[Foto: Ilustrativa]
O Banco Central (BC) comunicou oficialmente nesta sexta-feira (20/03) o vazamento de dados cadastrais vinculados a 28.203 chaves Pix de clientes da Pefisa S.A., braço financeiro do grupo Pernambucanas. O incidente, que ocorreu devido a falhas pontuais nos sistemas da instituição, marca a 23ª exposição de dados desde a criação do sistema de pagamentos instantâneos em 2020 e o terceiro caso registrado somente neste ano.
De acordo com a autarquia, a exposição não foi contínua, mas ocorreu em intervalos entre os dias 30 de agosto de 2025 e 27 de fevereiro de 2026. Embora o volume de dados seja considerado de “baixo impacto potencial”, o Banco Central optou pela divulgação pública reforçando seu “compromisso com a transparência”.
Quais informações foram expostas?
Segundo o BC, a falha de segurança na Pefisa permitiu a visualização de dados de natureza cadastral. e que informações sensíveis, protegidas pelo sigilo bancário, não foram acessadas.
Os dados expostos incluem:
- Nome completo do usuário;
- CPF;
- Instituição de relacionamento;
- Números da agência e da conta;
- Tipo da conta e data de abertura;
- Datas de criação e de posse da chave Pix.
O BC enfatizou que dados como saldos, senhas e extratos bancários não foram expostos, o que significa que não houve comprometimento direto de valores nas contas dos clientes afetados.
Como será feito o aviso aos clientes
A Pefisa, que conta atualmente com 5 milhões de clientes ativos e gerencia contas digitais e cartões do varejo, notificará as vítimas exclusivamente por canais oficiais. O Banco Central alerta que os clientes devem ignorar qualquer outro tipo de abordagem.
“As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”, declarou a autarquia.
Investigação e penalidades
O Banco Central informou que o caso já está sob investigação e que a Pefisa poderá sofrer sanções administrativas. Dependendo da gravidade e do resultado da apuração, as punições previstas na legislação incluem multa, suspensão temporária ou até a exclusão definitiva da instituição do ecossistema Pix.
Até o momento, todos os 23 incidentes registrados na história do Pix envolveram apenas dados cadastrais. Para garantir o cumprimento da Lei Geral de Proteção de Dados (LGPD), o Banco Central mantém um portal oficial onde qualquer cidadão pode monitorar ocorrências relacionadas à segurança de seus dados pessoais sob custódia da autoridade monetária.
*Com informações de BC
