Publicidade
O Banco Central publicou nesta terça-feira (26) uma nova resolução (BCB nº 342) que aprimora as regras sobre incidentes de segurança relacionados ao Pix, como vazamento de dados. Entre as novidades, o consumidor terá que ser avisado pela instituição na qual tem conta que houve uma falha de segurança, independentemente do motivo e do nível de risco desse incidente.
“Apesar de a Lei Geral de Proteção de Dados Pessoais (LGPD) determinar obrigação de comunicação apenas nos casos com potencial risco ou dano relevante, desde o lançamento do Pix o BC optou pela comunicação mesmo nos casos de menor impacto, pautado pela transparência, aspecto fundamental para a manutenção da confiança da população no meio de pagamento”, explica o BC em nota.
As mudanças entram em vigor imediatamente.
Continua depois da publicidade
“É importante ressaltar que o dever [de comunicar falhas] recai sobre a instituição de relacionamento do cliente, mesmo que não tenha dado causa ao evento, uma vez que é ela que possui canal seguro de comunicação com o cliente, acessível exclusivamente por meio de identificação pessoal, como senha, reconhecimento biométrico, etc.”, complementa o BC em seu comunicado.
O BC vem se esforçando para mitigar os problemas relacionados ao sistema de transferências instantâneas, que já é utilizado por mais de 153,3 milhões de usuários. Entre as ações para amenizar os problemas estão as alterações nos limites de valor para as transações e no Pix Saque e Pix Troco.
Ainda, para conter fraudes, por exemplo, o BC limitou os valores nas transações via Pix e busca responsabilizar dos bancos em relação às ‘contas laranjas’, que são abertas por criminosos para movimentar quantias ilícitas. A autoridade também revelou recentemente que o índice de fraudes no Pix é bem baixo, de apenas 0,007% das transações.
Continua depois da publicidade
O que muda?
As alterações dizem respeito à comunicação aos titulares dos dados, quando da ocorrência de incidentes com dados pessoais, e ao arcabouço de penalidades que as instituições participantes do Pix estão sujeitas em casos de descumprimentos dos requisitos técnicos e regulatórios de segurança.
Veja a lista das três mudanças:
- Instituições detentoras da conta dos titulares dos dados pessoais terão o dever de comunicar seus próprios clientes sobre eventuais falhas de segurança (independente de terem dado causa ao incidente e ainda que o caso não possa acarretar risco ou dado relevante aos usuários finais);
- Casos de descumprimentos de requisitos de segurança podem ser penalizados de acordo com seus efeitos, podendo aplicar penalidades mais severas em casos de maior impacto, considerando não apenas o descumprimento regulatório em si, mas as repercussões ocasionadas por tal inconformidade;
- Para os casos com incidentes de segurança com dados pessoais relacionados ao Pix, o fator de ponderação para o cálculo do valor da multa considerará a quantidade de chaves Pix potencialmente afetadas.