Sign up to save your podcasts
Or
Share #391 – Vazamento bancário
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#391 – Vazamento bancário
Neste episódio, comentamos o vazamento de dados da XP Investimentos. Guilherme Goulart e Vinícius Serafim analisam o incidente, os dados expostos e o que você precisa saber para se proteger de fraudes. Guilherme Goulart e Vinícius Serafim aprofundam a análise sobre o grave incidente de segurança que resultou em um significativo vazamento de dados de clientes. Eles discutem as implicações para a proteção de dados e a violação da privacidade, abordando a demora na comunicação do ocorrido e as exigências da LGPD e da ANPD. O debate detalha como os dados financeiros e dados pessoais expostos (como saldo, perfil de investidor e informações sobre produtos) aumentam drasticamente os riscos de fraudes, phishing e ataques de engenharia social, revelando o que criminosos podem inferir sobre seu patrimônio e estilo de vida.
Gostou do episódio? Siga, assine e avalie o Segurança Legal no seu agregador de podcasts favorito para não perder nenhuma análise.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 391, gravado em 30 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham ou que nos assistem posteriormente no YouTube.
(00:34) Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Hoje estou com um chazinho aqui, mais leve. Para entrar em contato conosco, você já sabe: basta enviar uma mensagem para podcast@segurançalegal.
(00:52) .com ou também pelo Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal no apoia.se/segurançalegal. Existem as modalidades de apoio, você participa do grupo do Telegram, mas, o principal: você está ajudando um projeto de geração de conteúdo e de conhecimento livre e desimpedido.
(01:13) Os podcasts, Vinícius, são a resistência. Nós somos a resistência. Antes de começarmos com as duas notícias – hoje teremos somente duas, até para que conseguíssemos entregar o episódio no feriado, neste pseudoferiadão, já que sexta não é feriado, mas muita gente vai emendar – eu gostaria de mandar um abraço. Eu estive em dois eventos, Vinícius, um na sexta passada e um na segunda-feira passada.
(01:52) O primeiro deles foi o evento da Abrad, o Congresso Nacional de Direito Educacional, feito pela Associação Brasileira de Direito Educacional (Brad). Aqui no Rio Grande do Sul, ela é representada pelo Maurício Teles, um amigo meu de longa data. Conheço-o há bastante tempo, de quando dei algumas aulas no Verbo Jurídico e ele trabalhava lá.
(02:18) Então, ele gentilmente me convidou e eu pude falar um pouco, Vinícius, por apenas 15 minutos, sobre ética, educação e inteligência artificial. Tu conseguiste falar em 15 minutos? Eu duvido. Não, mas levei alguns elementos do nosso podcast, algumas coisas que já comentamos aqui, como aquela pesquisa da Microsoft, e a partir dali apresentei alguns breves elementos.
(02:44) O segundo, Vinícius, foi uma palestra que concorreu na segunda-feira com nosso querido amigo Fabiano Menke, o professor da UFRGS, nosso amigo de longa data com quem já escrevemos juntos. Ele já passou aqui pelo Segurança Legal e me convidou para falarmos lá na UFRGS sobre as interfaces entre inteligência artificial e proteção de dados.
(03:10) E foi um diálogo muito bacana, porque temos pensado nisso ao longo dos últimos anos. O próprio Menke falou sobre isso, Vinícius, e esse nosso diálogo que temos aqui no podcast também, há bastante tempo falando sobre esses temas. É sempre bom também, porque fui lá para aprender com o Fabiano Menke, que é uma grande autoridade no tema. Foi aquela troca de ideias, aquele tipo de conversa em que você aprende com a pessoa, pensa junto, e de repente percebe que não é bem assim. Foi uma coisa muito bacana. O Rafael
(03:43) Escaroni, também mestre pela UFRGS e sócio do Fabiano Menke, estava lá também, meu conhecido há bastante tempo. E ele foi supergentil, porque disse que ouve o podcast e fez uma pergunta envolvendo um dos temas que tratamos.
(04:00) Ele comentou: “Muito bom te ver, porque às vezes fico dialogando com vocês na minha mente enquanto estou ouvindo”. Foi muito bom encontrar ouvintes do podcast, encontrar o Rafael Escaroni e também poder trocar uma ideia com o Fabiano Menke sobre essas interfaces.
(04:21) E um recado para os nossos ouvintes: eu já percebi, não sei se já aconteceu contigo, mas percebi agora recentemente, em uma viagem que fiz, algumas pessoas me olhando de uma maneira meio… tentando confirmar a identidade. Então, só para dar um recado: se vocês nos virem por aí, não tenham medo. A gente fica superfeliz de encontrar quem escuta o nosso podcast em carne e osso, porque interagimos pouco pela natureza da nossa área.
(04:56) A gente sabe que muita gente nos escuta, pelo que o pessoal nos fala, pelos convites para eventos, pelas estatísticas que acompanhamos de acesso. Mas, ao mesmo tempo, muitas vezes parece que estamos nós dois sozinhos aqui conversando, e tem um monte de gente, vocês são vários que nos escutam. Então, quando tiverem oportunidade em algum evento ou nos encontrarem por aí, não tenham receio.
(05:30) O Guilherme tem uma cara meio feia, mas podem chegar perto dele, não tem problema. Nos procurem, digam: “A gente ouve o podcast”. Para nós, isso é um baita de um incentivo. Sabe que, nessa mesma linha, recentemente, temos um ouvinte e seguidor nosso, o Diego Costa, que também conhecemos há bastante tempo. Ele dá uma série de palestras sobre segurança da informação e, como ouvinte das antigas, sempre recomenda o podcast Segurança Legal. Ele postou no Instagram e
(06:08) me marcou em um vídeo dele. Depois que ele terminou a palestra, disse: “Escutem esses caras, eles estão há bastante tempo gravando isso”. É um reconhecimento bacana. Eu fico especialmente muito feliz e muito honrado, porque são pessoas que nos escutam, muitas pessoas que admiro e que têm uma trajetória.
(06:34) Eu fico feliz e, ao mesmo tempo, dá um friozinho na barriga, porque parece que somos só nós, mas falamos para milhares de pessoas toda semana. Milhares de pessoas nos escutam. Fica um beijo. Diga, Guilherme. Indo para o nosso tema, a gente até conversou sobre aprofundar um pouco mais as discussões, pegar menos notícias e aprofundar um pouco mais as nossas conversas aqui. Porque vocês não sabem, mas antes de cada podcast tem outro podcast que eu e o Guilherme fazemos, conversando entre nós. E às vezes conversamos longamente, até mais de
(07:04) uma hora. E pensamos: “Pô, cara, isso aqui era o podcast”. A nossa conversa poderia ter sido o podcast. E, às vezes, na notícia, ficamos naquela de querer dar a notícia e acabamos não aprofundando muito.
(07:21) Mas, para iniciar logo a nossa conversa, o que aconteceu com a XP Investimentos?
(07:28) A XP é uma instituição financeira brasileira, de conhecimento de todos. Ela opera desde 2006, liderando diversos segmentos do mercado financeiro.
(07:52) Eles têm uma plataforma muito interessante para investimentos. Começaram com essa parte e depois abriram para a prestação de serviços bancários. Também têm um cartão de crédito bastante interessante, com algumas vantagens bem boas. Aí têm empréstimo, seguro, previdência. Você faz pela plataforma deles também, consegue fazer esses, chamam de investimentos, mas é previdência. É uma instituição financeira utilizada por milhares de pessoas, bem consolidada. O que aconteceu? No dia 24 de abril, os
(08:33) clientes da XP começaram a receber um comunicado indicando que teria havido um incidente no dia 22 de março de 2025. Portanto, uma comunicação realizada, segundo eles próprios, um mês depois do incidente. Quando olhamos para a mensagem, acho que podemos lê-la aqui depois, Vinícius, e ir fazendo alguns comentários sobre ela, porque há uma série de questões interessantes. Por que este caso está aqui? É um
(09:12) vazamento de dados pessoais relevantes. Não foram dados sensíveis, mas dados pessoais relevantes que diremos quais são daqui a pouco. Fique conosco, apoie o podcast no apoia.se/segurançalegal. Mas, ao mesmo tempo, olhar para os comunicados é uma atividade interessante. Por exemplo, uma coisa que retiramos deste comunicado é que, certamente, se eu fosse apostar, apostaria que ele foi criado com o apoio de relações
(09:43) públicas na área de segurança da informação e de proteção de dados. As duas estão juntas. Certamente foi um incidente de segurança que afetou dados pessoais. Quando falamos em envolver relações públicas em comunicados, já se está criando, fora do Brasil há muito mais tempo, mas aqui já está bem estabelecida a ideia de que você pode precisar de uma orientação técnica de como colocar a sua mensagem. Eu vejo isso nesta mensagem. É uma mensagem
(10:22) cuidadosamente elaborada, como deve ser. A própria LGPD e as normas que regulam a questão dos comunicados dizem que o comunicado tem que ser claro, tem que expor quais são os riscos e tudo aquilo que já sabemos. E isso eu vejo aqui, Vinícius. Então, tem esse ponto.
(10:45) Em alguns momentos, ela me pareceu uma mensagem um pouco contraditória. Um comunicado de incidentes tem que ser realista para o titular, claro que também não pode criar uma situação de pânico desmedida. E por isso tem que ser cuidadosamente criada, mas não pode omitir coisas.
(11:09) Ela tem que dizer a quais riscos os titulares estarão expostos e também precisará indicar, neste caso, quais são os dados que foram vazados. Não sei se você quer fazer algum comentário, Vinícius. Guilherme, eu tenho várias coisas separadas aqui. Mas, pegando o que tu já citaste, o incidente, como a própria XP comunicou, e ela foi bem clara nesse sentido.
(11:35) Ela foi muito clara em dizer quais dados e também que o incidente aconteceu no dia 22 de março e a comunicação foi feita em 24 de abril, portanto, praticamente um mês depois. Isso extrapola aquele limite de três dias que tem na LGPD para comunicação.
(11:55) Porém, eu acho que isso é uma das coisas que talvez precise ser revista na LGPD, porque se acontece um incidente e você sai correndo para comunicar em três dias a partir do momento em que tem a indicação de que houve um incidente, precisa de tempo para investigar. Nós sabemos disso.
(12:20) Fazemos isso há 20 anos. Já investigamos incidentes de várias naturezas e sabemos que leva tempo para investigar, para confirmar as coisas, para ter um relatório, um documento que diga: “Aconteceu, foi isto que aconteceu, a extensão foi esta, etc.”, até para avaliar a necessidade ou não de comunicação e o que deve ser comunicado.
