O Banco Inter distribuiu um comunicado a seus clientes sobre o vazamento de dados que afetou 20 mil correntistas. A empresa diz que “não houve ataque cibernético externo”, mas afirma que uma pessoa “autorizada a atuar em nossos sistemas” obteve informações sigilosas.

No comunicado, o banco minimiza o vazamento, dizendo que “quase a totalidade da exposição de dados foi de baixo impacto”. Nos casos graves, em que informações mais sensíveis foram divulgadas, a empresa entrou em contato com os clientes.

Uma investigação do MPDFT (Ministério Público do Distrito Federal e Territórios) descobriu que os dados cadastrais de 19.961 correntistas do Inter foram comprometidos. Deles, 13.207 contêm “dados bancários, como número da conta, senha, endereço, CPF e telefone”. A chave de criptografia privada do banco também vazou.

O Inter garante que “adotou todas as medidas técnicas necessárias para mitigar possíveis riscos”, e que não há registro de prejuízos a seus clientes.

Quando o vazamento foi revelado em maio, o Inter disse que se tratava de uma “notícia inverídica”, e que “não há qualquer comprometimento da segurança do Banco”.

O MPDFT cita uma testemunha que “supostamente foi ameaçada por representantes do Banco Inter para encerrar uma investigação informal”. Ela teria recebido ligação de um desconhecido dizendo que “não gostaria que algo de ruim acontecesse comigo”, mas que o banco iria acusá-la de invadir seus sistemas.

O ministério abriu uma ação civil pública para que o Inter pague R$ 10 milhões em indenização por danos morais.

Esclarecimentos à CVM

No dia 1º de agosto, a CVM (Comissão de Valores Mobiliários) solicitou esclarecimentos ao Banco Inter depois que o MPDFT divulgou os resultados de sua investigação.

O órgão queria saber se a notícia era verdadeira; por que não houve um fato relevante a respeito disso; e por que a empresa disse em maio que “não houve invasão e tampouco comprometimento dos sistemas de segurança do Banco”.

O Inter respondeu, em 2 de agosto, que não publicou fato relevante “por se tratar de desdobramento de fato público e já conhecido, e com pouco potencial de impacto sobre as negociações das ações”.

O banco disse que ainda não havia sido formalmente citado pela ação do MPDFT, e que “reafirma a sua convicção de inexistência de comprometimento de seus sistemas de segurança”. Os comunicados podem ser acessados aqui e aqui (PDF).

Comunicado do Inter aos clientes

Este comunicado está disponível apenas para clientes no internet banking, na seção “Segurança” do menu principal. Ele segue abaixo na íntegra:

Em maio deste ano foi noticiado um incidente de segurança da informação envolvendo um suposto ataque cibernético aos nossos sistemas, pelo qual alguns dados teriam sido acessados e divulgados.

Reforçamos a nossa convicção de que não houve ataque cibernético externo aos nossos sistemas que acarretasse ruptura ou comprometimento da nossa segurança.

Acredita-se que pessoa autorizada a atuar em nossos sistemas tenha quebrado o seu dever de sigilo, sua ética profissional e as regras do nosso Código de Conduta e, após tentativa frustrada de nos extorquir, divulgou, sem autorização, algumas informações relativas a pequena parcela de nossos clientes à época.

Estudos minuciosos, internos e de empresas especializadas, avaliaram o evento conforme metodologia internacionalmente reconhecida em proteção de dados, e constataram que quase a totalidade da exposição de dados foi de baixo impacto, sendo que os clientes cuja metodologia indicou maior sensibilidade foram contatados.

Adicionalmente, tão logo tomamos conhecimento do fato, adotamos todas as medidas técnicas necessárias para mitigar possíveis riscos, não havendo registro de prejuízos aos nossos clientes.

Reafirmamos o nosso compromisso com a transparência, e nosso desejo de revolucionar o setor bancário no Brasil, por meio de um Banco justo e acessível a todos.