Tag: chaves Pix

Publicado em por

EXPOSIÇÃO DE CHAVES PIX E A FRAGILIDADE DA SEGURANÇA DIGITAL NO SISTEMA BANCÁRIO

Os recentes episódios envolvendo a exposição de dados ligados ao Pix no Brasil trouxeram à tona não apenas falhas técnicas, mas também dilemas regulatórios e jurídicos que merecem análise cuidadosa. Ainda que as comunicações oficiais insistam em minimizar o alcance das ocorrências — alegando que apenas dados cadastrais foram expostos —, é inegável que tais informações constituem matéria-prima valiosa para golpes digitais sofisticados.

Entre março e julho de 2025, diferentes incidentes mostraram a vulnerabilidade de múltiplas frentes: desde vazamentos em fintechs, falhas em sistemas oficiais até ataques cibernéticos com participação de agentes internos. As situações variaram em gravidade, mas todas convergem para um ponto comum: a exposição de dados bancários, mesmo sem senhas ou saldos, compromete a confiança pública e amplia o campo de ação de fraudadores.

Esses fatos permitem identificar ao menos três níveis de risco:

  1. Exposição acidental ou falha operacional — vazamentos decorrentes de erros técnicos ou de processos de segurança mal implementados.
  2. Fragilidade em sistemas institucionais — falhas em plataformas oficiais que concentram grandes volumes de informações.
  3. Ação interna maliciosa e ataques estruturados — situações em que a combinação de agentes internos e técnicas avançadas amplia o potencial de fraude.

Do ponto de vista jurídico, a Lei Geral de Proteção de Dados é clara ao impor, no artigo 46, o dever de adoção de medidas eficazes de segurança da informação. Paralelamente, normas editadas pelo Banco Central exigem que o cliente seja informado imediatamente e por canais oficiais sobre qualquer incidente que envolva sua chave Pix. Tal obrigação dialoga tanto com o princípio da transparência da LGPD quanto com o dever de informação previsto no Código de Defesa do Consumidor.

O descumprimento desses deveres atrai a atuação de diferentes esferas regulatórias: a Autoridade Nacional de Proteção de Dados, o Banco Central e o Poder Judiciário. Além disso, a responsabilidade civil das instituições financeiras é, por natureza, objetiva. A Súmula 479 do Superior Tribunal de Justiça consolidou o entendimento de que as instituições respondem até mesmo por fraudes cometidas por terceiros quando relacionadas a falhas de segurança, o que inclui os vazamentos de dados cadastrais.

A leitura de que informações como nome, CPF, número de agência e conta seriam inofensivas não se sustenta diante da realidade criminológica. Esses dados, quando combinados com técnicas de engenharia social, são suficientes para:

  • induzir vítimas a transferências falsas via aplicativos de mensagem;
  • viabilizar a abertura de contas fraudulentas;
  • alimentar golpes envolvendo boletos adulterados;
  • explorar autenticações simplificadas em plataformas digitais.

A responsabilidade das instituições não se limita à prevenção. Uma vez ocorrido o incidente, impõe-se uma atuação diligente, que inclua comunicação imediata aos clientes, disponibilização de ferramentas de monitoramento, reforço dos protocolos de autenticação e plena cooperação com autoridades investigativas. A omissão ou a demora nesse processo intensificam a responsabilização civil e corroem a confiança do consumidor.

O Pix consolidou-se como um marco de inovação no sistema financeiro brasileiro, mas sua solidez depende da capacidade de mitigar riscos e preservar a confiança social. A afirmação de que “dados sensíveis não foram atingidos” não é suficiente. Qualquer dado pessoal que possa servir de base para fraude deve receber tratamento preventivo e corretivo adequado.

Em última análise, a resposta esperada das instituições vai muito além de comunicados formais. É necessário investimento contínuo em segurança digital, governança responsável e mecanismos efetivos de reparação. A inovação financeira só se sustenta quando caminha lado a lado com a proteção de dados pessoais e o respeito ao consumidor.

