O que podemos aprender com os recentes vazamentos de Chaves Pix | Boqnews
8 de abril de 2026
Fale conosco Radio boqnews

Ponto de vista

Foto: Marcello Casal Jr/Agência Brasil
28 de agosto de 2025

O que podemos aprender com os recentes vazamentos de Chaves Pix

Os recentes incidentes envolvendo o vazamento de dados e chaves Pix no Brasil revelam não apenas fragilidades tecnológicas, mas também desafios regulatórios e jurídicos de grande complexidade.

Embora a narrativa oficial destaque que apenas dados cadastrais foram expostos — sem comprometimento direto de senhas, saldos ou transações —, o risco decorrente desse tipo de informação para a prática de golpes digitais é concreto e crescente.

Em março de 2025, o Banco Central do Brasil (BCB) confirmou o vazamento de 25.349 chaves Pix vinculadas à fintech QI SCD. Os dados expostos incluíam nome, CPF (parcialmente mascarado), número e tipo de conta, e agência.

Em julho de 2025, outro episódio de grande escala veio à tona: o Conselho Nacional de Justiça (CNJ) reportou falha no sistema Sisbajud, com a exposição de 46,8 milhões de chaves Pix de mais de 11 milhões de usuários.

No mesmo período, uma ocorrência de maior gravidade operacional envolveu a C&M Software, prestadora de serviços tecnológicos no âmbito do Sistema de Pagamentos Brasileiro (SPB). Um ataque cibernético sofisticado, potencializado por ação interna maliciosa, permitiu transações fraudulentas de valores elevados, ainda que sem afetar diretamente contas de clientes finais.

Esses casos revelam três camadas distintas de risco:

Vazamentos acidentais ou por falha técnica;
Falhas sistêmicas em plataformas oficiais;
Ameaças internas e ataques coordenados de alta complexidade.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabelece, em seu art. 46, que os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e de situações ilícitas ou acidentais de destruição, perda, alteração, comunicação ou difusão.

O Banco Central, por sua vez, editou norma específica determinando que qualquer incidente envolvendo chaves Pix deve ser comunicado ao cliente de forma imediata, clara e segura, utilizando apenas canais oficiais. Essa exigência dialoga com o princípio da transparência (art. 6º, VI, da LGPD) e com o dever de informação previsto no art. 6º, III, do Código de Defesa do Consumidor.

O descumprimento desses deveres pode acarretar sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), multas do próprio BCB e, sobretudo, responsabilização civil perante o consumidor.

A responsabilidade civil das instituições financeiras em tais casos é, via de regra, objetiva, nos termos do art. 14 do CDC e da Súmula 479 do STJ, que dispõe:

“As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”

O vazamento de dados cadastrais, embora não envolva diretamente transações financeiras, integra o fortuito interno: decorre de risco inerente à atividade bancária e aos sistemas de pagamento que administram ou operam.

A jurisprudência do STJ tem reiterado que a instituição responde inclusive por fraudes praticadas por terceiros quando demonstrada a relação causal com falha na segurança, como no REsp 1.479.419/SP.

A interpretação restritiva de que dados como nome, CPF, número de conta e agência seriam inofensivos não resiste a uma análise técnica e criminológica.

Tais informações, quando combinadas com técnicas de engenharia social, são insumos valiosos para:

Aplicação de golpes por telefone ou aplicativos de mensagens (falsas confirmações, phishing direcionado);
Abertura de contas fraudulentas;
Emissão de boletos adulterados;
Exploração de falhas em sistemas de autenticação simplificada.
Assim, mesmo na ausência de dano imediato, a potencialidade lesiva já configura risco jurídico relevante e exige postura diligente e preventiva das instituições financeiras.

Além de prevenir, as instituições têm o dever de agir de forma proativa após um incidente:

Comunicar o cliente de forma transparente e tempestiva;
Oferecer mecanismos de monitoramento de possíveis usos indevidos dos dados;
Reforçar autenticações e protocolos de segurança para os titulares afetados;
Cooperar com investigações de órgãos como BCB, ANPD e Polícia Federal.
A omissão ou demora na comunicação potencializa a responsabilidade civil, por agravar o risco ao consumidor.

