Exposição de 46,9 milhões de chaves Pix revela falhas sistêmicas e acende alerta sobre golpes digitais direcionados aos titulares. Especialistas recomendam o uso de chaves aleatórias e reforço na vigilância das comunicações bancárias.
O maior vazamento de dados desde a criação do sistema Pix, em 2020, expôs informações cadastrais de 11.003.398 pessoas físicas e jurídicas, totalizando 46,9 milhões de chaves Pix associadas a essas identidades. O incidente foi oficialmente reconhecido pelo Conselho Nacional de Justiça (CNJ) e pelo Banco Central do Brasil (BC), que divulgaram comunicados conjuntos ressaltando a gravidade do episódio e as providências adotadas.
O vazamento ocorreu no âmbito do Sistema de Busca de Ativos do Poder Judiciário (Sisbajud), uma plataforma digital que permite ao Poder Judiciário requisitar, em tempo real, o bloqueio de valores e a obtenção de informações bancárias diretamente das instituições financeiras.
O sistema é essencial para a efetividade de decisões judiciais em processos de execução, ações trabalhistas e investigações patrimoniais, funcionando como elo entre magistrados, bancos e o Banco Central. Entre os dias 20 e 21 de julho de 2025, um acesso indevido à base de dados do Sisbajud resultou na exposição de informações sensíveis, como:
• Nome completo do titular da chave Pix;
• Tipo de chave registrada (CPF, CNPJ, número de celular, e-mail ou chave aleatória);
• Instituição financeira vinculada à chave;
• Número da agência e conta.
É importante destacar que não houve acesso a senhas bancárias, valores em conta, extratos financeiros ou autorizações para movimentação de recursos, o que tecnicamente reduz o potencial imediato de fraude financeira direta. No entanto, especialistas em segurança digital alertam que a combinação dessas informações com outras bases ilícitas disponíveis na dark web pode facilitar fraudes por engenharia social, roubo de identidade e golpes direcionados.
A falha de segurança evidencia vulnerabilidades sistêmicas em ambientes de alto tráfego institucional, exigindo do Estado brasileiro e das entidades envolvidas uma revisão urgente dos protocolos de segurança cibernética, autenticação e auditoria de acessos. Também reforça a necessidade de governança robusta em proteção de dados, especialmente em sistemas públicos que interagem com dados bancários.
Após a identificação do incidente, o CNJ informou que o acesso indevido foi contido e que medidas emergenciais foram adotadas, incluindo:
• Suspensão temporária de integrações;
• Comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e à Polícia Federal;
• Abertura de investigação técnica e administrativa;
• Compromisso de disponibilização de ferramenta para consulta dos titulares afetados.
Diante da gravidade do incidente, tanto o Conselho Nacional de Justiça (CNJ) quanto o Banco Central (BC) atuaram com rapidez ao detectar o acesso indevido às informações armazenadas no Sisbajud.
Após o bloqueio do acesso não autorizado, as instituições iniciaram uma apuração técnica detalhada e notificaram imediatamente os órgãos competentes — Polícia Federal, para fins de investigação criminal, e a Autoridade Nacional de Proteção de Dados (ANPD), como previsto pela Lei Geral de Proteção de Dados Pessoais (LGPD). A ANPD, por sua vez, instaurou procedimento de fiscalização para verificar o cumprimento das obrigações legais relacionadas à segurança da informação e à responsabilização por incidentes de vazamento.
O CNJ anunciou que disponibilizará, em breve, uma ferramenta pública de consulta, onde cada cidadão poderá verificar se sua chave Pix foi comprometida. O Banco Central reafirmou seu compromisso com a transparência proativa, mesmo em casos em que o dano potencial é considerado moderado, seguindo os princípios da prevenção e da prestação de contas (accountability) previstos na LGPD (Lei nº 13.709/2018). Além disso, o BC reiterou que continuará fiscalizando as instituições financeiras para garantir a plena aplicação da Resolução BCB nº 302/2023. Responsabilidade das instituições financeiras e a Resolução BCB nº 302/2023 Em vigor desde setembro de 2023, a Resolução BCB nº 302/2023 estabeleceu um marco regulatório mais rígido para a governança de segurança da informação no âmbito do arranjo de pagamentos Pix.
O dispositivo determina que todas as instituições participantes do Pix, inclusive fintechs e bancos digitais, devem comunicar, de forma célere e transparente, qualquer incidente de segurança ou vazamento de dados pessoais vinculados a chaves Pix. Essa comunicação deve ocorrer diretamente com os usuários impactados, por meio de canais oficiais, e deve conter:
• Descrição clara do incidente;
• Potenciais riscos e consequências;
• Medidas que estão sendo adotadas para contenção e mitigação;
• Orientações práticas para que o usuário se proteja de eventuais tentativas de fraude.
