De acordo com as novas diretrizes, as instituições serão responsáveis por comunicar aos seus clientes sobre incidentes de segurança, independentemente de serem responsáveis pelas falhas ou se o caso não envolver um grande risco. Essa mudança vai além do que era exigido pela Lei Geral de Proteção de Dados Pessoais, que previa a comunicação apenas em situações com potencial risco ou danos relevantes.
O Banco Central destaca que a responsabilidade de comunicar os clientes recai sobre a instituição financeira que mantém relacionamento com o cliente, mesmo que não seja a responsável pelo incidente. Isso ocorre porque as informações são transmitidas por meio de canais seguros e de acesso exclusivo por identificação pessoal, como senhas e reconhecimento biométrico.
Desde o lançamento do Pix, o Banco Central tem adotado a política de comunicação mesmo nos casos de menor impacto, visando manter a transparência e a confiança da população no sistema de pagamento. Essa postura tem se mostrado benéfica para a sociedade, segundo a autoridade monetária.
O Banco Central ressalta que as novas regras têm como objetivo oficializar uma prática que já vinha sendo aplicada pelas instituições de relacionamento. No entanto, o órgão sinaliza que outras melhorias poderão ser implementadas no futuro, conforme as discussões do Grupo Estratégico de Segurança no Fórum Pix.
Além disso, a resolução também estabelece penalidades mais rígidas para as instituições que descumprirem os requisitos de segurança do Pix. As sanções levarão em consideração a gravidade dos incidentes, com casos mais relevantes recebendo punições mais severas. As multas relacionadas a incidentes de segurança com dados pessoais no Pix serão calculadas com base no número de chaves potencialmente afetadas, ou seja, quanto maior o vazamento, maior será a multa.
Com essa resolução, o Banco Central busca reforçar a segurança do sistema Pix e garantir a proteção dos dados dos usuários. As instituições financeiras terão a responsabilidade de comunicar qualquer incidente aos clientes, mesmo que a ocorrência seja considerada de menor gravidade. Essas medidas visam preservar a confiança dos usuários e assegurar a eficiência e a integridade do sistema de pagamentos instantâneos.