Banco Central comunica vazamento de 28,2 mil chaves Pix da Pefisa
Informações cadastrais incluem CPF, banco e dados de conta. Segundo o Banco Central, não houve acesso a senhas nem movimentação financeira
atualizado
Compartilhar notícia
Um novo incidente de segurança envolvendo o sistema do Banco Central (BC), nesta sexta-feira (20/3), expôs dados cadastrais vinculados a 28.203 chaves Pix associadas à instituição financeira Pefisa S.A. – Crédito, Financiamento e Investimento, braço financeiro do grupo Pernambucanas.
As informações vazadas incluem nome do usuário, CPF, banco de relacionamento, número da agência, número e tipo da conta, além das datas de abertura da conta e de criação e posse da chave.
De acordo com o BC, os dados acessados são de natureza cadastral e não permitem movimentação de recursos nem acesso direto às contas bancárias. Além disso, não houve exposição de informações sensíveis, como senhas, saldos ou histórico de transações, que seguem protegidos por sigilo bancário.
Casos recentes mostram que esse tipo de incidente nem sempre ocorre dentro da estrutura central do Pix, mas em sistemas paralelos que utilizam dados conectados ao ecossistema financeiro.
Em episódios anteriores, acessos indevidos foram causados por falhas de segurança, como o uso de credenciais comprometidas ou reutilização de senhas institucionais.
Esse cenário amplia o risco para além dos bancos e fintechs, envolvendo também órgãos públicos e empresas que mantêm bases de dados integradas ao sistema.
Desde o lançamento do Pix, em 2020, incidentes de segurança envolvendo chaves já afetaram milhões de registros no país. Em um caso recente, por exemplo, dados vinculados a 93 chaves foram expostos após acesso indevido a um sistema do Ministério Público de Goiás (MPGO).
Embora esses episódios não tenham resultado, até agora, em perdas financeiras diretas, eles têm elevado a preocupação com a proteção de dados e a governança do sistema, especialmente diante da crescente digitalização dos serviços financeiros.
O Banco Central informou que as medidas necessárias para apuração do caso já foram adotadas e reforçou que não entra em contato com usuários por telefone, mensagens ou e-mail.
A autoridade também destaca que, mesmo em casos considerados de baixo impacto, a divulgação pública dos incidentes segue o princípio da transparência.