(12:48) Então, eu acho que três dias é muito pouco tempo. Apesar de na lei estarem três dias e eles terem assumido na resolução que estão comunicando um mês depois do ocorrido, eu não acho isso tão errado, porque não adianta fazer uma comunicação, supor que eles levantam previamente: “não, foi só tal coisa” e, em três dias, sair comunicando.
(13:14) E depois: “Não, não foi só isso”, ou o contrário: “Nossa, o incidente foi deste tamanho, vamos comunicar aquela coisa toda”. E depois: “Mas não foi tudo isso, na verdade, nos enganamos”. O estrago está feito. A comunicação começa a ficar errática, um vai e vem. Eu acho isso muito ruim.
(13:33) Eu acho que três dias é pouco tempo. E não é questão de “ah, mas então tem que investir mais recursos para conseguir em três dias”. É pouco tempo. Precisa-se de tempo para analisar as evidências, para confirmar as coisas, para conseguir investigar o incidente.
(13:52) Precisa-se de tempo, e três dias não é tempo suficiente. Ponto. Esse é um primeiro ponto que eu gostaria de colocar. Não sei se tu concordas ou discordas. Eu concordo até determinado ponto. Por que se estabelece um prazo curto? Quando olhamos para a LGPD, vemos a palavra “proteção de dados”.
(14:23) O sujeito foco, protegido pela lei, é o titular. Nessa perspectiva, um prazo curto visa justamente comunicar o titular o quanto antes para que ele consiga estar preparado para reagir diante de eventuais maus usos desses dados.
(14:55) Imagina só, supondo que foi um atacante, eles não deram essas informações, só indicaram que o vazamento ocorreu por um acesso não autorizado em um fornecedor externo da XP. Alguém que tinha uma integração e com quem eles trocam dados, algum parceiro. Talvez alguém nesse parceiro abusou de credenciais ou conseguiu credenciais de um usuário legítimo, possivelmente. E eles têm uma série de parceiros,
(15:31) grupos que atuam ligados à XP, como corretores, que às vezes utilizam sistemas autônomos, internos daquele prestador. Imagino que tenha sido nessa dinâmica que a coisa aconteceu, mas é uma suposição, não tenho informação sobre isso.
(15:58) Então, imaginando que seja um atacante, esse acesso não autorizado me leva a crer em um atacante. Não acredito que tenha sido uma perda acidental. Esse atacante que teve acesso aos dados ficou, sei lá, 27 ou 28 dias de posse dessas informações, podendo utilizá-las até que a XP avisasse os titulares. Por isso que o prazo tem que ser o mais curto possível, para avisar o titular: “Toma cuidado, vazou aqui”. E a própria resolução
(16:37) e a forma técnica de comunicar o incidente à ANPD permitem fazer três tipos de comunicação: completa, preliminar e complementar. Quando você faria a preliminar? Assim que descobrisse que houve um incidente, mas ainda não tem todas as informações. Você faz a preliminar e justifica. Ou, quando está investigando, mas ainda não comunicou o incidente, comunica à
(17:16) ANPD de forma preliminar. Quando o controlador faz isso, ele passa a ter o dever de, em 30 dias, realizar a comunicação complementar. Então, tenho a completa, a preliminar e a complementar, que complementa a preliminar.
(17:41) Agora, eu estava pensando sobre isso ontem, Vinícius, exatamente na linha do que você falou. Mas, quando então que eu comunicaria um incidente que envolveu dados pessoais em somente três dias? Porque o que você coloca é de fato difícil. Grandes organizações, como uma instituição financeira como a XP, muito dificilmente conseguirão apurar um incidente em três dias.
(18:07) E, inclusive, Guilherme, eu até entendo. Talvez 30 dias seja muito tempo, mas talvez uma semana para uma comunicação preliminar e para pelo menos avaliar a extensão, saber quem eu tenho que comunicar. E talvez uma informação possa ser: “Atenção, fique atento, tivemos um incidente. Estamos analisando, mais informações em breve”.
(18:32) E frisar: “A XP não entra em contato com você por telefone. Nossos canais oficiais são apenas estes”. Dar uma reforçada nessa informação nos primeiros dias, até que consiga confirmar a ocorrência ou não, e depois fazer o resto.
(18:51) Por exemplo, pegando a questão dos dados que vazaram. Vou listar aqui para a gente ter uma noção. Vazaram: dados cadastrais (nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade).
(19:16) Informações sobre produtos… Cargo está junto? Eles devem pedir em algum momento o cargo, a profissão, para cadastro mesmo. E, até por questões de investimento, tem que fazer o perfil do investidor, tem coisas obrigatórias, como saber se a pessoa é politicamente exposta.
(19:36) Outro item é informações sobre produtos financeiros: indicações binárias (sim ou não) de serviços contratados como cartão de crédito, débito, seguro, consórcio, previdência e portabilidade de salário. E dados financeiros: número da conta XP… Quer falar? Não, não, termine.
(19:58) Número da conta XP, saldo, posição de investimentos, nome do assessor e limite de crédito. Posição de investimento é valor. Você tem na ação tal, no fundo tal, tal valor. Nome do assessor, limite de crédito, e tudo isso referente ao mês de março. Note que é bastante informação. Eles podem ter levado um certo tempo para descobrir tudo que foi acessado, toda a extensão. Saldo, você falou saldo.
(20:31) Eles podem ter levado realmente um tempo razoável para levantar tudo isso e saber a extensão. Atingiu todos os clientes? De repente… estamos fazendo conjecturas aqui. Vamos supor que eles tenham um parceiro para um determinado tipo de produto e entregam dados de apenas uma parte dos clientes que têm, clientes com certo perfil. Se tivessem vazado informações por um parceiro específico
(21:05) que lida com um produto específico, com um perfil específico de clientes previamente limitado, isso já limitaria os titulares que teriam que ser comunicados. E não vamos esquecer, seríamos muito inocentes se não considerássemos isso, que no mundo perfeito se diria: “Aconteceu um incidente, saia falando que aconteceu, que é perigoso, cuidado”.
(21:31) Mas, na vida real, existe uma preocupação da empresa com sua imagem. E a XP, nesse sentido, pode ter demorado, mas eu acho que fez um comunicado bem amplo, bem aberto. E, embora no texto ela tenha minimizado a importância desse vazamento, eu acho que é um vazamento bem importante, bem grave.
(22:03) Não é uma coisa pequena, não são dados desimportantes. São informações com as quais, para fazer um ataque de engenharia social, esses golpes que o pessoal vive fazendo, que nossos ouvintes devem receber ligações de um monte de número estranho, inclusive com URA, uma voz automática gravada dizendo que aconteceu uma compra no seu cartão, aquela palhaçada toda.
(22:27) Para um ataque com essas informações, elas são essenciais, são importantíssimas. E a XP afirmou que não vazou senha, não vazou assinatura eletrônica, que é a senha adicional para liberar operações.
(22:48) Dados biométricos. E esse é o problema: quando vaza dado biométrico, como é que você troca? Você tem só 10 dedos. Como troca seus dados biométricos? Ou um rosto. Não vazou CPF ou documento de identidade. Mas tem o nome e a data de nascimento.
(23:09) Conseguir o CPF na internet com nome e data de nascimento é brincadeira de criança. A não ser que a pessoa tenha um homônimo com a mesma data de nascimento, você vai conseguir descobrir o CPF dela na internet.
(23:28) Então, apesar de eles terem minimizado essas informações, dizendo que não foi tão grave, essa é a parte que eu discordo do comunicado deles. Eu acho que não dá para minimizar. O que vazou é importante, é significativo. É muito fácil para criminosos aplicarem golpes nessas pessoas tendo todos esses dados, porque é muito fácil… tem um livro…
(24:08) …é um livro que explica, não é “A Arte de Enganar” do Mitnick, que perto deste outro livro escrito por uma psicóloga, o do Mitnick é piada, um rascunho de criança. Esse livro fala sobre as técnicas que fazem as pessoas caírem nesses golpes.
(24:28) E lá está listado que uma dessas técnicas, um dos primeiros passos, é estabelecer autoridade e uma sensação de urgência. Com as informações que eles têm ali, como o nome do consultor e todos os dados, você consegue estabelecer autoridade, consegue dizer quem você é, se estabelecer como um representante da XP e dar um senso de urgência. Você pode simplesmente dizer: “Olha, houve um vazamento, estou
(24:59) te ligando para cuidarmos dos teus interesses”. Isso dá o senso de urgência para a pessoa, que sabe o valor das suas operações, sabe o que você tem contratado. É muito fácil aplicar um golpe desses. Não que eu já tenha aplicado, gente, eu nunca fiz isso. Mas, pelo que sabemos, é muito fácil.
(25:26) Então, essa comunicação, apesar de ter sido bem aberta, dizendo que foi há um mês e dando todas as informações, eu acho que ela foi um pouco contraditória. Quando eles afirmam, por exemplo, “sua conta e seus investimentos estão em total segurança” e a outra frase “não é necessária nenhuma ação por sua parte”.
(25:52) Só que, ao mesmo tempo, o risco é grande. Não é um vazamentozinho qualquer. Não, não é. Eu acho que é um dos… E a gente não tem a informação da quantidade de pessoas, porque para a ANPD eles devem informar o número de titulares afetados, mas para o titular não. O que tem que ser comunicado ao titular? Descrição da natureza, medidas técnicas, riscos e possíveis impactos. Os motivos da demora, no caso de a comunicação não ter sido feita, eles fizeram, certo? Em algum
(26:32) momento aqui, acho que eles dizem, ou não? Não, não disseram os motivos da demora. Vai vendo aí, mas acho que não. Deixa eu dar uma olhada aqui. E depois, riscos relacionados, motivos da demora, medidas que foram ou serão adotadas para reverter ou mitigar, data do conhecimento do incidente e os contatos para obtenção de mais informações.
(27:05) Isso tem que ser feito em linguagem clara, simples e de fácil entendimento, e de forma direta e individualizada quando for possível identificá-los. Essa é uma coisa interessante, porque às vezes pode ser que você não consiga identificar a extensão dos titulares. Então, pode ter que fazer uma comunicação pública. Nesse caso, pelo que se viu, a comunicação foi direta e individualizada.
(27:27) Várias pessoas vieram me falar que receberam esse aviso. Eu não sei se foram todos os dados de todos os clientes da XP. E também não sabemos se pessoas que já tiveram investimentos lá no passado, se esses dados ainda ficam armazenados. Aqui conseguimos ver o que a ANPD coloca de comunicação para o titular na Resolução 15 de 2024.
