Dados confidenciais de clientes do Morgan Stanley foram leiloados na internet
Cerca de 15 milhões de pessoas foram afetadas; banco concordou em pagar a multa sem admitir ou negar as conclusões do acordo
Reguladores federais dos Estados Unidos acusaram o Morgan Stanley nesta terça-feira (20) de falhas “surpreendentes” que levaram ao manuseio incorreto de dados confidenciais de cerca de 15 milhões de clientes.
O Morgan Stanley recebeu uma multa de US$ 35 milhões da Securities and Exchange Commission (SEC, a CVM norte-americana) por falhas extensas em proteger informações de identificação pessoal de seus clientes.
Desde pelo menos 2015, o Morgan Stanley não se livrou adequadamente de dispositivos que continham dados confidenciais de clientes, conforme o acordo.
Em um episódio descrito pela SEC, o Morgan Stanley contratou uma empresa de mudanças — uma que “não tinha experiência ou conhecimento” em destruição de dados — para desativar milhares de discos rígidos e servidores que armazenam dados de clientes.
Essa empresa de mudança vendeu mais tarde milhares de dispositivos do Morgan Stanley, alguns dos quais continham informações de identificação pessoal, para terceiros, disse a SEC.
Esses dispositivos acabaram sendo revendidos em um site de leilões na Internet — sem a remoção dos dados confidenciais, segundo o acordo.
O Morgan Stanley conseguiu recuperar alguns desses dispositivos, que continham “milhares de dados de clientes não criptografados”, disse a SEC.
“A empresa não recuperou a grande maioria dos dispositivos”, segundo o acordo.
As “falhas do Morgan Stanley neste caso são surpreendentes”, disse Gurbir Grewal, diretor da divisão de fiscalização da SEC, em comunicado.
“Se não forem devidamente protegidas, essas informações confidenciais podem acabar nas mãos erradas e ter consequências desastrosas para os investidores”.
Além dos servidores e drivers rígidos, a SEC descobriu que o Morgan Stanley falhou em proteger os dados dos clientes e descartar adequadamente as informações dos relatórios dos consumidores de outras maneiras, inclusive quando a empresa desligou os servidores locais e de filiais.
O acordo disse que uma análise do Morgan Stanley descobriu que 42 servidores, todos potencialmente contendo dados não criptografados e informações de relatórios do consumidor, estavam “ausentes”.
O Morgan Stanley concordou em pagar a multa sem admitir ou negar as conclusões do acordo.
Em comunicado, o Morgan Stanley disse estar satisfeito por ter resolvido esse problema e expressou confiança de que nenhum dado sensível foi explorado.
“Nós já notificamos os clientes aplicáveis sobre esses assuntos, que ocorreram há vários anos, e não detectamos nenhum acesso não autorizado ou uso indevido de informações pessoais de clientes”, disse o Morgan Stanley em comunicado.