O Banco Central (BC) confirmou nesta sexta-feira (13) a ocorrência do primeiro incidente de segurança relacionado às chaves Pix em 2026. O evento, que marca o 21º vazamento de dados desde a implementação do sistema de pagamentos instantâneos em novembro de 2020, afetou 5.290 chaves Pix vinculadas ao Banco Agibank SA.
Conforme detalhado pelo BC, a exposição de dados cadastrais ocorreu entre 26 de dezembro de 2024 e 30 de janeiro de 2025. As informações comprometidas incluem o nome completo do usuário, o Cadastro de Pessoa Física (CPF) com máscara de proteção, a instituição bancária de relacionamento, além dos dados de agência, número e tipo de conta.
O incidente foi atribuído a falhas pontuais nos sistemas internos do Agibank. É importante ressaltar que o vazamento se restringe a dados de cadastro e não compromete a segurança das transações financeiras, como saldos, senhas ou extratos bancários, que permanecem protegidos pelo sigilo bancário.
Apesar de o incidente não exigir comunicação oficial devido ao seu baixo potencial de impacto direto aos clientes, o Banco Central optou pela divulgação pública em sinal de seu compromisso com a transparência em relação à segurança do sistema Pix.
Os clientes cujos dados foram expostos serão notificados diretamente pelo Agibank, exclusivamente por meio do aplicativo da instituição ou do internet banking. O BC alerta a população para desconsiderar quaisquer outras formas de comunicação, como ligações telefônicas, SMS, mensagens em aplicativos de terceiros ou e-mails, que não serão utilizados para este fim.
A exposição de dados significa que as informações ficaram acessíveis a terceiros por um período, com a possibilidade de terem sido capturadas, embora não implique necessariamente que todos os dados tenham sido vazados ou utilizados indevidamente. O Banco Central já iniciou uma investigação para apurar as causas do ocorrido e poderá aplicar sanções ao banco, que variam desde multas até a exclusão do sistema Pix, dependendo da gravidade da falha.
Até o momento, todos os 21 incidentes registrados com chaves Pix envolveram a exposição de informações cadastrais, sem que dados sensíveis como senhas ou saldos bancários fossem comprometidos. Para manter a população informada, o BC disponibiliza uma página dedicada onde os cidadãos podem consultar o histórico de incidentes relacionados ao Pix e a outros dados pessoais sob sua custódia, em conformidade com a Lei Geral de Proteção de Dados (LGPD).
A reportagem buscou contato com o Agibank para obter um posicionamento oficial e aguarda retorno.