Publicado em por

VAZAMENTO NO SISBAJUD EXPÕE MILHÕES DE CHAVES PIX E ACENDE ALERTA PARA PROTEÇÃO DE DADOS CADASTRAIS

Nos dias 20 e 21 de julho, um incidente de segurança comprometeu a integridade do Sistema de Busca de Ativos do Poder Judiciário (Sisbajud), resultando na exposição de dados associados a mais de 46 milhões de chaves Pix, vinculadas a aproximadamente 11 milhões de cidadãos. O episódio, que foi oficialmente comunicado no dia 23 por meio de nota conjunta entre o Banco Central e o Conselho Nacional de Justiça, atingiu dados cadastrais como CPF, instituição financeira relacionada e o nome do titular da chave.

É importante destacar que não houve violação de informações bancárias protegidas por sigilo, como saldos, senhas, extratos ou movimentações financeiras. Tampouco foi identificado qualquer tipo de acesso indevido a valores depositados em contas. No entanto, a divulgação de dados cadastrais, ainda que não sensíveis, pode abrir margem para tentativas de fraudes, especialmente por engenharia social. Daí a recomendação de reforço às práticas de segurança já divulgadas pelas instituições financeiras, tais como a verificação de remetentes de mensagens, cautela ao clicar em links suspeitos e não compartilhamento de informações pessoais por meios informais.

O Sisbajud, ferramenta desenvolvida para modernizar a interlocução entre o Poder Judiciário, o Banco Central e as instituições financeiras, substituiu o antigo Bacenjud em dezembro de 2019. Seu objetivo é dar maior celeridade ao cumprimento de decisões judiciais no âmbito financeiro, por meio de um fluxo digital padronizado. Com o sistema, magistrados podem enviar ordens de bloqueio de valores em contas correntes e aplicações, além de requisitar documentos como contratos bancários, extratos detalhados, faturas de cartão de crédito, e comprovantes relativos ao FGTS e PIS.

Entre os avanços proporcionados pelo Sisbajud, destaca-se a integração com o Sistema de Movimentação Bancária (Simba), utilizado pelo Ministério Público Federal, permitindo o acesso a dados bancários em formatos compatíveis com investigações mais aprofundadas.

Diante do incidente, permanece o desafio de equilibrar a eficiência na tramitação de ordens judiciais com a proteção rigorosa dos dados pessoais dos cidadãos. O caso reforça a necessidade de controles de segurança robustos, tanto nos sistemas utilizados pelo Judiciário quanto nas plataformas integradas ao Sistema Financeiro Nacional.

Publicado em por

BANCO CENTRAL REFORÇA PROTEÇÃO NO PIX COM NOVAS REGRAS CONTRA FRAUDES

O Banco Central do Brasil anunciou novas medidas para reforçar a segurança do Pix, uma das ferramentas de pagamento mais utilizadas pelos brasileiros. A partir do próximo ano, as instituições financeiras serão obrigadas a enviar “alertas de golpe” em transações consideradas suspeitas ou fora do padrão. O objetivo é combater o aumento das fraudes que, embora ocorram em uma pequena parcela das transações — aproximadamente sete a cada 100 mil —, têm se tornado cada vez mais complexas e prejudiciais para os usuários.

Essas mudanças surgiram a partir de debates no Fórum Pix, um grupo que reúne representantes de diversos players do mercado financeiro. A previsão é de que as novas regras sejam implementadas seis meses após a publicação das diretrizes no Manual de Experiência do Usuário do Pix. Cada instituição financeira terá liberdade para definir os critérios específicos para o envio desses alertas, o que permitirá uma adaptação mais precisa às particularidades de seus clientes e ao perfil de risco das transações.

Avanços Contínuos na Segurança do Pix

O Pix, que rapidamente conquistou a preferência dos brasileiros como método de pagamento, demanda atualizações constantes em suas medidas de segurança. As fraudes, ainda que em um número reduzido, exigem atenção das autoridades financeiras para prevenir abusos. Entre as novas medidas aprovadas, destaca-se a aplicação de multas de R$ 100 mil para bancos que descumprirem as normas relacionadas às chaves Pix. Além disso, será obrigatória a validação do nome ou da razão social dos usuários junto à base de dados da Receita Federal no momento da criação ou alteração de chaves.