Além disso, a Resolução reforça a exigência de planos de resposta a incidentes, a implementação de mecanismos robustos de monitoramento e rastreabilidade, e a adoção de controles internos eficazes — como autenticação multifator, segregação de acessos, criptografia e auditorias regulares. Esse contexto evidencia que, embora o vazamento tenha ocorrido no âmbito de um sistema público (o Sisbajud), a responsabilidade das instituições financeiras não está afastada.
Elas devem atuar de forma proativa, cooperativa e diligente, tanto na identificação de anomalias quanto na comunicação ao usuário e na prevenção de fraudes subsequentes. Riscos para os titulares: a ponta mais vulnerável da cadeia Embora o vazamento não envolva diretamente a movimentação financeira — ou seja, nenhuma chave Pix vazada pode ser usada para realizar transferências ou saques sem a devida autenticação bancária — a simples exposição de dados cadastrais estruturados representa um risco significativo à segurança dos titulares.
O perigo reside na possibilidade de que esses dados, em mãos mal-intencionadas, sejam utilizados como insumos para fraudes complexas, geralmente baseadas em engenharia social. Golpes com aparência legítima (spear phishing e smishing) Fraudadores, de posse do nome completo, banco de relacionamento, tipo de chave Pix e dados bancários parciais (como agência e conta), conseguem confeccionar mensagens personalizadas com aparência autêntica, muitas vezes reproduzindo elementos visuais e linguísticos das comunicações oficiais de bancos, órgãos públicos ou instituições de proteção ao crédito.
Essas abordagens podem chegar por:
• E-mail (“phishing”);
• SMS ou WhatsApp (“smishing”);
• Ligações (“vishing”).
O objetivo é induzir o usuário a:
• Informar senhas ou códigos de autenticação;
• Clicar em links maliciosos;
• Instalar aplicativos espiões;
• Confirmar transações bancárias falsas.
Clonagem de identidade digital Com o nome, o número da conta, o CPF (se usado como chave), e-mail e telefone, é possível forjar cadastros em plataformas digitais, solicitar crédito ou abrir contas falsas em nome da vítima, prática cada vez mais comum em golpes financeiros e fraudes de consumo. A vítima, muitas vezes, só percebe o uso indevido ao receber cobranças indevidas ou ter seu nome negativado por dívidas que não contraiu.
Fraudes com triangulação Há ainda casos mais sofisticados, como a fraude por triangulação, onde o criminoso simula uma negociação legítima entre duas partes (vendedor e comprador) e usa a chave Pix vazada como peça-chave para intermediar falsamente pagamentos e transferências, mantendo-se oculto no processo.
Ataques combinados com outras bases vazadas. A gravidade do vazamento se acentua quando os dados expostos são cruzados com outras bases ilícitas já comercializadas na dark web, como:
• Cadastros completos da Receita Federal;
• Bases de operadoras de telefonia;
• Vazamentos de bancos de dados de e-commerces ou planos de saúde.
Essa combinação de informações permite a formação de dossiês digitais sobre o indivíduo, potencializando o poder de persuasão das fraudes. A inversão do risco: o alvo não é o banco, é o cliente Diferentemente de um ataque direto ao sistema financeiro com o objetivo de invadir contas ou desviar recursos, neste caso os criminosos voltam sua atenção ao elo mais frágil da cadeia de segurança digital: o usuário final.
Isso torna a educação digital e o comportamento preventivo essenciais para mitigar o impacto do vazamento. Medidas como:
• Não clicar em links recebidos por e-mail ou mensagem, mesmo que pareçam do banco;
• Nunca informar códigos de autenticação recebidos por SMS a terceiros;
• Evitar atender chamadas de números desconhecidos que pedem validação de dados;
• Preferir o uso de chaves Pix aleatórias, que não revelam informações pessoais;
A Autoridade Nacional de Proteção de Dados (ANPD) e o Banco Central têm orientado a população a manter hábitos digitais seguros e denunciar tentativas de golpe às instituições financeiras e órgãos de defesa do consumidor. Recomendação essencial: prefira chaves Pix aleatórias Recomenda-se que os titulares evitem usar CPF, telefone ou e-mail como chave Pix.
Essas informações são facilmente vinculadas à identidade da pessoa, tornando mais simples o uso indevido em fraudes. Em vez disso, o ideal é optar por chaves aleatórias, geradas pelos bancos.
Essas chaves—sequências alfanuméricas sem qualquer dado pessoal—reduzem drasticamente o risco de exposição em casos de vazamentos. Conclusão Se você se cadastrou com CPF, telefone ou e-mail como chave Pix, considere:
• Substituir por chave aleatória junto ao seu banco;
• Ficar alerta a tentativas de golpe, sempre desconfiando de mensagens urgentes pedindo dados ou códigos;
• Consultar o canal do CNJ, assim que disponibilizado, para confirmar se foi afetado;
• Cobrar do banco informações claras sobre segurança e prestação de contas em relação a vazamentos.
A segurança digital é uma responsabilidade compartilhada — das instituições financeiras, que devem proteger os dados sob sua guarda, e dos titulares, ao adotar práticas seguras na criação e uso das chaves Pix.
