Vazamentos de chaves PIX: timeline dos incidentes e o que o BACEN fez

O Pix movimenta mais de R$ 1,5 trilhão por mês. É o oxigênio financeiro do varejo e das finanças pessoais no Brasil. Mas existe uma fatura indigesta nessa revolução tecnológica: a exposição quase rotineira dos nossos dados. Entre agosto de 2021 e abril de 2024, passamos da incômoda marca de 1 milhão de chaves Pix vazadas.

Quando a notícia de um vazamento quebra, o pânico é imediato. O usuário comum pensa que seu dinheiro vai sumir. O operador de fintech entra em estado de alerta. Nós, que acompanhamos os bastidores do Banco Central (BACEN) e da Comissão de Valores Mobiliários (CVM), sabemos que a realidade é um pouco mais complexa — e muito mais focada em engenharia social do que em roubo direto.

Acompanhamos de perto o amadurecimento do sistema. O BACEN não ficou parado, mas a arquitetura descentralizada do Pix cobra seu preço. Para entender o peso desses incidentes e o que mudou na regulação, precisamos dissecá-los.

O coração do problema: O DICT

Como chegamos a mais de um milhão de dados expostos? Precisamos olhar para o motor do sistema: o DICT (Diretório de Identificadores de Contas Transacionais).

Pense no DICT como uma lista telefônica gigantesca e criptografada mantida pelo Banco Central. Quando você digita o CPF de um amigo no Nubank, Mercado Pago ou Stone, o aplicativo manda uma pergunta rápida para o DICT: "De quem é esse CPF?". O DICT responde com o nome do seu amigo, o banco dele e parte do CPF mascarado (ex: *.123.456-).

O Banco Central nunca foi hackeado. A infraestrutura do BACEN é uma fortaleza. O calcanhar de Aquiles está nas portas de acesso a essa fortaleza.

Cada banco, cooperativa ou fintech participante do Pix tem uma "chave da porta" (uma API) para consultar o DICT. O que os criminosos fazem não é arrombar o BACEN. Eles encontram uma fintech com a porta mal trancada e começam a fazer milhares de perguntas automatizadas por segundo. Testam números de telefone sequenciais ou listas de CPFs compradas na dark web. A API da fintech, sem mecanismos de defesa adequados, devolve os dados reais validados pelo DICT. Chamamos isso de ataque de enumeração ou scraping.

Cronologia dos grandes vazamentos de chaves Pix

O mercado brasileiro viveu sobressaltos específicos que forçaram o regulador a agir. Mapeamos os principais eventos que desenharam a atual política de segurança cibernética do Sistema Financeiro Nacional.

Agosto de 2021: O choque de realidade no Banese

O primeiro grande susto aconteceu com o Banco do Estado de Sergipe (Banese). Foram 395.009 chaves Pix vazadas. Na época, o Pix não tinha nem um ano de vida.

Criminosos exploraram vulnerabilidades no aplicativo do banco para disparar consultas massivas ao DICT. Os dados expostos incluíam nome do usuário, CPF com máscara, instituição de relacionamento e número da agência/conta. O impacto psicológico no mercado foi brutal. Descobrimos da pior forma que a segurança do ecossistema Pix é nívelada pela instituição mais fraca da rede.

Janeiro e Fevereiro de 2022: Acesso Soluções e Logbank

O ano de 2022 começou quente. Em janeiro, a Acesso Soluções de Pagamento reportou o vazamento de 160.147 chaves. Apenas um mês depois, a Logbank comúnicou a exposição de 2.112 chaves.

Os métodos foram idênticos ao caso do Banese: falhas na limitação de requisições (raté limit). Os sistemas dessas instituições permitiram que scripts automatizados varressem o DICT sem disparar alarmes internos de segurança.

Setembro de 2022: O caso Abastece Aí

O aplicativo de pagamentos Abastece Aí, ligado à rede de postos Ipiranga, sofreu um incidente que expôs 137.285 chaves.

Aqui, o mercado já operava sob novas regras do BACEN, mas o incidente provou que a implementação técnica de bloqueios anti-fraude em aplicativos de varejo ainda patinava. O ecossistema percebeu que empresas que nasceram no varejo e migraram para serviços financeiros (embedded finance) subestimavam o peso da segurança bancária.

Março e Abril de 2024: A nova onda com Fidúcia, Iugu e Pagcerto

Após um 2023 relativamente silencioso em grandes anúncios, 2024 trouxe uma nova enxurrada. Em março, a Fidúcia Sociedade de Crédito reportou 46.093 chaves vazadas. Em abril, um incidente duplo envolveu a Iugu e a Pagcerto, somando 87.368 chaves expostas.

Esses incidentes mais recentes ligaram um alerta vermelho no COAF e no BACEN. Observamos que os criminosos refinaram suas rotinas de extração, operando logo abaixo dos radares de limite de consultas recém-impostos pelas instituições menores.

A contra-ofensiva do Banco Central

Roberto Campos Neto e a diretoria técnica do BACEN não ficaram assistindo. A autarquia operou em duas frentes: punição e barreira arquitetônica.

O estrangulamento das consultas (Raté Limiting)

A primeira ação letal do BACEN foi alterar o manual do DICT. O Banco Central impôs limites estritos sobre quantas consultas uma instituição pode fazer por segundo, por usuário e por origem de IP.

Se você opera um e-commerce ou uma fintech hoje, preste atenção aqui. O BACEN agora exige que sua API tenha inteligência para bloquear um usuário que tenta consultar 50 CPFs em um minuto sem concluir nenhuma transferência. O chamado circuit breaker do DICT derruba a conexão da instituição parceira se ela enviar um volume anômalo de consultas.

Resoluções e o Manual de Penalidades

O BACEN atualizou a Resolução BCB nº 147, que estabelece requisitos mínimos para políticas de segurança cibernética. As instituições passaram a ser obrigadas a realizar testes de intrusão recorrentes específicamente em seus módulos do Pix.

Na prática, o bolso pesou. O Manual de Penalidades do Pix foi ajustado. Uma instituição que permite o vazamento de chaves por negligência técnica comprovada pode ser multada em até R$ 1 milhão por infração, além de sofrer suspensão temporária do acesso ao DICT. Suspender o Pix de um banco digital por 24 horas é essencialmente uma sentença de morte comercial.

O protocolo de transparência forçada

Uma das medidas mais assertivas do regulador foi proibir o abafamento dos casos. Quando um vazamento ocorre, o BACEN assume a comúnicação pública.

A regra é clara: a instituição de origem do vazamento não pode mandar e-mail, SMS ou WhatsApp para o cliente — canais fácilmente fraudáveis. A comúnicação oficial ocorre exclusivamente dentro do aplicativo do banco onde o cliente tem a chave registrada, através de mensagens seguras no extrato. Isso eliminou a chance de golpistas usarem a notícia do vazamento para aplicar novos golpes.

O que isso significa para o leitor e para o mercado

A realidade nua e crua: sua chave Pix provavelmente já vazou ou vai vazar. E isso muda a forma como você deve operar sua vida financeira.

Para o usuário final: A ameaça do Phishing

Os dados roubados do DICT (nome, CPF parcial, banco) não permitem que ninguém tire dinheiro da sua conta. O sistema Pix exige autenticação via token, biometria ou senha dentro do aplicativo.

O perigo real é a engenharia social. Os golpistas usam esses dados precisos para criar roteiros perfeitos. Eles ligam para você se passando pelo Nubank, Bradesco ou Itaú. Eles sabem seu nome completo, parte do seu CPF e sabem exatamente em qual banco você tem conta. Com essa "autoridade", convencem você a instalar um aplicativo de acesso remoto ou a transferir dinheiro para uma "conta segura".

O vazamento alimenta a indústria do golpe do falso funcionário.

Para as Fintechs: O custo de compliance explodiu

Se você está montando uma Instituição de Pagamento (IP) ou uma Sociedade de Crédito Direto (SCD), o jogo mudou.

Há cinco anos, o foco era ter um aplicativo bonito e onboarding rápido. Agora em 2024, infraestrutura de segurança cibernética representa a maior fatia do orçamento de tecnologia das fintechs entrantes.

Manter conexão direta com o DICT exige times de monitoramento 24/7, firewalls de aplicação (WAF) agressivos e auditorias externas constantes. Observamos um movimento de consolidação: muitas fintechs menores estão desistindo de ser participantes diretas do Pix e optando por usar a infraestrutura de bancos maiores (participantes indiretos) simplesmente porque o custo de manter a segurança exigida pelo BACEN ficou impagável.

O horizonte do sistema de pagamentos

O Pix é um sucesso global irreversível. Bancos centrais da Colômbia ao Canadá olham para o modelo brasileiro como o padrão ouro de pagamentos instantâneos.

Contudo, a descentralização que permitiu a adoção em massa — onde centenas de pequenas empresas podem plugar seus sistemas no BACEN — é uma faca de dois gumes. O desafio para os próximos anos não é a velocidade da transação, mas a blindagem das pontas.

O Banco Central continuará apertando o cerco. As multas ficarão mais pesadas. A integração da inteligência artificial nos sistemas antifraude do DICT já é uma realidade em testes. O sistema amadurece através de suas cicatrizes. E no ecossistema financeiro brasileiro, a dor de hoje é a regra de compliance de amanhã.