Clientes da XP se queixam da demora na divulgação de vazamento de dados | Finanças

Ela não deu bola num primeiro momento, mas dias depois entrou em contato. A primeira informação pedida foi o CPF, mas, desconfiada, ela preferiu não seguir adiante. Agora, com a divulgação do recente vazamento de dados da plataforma, ligou os pontos e diz se sentir vulnerável.

“Há toda uma conversa de que a XP é diferente dos bancos, mas parece que não está livre dos mesmos problemas”, desabafa. “E por que demorar tanto? Eu poderia muito bem ter compartilhado mais informações, mas não fiz isso por falta de tempo e porque não senti segurança.”

A investidora diz que não houve nenhuma transação estranha na sua conta ou no saldo de investimentos de lá para cá e que ao contatar a sua assessoria ontem o episódio foi minimizado.

Conforme relata, a explicação foi que de a informação foi provavelmente vazada de algum provedor externo e que, de acordo com a Lei Geral de Proteção de Dados (LGPD), o comunicado era obrigatório. Mas que, tecnicamente, não houve um vazamento de fato, porque os dados não se tornaram públicos, não foram utilizados.

A reportagem ligou para o número informado pela investidora e ele continua ativo. Após a música tradicional de espera, um atendente responde: “XP, boa tarde”. Ele pede o CPF e quando há uma negativa, diz que vai tentar pelo celular da ligação, que se fosse o mesmo do cadastro acessaria os dados. Depois, responde não ter sido possível, que precisava do CPF e que este não é um dado sensível, todos os bancos pedem isso e algum tipo de autenticação. Insistiu.

Na quinta-feira (24) a XP enviou um comunicado aos seus clientes informando que em 22 de março tomou “conhecimento de que uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um acesso não autorizado”.

Imediatamente, fez o bloqueio informou, acrescentando que a conta, os investimentos estavam em “total segurança, pois nenhum sistema da XP foi acessado”, e que os aplicativos e sites poderiam ser usados normalmente. Contudo, dados cadastrais como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade foram expostos, alertou a própria plataforma. Foram vazados ainda número de conta na XP, saldo, posição, nome do assessor e limite de crédito, referente a março.

“Por conta do ocorrido, desconfie de ligações telefônicas em nome da XP sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou realize qualquer ação no aplicativo sob orientação de qualquer contato telefônico”, emendou a XP, reforçando que “não solicita dados de senhas, token ou qualquer código recebido por SMS ou e-mail. Se você ficar em dúvida sobre algum contato suspeito, procure nossos canais oficiais de atendimento”.

No site da XP é possível confirmar que nenhum dos números oficiais coincide com o 0800 que a investidora foi orientada a ligar.

Nas redes sociais, os clientes têm manifestado a sua insatisfação. “E a XP que fez o favor de avisar: vazaram basicamente todos os seus dados pessoais aqui, mas não se preocupe. Não vazou senha, nem CPF. Kkkkk”, provoca um deles.

“Estamos falando de uma das maiores instituições financeiras do país. Isso é mais que uma falha — é um escândalo de segurança. Inaceitável”, queixou-se outro.

O golpe da “falsa central de atendimento” virou rotina para correntistas das instituições financeiras de maneira geral e não teria relação com o caso informado pela plataforma na quinta-feira, segundo fonte próxima da XP. Mas a fraude acaba se concretizando quando há violação e o cliente acredita na abordagem. É correto não informar nada e sempre confirmar quais são os canais oficiais de atendimento.

Quanto à aparente demora no alerta, a XP tem informado que estava apurando internamente o caso e que, se comunicasse algo antes, poderia “prejudicar a investigação e criar alarde nos clientes, talvez de forma desproporcional”. “A XP cumpriu os prazos obrigatórios, avisou todas as autoridades necessárias assim que tomou conhecimento e notificou os clientes dentro do prazo necessário”, diz a XP, por meio da sua assessoria de imprensa.

O problema foi identificado no próprio dia 22 e em menos de duas horas foi solucionado, segundo um interlocutor. “A comunicação com o cliente é algo sensível e teria que ser feita com propriedade. Não é algo trivial, a partir de um cenário potencial do problema até a confirmação para quais clientes comunicar.”

Autoridades como o Banco Central foram comunicadas em três dias sobre o incidente, e investigações foram iniciadas, inclusive policiais, apurou o Valor. Havia ainda um prazo de 25 dias para comunicar os clientes e isso foi seguido. De lá para cá, nenhuma violação de fato ou furo de bloqueio teriam sido identificados relacionados ao episódio de 22 de março.

A Agência Nacional de Proteção de Dados (ANPD) confirmou ter sido comunicada sobre o incidente de segurança da XP. O caso está sob análise. Pela Lei Geral de Proteção de Dados (LGPD), a agência pode aplicar multas que chegam a 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.

Sobre a central de atendimento falsa este é um problema que extrapola a alçada das instituições financeiras e outras empresas que são alvo de fraudes. As companhias comunicam esse tipo de incidente à Anatel, a agência bloqueia o número 0800 e logo outros são ativados.

Na rede de assessorias da XP, a orientação tem sido reforçar as medidas de segurança aos clientes e ficar próximo, prestando todos os esclarecimentos, tranquilizando-os de que “os dados não se tornaram públicos e que não houve vazamento de nenhum tipo de transação e que também não é preciso trocar senhas”, segundo um profissional a par da política adotada.