O Banco Central (BC) informou, nesta segunda-feira (17), que houve o primeiro vazamento de dados no sistema Pix em 2025. De acordo com a autoridade monetária, informações cadastrais de 25.349 chaves Pix foram expostas entre os dias 23 de fevereiro e 6 de março. O incidente afetou clientes da fintech QI Sociedade de Crédito Direto S.A., que, segundo o BC, apresentou falhas pontuais em seus sistemas.
Os dados vazados incluem nome do usuário, CPF (com máscara), instituição de relacionamento, agência, número e tipo de conta. No entanto, o BC esclareceu que dados sensíveis, como senhas, informações de movimentações financeiras e saldos de contas, não foram expostos, garantindo que as informações obtidas não permitem movimentações ou acesso a outros dados financeiros.
A autoridade ainda destacou que as notificações sobre o vazamento serão enviadas exclusivamente pelo aplicativo ou internet banking da instituição financeira afetada. O BC enfatizou que não utilizará outros meios de comunicação, como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mails, para informar os clientes.
O Banco Central também informou que ações corretivas já foram tomadas para apurar o caso, e que serão aplicadas as sanções previstas na regulamentação vigente para a fintech envolvida.
Eis a íntegra do comunicado do BC:
Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da QI SCD S.A., em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo.
hostiliocaio@hotmail.com
