Banco Central: Novo vazamento de chaves Pix reacende debate sobre proteção de dados pessoais

O Banco Central comunicou um novo incidente de segurança envolvendo dados vinculados a chaves Pix, desta vez sob responsabilidade da Credifit Sociedade de Crédito Direto S.A.

O caso atingiu dados cadastrais relacionados a 46 chaves Pix e teria ocorrido em razão de falhas pontuais nos sistemas da instituição. Segundo registros públicos e a cobertura da imprensa especializada, o episódio foi comunicado em 12 de maio de 2026 e é tratado como o quarto vazamento de dados ligados ao Pix divulgado pelo Banco Central neste ano.

Embora o impacto informado seja considerado baixo, o episódio merece atenção sob a ótica da privacidade. O Banco Central informou que não houve exposição de senhas, saldos, movimentações financeiras ou informações protegidas por sigilo bancário.

Ainda assim, dados cadastrais associados a chaves Pix continuam sendo dados pessoais e, quando expostos, podem ampliar riscos de fraude, abordagens indevidas e tentativas de engenharia social.

De acordo com informações divulgadas sobre o caso, os dados potencialmente expostos incluem informações de natureza cadastral, como nome, CPF, instituição de relacionamento, agência, conta e datas de criação ou atualização das chaves Pix. Esses elementos, isoladamente, não permitem movimentação de recursos nem acesso direto às contas, mas podem ser usados para tornar golpes mais convincentes, principalmente quando combinados com outras bases de dados já disponíveis de forma ilícita.

O ponto central para titulares e empresas é que privacidade de dados não se limita à proteção de senhas ou informações financeiras sensíveis. Dados aparentemente simples, quando contextualizados, podem revelar vínculos bancários, hábitos de uso de serviços financeiros e meios de contato indiretos com o titular. Em um ambiente de golpes cada vez mais personalizados, qualquer exposição deve ser tratada com seriedade proporcional ao risco.

A ANPD orienta que incidentes de segurança envolvendo dados pessoais sejam avaliados conforme critérios como natureza dos dados, quantidade de titulares afetados, contexto do tratamento, possíveis danos materiais, morais ou reputacionais e medidas de mitigação adotadas pelo controlador.

A autoridade também reforça que incidentes capazes de gerar risco ou dano relevante devem ser comunicados à ANPD e aos titulares, em regra, no prazo de três dias úteis.

Para os usuários afetados, a principal recomendação é desconfiar de qualquer contato que use o incidente como pretexto para solicitar senhas, códigos de autenticação, confirmação de dados ou instalação de aplicativos. Informações divulgadas sobre o caso indicam que a comunicação aos clientes deve ocorrer pelos canais oficiais da instituição, como aplicativo ou internet banking, e não por telefone, SMS, e-mail ou aplicativos de mensagens.

Para instituições financeiras e fintechs, o episódio reforça a necessidade de governança contínua sobre dados pessoais. Isso inclui inventário de dados, controle de acessos, segregação de ambientes, monitoramento de logs, testes de segurança, plano de resposta a incidentes e comunicação clara aos titulares. A transparência, quando acompanhada de medidas concretas de contenção e prevenção, é parte essencial da confiança digital.

O caso da Credifit pode envolver apenas 46 chaves Pix, mas seu valor como alerta é maior que o número de titulares atingidos.

Em proteção de dados, a gravidade não depende apenas da escala. Depende também do tipo de informação exposta, do contexto em que ela circula e da capacidade de agentes maliciosos transformarem dados cadastrais em instrumentos de fraude.