O Banco Central publicou nesta terça-feira (26) uma nova resolução (BCB nº 342) que aprimora as regras sobre incidentes de segurança relacionados ao Pix, como vazamento de dados. Entre as novidades, o consumidor terá que ser avisado pela instituição na qual tem conta que houve uma falha de segurança, independentemente do motivo e do nível de risco desse incidente.

“Apesar de a Lei Geral de Proteção de Dados Pessoais (LGPD) determinar obrigação de comunicação apenas nos casos com potencial risco ou dano relevante, desde o lançamento do Pix o BC optou pela comunicação mesmo nos casos de menor impacto, pautado pela transparência, aspecto fundamental para a manutenção da confiança da população no meio de pagamento”, explica o BC em nota.

As mudanças entram em vigor imediatamente.

“É importante ressaltar que o dever [de comunicar falhas] recai sobre a instituição de relacionamento do cliente, mesmo que não tenha dado causa ao evento, uma vez que é ela que possui canal seguro de comunicação com o cliente, acessível exclusivamente por meio de identificação pessoal, como senha, reconhecimento biométrico, etc.”, complementa o BC em seu comunicado.

O BC vem se esforçando para mitigar os problemas relacionados ao sistema de transferências instantâneas, que já é utilizado por mais de 153,3 milhões de usuários. Entre as ações para amenizar os problemas estão as alterações nos limites de valor para as transações e no Pix Saque e Pix Troco. 

Ainda, para conter fraudes, por exemplo, o BC limitou os valores nas transações via Pix e busca responsabilizar dos bancos em relação às ‘contas laranjas’, que são abertas por criminosos para movimentar quantias ilícitas. A autoridade também revelou recentemente que o índice de fraudes no Pix é bem baixo, de apenas 0,007% das transações.

O que muda?

As alterações dizem respeito à comunicação aos titulares dos dados, quando da ocorrência de incidentes com dados pessoais, e ao arcabouço de penalidades que as instituições participantes do Pix estão sujeitas em casos de descumprimentos dos requisitos técnicos e regulatórios de segurança.

Veja a lista das três mudanças:

• Instituições detentoras da conta dos titulares dos dados pessoais terão o dever de comunicar seus próprios clientes sobre eventuais falhas de segurança (independente de terem dado causa ao incidente e ainda que o caso não possa acarretar risco ou dado relevante aos usuários finais);
• Casos de descumprimentos de requisitos de segurança podem ser penalizados de acordo com seus efeitos, podendo aplicar penalidades mais severas em casos de maior impacto, considerando não apenas o descumprimento regulatório em si, mas as repercussões ocasionadas por tal inconformidade;
• Para os casos com incidentes de segurança com dados pessoais relacionados ao Pix, o fator de ponderação para o cálculo do valor da multa considerará a quantidade de chaves Pix potencialmente afetadas.

Leia também

Fides 2023Corretor de seguros é como Spotify, diz executivoProfissionais, primeiro, oferecem a experiência e depois conquistam o cliente, afirma Sebastián Del Brutto