Falhas de segurança já expuseram 47 milhões de chaves Pix; veja os riscos

Leia mais:

Imposto de Renda 2026 já tem prazo para começar; veja quem deve declarar

Entre os incidentes registrados, o maior ocorreu em 2025, quando um problema envolvendo o Conselho Nacional de Justiça (CNJ) resultou na exposição de dados associados a aproximadamente 46 milhões de chaves Pix, vinculadas a cerca de 11 milhões de pessoas.

Apesar da dimensão dos casos, o Banco Central afirma que o sistema de pagamentos instantâneos continua seguro, pois os incidentes não permitiram movimentação de dinheiro nem acesso a informações protegidas por sigilo bancário.

O que são as chaves Pix

As chaves Pix funcionam como identificadores que permitem realizar transferências instantâneas entre contas bancárias.

Em vez de informar agência, conta e outros dados bancários, o usuário pode utilizar um identificador simples, como:

• CPF ou CNPJ
• número de telefone
• e-mail
• chave aleatória gerada pelo sistema

Essas chaves ficam registradas em uma base centralizada administrada pelo Banco Central, conhecida como Diretório de Identificadores de Contas Transacionais (DICT).

É justamente nesse banco de dados que ocorreram os incidentes registrados ao longo dos últimos anos.

O que são consultas irregulares ao sistema do Pix

Grande parte dos incidentes envolvendo chaves Pix ocorre devido a consultas indevidas ao DICT, sistema responsável por relacionar cada chave à conta bancária do usuário.

Essas consultas deveriam ocorrer apenas quando existe uma transação Pix legítima, mas em alguns casos instituições acabam acessando o sistema de forma irregular.

Como funcionam essas consultas indevidas

As consultas irregulares geralmente acontecem quando:

• instituições realizam buscas no DICT sem que haja uma transferência Pix associada
• sistemas automatizados fazem consultas em grande volume
• há falhas de controle interno nas instituições participantes

Quando isso ocorre, é possível visualizar alguns dados cadastrais vinculados às chaves.

Entre eles:

• nome do titular
• instituição financeira
• número da agência
• número da conta parcialmente mascarado

Segundo o Banco Central, essas informações não permitem acessar contas nem realizar transferências.

Mesmo assim, os casos são classificados como incidentes de segurança e precisam ser divulgados publicamente.

Quais dados foram expostos nos incidentes

De acordo com o Banco Central, os episódios registrados ao longo dos últimos anos envolveram apenas dados cadastrais básicos associados às chaves Pix.

Entre as informações que podem ter sido expostas estão:

• nome do usuário
• instituição financeira vinculada à chave
• número da agência
• parte do número da conta bancária

Esses dados aparecem parcialmente mascarados, o que limita o risco de uso indevido.

O que não foi exposto

O BC enfatiza que dados protegidos por sigilo bancário não foram comprometidos.

Isso significa que as seguintes informações permanecem seguras:

• senhas bancárias
• saldos de contas
• extratos
• histórico de transações
• limites de crédito

Além disso, os dados expostos não permitem realizar transferências ou movimentar dinheiro.

Principais incidentes envolvendo chaves Pix

Desde o lançamento do Pix, o Banco Central divulgou diversos episódios envolvendo exposição de dados associados às chaves.

Embora muitos tenham sido pontuais e de menor escala, alguns casos chamaram atenção pelo volume de registros.

Incidentes registrados em 2021

Nos primeiros anos do Pix, dois casos foram divulgados envolvendo instituições participantes:

• Banco do Estado de Sergipe: cerca de 414 mil chaves expostas
• Acesso Soluções de Pagamento: aproximadamente 160 mil chaves expostas

Esses episódios ocorreram devido a falhas operacionais nas instituições.

Incidente registrado em 2022

Outro caso ocorreu envolvendo a empresa:

• Abastece Ai Clube Automobilista Payment: cerca de 137 mil chaves expostas

Assim como nos episódios anteriores, o problema esteve relacionado a consultas irregulares ao DICT.

Incidente registrado em 2024

Em 2024, o Banco Central também comunicou um episódio envolvendo a empresa:

• 99Pay Instituição de Pagamento: cerca de 39 mil chaves expostas

Embora o volume tenha sido menor, o caso reforçou a necessidade de aprimorar controles de segurança nas instituições participantes.

Maior incidente ocorreu em 2025

O maior episódio envolvendo chaves Pix aconteceu em 2025, quando um incidente envolvendo o Conselho Nacional de Justiça (CNJ) resultou na exposição de 46 milhões de chaves Pix.

Esse evento sozinho representa a maior parte dos registros acumulados desde a criação do sistema.

Caso mais recente envolveu instituição financeira

O episódio mais recente divulgado pelo Banco Central envolveu o Agibank, que registrou exposição de pouco mais de 5 mil chaves Pix.

Embora o volume seja considerado pequeno em comparação a outros casos, o incidente reforça a política de transparência adotada pelo regulador.

Por que o Banco Central divulga esses casos

O Banco Central adotou desde a criação do Pix uma política de transparência em relação a incidentes de segurança.

Sempre que ocorre exposição indevida de dados vinculados às chaves Pix, o órgão comunica o caso publicamente.

O objetivo é:

• informar os usuários
• reforçar práticas de segurança
• exigir correções das instituições envolvidas
• aumentar a confiança no sistema financeiro

Essa transparência é considerada importante para manter a credibilidade do Pix, que hoje é o meio de pagamento mais utilizado no Brasil.

Pix se tornou o principal meio de pagamento do país

Desde seu lançamento, o Pix passou por crescimento acelerado e se consolidou como uma das principais ferramentas de pagamento do Brasil.

Segundo o próprio Banco Central, o sistema já ultrapassa centenas de milhões de transações por dia, sendo utilizado por:

• pessoas físicas
• empresas
• órgãos públicos

O Pix também se tornou fundamental para serviços como:

• pagamento de contas
• transferências entre pessoas
• compras online
• pagamentos em estabelecimentos comerciais

Essa popularização torna ainda mais importante o monitoramento constante da segurança do sistema.

Banco Central afirma que o Pix continua seguro

Apesar dos incidentes divulgados, o Banco Central reforça que a infraestrutura do Pix não foi comprometida.

Segundo o regulador, os episódios estão ligados principalmente a falhas operacionais em instituições participantes, e não ao funcionamento do sistema central.

O BC também afirma que acompanha continuamente os casos e pode aplicar medidas quando identifica irregularidades.

Entre as ações possíveis estão:

• advertências
• multas
• determinações de correção de sistemas
• sanções administrativas

O que os usuários podem fazer para aumentar a segurança

Mesmo com o sistema considerado seguro, especialistas recomendam algumas práticas para aumentar a proteção das contas bancárias.

Entre elas:

• ativar autenticação em duas etapas nos aplicativos bancários
• evitar compartilhar dados pessoais
• desconfiar de mensagens que pedem confirmação de chaves Pix
• nunca clicar em links enviados por desconhecidos

Essas medidas ajudam a reduzir o risco de golpes que utilizam engenharia social para tentar enganar usuários.

Transparência ajuda a fortalecer o sistema financeiro

A divulgação de incidentes envolvendo chaves Pix pode gerar preocupação entre os usuários, mas especialistas apontam que a transparência adotada pelo Banco Central é positiva.

Ao informar publicamente os episódios e exigir correções das instituições participantes, o regulador busca fortalecer a segurança do sistema e manter a confiança da população.

O Pix se tornou uma das maiores inovações do sistema financeiro brasileiro nos últimos anos e continua sendo aprimorado para garantir mais segurança e eficiência nas transações digitais.