Em outubro do ano passado, o Nubank fez uma publicação de utilidade pública. “Golpes usando o Pix: veja como funcionam e como evitar cair nessa” era o título do texto que alertava para tentativas de fraude que poderiam usar o novo meio de pagamento. O texto dava um exemplo de fraude: usar emails falsos para fazer com que elas digitassem voluntariamente dados sensíveis, como o CPF. Com esses dados, golpistas podem comprar chips de celular no seu nome e até abrir contas bancárias. Ainda faltavam mais de 30 dias para o Pix entrar em funcionamento, e os bancos já estavam se desdobrando para garantir as chaves dos seus clientes. Eles queriam se precaver: conseguir esses dados era justamente a intenção dos golpistas.  Mas o Pix entrou no ar e, agora, é o próprio Nubank que está expondo informações.

Desde que o Pix foi lançado, o aplicativo do Nubank deixa público o número de CPF de todas as pessoas que já tenham usado o sistema para enviar ou receber dinheiro. Seja você cliente do Nubank ou não, seu CPF pode ser visto por terceiros que já tenham te enviado um pagamento sempre que quiserem, mesmo se sua chave Pix for um número de telefone, um e-mail ou uma chave aleatória.

Não custa lembrar: com seu CPF, e-mail ou número de telefone expostos — dados pessoais utilizados no lugar do número da conta bancária no novo método —, você se torna um alvo mais fácil de ataques, golpes ou vigilância.

Os dados ficam expostos no aplicativo do Nubank: após abrir a janela de transferência, uma lista de todos os contatos que já te enviaram ou receberam dinheiro aparece, em ordem alfabética. Clicar em um nome abre uma nova janela, com todas as contas bancárias dessa pessoa com quem você já teve contato. E aí, então, o número de CPF está disponível.

Veja como o Nubank está expondo você:

Os demais bancos têm uma medida simples para proteção dos CPFs dos clientes. Todos os comprovantes de transações por Pix ocultam parte do CPF de quem recebeu o pagamento, mostrando apenas seis dos 11 dígitos. Assim, é possível identificar se a transação foi feita para a pessoa certa, mas não realizar um golpe. O problema é que o Nubank só faz isso em transferências entre contas do próprio banco. Se o destinatário tiver conta em outro lugar, os dados são expostos.

Para Eduardo Cuducos, doutor em sociologia pela Universidade de Essex, do Reino Unido, e pesquisador de tecnologia, essa é a pergunta a se fazer logo de cara: por que o Nubank omite apenas os CPFs dos seus clientes durante as transações? “Se fizer parte da ideia do Pix reduzir intencionalmente a exposição de dados sensíveis, então o Nubank está na contramão do Banco Central”, afirma ele. Perguntei ao Nubank por que o banco omite os CPFs de seus clientes, mas expõe os dados dos clientes de outras instituições bancárias. Não tive resposta.

O Banco Central, por sua vez, garante que “a segurança faz parte do desenho do Pix desde seu princípio” e é priorizada em todos os aspectos do sistema, “inclusive em relação às informações pessoais”. Um documento desenvolvido pelo órgão, intitulado Requisitos Mínimos para Experiência do Usuário, recomenda detalhes a serem adicionados nos aplicativos dos bancos e define as obrigações das instituições financeiras no oferecimento do Pix. Entre elas, está a de mascarar os CPFs dos usuários recebedores do Pix. “A seleção da chave deve retornar os dados do usuário recebedor para conferência: nome completo, CPF mascarado (ex: ***.777.888-**)/CNPJ, além de valor e opção de cancelar a transação antes da confirmação do pagamento”, diz o documento.

Em uma instrução normativa de outubro de 2020, o Banco Central estabelece quais informações devem ser prestadas ao órgão pelos bancos que aderiram ao Pix. É de responsabilidade das instituições bancárias recolher informações sobre cada transação feita, como valor e data, e dados pessoais dos envolvidos, como CPF. Para Luiz Guilherme Ros, mestre em direito constitucional e sócio do escritório Silva Matos Advogados, a existência e a utilização desses dados para controle não dá ao Nubank, de acordo com as informações disponíveis até agora, abertura para cedê-los a quem realiza uma transferência.

‘Várias medidas possibilitam o uso dos dados, mas o presente caso não parece ser nenhuma delas, ao menos em uma primeira análise’.

Além de não encontrar justificativa em nenhuma instrução do Banco Central, a exposição do Nubank pode ferir a recém-vigente Lei Geral de Proteção de Dados, a LGPD, que dispõe sobre o tratamento de dados pessoais no Brasil.

