Finaite

Finaite

BC confirma maior vazamento da história do Pix

BC confirma maior vazamento da história do Pix

24/07/2025

O Banco Central (BC) divulgou nesta terça-feira (23) que identificou o maior vazamento de dados da história do Pix, o sistema de pagamentos instantâneos do Brasil. De acordo com a nota oficial, cerca de 11 milhões de chaves Pix foram expostas indevidamente, afetando diretamente clientes da empresa Iugu Instituição de Pagamento S.A., que atua como prestadora de serviços financeiros.

Este vazamento representa um marco alarmante no sistema financeiro nacional, embora, segundo o próprio BC, nenhuma movimentação financeira ou senha tenha sido comprometida. Ainda assim, especialistas alertam para riscos de golpes, fraudes e tentativas de engenharia social com base nas informações vazadas.

Neste artigo, você entenderá:

  • O que foi vazado e quem foi afetado

  • Como o Banco Central identificou o incidente

  • O que isso significa para a segurança do sistema Pix

  • O que fazer caso seus dados estejam entre os vazados

  • Dicas práticas para proteger sua conta e sua identidade digital

O que foi vazado exatamente?

Segundo o Banco Central, os dados vazados se referem apenas às informações cadastrais das chaves Pix, tais como:

  • Nome do usuário

  • CPF (ou CNPJ)

  • Instituição de relacionamento

  • Número da agência e da conta

  • Tipo de conta

  • Data de criação da chave Pix

Não houve, de acordo com o órgão regulador, exposição de senhas, valores transacionados, saldos ou informações sensíveis que permitam movimentações financeiras.

No entanto, essas informações são suficientes para alimentar golpes de engenharia social, especialmente se combinadas com outros dados já disponíveis na internet.

Como o Banco Central identificou o vazamento?

O vazamento foi identificado pelo monitoramento constante do Sistema de Pagamentos Instantâneos (SPI), do qual a Iugu fazia parte. O Banco Central afirma que possui protocolos de segurança cibernética avançados, que permitem detectar qualquer comportamento fora do padrão nas integrações com as instituições participantes.

Ao perceber a anomalia nos acessos relacionados à Iugu, o BC iniciou uma investigação que confirmou a exposição indevida de dados. Em seguida, a empresa foi notificada, e os usuários afetados começaram a ser informados diretamente via aplicativo de seus bancos ou instituições de pagamento.

Quantas pessoas foram afetadas?

O Banco Central confirmou que 11.082.249 chaves Pix foram expostas indevidamente. A maioria corresponde a pessoas físicas, mas há também milhares de empresas entre os atingidos.

A Iugu, fintech fundada em 2011 e especializada em meios de pagamento, informou que já está colaborando com o Banco Central e com a investigação interna, além de ter reforçado seus protocolos de segurança.

O que diz o Banco Central?

Em comunicado oficial, o BC afirma:

“O vazamento decorreu de falhas pontuais em sistemas da instituição participante. A exposição de dados não envolve senhas, nem permite acesso direto a contas. Medidas já foram tomadas para mitigar riscos.”

O órgão também reforça que o Pix continua sendo seguro, e que a infraestrutura central do sistema não foi comprometida. O incidente, segundo o BC, se restringiu ao ambiente tecnológico da instituição participante (Iugu).

A segurança do Pix está em risco?

Não. De acordo com o Banco Central, a arquitetura do sistema Pix permanece segura. O problema não ocorreu na infraestrutura do próprio BC, mas sim em uma instituição conectada ao sistema, o que evidencia um ponto crítico: a segurança do Pix depende não só do Banco Central, mas também da solidez das instituições participantes.

Esse vazamento, embora não envolva movimentações financeiras, é um sinal de alerta importante. Ele revela fragilidades em empresas terceiras que atuam como intermediárias entre clientes e o sistema financeiro — especialmente fintechs, que nem sempre possuem os mesmos recursos de segurança cibernética que os grandes bancos.

Quais são os riscos para os usuários?

Apesar de não ter havido vazamento de senhas ou senhas de transação, os dados cadastrais vazados podem ser usados em diversos tipos de golpe, como:

1. Phishing direcionado (spear phishing)

Criminosos podem utilizar nome completo, banco e tipo de conta para enviar e-mails, mensagens ou ligações falsas que parecem legítimas, solicitando senhas, códigos ou autorizações.

2. Falsos atendentes bancários

Com acesso a parte dos dados, golpistas conseguem se passar por funcionários do banco, induzindo o cliente a passar dados sensíveis.

3. Abertura de contas fraudulentas

Com CPF, nome completo e dados bancários, criminosos podem tentar abrir contas falsas em outras instituições.