(28:05) E talvez o motivo da demora não tenha sido informado. Não conseguimos achar aqui. Mas o que você falou sobre a categoria e a natureza dos dados, e a questão das possibilidades de phishing, é um dos grandes impactos que temos hoje com a inteligência artificial no mundo da segurança: a possibilidade de automatizar e incrementar a eficácia de ataques com o uso de IA. Ah, mas isso vai exigir um treinamento… Nós fizemos aqui de brincadeira, enquanto nos
(28:47) preparávamos para gravar, demos para a IA as informações que foram vazadas e pedimos os tipos de riscos que as pessoas poderiam correr. Nada de novo: engenharia social, phishing de maneira geral, assédio e discriminação. Porque não é só uma questão de tentar tirar dinheiro dessas pessoas.
(29:19) Essas pessoas, além de estarem sob o risco de sofrerem fraudes, e já vou falar sobre algumas possibilidades, tiveram uma violação da sua privacidade. É potencialmente possível saber quanto essas pessoas têm de investimento, por exemplo, na XP. Sem dúvida.
(29:42) E a quantidade de dinheiro que uma pessoa tem guardada nem sempre é uma informação que ela vai querer que todo mundo saiba. Não, sem dúvida. Ainda mais, Guilherme, que é uma informação que, por mais que o saldo seja de março, é mais do que suficiente para um criminoso investir tempo para atacar uma dessas pessoas.
(30:03) Claro, se você tem a lista, não preciso resolver tudo numa ligação só. Posso, ao longo do tempo, começar a pesquisar mais. Existem os painéis de venda de dados. Teve gente sendo presa por trás desses painéis, mas existem outros e vão surgir outros. Essas pessoas têm dinheiro disponível, o que se consegue verificar pela informação que vazou.
(30:29) Você pode fazer ataques de longo prazo. Quem vive disso não tem preocupação com o tempo. Aí, temos uma situação muito delicada, em que parece que acontece um incidente e dizem “não se preocupem”.
(30:51) O que vazou foi só de março. Não que a XP tenha dito “vazou só de março”, eles não disseram isso. Mas no sentido de que “aconteceu um incidente”. O incidente não para de acontecer. Uma vez que ele aconteceu, é aquela história da pasta de dente fora do tubo: depois que saiu, não tem como colocar de volta.
(31:09) Vira uma meleca, uma zona. É o que temos com esse tipo de vazamento. Esses dados agora serão utilizados por quem os vazou, talvez diretamente, ou serão repassados, vendidos para verdadeiras organizações criminosas especializadas nesse tipo de ataque.
(31:33) Inclusive, eu estava procurando sobre a comunicação. Você tinha falado se eles se justificaram. Encontrei uma notícia no Valor Econômico em que dizem o seguinte: “Clientes da XP se queixam da demora na divulgação de vazamento de dados”. Deixa eu só ler o trecho que achei.
(31:52) Eles disseram que o problema foi identificado no próprio dia 22 e, em menos de duas horas, foi solucionado, segundo um interlocutor não identificado ao Valor Econômico. Abre aspas: “A comunicação com o cliente é algo sensível e teria que ser feita com propriedade. Não é algo trivial, a partir de um cenário potencial do problema até a confirmação para quais clientes comunicar”.
(32:13) Isso foi o que um interlocutor não identificado passou para o Valor Econômico. Mas, olhe só, eles disseram que o problema foi identificado e solucionado no próprio dia 22 de março. E o título da matéria é que os clientes já estão sendo alvo desses golpes por telefone.
(32:51) Isso não é informação boba. Já podemos bater o martelo em algumas coisas. Primeiro, as informações não são desimportantes, pelo contrário, até pelo que você citou da LGPD. E eu só não encerro que quero fazer mais uma observação sobre as informações.
(33:17) Certo. E aí, Vinícius, “ah, mas não vazou tua senha e tuas credenciais”. Sim, isso não permitiria um acesso à conta e a manipulação dos valores. Certo, eu entendo que isso seria catastrófico. Mas o problema é que há uma economia, já há muito tempo, vivendo de dados oriundos de vazamentos.
(33:53) E nós vivemos no Brasil uma espécie de pandemia de tentativas de ataque de phishing. Todo mundo que nos escuta diariamente recebe tentativas, umas mais bobas, outras nem tanto, outras muito convincentes. Esse é o ponto que quero colocar sobre o uso de IA. Com a IA, você automatiza.
(34:23) Dias desses, recebemos um boleto no e-mail que nos chamou a atenção por quão bem feito era aquele phishing. Com base em informações públicas, montou-se um boleto e uma nota. Ou seja, há automatização.
(34:47) Volto ao que estava comentando antes: colocamos essas informações em uma IA, pedimos os riscos, e ela trouxe o que já sabíamos. Pedi também para montar possíveis mensagens de phishing que poderiam ser utilizadas contra essas pessoas. Com base nessas informações, ela montou, e isso com um prompt que fizemos antes de começar a gravação. Se você senta ali e gasta uma hora para montar o prompt, o perfil e tudo mais… E aí deu três mensagens.
(35:11) Inclusive sobre a questão da portabilidade. É interessante, porque há dados ali de portabilidade de salário. Note que, quando você coloca portabilidade de salário e a profissão do sujeito, pode inclusive saber onde ele trabalha. E hoje todo mundo diz onde trabalha no LinkedIn também, mas você consegue saber que ele fez a portabilidade daquela empresa para a XP.
(35:42) Um dos possíveis golpes: “Identificamos uma inconsistência nos dados cadastrais informados para sua portabilidade de salário. Para garantir…” – olha a coisa do senso de urgência, “bah, não vou receber meu salário esse mês” – “…que seu próximo pagamento seja creditado corretamente na sua conta, favor, atualize suas informações…”. E aí começa o golpe.
(36:00) E olhe que você está pegando algo que qualquer um poderia fazer. A IA está disponível para todo mundo, inclusive para quem aplica golpes. É muito delicado. E aqui temos dois domínios, e a imprensa só tem colocado um deles: o risco de fraude, que comentamos agora.
(36:33) O outro é a violação da privacidade dessas pessoas. Proteção de dados e privacidade são coisas diferentes. A proteção de dados surge da ideia de privacidade, ambas como direitos fundamentais e da personalidade, porque se entendeu que o binômio público e privado que a privacidade trazia se tornou insuficiente para uma sociedade em que o tratamento de dados é necessário para as mais variadas atividades.
(37:02) Então, a situação da violação da privacidade também existe aqui. Outra pergunta: o que podemos saber? E essa foi uma coisa que se falou lá na palestra com o professor Fabiano Menke. O próprio Rafael falou: “Adorei aquele episódio em que vocês pegaram os dados da farmácia e tentaram ver o que era possível saber”. Aquilo assustou.
(37:29) Então, Rafael, naquela linha, o que dá para saber sobre alguém com base nesses dados que vazaram da XP? Bom, nível de renda aproximado, pela combinação de cargo, saldo e limite de crédito. E olhe como a mineração de dados é algo interessante.
(37:50) E o CEP, Vinícius. Onde o sujeito mora. Todo mundo sabe, o pessoal faz isso para análise de crédito. Onde o sujeito mora também pode dizer um pouco sobre sua capacidade financeira. Então, nível de renda e estabilidade financeira.
(38:14) O sujeito tem um limite de crédito, tem previdência, e os saldos relacionados a investimentos. Portabilidade de salário, o cara tem um emprego formal, por exemplo. Capacidade de consumo, também pelo limite de crédito. Sofisticação financeira: ter uma conta na XP com saldo, posição e um assessor dedicado indica um nível de sofisticação financeira maior do que a média da população.
(38:39) Por exemplo, se você tem R$1 milhão investido, passa a ser um investidor qualificado, se não me engano. Um investidor qualificado tem acesso a outros produtos que um investidor não qualificado não tem. E se eu fosse um criminoso com uma lista de pessoas com essas informações, eu acho que saberia quem atacar.
(39:00) Claro. E mais: faixa etária e geração, estrutura familiar e necessidades, metas de longo prazo (posse de previdência indica preocupação com a aposentadoria), comportamentos e hábitos (aversão ou propensão a risco inferida pelos produtos que consome), nível de atividade profissional, e confiança em assessoria, que seriam algumas vulnerabilidades.
(39:25) Eu vou te deixar sozinho aqui na imagem, só porque preciso ajeitar uma coisa aqui que já está quase na hora do almoço. Sigo ouvindo. Vai lá.
(39:38) Então, a questão da vulnerabilidade potencial, ou seja, o fato de se confiar em um assessor, e ainda alguns gatilhos emocionais pela data de nascimento e outras informações agregadas. O ponto é esse: com todas essas informações que, isoladas, podem dizer pouco, mas que, quando eu coloco tudo junto e uso ferramentas poderosas de IA para realizar inferências, consigo descobrir muita coisa sobre essas pessoas.
(40:06) Consigo inferir, projetar possíveis comportamentos, possíveis vulnerabilidades. E essa é a grande questão.
(40:26) Os golpes estão ficando cada vez mais evoluídos, e o vazamento desse tipo de dado não é pouca coisa. Já falamos sobre o atraso na comunicação e vimos que há espaço para ultrapassar os três dias úteis, desde que haja uma motivação relevante para a demora, que deve ser justificada e informada. Uma pessoa me perguntou, preocupadíssima: “Recebi a mensagem da XP, preciso avisar a ANPD?”.
(40:58) Não, não precisa, porque como eles já fizeram a comunicação, a própria ANPD agora pode, se quiser, iniciar um processo de investigação. A comunicação já foi feita. Você poderia, eventualmente, fazer uma petição de titular caso eles não te respondessem adequadamente, mas o caminho agora é com eles. Se tiver dúvidas, comunique-se com o encarregado de proteção de dados deles para tratar
(41:32) de eventuais dúvidas. E essa é uma das motivações pelas quais algumas empresas optam por não realizar a comunicação, descumprindo a lei: a partir de agora, a XP vai começar a responder de forma mais intensa a situações de fraude.
(41:58) Em qual sentido? Porque a jurisprudência tem firmado uma tendência, e isso é meio óbvio, de reconhecer a responsabilidade por fraudes quando há o vazamento de dados da instituição financeira. Quando há o vazamento e os dados são utilizados por um fraudador para aplicar uma fraude no titular, e o sujeito cai na fraude, o banco sempre vai alegar uma falta de cuidado do titular. Mas a jurisprudência tem entendido que se
(42:36) os dados vazaram e foram utilizados, a instituição financeira responde. A discussão fica interessante quando você não consegue comprovar que aqueles dados foram vazados daquela instituição financeira. Aí você não tem como ligar uma coisa à outra, e as decisões acabam indo para o caminho de que foi culpa exclusiva do correntista. Mas agora isso não ocorre.
(42:59) Há uma prova pública, o reconhecimento público de quais dados vazaram. Esse é o primeiro ponto. E não é só a ANPD. O que a ANPD vai fazer? Acredito que, pelo tamanho do vazamento e pelo porte da instituição financeira, a ANPD vai se movimentar. Mas o Ministério Público pode atuar aqui.
