Os vazamentos de chaves Pix estão entre as principais ocorrências de segurança que impactaram a internet no Brasil em 2024. É o que apontou o mais recente relatório anual elaborado pela Apura, empresa brasileira especializada em segurança cibernética.
No ano passado, foi registrado um recorde de 12 ocorrências relatadas pelo Banco Central (BC) de vazamentos de chaves, essas vinculadas a 12 instituições financeiras diferentes. Ao todo, esses casos envolveram mais de 260 mil chaves Pix.
Em todos os comunicados, a autoridade monetária e as instituições envolvidas afirmaram que não foram expostos dados sensíveis. No entanto, os dados pessoais e financeiros vazados de chaves Pix podem ser utilizados por atores maliciosos para golpes de phishing — captura de informações confidenciais, e de engenharia social mais elaborados.
Segundo o analista Anchises Moraes, líder de Threat Intelligence da Apura, por mais que não tenham sido expostos dados como senhas, informações de movimentações ou saldos financeiros, os dados cadastrais também são perigosos nas mãos de golpistas.
"Os criminosos usam os dados pessoais das vítimas para entrar em contato se fazendo passar pela instituição financeira, com objetivo de obter, por exemplo, as credenciais de acesso para as contas bancárias das vítimas, ou para convencê-las a instalar um vírus em seus celulares", afirmou.
Moraes alertou que o mais preocupante nestes casos é "a quantidade de empresas do setor financeiro que, 'por falhas pontuais em sistema', deram vazão a essas informações". "O fato de usarem praticamente a mesma justificativa demonstra a intenção de minimizar o problema e tirar o foco da responsabilidade da instituição envolvida", avalia.
Siga o canal do Correio no WhatsApp e receba as principais notícias do dia no seu celular
O primeiro vazamento de dados de 2025, comunicado pelo BC, foi registrado há duas semanas, um incidente de segurança com dados pessoais vinculados a 25.349 chaves Pix sob guarda e responsabilidade da QI Sociedade de Crédito Direto S.A. A autoridade monetária também atribuiu o ocorrido a "falhas pontuais em sistemas dessa instituição".
Papel do BC
"As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras", disse o BC em nota. "Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação", reforçou a autarquia.
O analista considera, ainda, como primordial o papel do Banco Central no combate à exposição de dados, por mais que eles não sejam considerados dados sensíveis. "É uma atuação essencial. Cabe ao BC fiscalizar, dar publicidade aos casos e adotar medidas contra as instituições envolvidas nesses vazamentos, quando necessário", defendeu.
De acordo com o especialista em direito digital e proteção de dados Alexander Coelho, sócio do Godke Advogados, o grande problema nesta situação não é o Pix em si, mas a fragilidade de algumas instituições que fazem parte desse ecossistema. "Bancos e fintechs que tratam dados financeiros têm de levar segurança cibernética a sério. Não basta só cumprir a LGPD (Lei Geral de Proteção de Dados Pessoais) no papel, é preciso implementar medidas robustas", observou.
Coelho também alerta que o vazamento de dados cadastrais podem ser usados para falsificação de documentos, abertura de cadastros e contas bancárias em nome das vítimas, além de viabilizarem a prática de phishing e outros golpes de engenharia social nos quais os dados vazados são usados para criar golpes mais convincentes e personalizados às vítimas.
Siape
Na segunda posição entre os vazamentos de dados cibernéticos mais impactantes no Brasil em 2024, conforme o levantamento da Apura, ficaram aqueles do Sistema Integrado de Administração de Pessoal (Siape) do Governo Federal. De acordo com a empresa de segurança cibernética, atores maliciosos roubaram dados sensíveis do Siape para uso em fraudes e crimes. Foram dois grandes casos no ano, indica o relatório.
"O primeiro caso aconteceu em fevereiro de 2024 e envolveu um ator malicioso anunciando em um dos mais famosos fóruns underground em atividade um arquivo com mais de um milhão de linhas, supostamente originário do Siape", descreve o levantamento.
