Banco Central informa exposição de dados de 28 mil chaves Pix da Pefisa

O Banco Central (BC) anunciou na última sexta-feira, 20 de setembro, que 28.203 chaves Pix vinculadas a clientes da Pefisa S.A. tiveram seus dados expostos. Este incidente marca o terceiro caso reportado em 2026 e o 23º desde a implementação do sistema instantâneo de pagamentos, em novembro de 2020. A autarquia financeira agiu prontamente para informar o público, reforçando o compromisso com a transparência em um cenário de crescente digitalização das operações financeiras no Brasil.

A exposição, que ocorreu entre 30 de agosto de 2025 e 27 de fevereiro de 2026, abrangeu informações cadastrais sensíveis. Segundo o comunicado do BC, os dados expostos incluíam nome do usuário, CPF, instituição de relacionamento, número da agência, número e tipo da conta, data de abertura da conta e data de criação e posse da chave Pix. Esses elementos são fundamentais para a identificação dos usuários e sua relação com as instituições financeiras.

É crucial ressaltar que a natureza dos dados expostos é cadastral. O Banco Central assegurou que informações financeiras críticas, como saldos bancários, senhas de acesso e extratos, não foram comprometidas, pois são protegidas por sigilo bancário. Isso significa que a movimentação de dinheiro nas contas dos clientes não foi afetada diretamente por este incidente, mitigando o risco imediato de perdas financeiras para os usuários envolvidos.

A causa da exposição foi atribuída a falhas pontuais nos sistemas da Pefisa S.A., a instituição de pagamento envolvida. Embora o impacto potencial para os clientes tenha sido classificado como baixo, o BC optou por comunicar o ocorrido publicamente. Essa decisão demonstra a prioridade dada à confiança e à clareza nas informações, pilares para a manutenção da credibilidade do sistema Pix e do mercado financeiro.

Os clientes afetados serão notificados exclusivamente por meio do aplicativo oficial da Pefisa ou de seu internet banking. O Banco Central fez um alerta importante: qualquer comunicação sobre o incidente recebida por outros canais – como chamadas telefônicas, SMS, mensagens por aplicativos ou e-mail – deve ser desconsiderada, pois se trata de uma tentativa de fraude. A vigilância dos usuários é um fator determinante para a segurança digital.

Dados expostos

A exposição de dados, conforme explicou o Banco Central, não implica necessariamente um vazamento massivo em que todas as informações foram disseminadas. Significa que os dados ficaram visíveis e potencialmente acessíveis a terceiros por um determinado período, podendo ter sido capturados. A investigação em curso visa determinar a extensão exata do incidente e as responsabilidades da instituição.

O Banco Central informou que uma investigação será instaurada para apurar as falhas da Pefisa. Dependendo da gravidade do caso e das conclusões da apuração, sanções poderão ser aplicadas à instituição. A legislação vigente prevê diversas penalidades, que incluem multas financeiras, suspensão da participação no sistema Pix ou, em cenários mais extremos, até mesmo a exclusão do sistema de pagamentos instantâneos. [link externo para normativas do BC sobre Pix e segurança]

Este incidente reforça a relevância da Lei Geral de Proteção de Dados (LGPD), que exige que as instituições financeiras adotem medidas rigorosas para proteger os dados pessoais de seus clientes. A autoridade monetária, em conformidade com a LGPD, mantém uma página pública onde os cidadãos podem acompanhar incidentes relacionados às chaves Pix e demais dados pessoais sob custódia do BC. [link externo para página do BC sobre LGPD e incidentes]

A Pefisa S.A. (Crédito, Financiamento e Investimento), que tem cerca de 5 milhões de clientes ativos, é o braço financeiro e fintech do Grupo Pernambucanas. A empresa é responsável por gerenciar a conta digital, cartões Elo (Mais/Grafite), empréstimos, seguros e as chaves Pix dos clientes da loja, concentrando-se em soluções de varejo tanto físicas quanto digitais. Sua abrangência no mercado financeiro de varejo sublinha a importância da segurança de seus sistemas.

A recorrência de incidentes, mesmo que de baixa gravidade, alerta para a necessidade de um aprimoramento contínuo nos protocolos de segurança digital. A interconexão dos sistemas financeiros digitais exige uma vigilância constante por parte das instituições e uma cultura de segurança robusta, visando proteger a integridade dos dados dos consumidores e a confiança no ecossistema de pagamentos.

Medidas e segurança

Desde o lançamento do Pix, todos os 23 incidentes registrados até o momento envolveram a exposição de informações cadastrais, sem comprometer senhas ou saldos bancários. Esse padrão, embora menos grave que um vazamento de dados transacionais, ainda assim impõe riscos à privacidade dos usuários, tornando-os potenciais alvos de engenharia social e outras fraudes.

A segurança no ambiente digital é uma responsabilidade compartilhada. Enquanto as instituições financeiras, sob a supervisão do Banco Central, implementam e aprimoram suas defesas contra ataques e falhas internas, os usuários também devem adotar práticas seguras. A utilização de senhas robustas, a ativação da autenticação de dois fatores e a verificação constante das informações em canais oficiais são medidas preventivas essenciais.

A rápida evolução tecnológica do Pix, que transformou os pagamentos no Brasil, trouxe consigo a necessidade de uma adaptação constante das estratégias de segurança. Reguladores e empresas de tecnologia financeira estão em um esforço contínuo para antecipar ameaças e desenvolver soluções que garantam a fluidez e a segurança das transações, protegendo milhões de usuários diariamente. [link interno para notícias sobre segurança Pix]

A capacidade do Banco Central de detectar e comunicar proativamente essas exposições, mesmo as de baixo impacto, serve como um indicativo de seu papel na manutenção da estabilidade e confiança do sistema financeiro. Essa postura transparente permite que os usuários estejam informados e possam tomar as precauções necessárias, minimizando riscos decorrentes de tais incidentes.

Para os clientes da Pefisa S.A. e para todos os usuários do Pix, a mensagem é clara: manter-se informado através dos canais oficiais e desconfiar de qualquer contato não solicitado que mencione o incidente. A proatividade em proteger os dados pessoais e as informações bancárias é a melhor defesa contra fraudes e abusos em um cenário digital cada vez mais complexo. [link interno para artigo sobre prevenção de fraudes]

Cenário futuro

A investigação sobre o incidente da Pefisa S.A. servirá como um aprendizado para todo o ecossistema financeiro. As lições aprendidas a partir dessa análise podem levar a ajustes nos requisitos de segurança e nas políticas de supervisão do Banco Central, garantindo que as instituições financeiras reforcem suas infraestruturas e procedimentos para prevenir futuras exposições de dados.

O futuro dos pagamentos digitais no Brasil, liderado pelo Pix, depende de um equilíbrio delicado entre inovação, conveniência e segurança. A constante melhoria das defesas cibernéticas e a educação dos usuários são componentes interdependentes dessa equação. A colaboração entre reguladores, instituições financeiras e o público é essencial para construir um ambiente digital financeiro resiliente e confiável.

Este incidente, apesar de não ter comprometido a movimentação de dinheiro, reafirma a necessidade de uma vigilância contínua por parte de todas as partes envolvidas. O Banco Central reitera seu compromisso em salvaguardar a segurança do sistema Pix, um ativo valioso para a economia brasileira, e continuará a atuar para garantir que a confiança dos usuários seja preservada frente aos desafios da segurança digital. Os usuários são encorajados a consultar o site oficial do BC para atualizações e orientações.

<b>Leia também:</b> Confira as últimas notícias sobre a segurança de dados e o futuro dos pagamentos digitais no Brasil.