(43:20) Titulares atingidos podem mover ações individuais, inclusive pela violação de sua privacidade. Imagina só: não fizeram nenhum golpe contra mim, mas agora estão rolando todos esses dados que expõem informações financeiras, protegidas por sigilo bancário, diga-se de passagem. O Procon pode agir, associações de consumidores podem agir em ações civis públicas. Há uma série de outras coisas que podem acontecer contra a
(43:51) XP, para muito além da atuação da ANPD. O jogo abriu, vamos ter que ver como ele vai se desenvolver nos próximos capítulos. É, tudo vai depender. Acho que temos vários atores aí. Temos os criminosos que vão usar essas informações, se de fato estão de posse delas.
(44:24) E isso tem uma consequência de longo prazo, eu diria. Não são só as ligações que estão fazendo agora. São informações que vão render por bastante tempo, porque, como você citou, o perfil econômico das pessoas não é algo que deve mudar radicalmente em um ou dois anos. Não é uma coisa que para aqui. Ah, foi comunicado, está tudo resolvido, vida que segue. As consequências são de longa duração. Temos
(45:03) outra parte que é a ANPD. Tem que ver como ela vai agir, o que vai levantar. Não vamos ficar sabendo necessariamente de tudo, porque há coisas de processos internos da ANPD junto à XP que ficarão ali.
(45:26) Não sei se uma lei de acesso à informação, eventualmente, não poderia trazer isso à tona. Você acha que não? Não, porque nessas comunicações, a própria questão dos riscos e das medidas de segurança… Para a ANPD, eles precisam informar as medidas técnicas de segurança utilizadas antes e depois do incidente.
(45:52) E aí se abre outro flanco para possíveis investigações, caso se demonstre a tomada ou não de medidas. Mas aí se observa o segredo comercial e industrial. Muitas empresas não podem divulgar isso. Medidas de segurança internas geralmente não são divulgadas.
(46:09) Então, vamos ver qual vai ser a atuação da ANPD, que é outro ator. Tem o criminoso, tem a ANPD. A própria XP, como se espera, deve melhorar seus processos, resolver os problemas encontrados e investir em serviços como os que, por exemplo, a Brown Pipe Consultoria oferece, de Pen Test. Eles já devem fazer isso, imagino eu. Sem dúvida.
(46:40) Mas vão ter que reforçar, com certeza, porque se aconteceu uma falha dessas, é porque havia uma vulnerabilidade ou um conjunto delas que foram exploradas. E para o eventual correntista da XP que nos escuta, o que dá para dizer é um pouco do mesmo: desconfiar de contatos não solicitados. Se você é correntista da XP, fique atento. Você já deve ter recebido o comunicado, mas ainda assim, preste atenção no endereço
(47:23) de e-mail de onde está vindo a mensagem. Se vier um link, não o use. Vá você mesmo ao site, digite o endereço, use o aplicativo da XP. Não instalem aplicativos “novos” da XP.
(47:41) Não faça nenhuma bobagem dessas. Monitore as contas, fique de olho no que está acontecendo. Tem o serviço do Serasa, que estou para usar, que permite ativar alertas para tentativas de abertura de conta em seu nome, mas não conheço o serviço. Sei que existe, mas nunca tentei usar. Já tentou, Guilherme? Não.
(48:06) Eu vou ver se ativo esse negócio. E, obviamente, ficar atento novamente aos canais de comunicação. Se ligarem para vocês, desconfiem, desliguem e liguem vocês mesmos para a XP. Não caiam nessa, por mais que haja o senso de urgência e a pessoa do outro lado tenha informações.
(48:34) Não foi neste caso da XP, mas meses atrás, naquelas ligações que vivemos recebendo, resolvi levar uma delas adiante. O cara sabia tudo. Sabia minha renda, meus endereços. São esses painéis. Os caras têm o histórico dos telefones que já estiveram vinculados a você, os endereços onde já morou. Fui um pouco mais longe na conversa para ver o que ele sabia. E eu me
(49:04) assustei. Tem muita informação. Então, simplesmente não atenda. Isso está gerando um problema para mim pessoalmente, não sei se para ti também. Eu já estou em uma vibe de não atender telefone.
(49:23) Se não é uma pessoa conhecida, se não está nos meus contatos ou se eu não estabeleci uma relação recente por ter comprado um produto ou serviço, eu nem atendo mais. Vejo um número ali e não atendo.
(49:42) São só essas ligações. Sabe que, enquanto você falava, eu já tinha ouvido falar que a XP admitiria escritórios parceiros, de pessoas que fazem apoio para investimentos, ou seja, assessores. E sim, aqui no próprio site da XP fala: “O que são escritórios/assessores vinculados à XP?”.
(50:15) “Os escritórios de agentes autônomos da XP Investimentos são empresas credenciadas à matriz que utilizam a plataforma da XP Investimentos para auxiliar seus clientes em investimentos”. Pelo visto, eles teriam escritórios que não seriam bem da XP, mas de agentes vinculados. Faltou um pouco de informação aqui. Nós temos o direito de saber quem é esse fornecedor externo da XP.
(50:46) Porque, enquanto titulares de dados, temos o direito de saber com quem a XP compartilha nossos dados. Foi um serviço de nuvem? Foi um escritório vinculado, como se coloca aqui no site? Essa informação parece que faltou, e temos o direito de saber qual é. Provavelmente não vão dizer se perguntarmos, mas temos esse direito.
(51:10) A ANPD tem que fazer o trabalho dela, perguntar e dizer: “Você vai ter que comunicar”. Claro, até porque, pela própria LGPD, dependendo da atuação do operador – não sei se seria um operador ou controlador conjunto –, ele também será solidariamente responsável pelo dano.
(51:34) Se ele é solidariamente responsável, eu, enquanto titular, posso decidir cobrar uma indenização não perante a XP, mas desse operador. É um caso interessante, Vinícius. Um dos casos mais interessantes dos últimos tempos de vazamento.
(51:51) Por isso você ouve o Segurança Legal. Nós tínhamos outra notícia, Vinícius, mas acho que não vai dar tempo. Acabou sendo só sobre o incidente da XP. Já é meio-dia e quinze. Sabe que faz tempo que não fazemos nenhuma pesquisa com nossos ouvintes. Mas gostaríamos, se vocês pudessem entrar em contato… O que estávamos discutindo, Guilherme, era justamente essa relação
(52:21) entre um maior número de notícias – embora isso não seja mais o resumo de notícias que o Assolini fazia, ele trazia várias notícias – e aprofundar a discussão. Nós criamos o episódio Café porque a ideia é literalmente tomar um café e bater um papo, como eu e o Guilherme fazemos.
(52:46) Fazemos isso de vez em quando, Guilherme. Faz um tempo que não fazemos. Pegar um café, sentar e trocar uma ideia, discutir livremente um assunto. E o que queríamos com o Café é trazer um pouco dessa vibe. Estamos discutindo a quantidade de notícias, porque há várias que são relevantes, e é impossível trazer todas.
(53:18) Ou trazer menos notícias e aprofundar um pouco mais as discussões em torno delas, as situações que a notícia levanta. Temos outra aqui que não vou falar, porque senão vou dar o próximo assunto do Segurança Legal. Mas que vai ser temático.
(53:42) Começou com uma noticiazinha simples. Aí eu dei uma aprofundada, o Guilherme também, e dissemos: “Não, isso aqui não dá para falar rapidamente, vamos ter que nos dedicar pontualmente a esse assunto”. Porque surgem outras questões a partir dele, não é só o fato em si, mas o que dele se deriva em termos de compreensão, de conceitos, de análise para outras situações.
(54:12) Vamos ter que sentar e ler um projeto de lei de 40 páginas. É, pronto, o Guilherme já está dando spoiler. Eu não gosto muito de ler projeto de lei porque, como uma professora da UFRGS disse numa palestra, é sempre delicado: você estuda aquele projeto e depois ele muda. Com a LGPD foi diferente, estávamos envolvidos, mas eu sempre penso: “E se mudar? Vou estudar tudo isso e muda tudo?”. Mas coisas estão
(54:44) acontecendo. Para terminarmos, Vinícius, não sei se tens mais alguma observação. Não. Só não queria deixar passar, porque tem a ver com o caso XP e com a ANPD. Rapidinho: a ANPD completou uma etapa de um processo de fiscalização para apurar a presença de encarregado em algumas empresas de grande porte.
(55:07) E também como elas estariam cumprindo o caminho facilitado para as pessoas entrarem em contato com o encarregado. Duas coisas. Foram 20 empresas de grande porte: TikTok, Dell, Cacau Show, Quinto Andar, Serasa, Vivo, Telegram, Uber, X (o Twitter), Open English…
(55:30) Tinder, sei lá. Por que isso é importante? A ANPD está se movimentando. Nesse caso, promoveu um processo de fiscalização que se iniciou por meio de petições de titulares que apontavam a falta desse caminho para chegar ao encarregado. Eles fizeram um checklist para ser cumprido por essas empresas.
(55:56) Elas precisaram demonstrar o cumprimento. Demonstraram. Todas cumpriram. Agora têm o caminho, tudo certo. E eles vão ficar acompanhando por seis meses. A questão é: sua empresa já indicou o encarregado, fez o ato de nomeação adequado, nomeou o substituto? Há uma série de coisinhas, porque se você espera para nomear quando ocorre um incidente, aí é tarde demais. Você dará uma demonstração de que não tinha o ato de nomeação anterior. Precisa de ajuda com isso? A Brown Pipe pode ajudá-lo. Isso aí.
(56:30) Eu estava inclusive numa reunião com um novo cliente hoje de manhã, que espero que seja nosso novo cliente, e ele disse: “A gente ouve o podcast”.
(56:46) Falei do nosso podcast e pensei: “A gente nem é um podcast com conteúdo promocional, falamos muito pouco da Brown Pipe, menos do que deveríamos”. Aí, neste, falamos um pouco mais. Mentiroso. A nossa ideia é ser algo balanceado. Claro que tem a propaganda da Brown Pipe, porque ela é uma das mantenedoras do podcast, indiretamente, pelo nosso tempo e recursos.
(57:16) Mas entendemos que há esse espaço, claro, sem serem aquelas propagandas chatíssimas que ocorrem principalmente no YouTube. Tentamos fazer um balanço para não deixar a coisa muito chata. Sem dúvida. É isso aí. Já é chato o suficiente. Valeu, pessoal. Agradecemos a todos e todas que nos acompanharam até aqui.
