contato

16 de Maio, 2024

Financeira é multada por não implementar medidas de segurança: Lições para o Brasil

image 17

A Autoridade de Proteção de Dados da Espanha impôs uma multa de €600.000 (posteriormente reduzida) à 4Finance Spain Financial Services, S.A.U., uma instituição de empréstimos, devido a medidas de segurança inadequadas, incluindo a ausência de autenticação de dois fatores na aprovação de empréstimos. Após reconhecer sua falha, a multa foi reduzida para €360.000.

Em 2022, a instituição foi alertada sobre empréstimos não solicitados em contas de clientes. Apesar das avaliações de risco internas não indicarem a necessidade de notificação aos afetados, em fevereiro de 2023, a DPA espanhola recebeu várias reclamações similares e descobriu um ataque cibernético que afetou 9636 titulares de dados, envolvendo dados pessoais e financeiros.

Destaca-se que os criminosos conseguiram o acesso ao sistema da financeira por meio de força bruta, visando realizar empréstimos em nome de clientes. Os atacantes ainda tentaram obter reembolsos por meio de contatos fraudulentos via WhatsApp. O incidente foi descoberto por meio da comunicação de titulares afetados e os dados armazenados não estavam criptografados. Os sistemas não continham proteções contra número elevado de tentativas de acesso mal-sucedidas. Destacou-se que a natureza dos dados obtidos pelos fraudadores ampliava a possibilidade de fraudes bem elaboradas e verossímeis, já que além dos dados cadastrais, também havia dados de transações financeiras. A decisão ainda aponta que a “Importância de uma avaliação contínua do risco, do planejamento proativo da segurança e de uma resposta ágil a incidentes, conforme os requisitos do artigo 32 do RGPD, circunstâncias todas elas que não foram levadas em conta pela VIVUS, tal como se deduz das ações praticadas”. Foi nesse sentido que se considerou falha a prática de permitir várias e sucessivas solicitações de empréstimos baseando-se apenas em um nível de autenticação, fato que “revela uma subestimação dos riscos associados ao roubo de identidade e à fraude financeira”. A atividade da controladora também foi levada em consideração, visto que, por lidar com dados financeiros, deve promover medidas de segurança ampliadas. Observou-se que as medidas de segurança tomadas pela financeira eram meramente reativas e não proativas, não havendo medidas tomadas com base em uma avaliação de risco constante.

A DPA ordenou que a instituição notificasse os afetados e impôs mudanças significativas em suas políticas de segurança, incluindo a implementação de autenticação de dois fatores. As violações identificadas relacionam-se aos Artigos 5(1)(f) e 32 do GDPR, destacando as falhas da instituição na proteção adequada dos dados e na comunicação de incidentes de segurança.

O caso, embora ocorrido na Espanha, deve servir de exemplo para as empresas brasileiras. O GDPR e a LGPD aproxima-se acerca da definição de medidas de segurança e também sobre as avaliações de risco. As falhas notadas, bem como as medidas de correção indicadas podem orientar também as empresas brasileiras que se encontram na mesma situação.

Com informações GDPRHub
Link para a decisão da AEPD (em espanhol).

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram