O Banco Central comunicou nesta sexta-feira (12) um acesso indevido a dados de 828 chaves Pix em um sistema operado pela Polícia Civil do Maranhão. A exposição ocorreu entre 23 e 30 de abril e envolveu informações cadastrais vinculadas ao Diretório de Identificadores de Contas Transacionais, a base que relaciona chaves Pix às contas bancárias.
Foram expostos nome do usuário, CPF, instituição financeira, agência, número da conta e data de criação da chave. O número se refere a chaves Pix, não necessariamente a pessoas: um mesmo usuário pode ter mais de uma chave cadastrada, em uma ou mais instituições.
O Banco Central informou que senhas, saldos, movimentações financeiras e dados protegidos por sigilo bancário não foram acessados. Isso significa que o vazamento, por si só, não permite transferir dinheiro nem entrar na conta da vítima. O risco está em outro ponto: dados reais tornam mais convincentes tentativas de golpe por telefone, mensagem ou e-mail.
O que muda para quem usa Pix
O Pix, lançado pelo Banco Central em 2020, virou o principal sistema de pagamentos instantâneos do país. A chave Pix funciona como um atalho para identificar uma conta: pode ser CPF, e-mail, telefone, chave aleatória ou CNPJ. Quando dados associados a essas chaves vazam, criminosos podem usar as informações para simular atendimento bancário, cobrança falsa ou contato de órgão público.
O caso do Maranhão tem alcance limitado em volume, mas é sensível por envolver um sistema ligado a um órgão público estadual. A Polícia Civil do Maranhão é responsável pelo ambiente em que ocorreu o acesso indevido, segundo a comunicação divulgada pelo Banco Central.
A comunicação pública não detalha qual sistema específico foi acessado nem informa um prazo para consulta individual pelos afetados. Também não há indicação divulgada de fraude financeira associada ao episódio.
BC já registrou outros incidentes com chaves Pix
Incidentes com chaves Pix têm sido comunicados pelo Banco Central quando atingem dados cadastrais do diretório do sistema. Em agosto de 2024, houve registro de exposição de 8.032 chaves ligadas ao BTG Pactual. Em maio de 2026, outro comunicado tratou de 46 chaves expostas na Credifit.
Esses episódios não significam, automaticamente, invasão de contas ou perda de dinheiro. A preocupação principal é a engenharia social: o golpe em que o criminoso junta dados verdadeiros para ganhar a confiança da vítima e induzi-la a clicar em links, informar códigos ou autorizar transferências.
Na prática, quem receber contato em nome de banco, polícia ou serviço financeiro deve desconfiar de pedidos de senha, código de autenticação ou confirmação de transação. O Banco Central e instituições financeiras não solicitam esse tipo de dado por ligação ou mensagem. O fato confirmado é a exposição cadastral de 828 chaves; não há informação pública de que o acesso tenha permitido movimentação de valores.
