Os recentes incidentes envolvendo o vazamento de dados e chaves Pix no Brasil revelam não apenas fragilidades tecnológicas, mas também desafios regulatórios e jurídicos de grande complexidade.
Embora a narrativa oficial destaque que apenas dados cadastrais foram expostos — sem comprometimento direto de senhas, saldos ou transações —, o risco decorrente desse tipo de informação para a prática de golpes digitais é concreto e crescente.
O Pix se consolidou como um dos maiores instrumentos de pagamento instantâneo do mundo, sustentando a credibilidade do sistema financeiro nacional. Entretanto, a manutenção dessa confiança depende de níveis elevados de governança, segurança da informação e responsabilidade institucional.
Os recentes vazamentos demonstram que não basta afirmar que “dados sensíveis não foram expostos”. A integridade do sistema exige tratamento preventivo e corretivo adequado a todo tipo de dado pessoal — especialmente aqueles que, isolados ou combinados, possam servir de base para fraudes.
Do ponto de vista jurídico, o cenário reforça que a responsabilidade das instituições financeiras é:
- Objetiva, por força do CDC;
- Ampliada pela LGPD, quanto ao dever de segurança e transparência;
- Potencialmente sancionada por múltiplas esferas regulatórias (ANPD, BCB e Judiciário).
A resposta a esses incidentes precisa ir além do discurso e se traduzir em investimento contínuo em segurança digital, protocolos de prevenção robustos e mecanismos efetivos de reparação, garantindo que a inovação no sistema financeiro caminhe lado a lado com a proteção do consumidor e a preservação da confiança pública.
Vale lembrar que em março de 2025, o Banco Central do Brasil (BCB) confirmou o vazamento de 25.349 chaves Pix vinculadas à fintech QI SCD. Os dados expostos incluíam nome, CPF (parcialmente mascarado), número e tipo de conta, e agência.
Em julho de 2025, outro episódio de grande escala veio à tona: o Conselho Nacional de Justiça (CNJ) reportou falha no sistema Sisbajud, com a exposição de 46,8 milhões de chaves Pix de mais de 11 milhões de usuários.
No mesmo período, uma ocorrência de maior gravidade operacional envolveu a C&M Software, prestadora de serviços tecnológicos no âmbito do Sistema de Pagamentos Brasileiro (SPB). Um ataque cibernético sofisticado, permitiu transações fraudulentas de valores elevados, mas sem afetar diretamente contas de clientes finais.
Andrea Mottola
(Advogada especialista em Direito do Consumidor e Direito Digital)
Comente Aqui