O Banco Central informou, nesta segunda-feira (17), um incidente de segurança que expôs dados cadastrais de 25.349 chaves Pix sob a responsabilidade da QI Sociedade de Crédito Direto S.A., ocorrido entre 23 de fevereiro e 6 de março de 2025. As informações potencialmente comprometidas incluem nome do usuário, CPF com máscara, instituição de relacionamento, agência, número e tipo da conta. No entanto, o BC ressalta que não foram expostos dados sensíveis, como senhas ou informações financeiras.
Ainda que esses últimos dados não tenham sido vazados, outros tipos de informações pessoais devem ser mantidos em sigilo. Isso porque são usualmente utilizados para tentativas de golpe. O vazamento de chaves Pix é um dos principais riscos de segurança digital no Brasil em 2024. De acordo com um relatório da Apura, especializada em cibersegurança, ocorreram 12 incidentes que expuseram dados de mais de 260 mil usuários em 12 instituições financeiras.
De acordo com Alexander Coelho, sócio do Godke Advogados e especialistas em Direito Digital e Proteção de Dados, o grande problema nesta situação não é o Pix em si, mas a fragilidade de algumas instituições que fazem parte desse ecossistema. “Bancos e fintechs que tratam dados financeiros têm de levar segurança cibernética a sério. Não basta só cumprir a LGPD no papel, é preciso implementar medidas robustas”, defende.
No entanto, estes dados cadastrais podem ser usados para falsificação de documentos, abertura de cadastros e contas bancárias em nome das vítimas, além de viabilizarem a prática de phishing e outros golpes de engenharia social nos quais os dados vazados são usados para criar golpes mais convincentes e personalizados às vítimas.
“Não raro os dados vazados passam a integrar bancos de dados de informações pessoais que são comercializados na chamada dark web, ou seja, uma parte obscura da internet onde não existe regulação nem indexação por mecanismos de busca comuns, portanto, um ambiente propício à disseminação de crimes e atos ilegais”, explica Rafael Federici, sócio do CNF Advogados e especialista em Direito Digital.
Entre as medidas imediatas para proteção, estão a criptografia forte e autenticação multifator para o acesso aos sistemas internos, acompanhado de monitoramento em tempo real. “Muitos vazamentos acontecem por falhas básicas de segurança. Um banco que só avisa sobre um vazamento dias depois já está falhando na proteção ao cliente”, diz Coelho, reforçando que, se as instituições falharem nesses pontos, podem ser responsabilizadas com multas milionárias e até danos morais coletivos caso os clientes sofram prejuízos.
Para minimizar o risco de vazamento de dados, o usuário deve escolher de forma mais criteriosa o banco, instituição de pagamento ou fintech na qual manterá o seu relacionamento para pagamentos via PIX, dando preferência a empresas que coloquem a segurança da informação em primeiro plano e invistam de forma consistente em proteções aos dados dos usuários. “Normalmente os grandes bancos e instituições possuem mais recursos e meios para realizar esse investimento em segurança”, completa Federici.