Outra medida prevista é a realização de limpezas periódicas na base de dados do Pix, a fim de eliminar chaves que não estejam em conformidade com os requisitos estabelecidos pelo Banco Central.

Aprimoramentos no Mecanismo Especial de Devolução (MED)

O Mecanismo Especial de Devolução (MED) foi originalmente criado para acelerar o ressarcimento de vítimas de fraudes e falhas operacionais. No entanto, criminosos encontraram brechas para utilizar o MED de forma fraudulenta, como no caso em que golpistas enviam comprovantes falsos de transações supostamente erradas e solicitam a devolução do valor, além de acionarem o MED para obter o montante de volta em duplicidade.

Para enfrentar essa prática, o Banco Central estabeleceu que não serão aceitos pedidos de devolução por falha operacional em transações que tenham sido corretamente iniciadas e recebidas, mesmo que haja falhas no sistema do pagador. Ademais, o banco receptor agora terá o poder de analisar e, se necessário, rejeitar solicitações de devolução, função que antes era exclusiva do banco do pagador.

Medidas Futuras

Outras iniciativas de segurança também foram aprovadas, como o limite de R$ 200 para transferências realizadas em novos dispositivos sem cadastro prévio, com um teto diário de R$ 1.000. Essas mudanças entrarão em vigor em novembro deste ano e fazem parte de um pacote mais amplo de ações destinadas a mitigar fraudes.

Além disso, auditorias periódicas serão realizadas nas contas dos usuários para identificar comportamentos suspeitos. E, para aumentar ainda mais a segurança, os bancos poderão recusar a criação de novas chaves Pix para CPFs com histórico de envolvimento em fraudes.

Compromisso com a Segurança do Sistema

O Fórum Pix, responsável por discutir e propor melhorias contínuas ao sistema, segue analisando novas formas de reduzir fraudes, inclusive com a possível introdução da chave Pix “verificada”, voltada principalmente para mitigar riscos com microempreendedores individuais (MEI).

As medidas reforçam o compromisso do Banco Central com a proteção dos usuários e a manutenção da confiança no Pix, garantindo que a ferramenta continue sendo uma opção segura e eficiente para transações financeiras em todo o país.

Publicado em por

INCIDENTE DE SEGURANÇA COM CHAVES PIX AFETA COOPERATIVAS FILIADAS À UNICRED

O Banco Central (BC) anunciou em 29 de julho um incidente de segurança envolvendo dados pessoais associados às chaves Pix de três cooperativas filiadas à Unicred do Brasil. A falha ocorreu devido a problemas pontuais nos sistemas da instituição.

Em comunicado ao InfoMoney, a Unicred confirmou o incidente, que ocorreu entre os dias 6 e 7 de julho. A cooperativa destacou que não houve comprometimento de dados sensíveis, classificando o vazamento como um “incidente malicioso de segurança”.

Segundo o BC, não foram expostos dados sensíveis, como senhas, informações de transações financeiras, saldos de contas ou quaisquer outras informações protegidas por sigilo bancário. As informações obtidas são de natureza cadastral e não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.

A Unicred informou que implementou medidas adequadas de contenção imediatamente após a detecção do incidente. As contas potencialmente afetadas foram bloqueadas para investigação interna, com dados de login e senha resetados. Os titulares das contas foram notificados sobre a situação.

O BC assegurou que as pessoas afetadas serão informadas exclusivamente através do aplicativo ou internet banking de sua instituição financeira. A instituição alertou que nem o BC nem as instituições participantes utilizarão outros meios de comunicação, como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail, para evitar possíveis golpes.

O Banco Central está conduzindo uma investigação detalhada do caso e informou que aplicará medidas sancionatórias conforme a regulamentação vigente.

A Unicred lamentou qualquer inconveniente causado pelo incidente e reafirmou seu compromisso com a segurança e privacidade dos dados dos seus clientes.

Publicado em por

FRAUDE DO IMPOSTO DE RENDA: CRIMINOSOS USAM PIX PARA ENGANAR CONTRIBUINTES

Recentemente, tem-se observado um novo golpe que utiliza o PIX para enganar contribuintes que aguardam a restituição do Imposto de Renda. Esse esquema fraudulento começa com uma mensagem de texto (SMS) que, aparentemente, parece ter sido enviada pelo governo federal. A mensagem leva a vítima a um site falso que imita o da Receita Federal, culminando em uma exigência de pagamento via PIX. Vamos entender como esse golpe funciona e como se proteger.

