SÃO PAULO, SP (FOLHAPRESS) – A XP comunicou nesta quinta-feira (24) um vazamento de dados que pode ter afetado um grande número de usuários da corretora e da plataforma Rico, braço da companhia.
A falha de segurança afetou dados como número de conta, saldo, posição, nome do assessor e limite de créditos, referentes ao mês de março.
Também foram expostas informações cadastrais -como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade- e sobre produtos financeiros contratados “sem os respectivos detalhamentos, limitando-se a informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário”.
Não foram expostas informações como senhas, assinaturas eletrônicas, biometrias, CPF ou documentos de identidade, segundo informou a empresa em email a clientes.
“Reforçamos que a sua conta não foi acessada, nenhuma operação foi feita e seus recursos estão seguros e protegidos”, diz a XP.
A companhia não esclareceu se toda sua base de clientes foi afetada. Segundo o último balanço, o grupo contava com 4,7 milhões de clientes ativos ao fim de 2024.
“Imediatamente, tão logo tomou conhecimento do acesso indevido, a XP adotou todas as medidas adicionais de segurança para solucionar o incidente, com o consequente bloqueio e atuação na prevenção a fraudes. Os reguladores e as autoridades competentes já foram informados do ocorrido
O vazamento ocorreu no último dia 23 de março. Questionada pela reportagem sobre a demora de um mês para informar a falha de segurança, a XP disse que “a comunicação só poderia ser feita após a apuração do ocorrido, porém o acesso foi interrompido imediatamente”.
A companhia ainda disse que, “tecnicamente”, não foi um vazamento de informações, e, sim, um acesso indevido de uma base de dados que se encontrava hospedada em um fornecedor externo, e que seus sistemas não foram afetados.
“Os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto, inexistindo vazamento de senhas, assinaturas eletrônicas, token, credenciais de acessos ou qualquer dado que permita realizar transações financeiras”, diz a XP.
A instituição financeira ainda alerta para contatos suspeitos e diz para que os clientes desconfiem de ligações telefônicas em nome da XP sobre procedimentos de segurança e reconhecimento de compras ou transações.
“A XP não solicita dados de senhas, token ou qualquer código recebido por SMS ou e-mail. Se você ficar em dúvida sobre algum contato suspeito, procure nossos canais oficiais de atendimento.”
Segundo Marcelo Branquinho, CEO da TI Safe, este vazamento de dados expõe investidores da XP a riscos como phishing, engenharia social, golpes personalizados e violação de privacidade.
“Para se proteger, recomenda-se desconfiar de contatos suspeitos, verificar a autenticidade de comunicações, monitorar transações financeiras e reforçar a segurança com senhas atualizadas e autenticação em dois fatores. A XP adotou medidas adicionais e notificou as autoridades, mas a vigilância dos investidores segue essencial”, diz Branquinho.
O Procon de São Paulo disse que vai notificar a XP para prestar esclarecimentos sobre o acesso indevido a informações dos clientes da empresa. O órgão paulista de defesa do consumidor pedirá detalhes da falha, quais as informações expostas, o motivo de os clientes terem sido informados um mês depois da constatação do fato e demais providências adotadas para mitigar, prevenir e, eventualmente, ressarcir os consumidores impactados.
“O Procon-SP vai avaliar se houve infração às normas de defesa do consumidor e, se ao final do procedimento, ficar comprovado que houve infração ao Código de Defesa do Consumidor, a empresa poderá ser autuada e multada”, diz o órgão.
Para o Idec (Instituto Brasileiro de Defesa do Consumidor), o comprometimento de dados financeiros como saldo em conta e operações realizadas torna o vazamento mais grave.
“É muito preocupante, pois vulnerabiliza os consumidores a fraudes. A quantidade e o teor de dados vazados é preocupante. Outro agravante é a demora para notificar pessoas”, diz Camila Leite Contri, coordenadora do programa de Telecomunicações e Direitos Digitais do Idec.
Segundo a LGPD [Lei Geral de Proteção de Dados Pessoais], a empresa tem três dias úteis para avisar a ANPD (Autoridade Nacional de Proteção de Dados) sobre vazamentos. Para os portadores dos dados, o prazo é de 20 dias úteis. A XP diz que ambos foram respeitados.
De acordo com Camila, o caso deve ser investigado pelo Banco Central e pela ANPD (Autoridade Nacional de Proteção de Dados) e acarretar multa à XP.
A LGPD indica que o valor da multa pode ser de até 2% do faturamento da empresa em seu último exercício, excluídos os tributos, limitada a R$ 50 milhões -a receita bruta da XP em 2024 somou R$ 18 bilhões.
Para Eduardo Tomasevicius Filho, professor da Faculdade de Direito da USP, o vazamento não é passível de processo por parte dos clientes da XP. Para levar o caso, com sucesso, à Justiça seria necessário demonstrar que este vazamento ocasionou um golpe que vitimou o portador do dado, explica o docente.
De acordo com advogados, também pode ser instaurada uma investigação criminal para identificar o responsável pelo vazamento.
