O Banco Central informou que ocorreu o primeiro incidente envolvendo dados de chaves Pix em 2026, após a exposição de informações cadastrais de 5.290 clientes do Banco Agibank S.A. O caso marca o 21º registro desse tipo desde a criação do sistema de pagamentos instantâneos, lançado em novembro de 2020. Embora o impacto seja considerado baixo, a autoridade monetária decidiu divulgar o episódio como parte da política de transparência adotada pela instituição. A comunicação oficial ocorreu após a identificação de falhas pontuais nos sistemas da instituição financeira responsável pelos dados.
Segundo o Banco Central, a exposição aconteceu durante um período específico, quando determinadas informações ficaram temporariamente visíveis a terceiros. Entre os dados acessados estavam nome do usuário, CPF com parte da numeração mascarada, instituição financeira vinculada, além de agência, número e tipo da conta bancária. No entanto, o órgão reforçou que nenhuma informação protegida por sigilo bancário foi comprometida. Dessa forma, saldos, senhas, extratos ou qualquer dado financeiro sensível permaneceram seguros, sem risco direto de movimentação indevida de valores.
Ainda conforme o comunicado, o incidente ocorreu exclusivamente por falhas técnicas internas nos sistemas da instituição de pagamento, não estando relacionado a ataques externos confirmados até o momento. Apesar de a legislação não exigir divulgação pública em casos de baixo impacto potencial, o Banco Central optou por tornar o fato público para garantir clareza e confiança no funcionamento do sistema Pix. Além disso, o órgão destacou que a exposição de dados não significa necessariamente que todas as informações tenham sido efetivamente vazadas, mas sim que ficaram acessíveis por determinado período e podem ter sido visualizadas.
Os clientes afetados serão comunicados exclusivamente pelos canais oficiais do Banco Agibank, como aplicativo e internet banking. O Banco Central alertou que qualquer contato realizado por telefone, mensagens de texto, aplicativos de conversa ou e-mail deve ser ignorado, pois não faz parte do procedimento oficial. O objetivo do aviso é evitar golpes virtuais, já que criminosos costumam aproveitar situações semelhantes para aplicar fraudes utilizando engenharia social. Assim, a recomendação principal é que os usuários acompanhem apenas comunicações dentro das plataformas oficiais da instituição financeira.
O caso seguirá sob investigação e poderá resultar em sanções administrativas, dependendo da gravidade das falhas identificadas. A legislação prevê penalidades que incluem multas, suspensão das operações e até exclusão da instituição do sistema Pix em situações mais graves. O Banco Central ressaltou ainda que, em todos os incidentes registrados desde a criação do sistema, apenas dados cadastrais foram expostos, sem comprometimento de senhas ou valores financeiros. Em cumprimento à Lei Geral de Proteção de Dados (LGPD), a autoridade mantém uma página pública onde cidadãos podem acompanhar registros relacionados à segurança de dados vinculados ao Pix e a outras informações pessoais sob sua responsabilidade.
