contato

16 de Maio, 2024

Financeira é multada por não implementar medidas de segurança: Lições para o Brasil

image 17

A Autoridade de Proteção de Dados da Espanha impôs uma multa de €600.000 (posteriormente reduzida) à 4Finance Spain Financial Services, S.A.U., uma instituição de empréstimos, devido a medidas de segurança inadequadas, incluindo a ausência de autenticação de dois fatores na aprovação de empréstimos. Após reconhecer sua falha, a multa foi reduzida para €360.000.

Em 2022, a instituição foi alertada sobre empréstimos não solicitados em contas de clientes. Apesar das avaliações de risco internas não indicarem a necessidade de notificação aos afetados, em fevereiro de 2023, a DPA espanhola recebeu várias reclamações similares e descobriu um ataque cibernético que afetou 9636 titulares de dados, envolvendo dados pessoais e financeiros.

Destaca-se que os criminosos conseguiram o acesso ao sistema da financeira por meio de força bruta, visando realizar empréstimos em nome de clientes. Os atacantes ainda tentaram obter reembolsos por meio de contatos fraudulentos via WhatsApp. O incidente foi descoberto por meio da comunicação de titulares afetados e os dados armazenados não estavam criptografados. Os sistemas não continham proteções contra número elevado de tentativas de acesso mal-sucedidas. Destacou-se que a natureza dos dados obtidos pelos fraudadores ampliava a possibilidade de fraudes bem elaboradas e verossímeis, já que além dos dados cadastrais, também havia dados de transações financeiras. A decisão ainda aponta que a “Importância de uma avaliação contínua do risco, do planejamento proativo da segurança e de uma resposta ágil a incidentes, conforme os requisitos do artigo 32 do RGPD, circunstâncias todas elas que não foram levadas em conta pela VIVUS, tal como se deduz das ações praticadas”. Foi nesse sentido que se considerou falha a prática de permitir várias e sucessivas solicitações de empréstimos baseando-se apenas em um nível de autenticação, fato que “revela uma subestimação dos riscos associados ao roubo de identidade e à fraude financeira”. A atividade da controladora também foi levada em consideração, visto que, por lidar com dados financeiros, deve promover medidas de segurança ampliadas. Observou-se que as medidas de segurança tomadas pela financeira eram meramente reativas e não proativas, não havendo medidas tomadas com base em uma avaliação de risco constante.

A DPA ordenou que a instituição notificasse os afetados e impôs mudanças significativas em suas políticas de segurança, incluindo a implementação de autenticação de dois fatores. As violações identificadas relacionam-se aos Artigos 5(1)(f) e 32 do GDPR, destacando as falhas da instituição na proteção adequada dos dados e na comunicação de incidentes de segurança.

O caso, embora ocorrido na Espanha, deve servir de exemplo para as empresas brasileiras. O GDPR e a LGPD aproxima-se acerca da definição de medidas de segurança e também sobre as avaliações de risco. As falhas notadas, bem como as medidas de correção indicadas podem orientar também as empresas brasileiras que se encontram na mesma situação.

Com informações GDPRHub
Link para a decisão da AEPD (em espanhol).

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Fraudes atingiram mais da metade dos brasileiros em 2024
10 de Abril, 2025

De acordo com o Relatório de Identidade e Fraude 2025 da Serasa Experian, 51% dos brasileiros foram vítimas de fraudes no último ano, sendo que 54,2% dessas pessoas sofreram perdas financeiras. Dentre os prejuízos, quase 20% perderam entre R$ 1.000 e R$ 5.000. Os dados também mostram que pessoas acima de 50 anos são as […]

Ler Mais
Falha no whatsapp para windows permite execução de códigos maliciosos
10 de Abril, 2025

Uma vulnerabilidade no WhatsApp para Windows, identificada como CVE-2025-30401, pode ser explorada para executar códigos maliciosos por meio de anexos manipulados, caso o usuário seja induzido a abri-los. O problema afeta todas as versões do WhatsApp Desktop anteriores à versão 2.2450.6 e decorre de um erro na maneira como o aplicativo gerencia anexos de arquivos. […]

Ler Mais
Funcionária indenizada por uso indevido de imagem 
10 de Abril, 2025

O Tribunal Regional do Trabalho da 5ª Região fixou indenização por danos morais em R$ 5 mil em favor de uma ex-empregada, cuja imagem foi utilizada indevidamente pela empresa em redes sociais para fins comerciais. A reclamante, que trabalhou como atendente de lanchonete, alegou que suas fotos foram divulgadas sem autorização, inclusive após o término […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram