CEO da Airwallex nega fuga de dados! Dados de clientes americanos não foram transferidos para a China

O investidor Keith Rabois acusou a Airwallex de apresentar riscos de fuga de dados devido à sua grande equipa de engenharia na China e à participação de acionistas chineses. Jack Zhang, CEO e cofundador da Airwallex, negou veementemente as acusações, sublinhando que a empresa nunca transferirá quaisquer dados de clientes norte-americanos para a China. Esclareceu que os dados dos clientes norte-americanos são armazenados apenas nos EUA, nos Países Baixos e em Singapura, e que os funcionários da China continental e de Hong Kong não têm acesso a esses dados.

Acusações do investidor Keith Rabois nas redes sociais desencadeiam polémica

Antes da resposta pública de Zhang, o conhecido investidor Keith Rabois lançou uma série de acusações graves contra a Airwallex na plataforma X. Rabois alegou que a lei chinesa obriga as empresas e cidadãos a colaborarem com os serviços de informação do Estado, pelo que qualquer empresa com ligações estreitas à China pode enfrentar riscos de segurança de dados. Destacou ainda a grande equipa de engenharia da Airwallex na China, considerando-a um risco inevitável de fuga de dados.

O argumento de Rabois baseia-se em disposições da “Lei de Informação Nacional” chinesa, que estipula que “todas as organizações e cidadãos devem apoiar, ajudar e cooperar com o trabalho de informação do Estado, de acordo com a lei”. Defende que, mesmo que os dados estejam armazenados em servidores nos EUA, a legislação chinesa pode exigir que engenheiros na China forneçam acesso ou ajudem a obter dados. Além disso, Rabois apontou a participação acionista chinesa na Airwallex como outro fator de risco relevante.

Estas acusações geraram amplo debate nos sectores fintech e cripto. Alguns posts foram posteriormente apagados, mas a controvérsia já tinha ganho dimensão. Os apoiantes da Airwallex reagiram, com alguns utilizadores a questionar as provas por trás das acusações, considerando-as meras suposições. Um alto responsável da Airwallex respondeu também, sublinhando que a empresa investe continuamente em isolamento regional de dados e adota medidas que vão além dos requisitos regulatórios.

CEO da Airwallex detalha arquitetura de armazenamento de dados

Na sua resposta, Zhang explicou em detalhe a arquitetura de armazenamento de dados da Airwallex. Esclareceu que apenas armazena dados de clientes norte-americanos nos EUA, Países Baixos e Singapura, e sublinhou que os funcionários sediados na China continental e em Hong Kong não têm acesso à informação pessoal identificável (PII) de clientes norte-americanos. Esta estratégia de isolamento de dados é um elemento central da estrutura global de conformidade da Airwallex.

Zhang explicou a distinção entre localização geográfica das equipas de engenharia e os direitos de acesso aos dados: “O talento pode estar espalhado pelo mundo, mas o acesso aos dados não é assim.” Sublinhou que o local de trabalho dos engenheiros não coincide com o local de armazenamento dos dados dos clientes e que o acesso é atribuído com base no papel e na necessidade, e não na localização do empregado. Este controlo de acesso baseado em função (RBAC) é uma prática padrão nas modernas arquiteturas de segurança em cloud.

Atualmente, a Airwallex detém mais de 70 licenças a nível global e está sujeita à supervisão em mais de 48 estados dos EUA. A empresa afirma que os seus sistemas legais e técnicos impedem qualquer acesso não autorizado por parte de governos estrangeiros a dados norte-americanos. Zhang acrescentou ainda que a Airwallex não responde a pedidos de agências de informação estrangeiras para aceder a dados sensíveis não locais e segue os padrões federais norte-americanos de proteção de dados transfronteiriços.

Quatro pilares da proteção de dados na Airwallex

Isolamento geográfico: Dados de clientes dos EUA apenas armazenados nos EUA, Países Baixos e Singapura

Controlo de acesso: Direitos de acesso atribuídos com base em função e necessidade, não segundo a localização do funcionário

Supervisão multinacional: Detém licenças de serviços financeiros em mais de 70 jurisdições

Recusa de pedidos estrangeiros: Não responde a solicitações de governos estrangeiros para acesso a dados sensíveis não locais

A equipa de liderança da Airwallex está distribuída pelos EUA, Europa, Singapura e Austrália. Zhang explicou ainda que reside em Londres e não tem funções operacionais diretas na China. Esta estrutura de liderança descentralizada reduz ainda mais a influência de qualquer país individual nas decisões da empresa.

Redação da política de privacidade gera nova vaga de dúvidas

Apesar de tudo, a polémica continuou. Alguns utilizadores apontaram linguagem ambígua no documento global da política de privacidade da Airwallex. O documento declara que a empresa pode processar dados de clientes em vários países, incluindo a China. Críticos consideram que isto contradiz as declarações públicas de Zhang e exigem esclarecimentos adicionais.

Esta diferença de linguagem revela a complexidade dos desafios de conformidade global enfrentados pelas fintechs. As empresas necessitam de cobrir todos os territórios operacionais nas políticas globais de privacidade, mas também garantir proteção reforçada para dados de regiões específicas (como os EUA). A política global da Airwallex poderá ter sido desenhada para abranger as várias linhas de negócio em diferentes países, mas falha em distinguir claramente o tratamento especial dado aos dados de clientes norte-americanos.

A Airwallex ainda não esclareceu oficialmente se estas cláusulas da política de privacidade se aplicam a clientes norte-americanos sujeitos à proteção federal reforçada. A empresa reitera que a informação pessoal identificável (PII) dos clientes norte-americanos só é armazenada nas regiões aprovadas, mas a inconsistência entre estas declarações orais e o documento escrito deixa margem para críticas.

Do ponto de vista legal, a ambiguidade da política de privacidade global pode ser uma estratégia para manter flexibilidade operacional, mas no atual contexto de sensibilidade geopolítica, tal ambiguidade pode tornar-se um ónus para as empresas. Muitas fintechs multinacionais estão agora a adotar políticas de privacidade regionais mais detalhadas, diferenciando claramente o tratamento de dados de clientes consoante a região.

Sem infrações regulatórias, mas preocupações de segurança nacional persistem

Até à data, nenhum regulador confirmou qualquer infração por parte da Airwallex. As autoridades norte-americanas, incluindo o Departamento do Tesouro e a FinCEN, não anunciaram investigações formais. Legalmente, a Airwallex continua em conformidade, detendo as licenças necessárias e sujeita a auditorias regulares.

No entanto, este conflito tornou a Airwallex um foco de atenção na área da segurança nacional, especialmente numa altura delicada para as fintechs transfronteiriças. Com o aumento da competição tecnológica entre os EUA e a China, qualquer fluxo de dados ligado à China é sujeito a escrutínio acrescido. Casos como o da TikTok ou da Huawei mostram que, mesmo sem provas concretas de abuso de dados, as preocupações de segurança nacional por si só podem ter um impacto significativo na atividade das empresas.

Até ao momento, a Airwallex mantém a sua posição. Zhang afirma que os factos prevalecerão e que as acusações online acabarão por revelar a verdade. A empresa está a ponderar adotar medidas de transparência acrescida, incluindo a possível contratação de auditoria independente à sua infraestrutura de proteção de dados e a publicação de políticas regionais de processamento de dados mais detalhadas.