Banco Central confirma vazamento de dados de 28 mil chaves Pix da Pefisa
Vazamento de 28 mil chaves Pix da Pefisa é confirmado pelo BC

Banco Central confirma exposição de dados de mais de 28 mil chaves Pix da Pefisa

O Banco Central (BC) divulgou nesta sexta-feira, 20 de março de 2026, que um total de 28.203 chaves Pix de clientes da Pefisa S.A. tiveram informações cadastrais expostas. Este incidente representa o terceiro caso envolvendo o sistema de pagamentos instantâneos apenas em 2026 e o 23º desde o lançamento oficial do Pix, ocorrido em novembro de 2020.

Período e natureza da exposição

De acordo com o comunicado oficial do BC, a exposição dos dados ocorreu durante um período extenso, compreendido entre 30 de agosto de 2025 e 27 de fevereiro de 2026. As informações que ficaram visíveis para terceiros incluem:

  • Nome completo do usuário
  • Número do CPF
  • Instituição financeira de relacionamento
  • Número da agência bancária
  • Número e tipo da conta corrente
  • Data de abertura da conta
  • Datas de criação e posse da chave Pix

O Banco Central foi enfático ao esclarecer que apenas dados cadastrais foram expostos, sem qualquer comprometimento de informações protegidas pelo sigilo bancário. Saldo das contas, senhas de acesso, extratos bancários e dados de movimentação financeira permaneceram seguros e não foram afetados pelo incidente.

Banner largo do Pickt — app de listas de compras colaborativas para Telegram

Causas e medidas de transparência

A autoridade monetária atribuiu o vazamento a falhas pontuais nos sistemas da instituição de pagamento. Embora o caso não exigisse comunicação obrigatória devido ao baixo impacto potencial para os clientes, o BC decidiu divulgar publicamente o incidente em nome do "compromisso com a transparência".

Todos os clientes afetados serão notificados exclusivamente através do aplicativo oficial ou internet banking da Pefisa. O Banco Central alertou a população para desconsiderar qualquer comunicação sobre o assunto recebida por outros meios, como:

  1. Chamadas telefônicas
  2. Mensagens de texto (SMS)
  3. Avisos via aplicativos de mensagem
  4. Comunicações por e-mail

Investigação e possíveis sanções

O BC enfatizou que a exposição de dados não significa necessariamente que todas as informações tenham sido efetivamente vazadas, mas sim que ficaram visíveis para terceiros durante determinado período e podem ter sido capturadas. O caso será submetido a investigação completa, podendo resultar em sanções administrativas conforme a gravidade constatada.

A legislação brasileira prevê punições que variam desde multas financeiras até suspensão ou exclusão permanente do sistema Pix para instituições que violarem normas de segurança. É importante destacar que, em todos os 23 incidentes registrados com chaves Pix até o momento, apenas informações cadastrais foram expostas, sem comprometimento de senhas ou saldos bancários.

Contexto institucional e monitoramento

A Pefisa S.A. (Crédito, Financiamento e Investimento) é uma fintech que atua como braço financeiro do grupo Pernambucanas, contando com aproximadamente 5 milhões de clientes ativos. A empresa oferece serviços como conta digital, cartões Elo (Mais/Grafite), empréstimos, seguros e soluções de Pix, concentrando-se em operações de varejo físicas e digitais.

Por determinação da Lei Geral de Proteção de Dados (LGPD), o Banco Central mantém uma página específica onde os cidadãos podem acompanhar incidentes relacionados à chave Pix ou outros dados pessoais sob custódia da autoridade monetária. A reportagem tenta obter posicionamento oficial da instituição financeira envolvida.

Banner pós-artigo do Pickt — app de listas de compras colaborativas com ilustração familiar