O outro caso ocorreu recentemente: "Em dezembro, o grupo de ransomware [software nocivo usado para extorsão] Bashe (também conhecido como APT73) listou o Siape no site que eles mantêm na deep web para expor as vítimas na tentativa de estimular o pagamento dos valores de resgate", detalha o estudo da Apura.
"Não raro, os dados vazados passam a integrar bancos de dados de informações pessoais que são comercializados na chamada dark web, ou seja, uma parte obscura da internet onde não existe regulação nem indexação por mecanismos de busca comuns, portanto, um ambiente propício à disseminação de crimes e atos ilegais", explicou o especialista em direito digital Rafael Federici, sócio do CNF Advogados.
Entre as medidas imediatas para proteção, estão a criptografia forte e autenticação multifator para o acesso aos sistemas internos. "Muitos vazamentos acontecem por falhas básicas de segurança. Um banco que só avisa sobre um vazamento dias depois já está falhando na proteção ao cliente", disse Coelho, reforçando que, se as instituições falharem nesses pontos, podem ser responsabilizadas com multas milionárias e até danos morais coletivos caso os clientes sofram prejuízos.
Para minimizar o risco de vazamento de dados, o especialista aconselha, ainda, que o usuário deve escolher de forma mais criteriosa o banco, instituição de pagamento ou fintech na qual manterá o seu relacionamento para pagamentos via Pix. "Normalmente os grandes bancos e instituições possuem mais recursos e meios para realizar esse investimento em segurança", completou Federici.
Novas normas
Em um movimento para fortalecer a segurança do Pix, o Banco Central anunciou neste mês uma série de ajustes nas regras do sistema de pagamentos instantâneos. A mudança determina que chaves de pessoas físicas e de empresas cuja situação não esteja regular na Receita Federal sejam excluídas.
De acordo com a autoridade monetária, cerca de 8 milhões de chaves com situação irregular poderão ser extintas. A inconformidade que restringirá o uso do Pix não tem relação com o pagamento de tributos. A exclusão contempla chaves vinculadas a CPFs com status suspenso, cancelado ou nulo, e CNPJs com situação cadastral suspensa, inapta, baixada ou nula.
Para Alex Tabor, CEO da Tuna Pagamentos, as mudanças são um passo importante para combater golpes cada vez mais sofisticados. "Imagine um cenário em que um fraudador invade o WhatsApp de um familiar seu e pede um pagamento via Pix. Se o nome que aparecer na transação for idêntico ao do seu parente, a chance de você cair no golpe é muito maior", explicou
Outra mudança que pode impactar diretamente os usuários é a proibição de alterações em informações vinculadas a chaves aleatórias. Agora, se uma pessoa ou empresa quiser atualizar dados associados a uma chave desse tipo, será necessário excluí-la e criar uma nova. "Essa medida pode parecer burocrática, mas é essencial para evitar que fraudadores explorem brechas no sistema", comentou o Tabor.
Saiba Mais
-
![]()
Economia
Banco do Brasil liberou mais de R$ 600 mi em empréstimos do consignado privado
-
![]()
Economia
Lula aposta em triplicar balança comercial com Vietnã: 'Potencial para US$ 20 bi'
-
![]()
Economia
BID investe para fortalecer o comércio na América do Sul
-
![]()
Economia
Novo salário de militares sai a partir de abril; veja os números
-
![]()
Economia
BRB adquire 58% do capital total do Banco Master
-
![]()
Economia
Soldos das Forças Armadas vão aumentar 9%, em duas etapas
Economia
Economia
Economia
Economia
Economia
Economia
Rafaela Gonçalves
RepórterJornalista formada pela Universidade Católica de Brasília (UCB). Atua na cobertura econômica e política desde 2019. Tem passagens pelo portal Brasil 61 e Coluna Esplanada.