Etapas do Golpe

  1. Mensagem Fraudulenta: O golpe começa com o envio de um SMS falso, alertando sobre o suposto vencimento da restituição do Imposto de Renda. A mensagem contém um link que direciona a vítima para um site fraudulento, que simula o portal oficial do governo.
  2. Coleta de Dados: No site falso, os criminosos solicitam que a vítima insira dados pessoais, incluindo CPF, senha do gov.br e chave PIX, sob o pretexto de agilizar o recebimento da restituição.
  3. Exigência de Pagamento: Após a inserção dos dados, a vítima é informada de que precisa pagar uma “taxa do Banco Central” via PIX para finalizar o processo. A chave PIX fornecida pertence a um CNPJ recentemente registrado em São Paulo, sem qualquer ligação com a Receita Federal ou Banco Central.

Mecanismo de Ação

Os criminosos aproveitam-se da confiança que as pessoas depositam nas comunicações oficiais e na urgência gerada pela mensagem. O SMS falso contém erros de ortografia e um senso de urgência, indicativos claros de fraude. Ao clicar no link, a vítima é redirecionada para um site que pede informações sensíveis, incluindo a chave PIX. Com esses dados, os golpistas podem cometer fraudes financeiras e roubar a identidade da vítima.

Como se Proteger

  1. Verifique Links: Sempre verifique se o link possui o final “.gov.br”. Sites oficiais do governo brasileiro utilizam esse domínio.
  2. Desconfie de Mensagens Urgentes: Mensagens que criam um senso de urgência, exigindo ação imediata, são um sinal de alerta. A Receita Federal não envia SMS solicitando dados pessoais ou pagamentos.
  3. Não Forneça Informações Pessoais: Nunca insira informações pessoais, como CPF ou senha gov.br, em sites acessados via links em mensagens de texto.
  4. Confirme com Fontes Oficiais: Se receber uma mensagem suspeita, entre em contato diretamente com a Receita Federal ou acesse o site oficial para verificar a autenticidade da comunicação.

A restituição do Imposto de Renda é depositada automaticamente na conta bancária informada na declaração, conforme o cronograma da Receita Federal. Não é necessário realizar nenhum pagamento ou fornecer dados adicionais para receber a restituição.

Fique atento e informe-se para não cair em golpes. A prevenção é a melhor forma de se proteger.

Publicado em por

FALHA DE SEGURANÇA NO BANPARÁ EXPÕE DADOS DE CHAVES PIX

O Banco Central do Brasil recentemente revelou um incidente de segurança envolvendo dados pessoais associados a chaves Pix, desta vez relacionados ao Banco do Estado do Pará S.A. (Banpará). O incidente foi causado por vulnerabilidades específicas nos sistemas do banco.

O vazamento afetou informações cadastrais de aproximadamente 3.020 chaves Pix. As informações comprometidas incluem o nome do usuário, CPF (parcialmente oculto), instituição financeira associada, bem como números de agência e de conta. O Banco Central assegura, contudo, que nenhum dado sensível como senhas, detalhes de transações ou saldos de contas foi exposto.

De acordo com o órgão regulador, os dados acessados são estritamente cadastrais e não oferecem possibilidades de realização de movimentações financeiras ou acesso a contas e informações bancárias protegidas por sigilo.

Os indivíduos impactados por este incidente serão informados diretamente através do aplicativo ou internet banking do banco onde possuem conta. O Banco Central enfatizou que não serão utilizados outros canais de comunicação, como aplicativos de mensagens, chamadas telefônicas, SMS ou emails, para contactar os afetados.

Além disso, o Banco Central declarou que estão sendo realizadas investigações detalhadas sobre o ocorrido e que medidas punitivas apropriadas serão aplicadas conforme previsto na regulamentação atual. Este episódio destaca a importância da segurança cibernética dentro das instituições financeiras e a necessidade de contínuo aprimoramento dos sistemas para proteger os dados dos consumidores.