Banco Central divulga exposição de dados cadastrais de chaves Pix afetando 28 mil usuários

O Banco Central (BC) comunicou um incidente de segurança que resultou na exposição de dados cadastrais de aproximadamente 28 mil chaves Pix. A falha ocorreu em sistemas de uma instituição de pagamento e, embora o impacto potencial para os clientes seja considerado baixo, a autarquia optou pela divulgação como parte de seu compromisso com a transparência.

As informações expostas incluem dados como nome do usuário, CPF, instituição de relacionamento, número da agência, número e tipo da conta, data de abertura da conta, além da data de criação e posse da chave Pix. É importante ressaltar que dados protegidos por sigilo bancário, como saldos, senhas e extratos, não foram acessados.

Este é o 23º incidente registrado desde o lançamento do sistema de pagamentos instantâneos em novembro de 2020, e o terceiro ocorrido em 2026. Conforme informado pelo Banco Central, o caso será investigado e sanções poderão ser aplicadas, dependendo da gravidade. O BC reforça que os únicos meios de aviso aos afetados serão por meio do aplicativo ou internet banking da instituição.

Detalhes da exposição de dados no Pix

A exposição de dados ocorreu entre 30 de agosto de 2025 e 27 de fevereiro de 2026. Segundo o Banco Central, a causa foram **falhas pontuais em sistemas da instituição de pagamento**, a Pefisa S.A. (Credito, Financiamento e Investimento), que é o braço financeiro do grupo Pernambucanas.

É crucial entender que a exposição de dados não significa necessariamente que todas as informações foram vazadas, mas sim que elas ficaram visíveis para terceiros durante um período e, consequentemente, puderam ser capturadas. Em todos os 23 incidentes com chaves Pix registrados até o momento, foram expostas **informações cadastrais**, sem que houvesse acesso a senhas ou saldos bancários.

Medidas e recomendações do Banco Central

O Banco Central ressaltou que a decisão de comunicar o incidente, mesmo com baixo impacto potencial, visa reforçar o **compromisso com a transparência**. Todas as pessoas cujas informações foram expostas serão notificadas diretamente pela instituição financeira, por meio do aplicativo ou do internet banking.

A autarquia pede **atenção e cautela**, alertando os usuários para desconsiderarem comunicações suspeitas, como chamadas telefônicas, SMS, mensagens por aplicativos e e-mails que aleguem ser sobre a exposição das chaves Pix. Estes meios não serão utilizados para aviso.

Investigação e possíveis sanções

O caso será devidamente investigado pelo Banco Central. A legislação vigente prevê que, dependendo da gravidade da falha, sanções como **multa, suspensão ou até mesmo a exclusão** do sistema Pix podem ser aplicadas à instituição responsável.

Em cumprimento à Lei Geral de Proteção de Dados (LGPD), o Banco Central mantém uma página dedicada onde os cidadãos podem acompanhar incidentes relacionados a chaves Pix e outros dados pessoais sob sua custódia, reforçando a importância da segurança e da informação.

O que é a Pefisa S.A.

A Pefisa S.A. é uma fintech com cerca de 5 milhões de clientes ativos, atuando como o braço financeiro do grupo Pernambucanas. A empresa é responsável pela gestão da conta digital, cartões Elo, empréstimos, seguros e do serviço Pix para a rede de lojas, focando em soluções de varejo tanto físicas quanto digitais. A reportagem buscou contato com a instituição para obter mais detalhes sobre o ocorrido.