Um novo e preocupante capítulo na história da segurança digital no Brasil veio à tona nesta quarta-feira (24). O Banco Central (BC) e o Conselho Nacional de Justiça (CNJ) confirmaram que um vazamento recorde de dados ligados ao Pix expôs informações de mais de 11 milhões de brasileiros. O incidente, que aconteceu entre os dias 20 e 21 de julho, envolveu dados armazenados no Sistema de Busca de Ativos Financeiros (Sisbajud), gerido pelo CNJ. Esta é a maior violação de dados relacionada ao sistema Pix já registrada no país.
Segundo comunicado oficial, os dados expostos incluem nome completo, chave Pix, nome do banco, número da agência e número da conta. Apesar da gravidade do número de atingidos, tanto o CNJ quanto o Banco Central asseguram que nenhuma informação sensível como saldos, senhas ou extratos bancários foi comprometida. As chaves Pix, por si só, não permitem movimentação de recursos, mas a escala do incidente levanta questões urgentes sobre as medidas de proteção e vigilância cibernética adotadas por instituições públicas.
Até então, o maior vazamento registrado de dados vinculados ao Pix havia ocorrido em agosto de 2021, quando 414,5 mil chaves foram expostas. O salto para mais de 11 milhões de registros comprometidos em 2025 revela uma falha estrutural de proporções sem precedentes, justamente num período em que o Pix se consolida como o principal meio de pagamentos e transferências no Brasil.
A notícia causou forte repercussão entre especialistas em cibersegurança e direito digital, que apontam a fragilidade da estrutura pública diante de ataques ou falhas operacionais. Apesar da ausência de acesso direto a recursos financeiros, os dados vazados podem ser utilizados em fraudes sofisticadas, como ataques de engenharia social, phishing, falsificações de identidade e até golpes por aplicativos de mensagens.
O CNJ, por sua vez, anunciou que não fará contato direto com os afetados, mas se comprometeu a disponibilizar, em breve, um canal de consulta exclusivo, hospedado em seu site oficial (www.cnj.jus.br). Essa medida, no entanto, foi criticada por especialistas, que consideram insuficiente a simples disponibilização de um canal passivo. Para eles, o ideal seria um processo ativo de notificação das vítimas e orientação sobre como proceder diante do risco.
O Banco Central afirmou que já iniciou a apuração detalhada do caso e que providências administrativas e técnicas estão sendo tomadas. O sistema Pix, que é operado pelo BC, tem sido apontado como um dos maiores sucessos recentes da política monetária brasileira, superando 200 milhões de chaves cadastradas e movimentando trilhões de reais anualmente. No entanto, o episódio levanta preocupações sobre a governança e a vigilância de sistemas interligados, como o Sisbajud.
O Sisbajud é um sistema eletrônico que conecta o Judiciário diretamente com instituições financeiras, permitindo bloqueios e buscas de ativos em contas bancárias por ordem judicial. Por conter dados financeiros de milhões de brasileiros, sua segurança é considerada crítica. O vazamento demonstra que, mesmo com regulamentação severa, falhas podem ocorrer e em escala massiva.
Em nota publicada em seu portal, o CNJ reiterou que as medidas de contenção já foram tomadas e que o sistema está operando normalmente, mas não detalhou a origem ou o vetor da falha. A ausência de informações técnicas sobre como o incidente foi possível também tem sido alvo de questionamentos por parte da comunidade de segurança da informação.
O incidente reacende o debate sobre a Lei Geral de Proteção de Dados (LGPD) no Brasil e a necessidade de ações rápidas por parte da Autoridade Nacional de Proteção de Dados (ANPD). Embora a exposição de dados não inclua informações financeiras sigilosas, o simples vazamento de dados bancários e pessoais já configura violação de privacidade e pode gerar sanções e exigência de reparações.
Diversas associações de defesa do consumidor, como o Instituto de Defesa Coletiva, já se mobilizam para ingressar com ações civis públicas, exigindo do Estado medidas de compensação às vítimas e maior transparência na investigação do caso.
Para os especialistas, o evento reforça a urgência de uma infraestrutura digital estatal mais robusta, com auditorias frequentes, criptografia avançada, isolamento de bases sensíveis e um ecossistema de resposta rápida a incidentes cibernéticos. Enquanto isso, os cidadãos afetados devem redobrar a atenção a movimentações suspeitas, mensagens de bancos ou solicitações de dados pessoais, mesmo vindas de fontes aparentemente confiáveis.
