Segundo o BC, a exposição ocorreu de 26 de dezembro de 2025 a 30 de janeiro de 2026 e abrangeu nome do usuário, CPF com máscara (CPF parcialmente coberto com asteriscos), instituição de relacionamento, agência, número e tipo da conta.
O incidente ocorreu por falhas pontuais em sistemas da instituição de pagamento. O vazamento ocorreu em dados cadastrais, que não afetam a movimentação de dinheiro. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram expostos.
O BC classificou o impacto potencial para os clientes como baixo. Dentro dos parâmetros da autoridade o caso não precisaria ser comunicado, mas o Banco Central decidiu divulgar o incidente em nome do “compromisso com a transparência”.
Todas as pessoas que tiveram informações expostas ou vazadas serão avisadas por meio do aplicativo ou do internet banking da instituição. O Banco Central pediu para os clientes desconsiderarem comunicações como chamadas telefônicas, SMS e avisos por aplicativos de mensagens e por e-mail.
A exposição de dados não significa necessariamente que as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O vazamento indica que alguém chegou a consultar os dados.
O BC informou que o caso será investigado e que sanções poderão ser aplicadas. A legislação prevê multa, suspensão ou até exclusão do sistema do Pix, dependendo da gravidade do caso.
Em todos os 21 incidentes com chaves Pix registrados até agora, foram expostas informações cadastrais, sem a exposição de senhas e de saldos bancários. A autoridade monetária mantém uma página em que os cidadãos podem acompanhar incidentes relacionados com a chave Pix ou demais dados pessoais em poder do BC.
