Estatal mineira bloqueia acesso indevido e inicia comunicação individual com afetados; incidente testa protocolos de cibersegurança e conformidade com a LGPD no setor elétrico
A Companhia Energética de Minas Gerais (Cemig) formalizou, nesta quinta-feira, a ocorrência de um incidente de segurança cibernética que resultou na exposição de dados pessoais de uma parcela de sua base de clientes. Em fato relevante enviado à Comissão de Valores Mobiliários (CVM) e à B3, a estatal mineira informou que o acesso indevido foi prontamente detectado e bloqueado, mas não antes de comprometer informações de aproximadamente 135 mil titulares.
O vazamento incluiu dados cadastrais críticos, como nome completo, filiação, CPF, endereço físico, e-mail e número de telefone. Além disso, foram expostas informações comerciais específicas, como o valor das faturas de energia, o que eleva o risco para tentativas de fraudes financeiras e engenharia social contra os consumidores afetados.
Resposta operacional e contenção de danos
Apesar da gravidade do vazamento de dados, a Cemig garantiu que o incidente foi restrito ao ambiente de informações cadastrais, sem afetar o fornecimento de energia ou o controle dos ativos de distribuição, transmissão e geração. A investigação técnica, ainda em curso, busca agora delimitar a extensão total da falha e identificar se outros perfis de clientes foram atingidos além do grupo já mapeado.
De acordo com o comunicado oficial, a empresa adotou protocolos de comunicação individualizada para alertar os consumidores sobre os riscos iminentes: “A Companhia providenciou a comunicação individualizada aos clientes identificados como afetados, com orientações específicas sobre medidas de segurança e prevenção contra possíveis tentativas de fraude.”
Vigilância regulatória e sigilo das apurações
O caso foi reportado às autoridades competentes, incluindo a Autoridade Nacional de Proteção de Dados (ANPD) e a Agência Nacional de Energia Elétrica (Aneel), além de órgãos policiais. A cooperação institucional é um passo obrigatório dentro da Lei Geral de Proteção de Dados (LGPD) e das resoluções de governança da CVM, especialmente para empresas com ADRs negociadas na Bolsa de Nova Iorque (NYSE).
A empresa reafirmou que as apurações seguem sob sigilo técnico para evitar novos riscos à infraestrutura cibernética e garantir a integridade das investigações policiais. Ao tratar do posicionamento institucional frente ao ocorrido, a Cemig enfatizou o cumprimento das normas vigentes: “A CEMIG reitera seu compromisso com a proteção de dados pessoais, a cooperação com as autoridades e a transparência com seus stakeholders, mantendo o mercado e seus clientes informados sobre quaisquer desdobramentos relevantes relacionados a este incidente, nos termos da regulação da CVM e da legislação vigente.”
Riscos de imagem e conformidade no setor elétrico
Incidentes de cibersegurança têm se tornado uma preocupação crescente para o setor elétrico brasileiro, dada a natureza estratégica da infraestrutura e o volume massivo de dados pessoais sob gestão das distribuidoras. Analistas de mercado apontam que, além do potencial impacto em multas pela ANPD, episódios dessa natureza testam a robustez dos sistemas de TI e a velocidade de resposta das companhias em termos de governança e transparência com o mercado de capitais.
Até o momento, a Cemig não registrou novos bloqueios ou indisponibilidade em seus canais de atendimento digital decorrentes do ataque, mas orienta que os clientes fiquem atentos a comunicações oficiais e evitem fornecer senhas ou dados bancários em contatos suspeitos.
