Banco Central comunica exposição de dados cadastrais de 28 mil chaves Pix
O Banco Central (BC) informou a ocorrência de uma nova exposição de dados envolvendo chaves Pix. Desta vez, cerca de 28 mil chaves foram afetadas, com informações cadastrais de usuários visíveis para terceiros. Este incidente se soma a uma série de outros registrados desde o lançamento do sistema de pagamentos instantâneos em novembro de 2020.
A exposição, que ocorreu entre agosto de 2025 e fevereiro de 2026, abrangeu dados como nome do usuário, CPF, instituição de relacionamento, número e tipo da conta, e datas de abertura e criação da chave Pix. O BC ressalta, porém, que **dados sensíveis como saldos, senhas e extratos bancários não foram comprometidos**.
Apesar de o incidente não exigir comunicação formal devido ao baixo potencial de impacto, a autarquia decidiu torná-lo público em nome de seu compromisso com a transparência. Conforme informação divulgada pelo Banco Central, o caso será investigado e sanções poderão ser aplicadas à instituição responsável. Todas as pessoas afetadas serão notificadas diretamente pelo aplicativo ou internet banking da empresa, que é a Pefisa S.A., braço financeiro do grupo Pernambucanas.
Detalhes da exposição de dados no Pix
O incidente em questão foi causado por falhas pontuais nos sistemas da instituição de pagamento. O Banco Central detalhou que as informações expostas são de natureza cadastral, não tendo relação direta com a movimentação financeira ou com dados protegidos pelo sigilo bancário. Isso significa que, embora os dados pessoais tenham ficado acessíveis, o dinheiro dos usuários permaneceu seguro.
É importante notar que a exposição de dados não garante que as informações tenham sido de fato vazadas. No entanto, elas estiveram visíveis para terceiros durante um período, o que levanta a possibilidade de captura. O BC está conduzindo uma investigação para apurar a extensão do ocorrido e determinar as medidas cabíveis.
Investigação e sanções futuras
A legislação brasileira prevê diversas penalidades para casos de vazamento de dados, que podem variar desde multas até a suspensão ou exclusão do sistema Pix. A gravidade do caso será avaliada durante a investigação para definir as sanções a serem aplicadas à Pefisa S.A. Até o momento, todos os 23 incidentes registrados com chaves Pix envolveram informações cadastrais, sem comprometer senhas ou saldos bancários.
Em conformidade com a Lei Geral de Proteção de Dados (LGPD), o Banco Central mantém uma página dedicada onde os cidadãos podem acompanhar informações sobre incidentes relacionados a dados pessoais sob sua custódia. O BC reforça que os únicos canais oficiais de comunicação sobre esta exposição de dados Pix serão o aplicativo e o internet banking da instituição afetada. Pedem ainda que os clientes desconsiderem qualquer outra forma de comunicação, como SMS, e-mails ou mensagens em aplicativos de mensagens, para evitar fraudes.
Pefisa S.A. sob os holofotes
A Pefisa S.A. é uma fintech com cinco milhões de clientes ativos e atua como braço financeiro do grupo Pernambucanas. A empresa gerencia diversos serviços, incluindo conta digital, cartões, empréstimos, seguros e o sistema Pix para a rede varejista, focando em soluções de varejo físicas e digitais. A reportagem buscou contato com a instituição para obter mais detalhes sobre o incidente.
Fonte: Banco Central do Brasil.
