Banco falha em desativar informações de clientes e dados caem na internet

Os órgãos reguladores federais dos Estados Unidos fizeram uma acusação contra o banco Morgan Stanley na última terça-feira, 20 de setembro, alegando que falhas inacreditáveis acabaram levando à movimentação incorreta de dados confidenciais de aproximadamente 15 milhões de clientes da instituição. A multa, de US$ 35 milhões, foi aplicada pela Securities and Exchange Commission (SEC), considerada como a CVM dos Estados Unidos devido a falhas extensas na hora de proteger informações de identificação pessoal dos seus clientes.

Leia mais: Confira os bancos mais pesquisados quando o assunto é cartão de crédito

Aproximadamente desde 2015, o banco Morgan Stanley não conseguiu se livrar de forma adequada de dispositivos que tinham informações e dados confidenciais de clientes, conforme foi solicitado em acordo.

Conforme descrito pela SEC, o banco Morgan Stanley fez a contratação de uma empresa de mudanças, que não tinha experiência ou conhecimento na parte de destruição de dados, para poder desativar milhares de discos rígidos e servidores que realizavam a armazenagem das informações dos seus clientes. Essa empresa acabou vendendo mais tarde milhares de dispositivos do Morgan Stanley para terceiros, e alguns dos itens que foram vendidos continham ainda informações de identificação pessoal de antigos clientes do banco.

Vale destacar que mesmo após terem sido vendidos, os produtos foram revendidos também em um site de leilões na internet, sendo os mesmos produtos que não tiveram os dados confidenciais removidos conforme solicitava o acordo. Alguns dispositivos foram recuperados pelo banco, contendo “milhares de dados de clientes não criptografados”, conforme informações da SEC.

As “falhas do Morgan Stanley neste caso são surpreendentes”, disse Gurbir Grewal, diretor da divisão de fiscalização da SEC, em um comunicado. “Se não forem devidamente protegidas, essas informações confidenciais podem acabar nas mãos erradas e ter consequências desastrosas para os investidores”, acrescentou.

Além dos servidores e os drivers rígidos, também foi descoberto pela SEC que o banco Morgan Stanley não obteve êxito na hora de proteger os dados dos clientes e conseguir descartar de forma adequada as informações de relatórios dos consumidores, até mesmo quando a empresa realizou o desligamento dos servidores locais e de suas filiais. Foi possível também, em uma análise, a descoberta de 42 servidores, onde todos continham potencialmente dados não criptografados e informações de relatórios dos consumidores, onde apareciam como “ausentes”. O banco aceitou pagar a multa sem assumir a culpa ou negar quaisquer que sejam as conclusões do acordo.