BC prevê penas mais duras à instituição em caso de vazamento do PIX

O Banco Central (BC) publicou nesta terça-feira, 26, uma resolução que atribui às instituições participantes do Pix, a responsabilidade de avisar a clientes sobre o vazamento de dados do sistema de pagamento e transferência instantânea. A medida deve aprimorar as regras sobre incidentes de segurança.

O BC também endurece as penalidades em casos de as instituições descumprirem os requisitos técnicos e regulatórios de segurança, podendo ser mais severas em casos de maior impacto, considerando não apenas o descumprimento regulatório em si, mas as repercussões ocasionadas por tal inconformidade

A comunicação aos clientes, segundo o BC, deve ser feita pela instituição participante, independente de terem dado causa ao incidente ou caso não haja risco ou dano relevante aos usuários finais, apesar de a Lei Geral de Proteção de Dados Pessoais (LGPD) determinar obrigação de comunicação apenas nos casos com potencial risco ou dano relevante.

“É importante ressaltar que o dever recai sobre a instituição de relacionamento do cliente, mesmo que não tenha dado causa ao evento, uma vez que é ela que possui canal seguro de comunicação com o cliente, acessível exclusivamente por meio de identificação pessoal, como senha, reconhecimento biométrico etc”, aponta o Banco Central.

Ainda segundo o BC, o procedimento operacional que entra em vigor de imediato é o implementado para os casos anteriores, sem prejuízo de eventual aperfeiçoamento no futuro, visto que a matéria está em discussão no âmbito do Fórum Pix, em especial do Grupo Estratégico de Segurança (GE-Seg).

Para penalidades às instituições também foi adicionado, para os casos com incidentes de segurança com dados pessoais relacionados ao Pix, o fator de ponderação para o cálculo do valor da multa que considerará a quantidade de chaves Pix potencialmente afetadas.