O Pix se consolidou como um dos maiores instrumentos de pagamento instantâneo do mundo, sustentando a credibilidade do sistema financeiro nacional.

Entretanto, a manutenção dessa confiança depende de níveis elevados de governança, segurança da informação e responsabilidade institucional.

Os recentes vazamentos demonstram que não basta afirmar que “dados sensíveis não foram expostos”.

A integridade do sistema exige tratamento preventivo e corretivo adequado a todo tipo de dado pessoal — especialmente aqueles que, isolados ou combinados, possam servir de base para fraudes.

Do ponto de vista jurídico, o cenário reforça que a responsabilidade das instituições financeiras é:

Objetiva, por força do CDC;
Ampliada pela LGPD, quanto ao dever de segurança e transparência;
Potencialmente sancionada por múltiplas esferas regulatórias (ANPD, BCB e Judiciário).

A resposta a esses incidentes precisa ir além do discurso e se traduzir em investimento contínuo em segurança digital, protocolos de prevenção robustos e mecanismos efetivos de reparação, garantindo que a inovação no sistema financeiro caminhe lado a lado com a proteção do consumidor e a preservação da confiança pública.

 

Andrea Mottola é advogada especialista em Direito do Consumidor e Direito Digital

 

Andrea Mottola
Andrea Mottola
A opinião manifestada no artigo não representa, necessariamente, a opinião do boqnews.com

Quem Somos

Boqnews.com é um dos produtos da Enfoque Jornal e Editora, que edita o Boqnews, jornal em circulação em Santos, no litoral paulista, desde 1986.

Fundado pelo jornalista Jairo Sérgio de Abreu Campos, o veículo passou a ser editado pela Enfoque desde 1993, cujos sócios são os jornalistas Humberto Challoub e Fernando De Maria dos Santos, ambos com larga experiência em veículos de comunicação e no setor acadêmico, formando centenas de gerações de jornalistas hoje atuando nos mais variados veículos do País e do exterior.

Seguindo os princípios que nortearam a origem do Jornal do Boqueirão nos anos 80 (depois Boqueirão News, sucedido pelo nome atual Boqnews) como veículo impresso, o grupo Enfoque mantém constante atualização com as novas tendências multimídias garantindo ampliação do leque de conteúdo para os mais variados públicos diversificando-o em novas plataformas, mas sem perder sua essência: a credibilidade na informação divulgada.

A qualidade do conteúdo oferecido está presente em todas as plataformas: do jornal impresso ou digital, dos programas na Boqnews TV, como o Jornal Enfoque - Manhã de Notícias, e na rádio Boqnews, expandido nas redes sociais.

Aliás, credibilidade conquistada também na realização e divulgação de pesquisas eleitorais, iniciadas em 1996, e que se transformaram em referência quanto aos resultados divulgados após a abertura das urnas.

Não é à toa que o slogan do Boqnews sintetiza o compromisso do grupo Enfoque com a qualidade da informação: Boqnews, credibilidade em todas as plataformas.

Expediente

Boqnews.com é parte integrante da Enfoque Jornal e Editora (CNPJ 08.627.628/0001-23), com sede em Santos, no litoral paulista.

Contatos - (13) 3326-0509/3326-0639 e Whatsapp (13) 99123-2141.

E-mail: [email protected]

Jairo Sérgio de Abreu Campos - fundador / Humberto Iafullo Challoub - diretor de redação / Fernando De Maria dos Santos - diretor comercial/administrativo.

Atenção

Material jornalístico do Boqnews (textos, fotos, vídeos, etc) estão protegidos pela Lei de Direitos Autorais (Lei 9.610 de 1988). Proibida a reprodução sem autorização.

Este site usa cookies para personalizar conteúdo e analisar o tráfego do site. Conheça a nossa Política de Cookies.