejam em débito. Conforme o banco, os hackers copiaram os dados dos clientes, mas não tiveram acesso às contas.
Procurado, o Banco PAN, informou que foi identificada uma vulnerabilidade no sistema utilizado pelo call center. O banco garante que nenhuma transação monetária foi realizada nessa invasão e que as contas correntes foram preservadas. A falha, segundo o banco, foi corrigida e as autoridades policiais já foram notificadas.
É importante destacar que a Lei Geral de Proteção de Dados (LGPD) não prevê sanções específicas para vazamento de dados. Mas, caso o consumidor sofra algum dano como consequência do vazamento dos seus dados pessoais, ele pode acionar judicialmente a empresa responsável pelo tratamento para garantir uma reparação.
A LGPD diz no artigo 42 que "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo".
Se o titular sofreu um dano moral ou material por conta de um vazamento de dados, o recomendado é que ele entre em contato com a empresa e busque uma reparação amigável. Caso o contato seja infrutífero, o titular pode acionar a empresa judicialmente para garantir os seus direitos.
O que fazer em caso de dados vazados
A recomendação geral é que os usuários fiquem atentos à contratação de serviços e empréstimos desconhecidos em seu nome, bem como desconfiem de cobranças ou avisos repentinos por mídia física, ou digital.
"Todos precisamos ficar atentos às nossas contas bancárias. É possível que surjam empréstimos, contratação de serviços, compras e até acessos não-autorizados em nosso nome. Estamos todos à mercê dos cibercriminosos", alerta Emilio Simoni, o executivo-chefe de segurança da PSafe, empresa de segurança cibernética.
O especialista adverte para que os usuários fiquem atentos com contatos que pedem dados confidenciais, mesmo quando fornecem parte dos seus dados. "Na dúvida, entre em contato com a instituição", orienta.
Simoni orienta ainda a nunca clicar em links que chegam via SMS, redes sociais e aplicativo de mensagem e aponta a necessidade de o usuário sempre usar um sistema de proteção contra phishing e alerta de dados vazados. Conheça os melhores antivírus gratuitos para celular Android
.
O que diz a LGPD
A Lei Geral de Proteção de Dados (LGPD) estabelece sanções para infrações à lei em geral. Como uma das exigências da lei é adotar medidas para garantir a segurança dos dados, um vazamento pode ser considerado uma infração. Em seu Artigo 44, a LGPD deixa claro que o tratamento de dados pessoais será irregular quando não fornecer a segurança que o titular dele pode esperar. Portanto, um vazamento de dados pode levar à aplicação de sanções administrativas previstas na lei.
Sanções administrativas
- Advertência, com prazo para corrigir as infrações;
- Multa simples de até 2% do faturamento da empresa no ano anterior, até o limite de R$50 milhões por infração;
- Multa diária de até 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;
- Tornar pública a infração cometida;
- Bloqueio dos dados pessoais relacionados à infração;
- Eliminação dos dados pessoais relacionados à infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total das atividades relacionadas a tratamento de dados.
Veja a nota do Banco PAN na íntegra
"Detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões. Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa.
De acordo com a apuração em curso, já foi possível constatar que não houve comprometimento de conta corrente, indisponibilidade de sistema ou invasão à infraestrutura do Banco, tendo sido confirmado, no entanto, que a exploração da vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível e saldo devedor, sem que tenham sido expostos dados completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente.
Reforçamos que a segurança das informações é nossa prioridade e todas as autoridades competentes foram notificadas".