O Banco Central (BC) comunicou que 28.203 chaves Pix de clientes da Pefisa S.A. tiveram dados cadastrais expostos por seis meses, entre 30 de agosto de 2025 e 27 de fevereiro de 2026. Além disso, a Pefisa é a fintech do grupo Pernambucanas, com 5 milhões de clientes ativos, e o vazamento ocorreu por falhas pontuais em seus sistemas, segundo o BC.
As informações expostas incluíram nome do usuário, CPF, instituição de relacionamento, número da agência, número e tipo da conta, data de abertura da conta e datas de criação e posse da chave Pix. Contudo, o BC garantiu que dados protegidos pelo sigilo bancário — como senhas, saldos e extratos — não foram comprometidos. Por exemplo, é como se alguém tivesse acesso ao seu endereço e telefone, mas não às chaves da sua casa ou ao extrato do cartão de crédito.
Um problema recorrente
Este é o 23º incidente de segurança envolvendo o Pix desde seu lançamento em novembro de 2020, uma média de cerca de quatro vazamentos por ano. No entanto, embora o número pareça alto, é importante contextualizar: o sistema processa mais de 4 bilhões de transações por mês, segundo dados do próprio BC. Da mesma forma, nos Estados Unidos, o sistema de pagamentos Zelle — lançado em 2017 — também enfrenta desafios de segurança, mas com foco maior em fraudes do que em vazamentos de dados cadastrais.
O BC informou que, embora o caso não precisasse ser divulgado por causa do “baixo impacto potencial”, decidiu comunicá-lo publicamente por “compromisso com a transparência”. Ou seja, a exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. Portanto, o caso será investigado e sanções poderão ser aplicadas, incluindo multa, suspensão ou até exclusão do sistema Pix, dependendo da gravidade.
Como os clientes serão avisados
Todas as pessoas afetadas serão notificadas exclusivamente pelo aplicativo ou internet banking da Pefisa. Dessa forma, o BC alertou que esses serão os únicos canais oficiais de comunicação e pediu para os clientes desconsiderarem avisos por telefone, SMS, WhatsApp ou e-mail — táticas comuns de golpistas que se aproveitam de incidentes reais para aplicar fraudes. Por isso, por determinação da Lei Geral de Proteção de Dados (LGPD — a legislação brasileira que regula o uso de informações pessoais), o Banco Central mantém uma página pública onde cidadãos podem acompanhar todos os incidentes relacionados ao Pix.
📊 Número do Dia
23 — incidentes de segurança com o Pix desde novembro de 2020, uma média de quatro vazamentos por ano
Por que isso importa
Para o cidadão, o incidente reforça a necessidade de vigilância constante: mesmo que senhas e saldos não tenham sido expostos, dados cadastrais podem ser usados por golpistas para aplicar fraudes por engenharia social — quando criminosos se passam por instituições financeiras para enganar vítimas. Além disso, para as empresas, o caso evidencia que falhas de segurança podem resultar em sanções severas do BC, incluindo exclusão do sistema Pix. Por outro lado, para o mercado financeiro, a recorrência de vazamentos — 23 em pouco mais de cinco anos — levanta questões sobre a robustez dos controles de segurança das instituições participantes, sobretudo fintechs menores.
Fonte original: https://agenciabrasil.ebc.com.br/economia/noticia/2026-03/bc-comunica-exposicao-de-dados-de-28-mil-chaves-pix