A LGPD define em quais casos essas informações podem ser coletadas e utilizadas. A norma também indica que, para que isso aconteça, a utilização dos dados precisa ser consentida, necessária ou de legítimo interesse, por exemplo. E, de acordo com Ros, a exposição dos números de CPF pelo Nubank parece não estar protegida por nenhuma dessas bases legais.

“Várias medidas possibilitam o uso dos dados, mas o presente caso não parece ser nenhuma delas, ao menos em uma primeira análise”, explica o advogado. “Consentimento, por exemplo: nesse caso, estamos falando de pessoas que sequer são necessariamente usuárias do Nubank – e não têm, portanto, como consentir com essa utilização de seus dados”.

O legítimo interesse, que tenta balancear interesses da empresa e direitos dos cidadãos sobre os dados pessoais, também não serve de respaldo para o Nubank. Para Ros, ele “é uma via de mão dupla: precisa atender o legítimo interesse da posse dos dados e também o legítimo interesse do titular dos dados em compartilhá-los com um terceiro”. Se essa via de mão dupla não é respeitada, a empresa pode, em tese, estar infringindo a LGPD.

“Se eu quero criar uma chave aleatória para não fornecer meu CPF, parece que a segunda via da mão dupla, que respeita a escolha de divulgação ou não de dados pessoais, pode não estar sendo observada nesse caso”, explica Ros. “A não ser que se tenha uma situação em que seja estritamente necessária não só a coleta desse dado, o que já acontece, mas também a disponibilização dele, nós podemos falar em uma violação à LGPD”, completa.

O não cumprimento das obrigações pode acarretar penas às instituições bancárias. Ao Nubank, pode ser imputado o pagamento de multas, divididas em categorias de R$ 50 mil, R$ 100 mil e R$ 1 milhão, suspensão temporária ou exclusão do novo método de transferências, como indica o Manual de Penalidades do Pix, presente em resolução do Banco Central.

Dados a um Google de distância

Esse não é o primeiro problema de segurança do Nubank. Um script desenvolvido ano passado pelo pesquisador Heitor Gouvêa descobriu que dados de centenas de clientes do Nubank estavam disponíveis na internet. Nome, CPF e dados bancários eram retornados pelo Google em pesquisas.

Na época, o Nubank negou que a falha fosse do banco e responsabilizou os usuários pela disponibilidade dos dados, por terem sido postados em outros sites, como redes sociais. “Essa é uma escolha e uma ação voluntária dos próprios clientes”, diz um comunicado do banco. Ainda assim, o Nubank afirmou ter analisado o relatório produzido pelo pesquisador e tomado medidas para aprimorar o aplicativo e solicitar o bloqueio desse tipo de informações no Google.

Ainda em 2020, outra possível falha de segurança veio à tona quando clientes do Nubank, Bradesco e Itaucard começaram a perceber compras indevidas em seus cartões de crédito. À época, o Nubank negou que a segurança dos clientes ou da plataforma estivesse comprometida.

Questionado pelo Intercept sobre as exposições, em nota, o Nubank informou que segue a regulação do Banco Central para implementação do Pix, “em especial o Manual de Requisitos Mínimos para Experiência do Usuário”, documento citado acima. A empresa também nega que a integração da lista de contatos, com exposição permanente do CPF de terceiros, seja uma falha de segurança. Pelo contrário, o banco a define como uma “segurança adicional aos clientes, pois permite que eles possam enviar recursos facilmente para contas com as quais transacionaram anteriormente, reduzindo o risco de erro na digitação manual dos dados ou pelo envio a chave que mudou de titularidade”.

Em 22 de fevereiro, dias após o envio da nota, a assessoria do Nubank ligou para o Intercept afirmando que seu aplicativo passaria por uma atualização no dia 25 e que, na ocasião, o banco passaria a ocultar o CPF de todas as pessoas. O Nubank continuou a afirmar, contudo, que a exibição do número era uma ajuda para o cliente “evitar que ele seja vítima de um golpe ou de uma fraude, para que ele possa conferir todos os dados”. “A gente viu a oportunidade de incluir essa atualização agora, a oportunidade de mascarar o CPF também”. Questionada sobre que “oportunidade” seria aproveitada, já que o detalhamento do CPF é considerado pelo banco uma medida de segurança, a assessoria negou que a mudança tenha qualquer relação com a revelação feita por esta reportagem.

The post O Nubank está expondo seu CPF – mesmo que você não seja cliente deles appeared first on The Intercept.

This post was originally published on The Intercept.