O Banco Central (BC) divulgou nesta terça-feira (17) a ocorrência de um incidente de segurança envolvendo dados pessoais ligados a chaves Pix. O caso está relacionado a acessos indevidos em um sistema operado pelo Ministério Público do Estado de Goiás (MPGO), que expôs informações cadastrais de 93 chaves Pix no dia 1º de março.
De acordo com a autoridade monetária, os dados expostos incluem nome do usuário, CPF com máscara (com asteriscos), instituição financeira de relacionamento, número da agência e informações sobre conta bancária. O MPGO posteriormente informou que as 93 chaves Pix estão vinculadas a 51 CPFs distintos.
O BC e o MPGO foram enfáticos ao ressaltar que não houve vazamento de dados sensíveis, como senhas, saldos, extratos ou qualquer informação protegida por sigilo bancário. Segundo os órgãos, os dados acessados não permitem movimentação financeira nem acesso às contas dos usuários, o que minimiza o risco de prejuízos diretos.
Este é o segundo incidente envolvendo o sistema Pix em 2026. Em janeiro, dados de 5.290 chaves de clientes de um pequeno banco foram expostos, evidenciando a necessidade contínua de reforço na segurança digital.
O Ministério Público de Goiás disponibilizou, em seu site oficial, um canal para que os cidadãos possam verificar se foram afetados pelo incidente. Paralelamente, o Banco Central alertou que não haverá contato direto com usuários por telefone, mensagens, e-mail ou aplicativos, orientando a população a desconfiar de qualquer comunicação não solicitada que alegue relação com o caso.
Segundo o BC, medidas já foram adotadas para apurar o incidente de forma detalhada. Embora a legislação brasileira não exija a divulgação pública em situações de baixo impacto, o órgão afirmou que decidiu tornar o caso público em nome da transparência e do compromisso com a proteção de dados.
O MPGO explicou que o incidente decorreu do comprometimento de uma credencial de acesso de um integrante do órgão, devido à reutilização da senha institucional em um serviço externo à rede corporativa – um site de instituição privada. Essa prática, conhecida como reutilização de senha, possibilitou a exposição indevida da credencial e sua posterior utilização não autorizada. O Ministério Público estadual destacou que nenhum integrante do órgão constou na lista de CPFs consultados.
O caso reforça a importância de boas práticas de segurança cibernética, como o uso de senhas únicas para diferentes serviços e a adoção de autenticação de dois fatores, especialmente em ambientes institucionais que lidam com dados sensíveis. A rápida divulgação e as medidas de transparência adotadas pelo BC e pelo MPGO buscam preservar a confiança no sistema financeiro e no Pix, um dos principais meios de pagamento do país.
