No dia 10 de julho, o Banco Central informou que 39.088 chaves Pix de clientes da 99Pay Instituição de Pagamentos tiveram seus dados vazados. Este foi o 11º incidente desde o lançamento do sistema de pagamentos instantâneos em novembro de 2020.
De acordo com o BC, o vazamento ocorreu entre os dias 26 de junho e 2 de julho e incluiu informações como nome do usuário, CPF mascarado, instituição de relacionamento, agência e número da conta. O vazamento foi atribuído a falhas pontuais nos sistemas da instituição de pagamento. O BC destacou que apenas dados cadastrais foram expostos, não afetando a movimentação financeira dos clientes. Informações protegidas pelo sigilo bancário, como senhas e extratos, não foram comprometidas.
Apesar de o impacto potencial para os clientes ser considerado baixo, o Banco Central decidiu divulgar o incidente em nome da transparência. A 99Pay está comunicando os clientes afetados através de seu aplicativo e internet banking, sendo esses os únicos canais oficiais de aviso. O BC alertou para que os clientes desconsiderem comunicações por chamadas telefônicas, SMS, aplicativos de mensagens e e-mails.
Embora os dados tenham sido expostos, não necessariamente todos foram acessados por terceiros. O Banco Central está investigando o caso e poderá aplicar sanções conforme prevê a legislação, incluindo multas e exclusão do sistema Pix, dependendo da gravidade.
A 99Pay declarou que o incidente de segurança foi resolvido e não resultou em perdas financeiras, pois não houve exposição de dados sensíveis. A instituição reiterou seu compromisso com a segurança e privacidade dos dados, colocando seus canais de atendimento à disposição para esclarecimentos e suporte aos usuários.