4. Venda de dados em fóruns da dark web

Informações como CPF, nome completo e dados bancários são valiosas no mercado negro de dados e podem ser revendidas para alimentar outros crimes.

Como saber se meus dados foram vazados?

O Banco Central informou que todas as pessoas que tiveram suas chaves expostas serão notificadas exclusivamente pelos canais oficiais de seus bancos ou instituições de pagamento.

Ou seja, não clique em links recebidos por e-mail, SMS ou WhatsApp que aleguem verificar se sua chave foi vazada. Essa pode ser uma tentativa de golpe aproveitando o incidente.

Os bancos afetados já estão enviando alertas dentro do aplicativo, geralmente na área de mensagens ou notificações.

O que fazer se seus dados foram vazados?

Se você foi notificado de que suas informações Pix foram expostas, siga estas recomendações:

Não compartilhe códigos por telefone ou mensagem

Nenhuma instituição bancária solicita senhas, tokens ou códigos por canais externos.

Ative a autenticação em dois fatores (2FA)

Fortaleça a segurança de suas contas bancárias e e-mails com o 2FA, para dificultar acessos indevidos.

Fique atento a ligações ou mensagens suspeitas

Se alguém disser ser do banco e citar seus dados, desconfie, mesmo que a abordagem pareça legítima.

Consulte o Registrato do Banco Central

Acesse o site do BC e veja todas as contas abertas em seu nome. Isso pode evitar golpes de abertura de contas falsas.

Acompanhe com frequência seus extratos bancários

Verifique se há movimentações não autorizadas e, ao menor sinal de irregularidade, entre em contato com sua instituição financeira.

A Iugu pode ser punida?

Sim. O Banco Central já informou que irá aplicar sanções administrativas à Iugu, conforme a legislação vigente. Essas sanções podem incluir:

  • Multas

  • Suspensão temporária de operações

  • Obrigação de reforçar sistemas de segurança

  • Reclassificação no ranking de segurança institucional

Além disso, a fintech pode enfrentar ações civis públicas e processos coletivos movidos por clientes ou órgãos de defesa do consumidor.

A reputação do Pix está ameaçada?

Mesmo sendo o maior incidente de vazamento de dados desde a criação do Pix, especialistas afirmam que o sistema ainda é mais seguro e moderno que as transferências tradicionais como DOC e TED.

A reputação do Pix pode ser abalada momentaneamente, mas a transparência do Banco Central e a rapidez na identificação do vazamento são pontos positivos que fortalecem a credibilidade da autoridade monetária.

O BC já havia enfrentado outros vazamentos menores anteriormente, mas este é o primeiro com impacto em mais de 10 milhões de registros.

Histórico de vazamentos do Pix

Este não é o primeiro incidente de segurança envolvendo o Pix. Veja outros casos anteriores:

Data Instituição envolvida Volume de dados vazados
Ago/2022 Acesso Soluções de Pagamento 160 mil chaves
Jan/2023 LogBank 2 mil chaves
Out/2023 Banco do Brasil Pagamentos 1,4 mil chaves
Jul/2025 Iugu 11 milhões de chaves

 

O crescimento do sistema e o aumento no número de participantes elevam a complexidade e os riscos de segurança — o que exige fiscalização constante e investimento contínuo em tecnologia.

O que o consumidor pode exigir?

Diante de um vazamento desta magnitude, consumidores têm o direito de exigir explicações, compensações e medidas preventivas. O Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados (LGPD) garantem:

  • Direito à transparência sobre os dados vazados

  • Direito de solicitar exclusão ou correção de dados

  • Possibilidade de indenização em caso de dano moral ou material

  • Ação coletiva por meio de associações ou Procon

Alerta para um sistema que precisa evoluir

O vazamento de 11 milhões de chaves Pix é, sem dúvida, um marco negativo na história do sistema de pagamentos mais popular do Brasil. Apesar da infraestrutura central seguir segura, o episódio deixa claro que a segurança do Pix depende também da responsabilidade das empresas participantes.

Para o usuário, o episódio serve como um sinal de alerta sobre os riscos da vida digital. Mesmo sem perda financeira direta, os dados vazados podem ser usados em golpes sutis, que muitas vezes atingem justamente os mais desatentos.

Fique atento! Verifique seu app bancário e proteja seus dados. Para mais informações atualizadas sobre segurança digital e economia, acompanhe nossos próximos conteúdos!

>

Este site utiliza cookies para garantir a melhor experiência. Ao continuar, você concorda com o uso de cookies.

Política de Privacidade