(57:36) Nos encontraremos no próximo episódio do podcast Segurança Legal. Bom feriado. Bom feriadão para quem vai ter. Para quem não vai, vai trabalhar sexta e sábado. Mas tem a quinta ainda. Até a próxima. Até a próxima.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio, comentamos o vazamento de dados da XP Investimentos. Guilherme Goulart e Vinícius Serafim analisam o incidente, os dados expostos e o que você precisa saber para se proteger de fraudes. Guilherme Goulart e Vinícius Serafim aprofundam a análise sobre o grave incidente de segurança que resultou em um significativo vazamento de dados de clientes. Eles discutem as implicações para a proteção de dados e a violação da privacidade, abordando a demora na comunicação do ocorrido e as exigências da LGPD e da ANPD. O debate detalha como os dados financeiros e dados pessoais expostos (como saldo, perfil de investidor e informações sobre produtos) aumentam drasticamente os riscos de fraudes, phishing e ataques de engenharia social, revelando o que criminosos podem inferir sobre seu patrimônio e estilo de vida.
Gostou do episódio? Siga, assine e avalie o Segurança Legal no seu agregador de podcasts favorito para não perder nenhuma análise.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 391, gravado em 30 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham ou que nos assistem posteriormente no YouTube.
(00:34) Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. Hoje estou com um chazinho aqui, mais leve. Para entrar em contato conosco, você já sabe: basta enviar uma mensagem para podcast@segurançalegal.
(00:52) .com ou também pelo Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal no apoia.se/segurançalegal. Existem as modalidades de apoio, você participa do grupo do Telegram, mas, o principal: você está ajudando um projeto de geração de conteúdo e de conhecimento livre e desimpedido.
(01:13) Os podcasts, Vinícius, são a resistência. Nós somos a resistência. Antes de começarmos com as duas notícias – hoje teremos somente duas, até para que conseguíssemos entregar o episódio no feriado, neste pseudoferiadão, já que sexta não é feriado, mas muita gente vai emendar – eu gostaria de mandar um abraço. Eu estive em dois eventos, Vinícius, um na sexta passada e um na segunda-feira passada.
(01:52) O primeiro deles foi o evento da Abrad, o Congresso Nacional de Direito Educacional, feito pela Associação Brasileira de Direito Educacional (Brad). Aqui no Rio Grande do Sul, ela é representada pelo Maurício Teles, um amigo meu de longa data. Conheço-o há bastante tempo, de quando dei algumas aulas no Verbo Jurídico e ele trabalhava lá.
(02:18) Então, ele gentilmente me convidou e eu pude falar um pouco, Vinícius, por apenas 15 minutos, sobre ética, educação e inteligência artificial. Tu conseguiste falar em 15 minutos? Eu duvido. Não, mas levei alguns elementos do nosso podcast, algumas coisas que já comentamos aqui, como aquela pesquisa da Microsoft, e a partir dali apresentei alguns breves elementos.
(02:44) O segundo, Vinícius, foi uma palestra que concorreu na segunda-feira com nosso querido amigo Fabiano Menke, o professor da UFRGS, nosso amigo de longa data com quem já escrevemos juntos. Ele já passou aqui pelo Segurança Legal e me convidou para falarmos lá na UFRGS sobre as interfaces entre inteligência artificial e proteção de dados.
(03:10) E foi um diálogo muito bacana, porque temos pensado nisso ao longo dos últimos anos. O próprio Menke falou sobre isso, Vinícius, e esse nosso diálogo que temos aqui no podcast também, há bastante tempo falando sobre esses temas. É sempre bom também, porque fui lá para aprender com o Fabiano Menke, que é uma grande autoridade no tema. Foi aquela troca de ideias, aquele tipo de conversa em que você aprende com a pessoa, pensa junto, e de repente percebe que não é bem assim. Foi uma coisa muito bacana. O Rafael
(03:43) Escaroni, também mestre pela UFRGS e sócio do Fabiano Menke, estava lá também, meu conhecido há bastante tempo. E ele foi supergentil, porque disse que ouve o podcast e fez uma pergunta envolvendo um dos temas que tratamos.
(04:00) Ele comentou: “Muito bom te ver, porque às vezes fico dialogando com vocês na minha mente enquanto estou ouvindo”. Foi muito bom encontrar ouvintes do podcast, encontrar o Rafael Escaroni e também poder trocar uma ideia com o Fabiano Menke sobre essas interfaces.
(04:21) E um recado para os nossos ouvintes: eu já percebi, não sei se já aconteceu contigo, mas percebi agora recentemente, em uma viagem que fiz, algumas pessoas me olhando de uma maneira meio… tentando confirmar a identidade. Então, só para dar um recado: se vocês nos virem por aí, não tenham medo. A gente fica superfeliz de encontrar quem escuta o nosso podcast em carne e osso, porque interagimos pouco pela natureza da nossa área.
(04:56) A gente sabe que muita gente nos escuta, pelo que o pessoal nos fala, pelos convites para eventos, pelas estatísticas que acompanhamos de acesso. Mas, ao mesmo tempo, muitas vezes parece que estamos nós dois sozinhos aqui conversando, e tem um monte de gente, vocês são vários que nos escutam. Então, quando tiverem oportunidade em algum evento ou nos encontrarem por aí, não tenham receio.
(05:30) O Guilherme tem uma cara meio feia, mas podem chegar perto dele, não tem problema. Nos procurem, digam: “A gente ouve o podcast”. Para nós, isso é um baita de um incentivo. Sabe que, nessa mesma linha, recentemente, temos um ouvinte e seguidor nosso, o Diego Costa, que também conhecemos há bastante tempo. Ele dá uma série de palestras sobre segurança da informação e, como ouvinte das antigas, sempre recomenda o podcast Segurança Legal. Ele postou no Instagram e
(06:08) me marcou em um vídeo dele. Depois que ele terminou a palestra, disse: “Escutem esses caras, eles estão há bastante tempo gravando isso”. É um reconhecimento bacana. Eu fico especialmente muito feliz e muito honrado, porque são pessoas que nos escutam, muitas pessoas que admiro e que têm uma trajetória.
(06:34) Eu fico feliz e, ao mesmo tempo, dá um friozinho na barriga, porque parece que somos só nós, mas falamos para milhares de pessoas toda semana. Milhares de pessoas nos escutam. Fica um beijo. Diga, Guilherme. Indo para o nosso tema, a gente até conversou sobre aprofundar um pouco mais as discussões, pegar menos notícias e aprofundar um pouco mais as nossas conversas aqui. Porque vocês não sabem, mas antes de cada podcast tem outro podcast que eu e o Guilherme fazemos, conversando entre nós. E às vezes conversamos longamente, até mais de
(07:04) uma hora. E pensamos: “Pô, cara, isso aqui era o podcast”. A nossa conversa poderia ter sido o podcast. E, às vezes, na notícia, ficamos naquela de querer dar a notícia e acabamos não aprofundando muito.
(07:21) Mas, para iniciar logo a nossa conversa, o que aconteceu com a XP Investimentos?
(07:28) A XP é uma instituição financeira brasileira, de conhecimento de todos. Ela opera desde 2006, liderando diversos segmentos do mercado financeiro.
(07:52) Eles têm uma plataforma muito interessante para investimentos. Começaram com essa parte e depois abriram para a prestação de serviços bancários. Também têm um cartão de crédito bastante interessante, com algumas vantagens bem boas. Aí têm empréstimo, seguro, previdência. Você faz pela plataforma deles também, consegue fazer esses, chamam de investimentos, mas é previdência. É uma instituição financeira utilizada por milhares de pessoas, bem consolidada. O que aconteceu? No dia 24 de abril, os
(08:33) clientes da XP começaram a receber um comunicado indicando que teria havido um incidente no dia 22 de março de 2025. Portanto, uma comunicação realizada, segundo eles próprios, um mês depois do incidente. Quando olhamos para a mensagem, acho que podemos lê-la aqui depois, Vinícius, e ir fazendo alguns comentários sobre ela, porque há uma série de questões interessantes. Por que este caso está aqui? É um
(09:12) vazamento de dados pessoais relevantes. Não foram dados sensíveis, mas dados pessoais relevantes que diremos quais são daqui a pouco. Fique conosco, apoie o podcast no apoia.se/segurançalegal. Mas, ao mesmo tempo, olhar para os comunicados é uma atividade interessante. Por exemplo, uma coisa que retiramos deste comunicado é que, certamente, se eu fosse apostar, apostaria que ele foi criado com o apoio de relações
(09:43) públicas na área de segurança da informação e de proteção de dados. As duas estão juntas. Certamente foi um incidente de segurança que afetou dados pessoais. Quando falamos em envolver relações públicas em comunicados, já se está criando, fora do Brasil há muito mais tempo, mas aqui já está bem estabelecida a ideia de que você pode precisar de uma orientação técnica de como colocar a sua mensagem. Eu vejo isso nesta mensagem. É uma mensagem
(10:22) cuidadosamente elaborada, como deve ser. A própria LGPD e as normas que regulam a questão dos comunicados dizem que o comunicado tem que ser claro, tem que expor quais são os riscos e tudo aquilo que já sabemos. E isso eu vejo aqui, Vinícius. Então, tem esse ponto.
(10:45) Em alguns momentos, ela me pareceu uma mensagem um pouco contraditória. Um comunicado de incidentes tem que ser realista para o titular, claro que também não pode criar uma situação de pânico desmedida. E por isso tem que ser cuidadosamente criada, mas não pode omitir coisas.
(11:09) Ela tem que dizer a quais riscos os titulares estarão expostos e também precisará indicar, neste caso, quais são os dados que foram vazados. Não sei se você quer fazer algum comentário, Vinícius. Guilherme, eu tenho várias coisas separadas aqui. Mas, pegando o que tu já citaste, o incidente, como a própria XP comunicou, e ela foi bem clara nesse sentido.
(11:35) Ela foi muito clara em dizer quais dados e também que o incidente aconteceu no dia 22 de março e a comunicação foi feita em 24 de abril, portanto, praticamente um mês depois. Isso extrapola aquele limite de três dias que tem na LGPD para comunicação.
(11:55) Porém, eu acho que isso é uma das coisas que talvez precise ser revista na LGPD, porque se acontece um incidente e você sai correndo para comunicar em três dias a partir do momento em que tem a indicação de que houve um incidente, precisa de tempo para investigar. Nós sabemos disso.
(12:20) Fazemos isso há 20 anos. Já investigamos incidentes de várias naturezas e sabemos que leva tempo para investigar, para confirmar as coisas, para ter um relatório, um documento que diga: “Aconteceu, foi isto que aconteceu, a extensão foi esta, etc.”, até para avaliar a necessidade ou não de comunicação e o que deve ser comunicado.
(12:48) Então, eu acho que três dias é muito pouco tempo. Apesar de na lei estarem três dias e eles terem assumido na resolução que estão comunicando um mês depois do ocorrido, eu não acho isso tão errado, porque não adianta fazer uma comunicação, supor que eles levantam previamente: “não, foi só tal coisa” e, em três dias, sair comunicando.
(13:14) E depois: “Não, não foi só isso”, ou o contrário: “Nossa, o incidente foi deste tamanho, vamos comunicar aquela coisa toda”. E depois: “Mas não foi tudo isso, na verdade, nos enganamos”. O estrago está feito. A comunicação começa a ficar errática, um vai e vem. Eu acho isso muito ruim.
(13:33) Eu acho que três dias é pouco tempo. E não é questão de “ah, mas então tem que investir mais recursos para conseguir em três dias”. É pouco tempo. Precisa-se de tempo para analisar as evidências, para confirmar as coisas, para conseguir investigar o incidente.
(13:52) Precisa-se de tempo, e três dias não é tempo suficiente. Ponto. Esse é um primeiro ponto que eu gostaria de colocar. Não sei se tu concordas ou discordas. Eu concordo até determinado ponto. Por que se estabelece um prazo curto? Quando olhamos para a LGPD, vemos a palavra “proteção de dados”.
(14:23) O sujeito foco, protegido pela lei, é o titular. Nessa perspectiva, um prazo curto visa justamente comunicar o titular o quanto antes para que ele consiga estar preparado para reagir diante de eventuais maus usos desses dados.
(14:55) Imagina só, supondo que foi um atacante, eles não deram essas informações, só indicaram que o vazamento ocorreu por um acesso não autorizado em um fornecedor externo da XP. Alguém que tinha uma integração e com quem eles trocam dados, algum parceiro. Talvez alguém nesse parceiro abusou de credenciais ou conseguiu credenciais de um usuário legítimo, possivelmente. E eles têm uma série de parceiros,
(15:31) grupos que atuam ligados à XP, como corretores, que às vezes utilizam sistemas autônomos, internos daquele prestador. Imagino que tenha sido nessa dinâmica que a coisa aconteceu, mas é uma suposição, não tenho informação sobre isso.
(15:58) Então, imaginando que seja um atacante, esse acesso não autorizado me leva a crer em um atacante. Não acredito que tenha sido uma perda acidental. Esse atacante que teve acesso aos dados ficou, sei lá, 27 ou 28 dias de posse dessas informações, podendo utilizá-las até que a XP avisasse os titulares. Por isso que o prazo tem que ser o mais curto possível, para avisar o titular: “Toma cuidado, vazou aqui”. E a própria resolução
(16:37) e a forma técnica de comunicar o incidente à ANPD permitem fazer três tipos de comunicação: completa, preliminar e complementar. Quando você faria a preliminar? Assim que descobrisse que houve um incidente, mas ainda não tem todas as informações. Você faz a preliminar e justifica. Ou, quando está investigando, mas ainda não comunicou o incidente, comunica à
(17:16) ANPD de forma preliminar. Quando o controlador faz isso, ele passa a ter o dever de, em 30 dias, realizar a comunicação complementar. Então, tenho a completa, a preliminar e a complementar, que complementa a preliminar.
(17:41) Agora, eu estava pensando sobre isso ontem, Vinícius, exatamente na linha do que você falou. Mas, quando então que eu comunicaria um incidente que envolveu dados pessoais em somente três dias? Porque o que você coloca é de fato difícil. Grandes organizações, como uma instituição financeira como a XP, muito dificilmente conseguirão apurar um incidente em três dias.
(18:07) E, inclusive, Guilherme, eu até entendo. Talvez 30 dias seja muito tempo, mas talvez uma semana para uma comunicação preliminar e para pelo menos avaliar a extensão, saber quem eu tenho que comunicar. E talvez uma informação possa ser: “Atenção, fique atento, tivemos um incidente. Estamos analisando, mais informações em breve”.
(18:32) E frisar: “A XP não entra em contato com você por telefone. Nossos canais oficiais são apenas estes”. Dar uma reforçada nessa informação nos primeiros dias, até que consiga confirmar a ocorrência ou não, e depois fazer o resto.
(18:51) Por exemplo, pegando a questão dos dados que vazaram. Vou listar aqui para a gente ter uma noção. Vazaram: dados cadastrais (nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade).
(19:16) Informações sobre produtos… Cargo está junto? Eles devem pedir em algum momento o cargo, a profissão, para cadastro mesmo. E, até por questões de investimento, tem que fazer o perfil do investidor, tem coisas obrigatórias, como saber se a pessoa é politicamente exposta.
(19:36) Outro item é informações sobre produtos financeiros: indicações binárias (sim ou não) de serviços contratados como cartão de crédito, débito, seguro, consórcio, previdência e portabilidade de salário. E dados financeiros: número da conta XP… Quer falar? Não, não, termine.
(19:58) Número da conta XP, saldo, posição de investimentos, nome do assessor e limite de crédito. Posição de investimento é valor. Você tem na ação tal, no fundo tal, tal valor. Nome do assessor, limite de crédito, e tudo isso referente ao mês de março. Note que é bastante informação. Eles podem ter levado um certo tempo para descobrir tudo que foi acessado, toda a extensão. Saldo, você falou saldo.
(20:31) Eles podem ter levado realmente um tempo razoável para levantar tudo isso e saber a extensão. Atingiu todos os clientes? De repente… estamos fazendo conjecturas aqui. Vamos supor que eles tenham um parceiro para um determinado tipo de produto e entregam dados de apenas uma parte dos clientes que têm, clientes com certo perfil. Se tivessem vazado informações por um parceiro específico
(21:05) que lida com um produto específico, com um perfil específico de clientes previamente limitado, isso já limitaria os titulares que teriam que ser comunicados. E não vamos esquecer, seríamos muito inocentes se não considerássemos isso, que no mundo perfeito se diria: “Aconteceu um incidente, saia falando que aconteceu, que é perigoso, cuidado”.
(21:31) Mas, na vida real, existe uma preocupação da empresa com sua imagem. E a XP, nesse sentido, pode ter demorado, mas eu acho que fez um comunicado bem amplo, bem aberto. E, embora no texto ela tenha minimizado a importância desse vazamento, eu acho que é um vazamento bem importante, bem grave.
(22:03) Não é uma coisa pequena, não são dados desimportantes. São informações com as quais, para fazer um ataque de engenharia social, esses golpes que o pessoal vive fazendo, que nossos ouvintes devem receber ligações de um monte de número estranho, inclusive com URA, uma voz automática gravada dizendo que aconteceu uma compra no seu cartão, aquela palhaçada toda.
(22:27) Para um ataque com essas informações, elas são essenciais, são importantíssimas. E a XP afirmou que não vazou senha, não vazou assinatura eletrônica, que é a senha adicional para liberar operações.
(22:48) Dados biométricos. E esse é o problema: quando vaza dado biométrico, como é que você troca? Você tem só 10 dedos. Como troca seus dados biométricos? Ou um rosto. Não vazou CPF ou documento de identidade. Mas tem o nome e a data de nascimento.
(23:09) Conseguir o CPF na internet com nome e data de nascimento é brincadeira de criança. A não ser que a pessoa tenha um homônimo com a mesma data de nascimento, você vai conseguir descobrir o CPF dela na internet.
(23:28) Então, apesar de eles terem minimizado essas informações, dizendo que não foi tão grave, essa é a parte que eu discordo do comunicado deles. Eu acho que não dá para minimizar. O que vazou é importante, é significativo. É muito fácil para criminosos aplicarem golpes nessas pessoas tendo todos esses dados, porque é muito fácil… tem um livro…
(24:08) …é um livro que explica, não é “A Arte de Enganar” do Mitnick, que perto deste outro livro escrito por uma psicóloga, o do Mitnick é piada, um rascunho de criança. Esse livro fala sobre as técnicas que fazem as pessoas caírem nesses golpes.
(24:28) E lá está listado que uma dessas técnicas, um dos primeiros passos, é estabelecer autoridade e uma sensação de urgência. Com as informações que eles têm ali, como o nome do consultor e todos os dados, você consegue estabelecer autoridade, consegue dizer quem você é, se estabelecer como um representante da XP e dar um senso de urgência. Você pode simplesmente dizer: “Olha, houve um vazamento, estou
(24:59) te ligando para cuidarmos dos teus interesses”. Isso dá o senso de urgência para a pessoa, que sabe o valor das suas operações, sabe o que você tem contratado. É muito fácil aplicar um golpe desses. Não que eu já tenha aplicado, gente, eu nunca fiz isso. Mas, pelo que sabemos, é muito fácil.
(25:26) Então, essa comunicação, apesar de ter sido bem aberta, dizendo que foi há um mês e dando todas as informações, eu acho que ela foi um pouco contraditória. Quando eles afirmam, por exemplo, “sua conta e seus investimentos estão em total segurança” e a outra frase “não é necessária nenhuma ação por sua parte”.
(25:52) Só que, ao mesmo tempo, o risco é grande. Não é um vazamentozinho qualquer. Não, não é. Eu acho que é um dos… E a gente não tem a informação da quantidade de pessoas, porque para a ANPD eles devem informar o número de titulares afetados, mas para o titular não. O que tem que ser comunicado ao titular? Descrição da natureza, medidas técnicas, riscos e possíveis impactos. Os motivos da demora, no caso de a comunicação não ter sido feita, eles fizeram, certo? Em algum
(26:32) momento aqui, acho que eles dizem, ou não? Não, não disseram os motivos da demora. Vai vendo aí, mas acho que não. Deixa eu dar uma olhada aqui. E depois, riscos relacionados, motivos da demora, medidas que foram ou serão adotadas para reverter ou mitigar, data do conhecimento do incidente e os contatos para obtenção de mais informações.
(27:05) Isso tem que ser feito em linguagem clara, simples e de fácil entendimento, e de forma direta e individualizada quando for possível identificá-los. Essa é uma coisa interessante, porque às vezes pode ser que você não consiga identificar a extensão dos titulares. Então, pode ter que fazer uma comunicação pública. Nesse caso, pelo que se viu, a comunicação foi direta e individualizada.
(27:27) Várias pessoas vieram me falar que receberam esse aviso. Eu não sei se foram todos os dados de todos os clientes da XP. E também não sabemos se pessoas que já tiveram investimentos lá no passado, se esses dados ainda ficam armazenados. Aqui conseguimos ver o que a ANPD coloca de comunicação para o titular na Resolução 15 de 2024.
(28:05) E talvez o motivo da demora não tenha sido informado. Não conseguimos achar aqui. Mas o que você falou sobre a categoria e a natureza dos dados, e a questão das possibilidades de phishing, é um dos grandes impactos que temos hoje com a inteligência artificial no mundo da segurança: a possibilidade de automatizar e incrementar a eficácia de ataques com o uso de IA. Ah, mas isso vai exigir um treinamento… Nós fizemos aqui de brincadeira, enquanto nos
(28:47) preparávamos para gravar, demos para a IA as informações que foram vazadas e pedimos os tipos de riscos que as pessoas poderiam correr. Nada de novo: engenharia social, phishing de maneira geral, assédio e discriminação. Porque não é só uma questão de tentar tirar dinheiro dessas pessoas.
(29:19) Essas pessoas, além de estarem sob o risco de sofrerem fraudes, e já vou falar sobre algumas possibilidades, tiveram uma violação da sua privacidade. É potencialmente possível saber quanto essas pessoas têm de investimento, por exemplo, na XP. Sem dúvida.
(29:42) E a quantidade de dinheiro que uma pessoa tem guardada nem sempre é uma informação que ela vai querer que todo mundo saiba. Não, sem dúvida. Ainda mais, Guilherme, que é uma informação que, por mais que o saldo seja de março, é mais do que suficiente para um criminoso investir tempo para atacar uma dessas pessoas.
(30:03) Claro, se você tem a lista, não preciso resolver tudo numa ligação só. Posso, ao longo do tempo, começar a pesquisar mais. Existem os painéis de venda de dados. Teve gente sendo presa por trás desses painéis, mas existem outros e vão surgir outros. Essas pessoas têm dinheiro disponível, o que se consegue verificar pela informação que vazou.
(30:29) Você pode fazer ataques de longo prazo. Quem vive disso não tem preocupação com o tempo. Aí, temos uma situação muito delicada, em que parece que acontece um incidente e dizem “não se preocupem”.
(30:51) O que vazou foi só de março. Não que a XP tenha dito “vazou só de março”, eles não disseram isso. Mas no sentido de que “aconteceu um incidente”. O incidente não para de acontecer. Uma vez que ele aconteceu, é aquela história da pasta de dente fora do tubo: depois que saiu, não tem como colocar de volta.
(31:09) Vira uma meleca, uma zona. É o que temos com esse tipo de vazamento. Esses dados agora serão utilizados por quem os vazou, talvez diretamente, ou serão repassados, vendidos para verdadeiras organizações criminosas especializadas nesse tipo de ataque.
(31:33) Inclusive, eu estava procurando sobre a comunicação. Você tinha falado se eles se justificaram. Encontrei uma notícia no Valor Econômico em que dizem o seguinte: “Clientes da XP se queixam da demora na divulgação de vazamento de dados”. Deixa eu só ler o trecho que achei.
(31:52) Eles disseram que o problema foi identificado no próprio dia 22 e, em menos de duas horas, foi solucionado, segundo um interlocutor não identificado ao Valor Econômico. Abre aspas: “A comunicação com o cliente é algo sensível e teria que ser feita com propriedade. Não é algo trivial, a partir de um cenário potencial do problema até a confirmação para quais clientes comunicar”.
(32:13) Isso foi o que um interlocutor não identificado passou para o Valor Econômico. Mas, olhe só, eles disseram que o problema foi identificado e solucionado no próprio dia 22 de março. E o título da matéria é que os clientes já estão sendo alvo desses golpes por telefone.
(32:51) Isso não é informação boba. Já podemos bater o martelo em algumas coisas. Primeiro, as informações não são desimportantes, pelo contrário, até pelo que você citou da LGPD. E eu só não encerro que quero fazer mais uma observação sobre as informações.
(33:17) Certo. E aí, Vinícius, “ah, mas não vazou tua senha e tuas credenciais”. Sim, isso não permitiria um acesso à conta e a manipulação dos valores. Certo, eu entendo que isso seria catastrófico. Mas o problema é que há uma economia, já há muito tempo, vivendo de dados oriundos de vazamentos.
(33:53) E nós vivemos no Brasil uma espécie de pandemia de tentativas de ataque de phishing. Todo mundo que nos escuta diariamente recebe tentativas, umas mais bobas, outras nem tanto, outras muito convincentes. Esse é o ponto que quero colocar sobre o uso de IA. Com a IA, você automatiza.
(34:23) Dias desses, recebemos um boleto no e-mail que nos chamou a atenção por quão bem feito era aquele phishing. Com base em informações públicas, montou-se um boleto e uma nota. Ou seja, há automatização.
(34:47) Volto ao que estava comentando antes: colocamos essas informações em uma IA, pedimos os riscos, e ela trouxe o que já sabíamos. Pedi também para montar possíveis mensagens de phishing que poderiam ser utilizadas contra essas pessoas. Com base nessas informações, ela montou, e isso com um prompt que fizemos antes de começar a gravação. Se você senta ali e gasta uma hora para montar o prompt, o perfil e tudo mais… E aí deu três mensagens.
(35:11) Inclusive sobre a questão da portabilidade. É interessante, porque há dados ali de portabilidade de salário. Note que, quando você coloca portabilidade de salário e a profissão do sujeito, pode inclusive saber onde ele trabalha. E hoje todo mundo diz onde trabalha no LinkedIn também, mas você consegue saber que ele fez a portabilidade daquela empresa para a XP.
(35:42) Um dos possíveis golpes: “Identificamos uma inconsistência nos dados cadastrais informados para sua portabilidade de salário. Para garantir…” – olha a coisa do senso de urgência, “bah, não vou receber meu salário esse mês” – “…que seu próximo pagamento seja creditado corretamente na sua conta, favor, atualize suas informações…”. E aí começa o golpe.
(36:00) E olhe que você está pegando algo que qualquer um poderia fazer. A IA está disponível para todo mundo, inclusive para quem aplica golpes. É muito delicado. E aqui temos dois domínios, e a imprensa só tem colocado um deles: o risco de fraude, que comentamos agora.
(36:33) O outro é a violação da privacidade dessas pessoas. Proteção de dados e privacidade são coisas diferentes. A proteção de dados surge da ideia de privacidade, ambas como direitos fundamentais e da personalidade, porque se entendeu que o binômio público e privado que a privacidade trazia se tornou insuficiente para uma sociedade em que o tratamento de dados é necessário para as mais variadas atividades.
(37:02) Então, a situação da violação da privacidade também existe aqui. Outra pergunta: o que podemos saber? E essa foi uma coisa que se falou lá na palestra com o professor Fabiano Menke. O próprio Rafael falou: “Adorei aquele episódio em que vocês pegaram os dados da farmácia e tentaram ver o que era possível saber”. Aquilo assustou.
(37:29) Então, Rafael, naquela linha, o que dá para saber sobre alguém com base nesses dados que vazaram da XP? Bom, nível de renda aproximado, pela combinação de cargo, saldo e limite de crédito. E olhe como a mineração de dados é algo interessante.
(37:50) E o CEP, Vinícius. Onde o sujeito mora. Todo mundo sabe, o pessoal faz isso para análise de crédito. Onde o sujeito mora também pode dizer um pouco sobre sua capacidade financeira. Então, nível de renda e estabilidade financeira.
(38:14) O sujeito tem um limite de crédito, tem previdência, e os saldos relacionados a investimentos. Portabilidade de salário, o cara tem um emprego formal, por exemplo. Capacidade de consumo, também pelo limite de crédito. Sofisticação financeira: ter uma conta na XP com saldo, posição e um assessor dedicado indica um nível de sofisticação financeira maior do que a média da população.
(38:39) Por exemplo, se você tem R$1 milhão investido, passa a ser um investidor qualificado, se não me engano. Um investidor qualificado tem acesso a outros produtos que um investidor não qualificado não tem. E se eu fosse um criminoso com uma lista de pessoas com essas informações, eu acho que saberia quem atacar.
(39:00) Claro. E mais: faixa etária e geração, estrutura familiar e necessidades, metas de longo prazo (posse de previdência indica preocupação com a aposentadoria), comportamentos e hábitos (aversão ou propensão a risco inferida pelos produtos que consome), nível de atividade profissional, e confiança em assessoria, que seriam algumas vulnerabilidades.
(39:25) Eu vou te deixar sozinho aqui na imagem, só porque preciso ajeitar uma coisa aqui que já está quase na hora do almoço. Sigo ouvindo. Vai lá.
(39:38) Então, a questão da vulnerabilidade potencial, ou seja, o fato de se confiar em um assessor, e ainda alguns gatilhos emocionais pela data de nascimento e outras informações agregadas. O ponto é esse: com todas essas informações que, isoladas, podem dizer pouco, mas que, quando eu coloco tudo junto e uso ferramentas poderosas de IA para realizar inferências, consigo descobrir muita coisa sobre essas pessoas.
(40:06) Consigo inferir, projetar possíveis comportamentos, possíveis vulnerabilidades. E essa é a grande questão.
(40:26) Os golpes estão ficando cada vez mais evoluídos, e o vazamento desse tipo de dado não é pouca coisa. Já falamos sobre o atraso na comunicação e vimos que há espaço para ultrapassar os três dias úteis, desde que haja uma motivação relevante para a demora, que deve ser justificada e informada. Uma pessoa me perguntou, preocupadíssima: “Recebi a mensagem da XP, preciso avisar a ANPD?”.
(40:58) Não, não precisa, porque como eles já fizeram a comunicação, a própria ANPD agora pode, se quiser, iniciar um processo de investigação. A comunicação já foi feita. Você poderia, eventualmente, fazer uma petição de titular caso eles não te respondessem adequadamente, mas o caminho agora é com eles. Se tiver dúvidas, comunique-se com o encarregado de proteção de dados deles para tratar
(41:32) de eventuais dúvidas. E essa é uma das motivações pelas quais algumas empresas optam por não realizar a comunicação, descumprindo a lei: a partir de agora, a XP vai começar a responder de forma mais intensa a situações de fraude.
(41:58) Em qual sentido? Porque a jurisprudência tem firmado uma tendência, e isso é meio óbvio, de reconhecer a responsabilidade por fraudes quando há o vazamento de dados da instituição financeira. Quando há o vazamento e os dados são utilizados por um fraudador para aplicar uma fraude no titular, e o sujeito cai na fraude, o banco sempre vai alegar uma falta de cuidado do titular. Mas a jurisprudência tem entendido que se
(42:36) os dados vazaram e foram utilizados, a instituição financeira responde. A discussão fica interessante quando você não consegue comprovar que aqueles dados foram vazados daquela instituição financeira. Aí você não tem como ligar uma coisa à outra, e as decisões acabam indo para o caminho de que foi culpa exclusiva do correntista. Mas agora isso não ocorre.
(42:59) Há uma prova pública, o reconhecimento público de quais dados vazaram. Esse é o primeiro ponto. E não é só a ANPD. O que a ANPD vai fazer? Acredito que, pelo tamanho do vazamento e pelo porte da instituição financeira, a ANPD vai se movimentar. Mas o Ministério Público pode atuar aqui.
