Segundo o BC, o vazamento, que ocorreu de 26 de junho a 2 de julho, foi de nome de usuário, Cadastro de Pessoa Física (CPF) com máscara (quando asteriscos ocultam parte dos números), instituição de relacionamento, agência e número da conta.
A exposição não afeta a movimentação de dinheiro, afirmou a autarquia. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram expostos.
O BC disse ainda que decidiu divulgar o incidente por "compromisso com a transparência", já que o caso não precisaria ser comunicado devido ao baixo impacto potencial para os clientes.
As pessoas que tiveram informações expostas serão avisadas por meio do aplicativo ou do internet banking da instituição e devem desconsiderar comunicações como chamadas telefônicas, mensagens de texto e avisos por aplicativos de mensagens e por e-mail.
A exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O Banco Central informou que o caso será investigado e que sanções poderão ser aplicadas.
A legislação prevê multa, suspensão ou até exclusão do sistema do Pix, dependendo da gravidade do caso.
Ao todo já foram registrados 11 incidentes com chaves Pix desde a criação da ferramenta, em 2022.
A 99Pay informou que o problema já foi solucionado e que o vazamento "não acarretará perdas financeiras", pois não houve exposição de dados sensíveis.
A instituição informou que o total de usuários afetados representa apenas 0,0003% dos clientes e está à disposição para prestar esclarecimentos e apoio.
"A 99Pay reforça seu compromisso com a segurança, a privacidade de dados e o combate às fraudes digitais como prioridade em todas as operações. Seus canais oficiais de atendimento seguem à disposição para responder dúvidas e orientar os usuários da melhor forma possível", destacou em comunicado.