Caso XP: vazamento de dados, demora na comunicação e reparação de danos
Os clientes da XP Investimentos, na data de ontem, dia 24/04/2025, foram comunicados da ocorrência de incidente de segurança com vazamento de dados pessoais como nomes, números de conta bancária, saldos e limites de crédito. A empresa informou que nenhuma operação financeira foi realizada e garantiu a segurança dos recursos, não tendo sido vazados os dados de senha, assinatura eletrônica, biometria, CPF e identidade.
Diante do ocorrido, para evitar fraudes, a empresa pede que seus clientes desconfiem de ligações telefônicas em nome da XP e não façam qualquer ação no aplicativo sob orientação em contato telefônico. Identificado o incidente de segurança, como previsto na Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018), no artigo 48, o controlador tem o dever de comunicar aos titulares e à ANPD a ocorrência de incidentes que possam causar riscos ou danos relevantes aos titulares.
A Autoridade Nacional de Proteção de Dados (ANPD) foi notificada do incidente logo após a identificação, mas houve uma demora na comunicação dos possíveis consumidores afetados, visto que o vazamento foi identificado no final do mês passado e os clientes apenas receberam a comunicação agora. Conforme o Art. 6º e o Art. 9º da Resolução CD/ANPD nº 15, de 24 de abril de 2024 que Aprova o Regulamento de Comunicação de Incidente de Segurança, a comunicação à ANPD e aos titulares deve ser realizada no prazo de 3 (três) dias úteis. A demora na comunicação dos clientes afetados pode levar a aplicação de sanções administrativas por parte da ANPD, por descumprimento da LGPD, e a ações judiciais individuais e coletivas para reparação de dano.
Na Política de Segurança Cibernética do Grupo XP além da previsão de todos os controles para a proteção do ambiente, por meio de um gerenciamento efetivo no monitoramento, tratamento e na resposta aos incidentes, com o intuito de minimizar o risco de falhas e a administração segura de redes de comunicações, há um guia completo de melhores práticas de Segurança da Informação, que pode ser acessado através do link https://lp.xpi.com.br/seguranca-xp.
Caso os clientes do Grupo fiquem com qualquer dúvida foi divulgado um canal de atendimento através do acesso ao link Atendimento XP | Tire suas dúvidas.
Gabriella Gaida | Sócia de Di Ciero Advogados