(43:20) Titulares atingidos podem mover ações individuais, inclusive pela violação de sua privacidade. Imagina só: não fizeram nenhum golpe contra mim, mas agora estão rolando todos esses dados que expõem informações financeiras, protegidas por sigilo bancário, diga-se de passagem. O Procon pode agir, associações de consumidores podem agir em ações civis públicas. Há uma série de outras coisas que podem acontecer contra a
(43:51) XP, para muito além da atuação da ANPD. O jogo abriu, vamos ter que ver como ele vai se desenvolver nos próximos capítulos. É, tudo vai depender. Acho que temos vários atores aí. Temos os criminosos que vão usar essas informações, se de fato estão de posse delas.
(44:24) E isso tem uma consequência de longo prazo, eu diria. Não são só as ligações que estão fazendo agora. São informações que vão render por bastante tempo, porque, como você citou, o perfil econômico das pessoas não é algo que deve mudar radicalmente em um ou dois anos. Não é uma coisa que para aqui. Ah, foi comunicado, está tudo resolvido, vida que segue. As consequências são de longa duração. Temos
(45:03) outra parte que é a ANPD. Tem que ver como ela vai agir, o que vai levantar. Não vamos ficar sabendo necessariamente de tudo, porque há coisas de processos internos da ANPD junto à XP que ficarão ali.
(45:26) Não sei se uma lei de acesso à informação, eventualmente, não poderia trazer isso à tona. Você acha que não? Não, porque nessas comunicações, a própria questão dos riscos e das medidas de segurança… Para a ANPD, eles precisam informar as medidas técnicas de segurança utilizadas antes e depois do incidente.
(45:52) E aí se abre outro flanco para possíveis investigações, caso se demonstre a tomada ou não de medidas. Mas aí se observa o segredo comercial e industrial. Muitas empresas não podem divulgar isso. Medidas de segurança internas geralmente não são divulgadas.
(46:09) Então, vamos ver qual vai ser a atuação da ANPD, que é outro ator. Tem o criminoso, tem a ANPD. A própria XP, como se espera, deve melhorar seus processos, resolver os problemas encontrados e investir em serviços como os que, por exemplo, a Brown Pipe Consultoria oferece, de Pen Test. Eles já devem fazer isso, imagino eu. Sem dúvida.
(46:40) Mas vão ter que reforçar, com certeza, porque se aconteceu uma falha dessas, é porque havia uma vulnerabilidade ou um conjunto delas que foram exploradas. E para o eventual correntista da XP que nos escuta, o que dá para dizer é um pouco do mesmo: desconfiar de contatos não solicitados. Se você é correntista da XP, fique atento. Você já deve ter recebido o comunicado, mas ainda assim, preste atenção no endereço
(47:23) de e-mail de onde está vindo a mensagem. Se vier um link, não o use. Vá você mesmo ao site, digite o endereço, use o aplicativo da XP. Não instalem aplicativos “novos” da XP.
(47:41) Não faça nenhuma bobagem dessas. Monitore as contas, fique de olho no que está acontecendo. Tem o serviço do Serasa, que estou para usar, que permite ativar alertas para tentativas de abertura de conta em seu nome, mas não conheço o serviço. Sei que existe, mas nunca tentei usar. Já tentou, Guilherme? Não.
(48:06) Eu vou ver se ativo esse negócio. E, obviamente, ficar atento novamente aos canais de comunicação. Se ligarem para vocês, desconfiem, desliguem e liguem vocês mesmos para a XP. Não caiam nessa, por mais que haja o senso de urgência e a pessoa do outro lado tenha informações.
(48:34) Não foi neste caso da XP, mas meses atrás, naquelas ligações que vivemos recebendo, resolvi levar uma delas adiante. O cara sabia tudo. Sabia minha renda, meus endereços. São esses painéis. Os caras têm o histórico dos telefones que já estiveram vinculados a você, os endereços onde já morou. Fui um pouco mais longe na conversa para ver o que ele sabia. E eu me
(49:04) assustei. Tem muita informação. Então, simplesmente não atenda. Isso está gerando um problema para mim pessoalmente, não sei se para ti também. Eu já estou em uma vibe de não atender telefone.
(49:23) Se não é uma pessoa conhecida, se não está nos meus contatos ou se eu não estabeleci uma relação recente por ter comprado um produto ou serviço, eu nem atendo mais. Vejo um número ali e não atendo.
(49:42) São só essas ligações. Sabe que, enquanto você falava, eu já tinha ouvido falar que a XP admitiria escritórios parceiros, de pessoas que fazem apoio para investimentos, ou seja, assessores. E sim, aqui no próprio site da XP fala: “O que são escritórios/assessores vinculados à XP?”.
(50:15) “Os escritórios de agentes autônomos da XP Investimentos são empresas credenciadas à matriz que utilizam a plataforma da XP Investimentos para auxiliar seus clientes em investimentos”. Pelo visto, eles teriam escritórios que não seriam bem da XP, mas de agentes vinculados. Faltou um pouco de informação aqui. Nós temos o direito de saber quem é esse fornecedor externo da XP.
(50:46) Porque, enquanto titulares de dados, temos o direito de saber com quem a XP compartilha nossos dados. Foi um serviço de nuvem? Foi um escritório vinculado, como se coloca aqui no site? Essa informação parece que faltou, e temos o direito de saber qual é. Provavelmente não vão dizer se perguntarmos, mas temos esse direito.
(51:10) A ANPD tem que fazer o trabalho dela, perguntar e dizer: “Você vai ter que comunicar”. Claro, até porque, pela própria LGPD, dependendo da atuação do operador – não sei se seria um operador ou controlador conjunto –, ele também será solidariamente responsável pelo dano.
(51:34) Se ele é solidariamente responsável, eu, enquanto titular, posso decidir cobrar uma indenização não perante a XP, mas desse operador. É um caso interessante, Vinícius. Um dos casos mais interessantes dos últimos tempos de vazamento.
(51:51) Por isso você ouve o Segurança Legal. Nós tínhamos outra notícia, Vinícius, mas acho que não vai dar tempo. Acabou sendo só sobre o incidente da XP. Já é meio-dia e quinze. Sabe que faz tempo que não fazemos nenhuma pesquisa com nossos ouvintes. Mas gostaríamos, se vocês pudessem entrar em contato… O que estávamos discutindo, Guilherme, era justamente essa relação
(52:21) entre um maior número de notícias – embora isso não seja mais o resumo de notícias que o Assolini fazia, ele trazia várias notícias – e aprofundar a discussão. Nós criamos o episódio Café porque a ideia é literalmente tomar um café e bater um papo, como eu e o Guilherme fazemos.
(52:46) Fazemos isso de vez em quando, Guilherme. Faz um tempo que não fazemos. Pegar um café, sentar e trocar uma ideia, discutir livremente um assunto. E o que queríamos com o Café é trazer um pouco dessa vibe. Estamos discutindo a quantidade de notícias, porque há várias que são relevantes, e é impossível trazer todas.
(53:18) Ou trazer menos notícias e aprofundar um pouco mais as discussões em torno delas, as situações que a notícia levanta. Temos outra aqui que não vou falar, porque senão vou dar o próximo assunto do Segurança Legal. Mas que vai ser temático.
(53:42) Começou com uma noticiazinha simples. Aí eu dei uma aprofundada, o Guilherme também, e dissemos: “Não, isso aqui não dá para falar rapidamente, vamos ter que nos dedicar pontualmente a esse assunto”. Porque surgem outras questões a partir dele, não é só o fato em si, mas o que dele se deriva em termos de compreensão, de conceitos, de análise para outras situações.
(54:12) Vamos ter que sentar e ler um projeto de lei de 40 páginas. É, pronto, o Guilherme já está dando spoiler. Eu não gosto muito de ler projeto de lei porque, como uma professora da UFRGS disse numa palestra, é sempre delicado: você estuda aquele projeto e depois ele muda. Com a LGPD foi diferente, estávamos envolvidos, mas eu sempre penso: “E se mudar? Vou estudar tudo isso e muda tudo?”. Mas coisas estão
(54:44) acontecendo. Para terminarmos, Vinícius, não sei se tens mais alguma observação. Não. Só não queria deixar passar, porque tem a ver com o caso XP e com a ANPD. Rapidinho: a ANPD completou uma etapa de um processo de fiscalização para apurar a presença de encarregado em algumas empresas de grande porte.
(55:07) E também como elas estariam cumprindo o caminho facilitado para as pessoas entrarem em contato com o encarregado. Duas coisas. Foram 20 empresas de grande porte: TikTok, Dell, Cacau Show, Quinto Andar, Serasa, Vivo, Telegram, Uber, X (o Twitter), Open English…
(55:30) Tinder, sei lá. Por que isso é importante? A ANPD está se movimentando. Nesse caso, promoveu um processo de fiscalização que se iniciou por meio de petições de titulares que apontavam a falta desse caminho para chegar ao encarregado. Eles fizeram um checklist para ser cumprido por essas empresas.
(55:56) Elas precisaram demonstrar o cumprimento. Demonstraram. Todas cumpriram. Agora têm o caminho, tudo certo. E eles vão ficar acompanhando por seis meses. A questão é: sua empresa já indicou o encarregado, fez o ato de nomeação adequado, nomeou o substituto? Há uma série de coisinhas, porque se você espera para nomear quando ocorre um incidente, aí é tarde demais. Você dará uma demonstração de que não tinha o ato de nomeação anterior. Precisa de ajuda com isso? A Brown Pipe pode ajudá-lo. Isso aí.
(56:30) Eu estava inclusive numa reunião com um novo cliente hoje de manhã, que espero que seja nosso novo cliente, e ele disse: “A gente ouve o podcast”.
(56:46) Falei do nosso podcast e pensei: “A gente nem é um podcast com conteúdo promocional, falamos muito pouco da Brown Pipe, menos do que deveríamos”. Aí, neste, falamos um pouco mais. Mentiroso. A nossa ideia é ser algo balanceado. Claro que tem a propaganda da Brown Pipe, porque ela é uma das mantenedoras do podcast, indiretamente, pelo nosso tempo e recursos.
(57:16) Mas entendemos que há esse espaço, claro, sem serem aquelas propagandas chatíssimas que ocorrem principalmente no YouTube. Tentamos fazer um balanço para não deixar a coisa muito chata. Sem dúvida. É isso aí. Já é chato o suficiente. Valeu, pessoal. Agradecemos a todos e todas que nos acompanharam até aqui.
(57:36) Nos encontraremos no próximo episódio do podcast Segurança Legal. Bom feriado. Bom feriadão para quem vai ter. Para quem não vai, vai trabalhar sexta e sábado. Mas tem a quinta ainda. Até a próxima. Até a próxima.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
0 Listeners