Exposição indevida? Nubank pode estar expondo o CPF de usuários que não são seus clientes
Fintech pode ser multada, ser temporariamente suspensa ou perder a função Pix.
Desde o lançamento do Pix, o aplicativo do Nubank disponibiliza o CPF de todos os usuários que não são clientes do banco, mas que utilizaram esses sistema para realizar transações com clientes do Nubank.
Basta ter usado o Pix uma vez para que outras pessoas tenham acesso aos dados do utilizador, independente de a chave de acesso ter sido telefone, e-mail ou aleatória.
Qualquer pessoa que tenha o CPF ou outro dado sigiloso (mesmo e-mail ou telefone celular) vazado pode ser um alvo potencial para golpes digitais.
É provável que você também goste:
Nubank começa a enviar números da sorte para terceiro sorteio da promo “Tem WOW nesse Pix”
Como ocorre o vazamento de dados do Nubank
Ao abrir a janela de transferência via Pix, os dados dos usuários que já realizaram transações entre si ficam expostos em ordem alfabética.
Quando o usuário clica em um nome, outra janela com todas as informações bancárias do selecionado aparecem, inclusive o número do CPF.
O protocolo de outros bancos em relação à proteção de dados de transação via Pix é simples: os comprovantes de transferência ocultam 5 dos 11 dígitos do CPF dos usuários.
Essa informação é suficiente para confirmar ao usuário que precisará enviar o dinheiro se aquela é a chave correta ou não de quem receberá o valor.
Entretanto, o problema é que o Nubank apenas realiza esse processo para clientes do próprio banco e, caso o usuário seja cliente de outro banco, suas informações estarão expostas.
A fintech não se pronunciou sobre o motivo de ocultar os dados de seus clientes, mas expor os de outros usuários.
Orientações do Banco Central aos bancos que aderiram ao Pix
O Banco Central afirma que a segurança foi uma preocupação desde a criação do sistema Pix, inclusive no que cerne a segurança de dados dos usuários.
O Banco Central desenvolveu um documento com Requisitos Mínimos para Experiência do Usuário que traz recomendações de detalhes que devem ser adicionados aos aplicativos de bancos e reitera a responsabilidade das instituições ao oferecerem o Pix como alternativa. Mascarar CPFs é uma delas.
Além disso, o BC estabeleceu quais dados devem ser prestados a ele pelos bancos que escolheram aderir ao Pix: como data, hora, valor, tipo de transação e dados pessoais devem, obrigatoriamente, ser recolhidos pelos bancos, mas isso não os infere o direito de divulgar tais informações a outros usuários.
Infração do Nubank à Lei Geral de Proteção de Dados (LGPD)
A ação do Nubank fere a Lei Geral de Proteção de Dados (LGDP), que entrou em vigor recentemente e informa sobre o tratamento de dados pessoais no país.
Basicamente, a LGDP define quais dados podem ou não ser coletados e/ou utilizados. Outra indicação da lei é que, para que as informações sejam usadas, a utilização deve ser consentida, de legítimo interesse ou necessária.
No caso do Nubank, a exposição de dados não parece cumprir nenhum desses requisitos.
O banco pode ser penalizado a pagar multas entre R$ 50 mil, R$ 100 mil ou R$ 1 milhão, ser suspenso temporariamente ou perder a capacidade de disponibilizar transações via Pix caso não cumpra com suas obrigações, de acordo com o Manual de Penalidades do Pix, criado pelo Banco Central.
Enfim, quer ficar por dentro de tudo o que acontece no mundo das finanças?
Então é só seguir o Seu Crédito Digital no YouTube, Facebook, Twitter, Instagram e Twitch. Assim você vai acompanhar tudo sobre bancos digitais, cartões de crédito, empréstimos etc. Siga a gente para saber mais!
Imagem: rafapress/shutterstock.com