O Banco Inter vazou dados pessoais de 19.961 correntistas, de acordo com uma investigação do Ministério Público do Distrito Federal e Territórios (MPDFT). A Comissão de Proteção dos Dados Pessoais moveu nesta segunda-feira (30) uma ação civil pública contra a instituição financeira, que pode ser condenada a pagar uma indenização de R$ 10 milhões.

Vazamento de dados do Banco Inter

A história começou em maio, quando um hacker divulgou um arquivo criptografado de 40 GB que supostamente teria informações pessoais de clientes do Banco Inter. Dados como senha, código de segurança (CVV), e-mail, telefone e endereço, bem como CPF, RG, CNH, declaração de imposto de renda e fotos de cheques para compensação via aplicativo estariam no vazamento.

Na época, o banco declarou que “não houve invasão e tampouco comprometimento dos sistemas de segurança”. Em comunicado ao mercado, afirmou que a notícia do vazamento era “inverídica, com conteúdo técnico questionável e impreciso, publicada com o objetivo exclusivo de prejudicar a reputação do banco”. Disse ainda que a divulgação de “notícias falsas ou fatos verdadeiros truncados ou deturpados” a respeito de instituição financeira era crime.

Investigação do MPDFT e do Banco Central

Após uma investigação, o MPDFT “constatou o comprometimento dos dados cadastrais de 19.961 correntistas do Banco Inter”, sendo que “13.207 contêm dados bancários, como número da conta, senha, endereço, CPF e telefone”. Correntistas de outros bancos que fizeram transações com clientes do Inter também foram afetados. O MPDFT confirmou ainda que houve vazamento da chave de criptografia privada do banco.

“O Banco Central do Brasil confirmou o incidente de segurança, bem como o Centro de Proteção, Análise, Difusão e Segurança da Informação – CI deste Ministério Público constatou que os certificados contidos no arquivo são relativos ao Banco Inter e são compatíveis com as chaves pública e privada”, diz o MPDFT na ação civil pública.

Censura contra pesquisador de segurança

Na ação, o MPDFT informa que uma das testemunhas “supostamente foi ameaçada por representantes do Banco Inter para encerrar uma investigação informal que realizava sobre o incidente de segurança”. A vítima teria recebido um telefonema em seu celular pessoal de um homem ligado aos acionistas da instituição financeira, que é controlada pela construtora MRV.

“Disse que o banco me acusaria como o invasor (criminoso), que eu sofreria busca e apreensão de bens meus, que minha reputação profissional seria maculada, que eu teria grandes despesas com advogado dentre outras consequências negativas. […] Um dos trechos que mais me chamou a atenção foi ele me dizer que ‘(…) você não trabalha para a imprensa, não tem sigilo de fonte, não tem proteções que a imprensa tem’. Foi uma clara ameaça”, disse a vítima em depoimento ao MPDFT.

Indenização por danos morais coletivos

Em nota, o MPDFT pede que a ação seja julgada com a condenação do Banco Inter em R$ 10 milhões, a título de indenização por danos morais coletivos, “em razão de não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus clientes e não clientes”. Caso o banco seja condenado, o valor será revertido ao Fundo de Defesa de Direitos Difusos (FDD).

O promotor de justiça Frederico Meinberg diz que “as tentativas de encobrir o incidente de segurança, promovidas pelo Banco Inter, geraram prejuízos morais e insegurança aos clientes, não clientes, investidores, acionistas, ecossistemas de Fintechs e Startups brasileiros de dados, bem como na confiabilidade da migração dos serviços de processamento, armazenamento e de computação em nuvem das instituições financeiras”.

Banco Inter não se pronuncia

Procurado pelo Tecnoblog, o Banco Inter disse que não vai comentar o assunto.