Banco Central divulga exposição de 28 mil chaves Pix e detalha falhas na Pefisa

3 semanas ago

O Banco Central (BC) confirmou a exposição de 28.203 chaves Pix pertencentes a clientes da Pefisa S.A., fintech que atua como braço financeiro do grupo varejista Pernambucanas. O incidente ocorreu entre 30 de agosto de 2025 e 27 de fevereiro de 2026, configurando o terceiro caso de vulnerabilidade envolvendo o sistema de pagamentos instantâneos em 2026 e o 23º desde a estreia do Pix, em novembro de 2020.

Índice

Detalhamento dos dados expostos nas chaves Pix
Como o BC monitora incidentes envolvendo chaves Pix
Notificação aos clientes e cuidados com tentativas de fraude
Possíveis sanções para falhas em segurança de chaves Pix
Perfil da Pefisa e relevância das chaves Pix em seu portfólio
Histórico de incidentes com o Pix desde 2020
Por que dados cadastrais das chaves Pix atraem cibercriminosos
Procedimentos para acompanhar incidentes futuros
Próximos passos da investigação

Detalhamento dos dados expostos nas chaves Pix

De acordo com o BC, a falha nos sistemas da Pefisa permitiu acesso indevido a informações estritamente cadastrais, sem comprometer saldos, senhas ou extratos bancários. Os dados que ficaram visíveis para terceiros incluem:

Anúncio

• Nome completo do usuário;
• Cadastro de Pessoa Física (CPF);
• Instituição de relacionamento;
• Número da agência;
• Número e tipo da conta corrente ou poupança;
• Data de abertura da conta;
• Data de criação e de posse da respectiva chave Pix.

Embora essas informações não possibilitem movimentação financeira direta, podem ser utilizadas em tentativas de engenharia social, como golpes de phishing ou ligações fraudulentas que busquem obter dados sensíveis adicionais dos clientes.

Como o BC monitora incidentes envolvendo chaves Pix

O órgão regulador mantém acompanhamento permanente dos ambientes tecnológicos de todas as instituições participantes do sistema de pagamentos instantâneos. Sempre que ocorre um evento de segurança, a instituição responsável deve comunicar a ocorrência ao Banco Central, que avalia:

1. A quantidade de chaves Pix afetadas;
2. O tipo de dado exposto;
3. A duração do incidente;
4. Os potenciais riscos aos usuários.

No caso da Pefisa, o BC destacou que a divulgação à sociedade superou a obrigação regulatória, pois, frente ao baixo impacto potencial, o aviso público não seria estritamente necessário. Ainda assim, a autoridade monetária optou pela publicidade do fato para reforçar seu compromisso com a transparência.

Notificação aos clientes e cuidados com tentativas de fraude

Todos os titulares das chaves Pix que tiveram informações expostas receberão alerta exclusivo pelo aplicativo ou pelo internet banking da fintech. O Banco Central enfatizou que não haverá contato por telefone, SMS, e-mail ou aplicativos de mensagens. Caso clientes recebam abordagens por esses canais solicitando confirmação de dados, a orientação é desconsiderar o pedido e, se necessário, acionar a instituição por meios oficiais.

Possíveis sanções para falhas em segurança de chaves Pix

A Lei Geral de Proteção de Dados (LGPD) e o regulamento do Pix permitem a aplicação de penalidades proporcionais à gravidade do incidente. Entre as medidas previstas estão:

• Multa administrativa;
• Suspensão temporária de participação no Pix;
• Exclusão definitiva do sistema de pagamentos instantâneos.

Para definir a penalidade, o BC conduz investigação interna que apura causas, extensão da exposição e eventual recorrência de falhas. A autarquia não estipulou prazo para conclusão, mas todas as ocorrências são registradas em página pública criada para centralizar comunicados sobre incidentes de segurança.

Perfil da Pefisa e relevância das chaves Pix em seu portfólio

Com cerca de 5 milhões de clientes ativos, a Pefisa S.A. oferece serviços de crédito, financiamento e investimento vinculados às lojas Pernambucanas. Entre seus produtos figuram conta digital, cartões Elo (Mais e Grafite), concessão de empréstimos, seguros e a facilitação de pagamentos via chaves Pix. O modelo de negócios integra soluções para compras presenciais e online, apoiando o ecossistema de varejo do grupo.

O volume de clientes explica a dimensão do episódio: embora 28.203 chaves representem pequena fração da base total, qualquer exposição de dados sensíveis mobiliza autoridades e acende alerta sobre boas práticas de segurança cibernética em fintechs.

Histórico de incidentes com o Pix desde 2020

Desde o lançamento do sistema instantâneo, foram identificados 23 eventos de exposição de dados, todos restritos a elementos cadastrais. Nenhum caso registrou vazamento de senhas ou de saldos bancários. A evolução cronológica demonstra avanços na detecção, pois as instituições passaram a relatar falhas pontuais, permitindo respostas mais rápidas e mitigação de riscos.

Em 2026, o episódio envolvendo a Pefisa tornou-se o terceiro do ano. A reincidência em curto espaço de tempo leva especialistas a reforçar a importância de investimentos constantes em infraestrutura, atualização de sistemas e auditorias regulares, medidas que o Banco Central acompanha por meio de relatórios de conformidade.

Por que dados cadastrais das chaves Pix atraem cibercriminosos

Embora não permitam transações financeiras, informações como nome completo, CPF e detalhes bancários têm valor para fraudadores. Associadas a técnicas de convencimento por telefone ou mensagens, tais dados elevam o grau de credibilidade de abordagens fraudulentas. Golpistas podem, por exemplo, criar narrativas que envolvam “verificação de segurança” ou “regularização de conta”, induzindo a vítima a fornecer senhas ou autorizar transferências.

Nesse contexto, o BC reitera que jamais solicita códigos de acesso, senhas de uso único (OTP) ou confirmações de transação fora do ambiente bancário. A orientação geral permanece: em caso de dúvida, o cliente deve buscar os canais oficiais da instituição.

Procedimentos para acompanhar incidentes futuros

Pela legislação vigente, o Banco Central disponibiliza portal específico onde os cidadãos podem consultar registros de incidentes relacionados ao Pix e a outros dados pessoais sob guarda da autarquia. O acesso simplificado permite filtrar eventos por instituição, data ou tipo de ocorrência, aumentando o controle social sobre a integridade do ecossistema financeiro.

Consumidores que desejem verificar se a própria chave foi afetada devem aguardar a notificação in-app da Pefisa. Caso a comunicação não apareça, é possível contatar o serviço de atendimento ao cliente, munido de documento de identificação, para confirmação formal.

Próximos passos da investigação

Com a apuração em curso, o Banco Central avaliará se a Pefisa adotou medidas corretivas suficientes e se houve falha de governança que coloque em risco outras informações. Concluída a análise técnica, a autoridade monetária decidirá sobre eventuais sanções administrativas, divulgando o resultado em seu portal de incidentes.

Post Relacionados

zairasilva

Olá! Eu sou a Zaira Silva — apaixonada por marketing digital, criação de conteúdo e tudo que envolve compartilhar conhecimento de forma simples e acessível. Gosto de transformar temas complexos em conteúdos claros, úteis e bem organizados. Se você também acredita no poder da informação bem feita, estamos no mesmo caminho. ✨📚 No tempo livre, Zaira gosta de viajar e fotografar paisagens urbanas e naturais, combinando sua curiosidade tecnológica com um olhar artístico. Acompanhe suas publicações para se manter atualizado com insights práticos e interessantes sobre o mundo da tecnologia.

Conteúdo Relacionado