Cerca de 47,9 milhões de chaves do sistema Pix foram expostas em incidentes de segurança envolvendo instituições desde o lançamento da ferramenta, em 2020, segundo dados do Banco Central do Brasil.
Do total, aproximadamente 46 milhões de chaves estão relacionadas a um vazamento ocorrido em 2025 no Conselho Nacional de Justiça. O episódio expôs dados cadastrais associados a cerca de 11 milhões de pessoas.
Exposição pode envolver a mesma chave mais de uma vez
De acordo com o Banco Central, uma mesma chave Pix pode aparecer em mais de um incidente. Isso ocorre porque as falhas estão relacionadas a consultas indevidas feitas por instituições ao banco de dados do sistema, e não necessariamente à repetição de vazamentos.
Essas consultas são realizadas no Diretório de Identificadores de Contas Transacionais, base mantida pelo Banco Central que reúne as chaves Pix e conecta cada identificador — como CPF, telefone ou e-mail — à conta bancária do usuário.
Dados expostos são cadastrais
Segundo a autoridade monetária, os incidentes envolvem principalmente a exposição de informações cadastrais vinculadas às chaves, como:
- nome do usuário;
- instituição financeira;
- agência;
- número da conta parcialmente mascarado.
O Banco Central ressalta que dados protegidos por sigilo bancário não foram afetados, como:
- senhas;
- saldos;
- movimentações financeiras.
Além disso, as informações expostas não permitem realizar transferências ou acessar contas bancárias.
Os incidentes, segundo o BC, geralmente estão associados a consultas indevidas ou falhas operacionais no acesso ao DICT por instituições participantes do sistema.
