Indenização milionária por vazamento é aviso pedagógico do MP a bancos

Helton Simões Gomes

Do UOL, em São Paulo

  • Getty Images

    Banco Inter foi alvo de extorsão, e dados de clientes foram vazados

    Banco Inter foi alvo de extorsão, e dados de clientes foram vazados

O Ministério Público do Distrito Federal e Territórios (MPDFT) quer que o Banco Inter, primeiro a ser inteiramente digital no Brasil, pague indenização por danos morais de R$ 10 milhões como pena pelo vazamento de dados de seus clientes e de outras instituições financeiras em maio.

Para analistas consultados pelo UOL Tecnologia, o valor alto sinaliza uma mensagem pedagógica para o mercado, principalmente as fintechs, de que as informações pessoais dos consumidores devem ser protegidas e o acobertamento de vazamentos não será tolerado.

"O mercado precisa se organizar e investir na infraestrutura de informação, qualidade de processamento e proteção dos dados. Isso com certeza vai sair mais barato do que pagar indenização de R$ 10 milhões", diz Felipe Barreto Veiga, sócio do escritório BVA Advogados:

A preocupação recente com os dados não encara mais esses vazamentos como um acidente de percurso

VEJA TAMBÉM:

Na ação civil ajuizada nesta terça-feira (31), o MPDFT descreve como as informações de milhares de pessoas com alguma ligação com o banco foram expostas em maio, dias depois de a instituição financeira ter entrado na Bolsa de Valores.

Semanas antes, o Banco Inter havia sido alvo de extorsão feita por um hacker, que exigia dinheiro para não divulgar dados obtidos em seus sistemas. Como o pagamento não veio, foram liberadas na internet informações como fotos de cheques, transações, emails, dados pessoais e senhas de quase 100 mil pessoas.

O banco negou que seus clientes tiveram qualquer tipo de dano. Informou ainda que comunicara o Banco Central e a Polícia Federal.

O intuito do MPDFT não era investigar como os dados foram obtidos, ou seja, se a origem deles era algum ataque hacker ou uma brecha de segurança ou de processo. O objetivo era comprovar se os dados pertenciam ao banco.

O círculo começou a se fechar ainda em maio. O Banco Inter teve um de seus certificados digitais revogado, após a chave privada vazar na web – esses documentos são usados para assinar contratos; a chave é o que garante a autenticidade da assinatura.

Além disso, o MPDFT conseguiu, a partir de informações compartilhadas pelo BC, identificar que havia, entre as informações vazadas, dados de 19,9 mil clientes do Inter e de outros 4,8 mil clientes de outros bancos.

A indenização milionária deve ser paga porque o banco "primeiro banco a utilizar tecnologias móveis que permitem aos seus usuários um controle rápido e 'seguro' das contas, deveria oferecer um grau de segurança além daquele oferecido pelos bancos tradicionais", conforme explica o promotor Frederico Meinberg Ceroy.

"Por se tratar de empresa que lidera o mercado ao qual está inserida, [o banco] deveria oferecer o nível de segurança esperado a seus usuários, com gestão de risco e segurança da informação em níveis de excelência", escreve Ceroy, o coordenador da Comissão de Proteção dos Dados Pessoais do MPDFT.

VEJA TAMBÉM:

Para o especialista do BVA Advogados, há na conduta do órgão, que ele julga correta, uma tentativa de dar uma lição ao mercado:

Existe até um caráter pedagógico. O que o pessoal do MPDFT quer é dar um aviso para a sociedade: as indenizações vão existir e elas vão tentar cobrir os danos das pessoas

Para ele, houve uma surpresa na comunidade jurídica que acompanha os desdobramentos do mundo digital com o valor pedido.

"Em que pese [o valor da indenização] ser alto, quando a gente fala em relação a consumidores, já vimos indenizações até mais altas, mas eram coisas relacionadas a recall ou não entrega de serviço. Mas, para proteção de dados, a gente ainda não tinha visto isso no Brasil."

E essa ação, continua o advogado, não "levanta um alerta só para as fintechs e os bancos digitais, mas para todos aqueles que coletam e tratam dados de seus clientes".

José Luiz Rodrigues, conselheiro da ABFintechs (associação das empresas iniciantes de tecnologia bancária), acredita que o movimento do MPDFT serve de aviso principalmente para outros bancos:

Eu acho que não é uma notícia que pega as fintechs, mas que pega o mundo financeiro como um todo. O mercado todo está sujeito a isso

Tanto Rodrigues quanto Veiga lembram que as fintechs estão sujeitas às mesmas regras do BC e do Conselho Monetário Nacional que outras instituições financeiras devem seguir.

"Realmente, o sistema é rápido, mas isso não quer dizer que seja inseguro. As fintechs tomam cuidado com informação e com 'compliance', da mesma forma que qualquer outra empresa."

Uma resolução do CMN de abril deste ano estabeleceu novas diretrizes que bancos devem seguir ao contratar serviços de processamento de dados e de computação em nuvem, além de novas políticas no tratamento de incidentes cibernéticos.

"[A nova regra] já traz algumas mudanças a que os bancos devem se ater, principalmente os digitais, já que estão preocupados em escalar sua atividade e podem deixar uma porta aberta", diz Veiga.

Para o promotor que quer impor uma indenização de R$ 10 milhões ao Banco Inter, no entanto, a prioridade não deve ser apenas a expansão das atividades.

"A segurança, no caso de bancos inteiramente digitais, não pode ser deixada em segundo plano", escreve Ceroy na ação.

Receba notícias pelo Facebook Messenger

Quer receber as principais notícias do dia de graça pelo Facebook Messenger? Clique aqui e siga as instruções.

Veja também

UOL Cursos Online

Todos os cursos