Banco Central silencia sobre falhas de segurança enquanto XP reincide em vazamento de dados

247 - Um novo episódio de vazamento de dados na XP Inc. reacendeu o debate sobre a atuação do Banco Central (BC) na fiscalização da segurança cibernética das instituições financeiras, relata o Relatório Reservado, lembrando do incidente mais recente, ocorrido em março mas só comunicado aos clientes em 24 de abril, com um atraso de 32 dias.

Segundo a própria corretora, “uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um o não autorizado”. A empresa assegura que “os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto”, e que os clientes “podem continuar a operar com total segurança”. Contudo, evitou responder perguntas específicas sobre o grau de o dos agentes autônomos aos seus sistemas e sobre a existência de planos de contingência. A XP também não detalhou quais medidas de segurança foram efetivamente adotadas após o incidente, limitando-se a dizer que “adotou todas as medidas adicionais de segurança para solucionar o fato”.

Reincidência e histórico preocupante - Não é a primeira vez que a XP se vê no centro de uma crise de dados. Em 2017, dados pessoais de cerca de 29 mil clientes — como nome, F, telefone e e-mail — foram expostos, e criminosos chegaram a contatar os próprios investidores. À época, veio à tona que as fragilidades no sistema de proteção da empresa remontavam a 2013, quando hackers invadiram seus sistemas e roubaram informações cadastrais. Em um dos casos, houve o desvio de R$ 500 mil de contas de três clientes, posteriormente ressarcidos.

Esse histórico, somado ao novo vazamento, levanta dúvidas sobre a robustez da estrutura de segurança da XP e sobre a responsabilidade do Banco Central na supervisão do setor.

O silêncio do BC e a complexidade regulatória - De acordo com a autoridade monetária, a supervisão da conformidade das instituições com as normas de segurança da informação se dá por meio de “um processo contínuo de supervisão”, cuja intensidade e frequência variam conforme o “perfil de riscos das instituições”. Na prática, porém, o BC evita declarações públicas sobre falhas de segurança, ainda que relevantes, temendo abalar a estabilidade do sistema financeiro.

A legislação vigente é extensa: a Resolução BC nº 85/2021 (para instituições de pagamento) e a Resolução CMN nº 4.893/2021 (para instituições financeiras) tratam das políticas de segurança cibernética e da contratação de serviços em nuvem. Já a Resolução BC nº 260/2022 e a Resolução CMN nº 4.968/2021 abordam os controles internos obrigatórios. Todas exigem testes periódicos de segurança, mas faltam informações claras sobre como essas exigências são auditadas na prática.

Apesar de a legislação prever sanções, o Banco Central não informa se já puniu algum banco por episódios de vazamento de dados — o que gera a percepção de que o órgão mantém uma postura leniente ou, no mínimo, opaca.

O contraste com os números do mercado - O cenário nacional é alarmante. De acordo com a Surfshark, empresa de cibersegurança sediada na Holanda, o Brasil registrou 84,6 milhões de contas bancárias violadas em 2024 — um salto de 24 vezes em relação ao ano anterior. Já a Kaspersky aponta que o país liderou os ataques virtuais a bancos na América Latina, com 1,6 milhão de incidentes no mesmo período.

Em meio a esse contexto, a Federação Brasileira de Bancos (Febraban) argumenta que o setor tem investido fortemente em proteção digital. “O sistema bancário possui robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação”, informou a entidade ao Relatório Reservado. Ela ainda estima que os bancos associados investirão R$ 47,8 bilhões em tecnologia neste ano, dos quais 10% serão destinados à cibersegurança.

A Febraban também destacou a criação, em 2020, de um Laboratório de Segurança Cibernética, que já realizou mais de 200 atividades com foco em prevenção, conscientização e combate a crimes digitais, alcançando mais de 23 mil profissionais de instituições financeiras.

A vulnerabilidade dos agentes autônomos - A estrutura descentralizada da XP — com mais de 400 escritórios e 15 mil agentes autônomos — é apontada no próprio mercado como um possível ponto frágil em sua segurança de dados. O Relatório Reservado questionou diretamente a empresa sobre os procedimentos adotados com relação a seus agentes e a existência de um plano padronizado de resposta a incidentes, mas não obteve respostas objetivas.

A falta de transparência, somada ao histórico de falhas, contribui para um cenário em que o risco à privacidade dos dados dos clientes parece cada vez mais elevado. Enquanto isso, o Banco Central mantém-se reticente e invisível — um "vigilante insone" ou, talvez, um "síndico ausente".