O passado 8 de abril de 2026, os sistemas da cadeia europeia de ginásios low cost Basic Fit sofreram um download não autorizado de dados. A brecha, ainda que tenha sido bloqueada "em matéria de minutos" segundo a companhia, afectou potencialmente mais de 4,5 milhões de clientes em Espanha, França, Alemanha e Países Baixos.
Em Espanha, com mais de 150 centros operacionais, o impacto foi em massa. E ainda que a empresa insista que as senhas e as cópias dos documentos de identidade estão a salvo, o botim extraído contém nomes, correios eletrónicos, números de RG, direcções, telefones, números de conta bancária (IAM), datas de nascimento e, inclusive, o historial detalhado das visitas ao clube durante a última semana.
"O serviço de apoio ao cliente da Basic Fit é inexistente"
"O serviço de apoio ao cliente da Basic Fit é, de facto, inexistente", diz Sergio T.., um dos afectados do ataque. "Não têm número de telefone e o seu chatbot está sempre a dar voltas e voltas, faz-te dar voltas. Isto gera muitas pessoas frustradas", aponta.
Basic Fit reconhece à Consumidor Global que "a gestão de consultas se realiza através dos canais digitais (correio eletrónico e chatbot), pelo que não dispõe de apoio telefónico".
A falta de um canal direto e humano no meio de uma crise de segurança desta magnitude foi a principal causa da indignação. Os clientes viram-se obrigados a procurar respostas nos meios de comunicação, nas redes sociais ou no site da cadeia de ginásios.
"Só dizem que vigie a conta bancária"
Francisco C., ante o sucedido, perguntou tanto à companhia como à associação de consumidores Facua sobre o que deve fazer para estar seguro depois da subtração de dados. "Só me dizem que vigie a conta bancária por se se produz um roubo. Se Basic Fit investisse em segurança e não em mochilas…", comenta.
Mario, outro cliente afectado cuja conta bancária e dados sensíveis foram expostos, não oculta a sua frustração. "O mais grave não é só o incidente, mas sim a forma como a estão a gerir. A sua resposta foi completamente insuficiente, genérica e sem dar explicações claras. Ademais, negam-se a indemnizar, algo difícil de entender quando reconheceram que os nossos dados foram comprometidos", exclama.
A maioria nem sequer recebe uma única mensagem sobre o ataque hacker
Depois do ataque sofrido, a maioria de sócios vivem num limbo informativo. Luis de Pablo não recebeu nenhum aviso, mas mantém-se céptico. "Vou revendo a conta. Acho que deveriam informar para dar tranquilidade. Suponho que tê-lo-ão feito assim para não criar alarme, porque com uma campanha em massa é mais fácil que se aproveite para tentar colar phishing", opina.
Alba G. e Nuria G. também não foram notificadas. "Li-o na imprensa", relata Alba. "A mim não me enviaram nada. Pelo que vi, se não te enviavam nada é que os teus dados não foram filtrados. Entendo que estou a salvo, mas nem sequer me mandaram uma mensagem para me dizer: ''Sofremos um ataque hacker, mas não se preocupe'", destaca. "O que acontece se não recebeu nenhum e-mail?", pergunta Maika, outra utilizadora confusa.
Que acontece se não recebeu nenhuma mensagem da Basic Fit?
A Consumidor Global pôs-se em contacto com a Basic Fit, a qual declarou que "enviou comunicações por correio eletrónico a todos os sócios afectados pelo incidente, não à totalidade dos membros".
Uma das pessoas que recebeu uma mensagem da Basic Fit é Veracruz A., que partilhou o e-mail em questão com esta publicação. "Esta mensagem é para informá-lo(a) sobre um download não autorizado de dados da Basic Fit. Entendemos que este aviso possa ser preocupante e pedimos sinceras desculpas por qualquer ansiedade que possa causar", começa a notificação padrão, que detalha todos os dados comprometidos. "Embora não necessite de tomar qualquer medida imediata, aconselhamos que esteja atento(a) a possíveis tentativas de phishing", conclui.
O verdadeiro perigo para os sócios
O verdadeiro perigo desta fuga não é uma cobrança bancária imediata, mas o assédio psicológico e digital que virá. Embora a Basic Fit não armazene documentos de identidade digitalizados, a combinação do nome, número do documento de identidade, IBAN, número de telefone e histórico de visitas ao ginásio representa um risco.
Os cibercriminosos sabem esperar. É comum que ataques secundários - e-mails falsos de bancos, chamadas a fazerem-se passar pela própria cadeia de ginásios a exigir o pagamento de mensalidades - ocorram semanas depois, quando o utilizador já baixou a guarda. A própria empresa alerta para isso na sua mensagem, pedindo aos utilizadores que desconfiem de mensagens urgentes ou links suspeitos.
Que dizem os advogados
Iván Rodríguez, advogado de Legálitas especializado em consumo, analisa o caso para a Consumidor Global. "Os consumidores têm direito a pôr-se em contacto com a Basic Fit e solicitar com exactidão que dados foram violados", assinala.
"No entanto, com apenas um nome e um documento de identidade, é difícil roubar a identidade de alguém hoje em dia. Para obter um empréstimo ou abrir contas, os bancos exigem agora verificações minuciosas, incluindo inteligência artificial, vídeos de reconhecimento facial ou verificações manuais", defende o advogado.
A pessoa responsável caso ocorra um assalto a um banco
"Não se trata tanto de procurar uma indemnização, mas sim de esperar uma sanção da Agência Espanhola de Proteção de Dados (AEPD). Para que haja indemnização, deve ter havido um dano económico real e demonstrável causado especificamente pela violação de dados, e não por qualquer outro fator", explica Rodríguez. "Se a Basic Fit foi pirateada e pode provar que estava em dia com todos os protocolos de segurança e proteção de dados, há pouca indemnização que possa reclamar", sublinha.
"Se houver uma cobrança não autorizada devido a roubo de identidade e não a tiver autorizado, assim que a comunicar, o banco é responsável e tem de assumir a responsabilidade", esclarece. Rodríguez, no entanto, critica duramente os canais de comunicação da rede. "Têm a obrigação de notificar os utilizadores. Uma notificação no site não é suficiente; deviam notificar por e-mail ou através de alertas claros na aplicação. A gestão disto por parte da Basic Fit é muito fraca", reconhece.