s recentes incidentes envolvendo o vazamento de dados e chaves Pix no Brasil revelam não apenas fragilidades tecnológicas, mas também desafios regulatórios e jurídicos de grande complexidade. Embora a narrativa oficial destaque que apenas dados cadastrais foram expostos — sem comprometimento direto de senhas, saldos ou transações —, o risco decorrente desse tipo de informação para a prática de golpes digitais é concreto e crescente.

Em março de 2025, o Banco Central do Brasil (BCB) confirmou o vazamento de 25.349 chaves Pix vinculadas à fintech QI SCD. Os dados expostos incluíam nome, CPF (parcialmente mascarado), número e tipo de conta, e agência.

Em julho de 2025, outro episódio de grande escala veio à tona: o Conselho Nacional de Justiça (CNJ) reportou falha no sistema Sisbajud, com a exposição de 46,8 milhões de chaves Pix de mais de 11 milhões de usuários.

No mesmo período, uma ocorrência de maior gravidade operacional envolveu a C&M Software, prestadora de serviços tecnológicos no âmbito do Sistema de Pagamentos Brasileiro (SPB). Um ataque cibernético sofisticado, potencializado por ação interna maliciosa, permitiu transações fraudulentas de valores elevados, ainda que sem afetar diretamente contas de clientes finais.

Esses casos revelam três camadas distintas de risco:

Vazamentos acidentais ou por falha técnica;

Falhas sistêmicas em plataformas oficiais;

Ameaças internas e ataques coordenados de alta complexidade.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabelece, em seu art. 46, que os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e de situações ilícitas ou acidentais de destruição, perda, alteração, comunicação ou difusão.

O Banco Central, por sua vez, editou norma específica determinando que qualquer incidente envolvendo chaves Pix deve ser comunicado ao cliente de forma imediata, clara e segura, utilizando apenas canais oficiais. Essa exigência dialoga com o princípio da transparência (art. 6º, VI, da LGPD) e com o dever de informação previsto no art. 6º, III, do Código de Defesa do Consumidor.

O descumprimento desses deveres pode acarretar sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), multas do próprio BCB e, sobretudo, responsabilização civil perante o consumidor.

A responsabilidade civil das instituições financeiras em tais casos é, via de regra, objetiva, nos termos do art. 14 do CDC e da Súmula 479 do STJ, que dispõe:

"As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

O vazamento de dados cadastrais, embora não envolva diretamente transações financeiras, integra o fortuito interno: decorre de risco inerente à atividade bancária e aos sistemas de pagamento que administram ou operam.

A jurisprudência do STJ tem reiterado que a instituição responde inclusive por fraudes praticadas por terceiros quando demonstrada a relação causal com falha na segurança, como no REsp 1.479.419/SP.

A interpretação restritiva de que dados como nome, CPF, número de conta e agência seriam inofensivos não resiste a uma análise técnica e criminológica. Tais informações, quando combinadas com técnicas de engenharia social, são insumos valiosos para:

Aplicação de golpes por telefone ou aplicativos de mensagens (falsas confirmações, phishing direcionado);

Abertura de contas fraudulentas;

Emissão de boletos adulterados;

Exploração de falhas em sistemas de autenticação simplificada.

Assim, mesmo na ausência de dano imediato, a potencialidade lesiva já configura risco jurídico relevante e exige postura diligente e preventiva das instituições financeiras.

Além de prevenir, as instituições têm o dever de agir de forma proativa após um incidente:

Comunicar o cliente de forma transparente e tempestiva;

Oferecer mecanismos de monitoramento de possíveis usos indevidos dos dados;

Reforçar autenticações e protocolos de segurança para os titulares afetados;

Cooperar com investigações de órgãos como BCB, ANPD e Polícia Federal.

A omissão ou demora na comunicação potencializa a responsabilidade civil, por agravar o risco ao consumidor.

O Pix se consolidou como um dos maiores instrumentos de pagamento instantâneo do mundo, sustentando a credibilidade do sistema financeiro nacional. Entretanto, a manutenção dessa confiança depende de níveis elevados de governança, segurança da informação e responsabilidade institucional.

Os recentes vazamentos demonstram que não basta afirmar que “dados sensíveis não foram expostos”. A integridade do sistema exige tratamento preventivo e corretivo adequado a todo tipo de dado pessoal — especialmente aqueles que, isolados ou combinados, possam servir de base para fraudes.

Do ponto de vista jurídico, o cenário reforça que a responsabilidade das instituições financeiras é:

Objetiva, por força do CDC;

Ampliada pela LGPD, quanto ao dever de segurança e transparência;

Potencialmente sancionada por múltiplas esferas regulatórias (ANPD, BCB e Judiciário).

A resposta a esses incidentes precisa ir além do discurso e se traduzir em investimento contínuo em segurança digital, protocolos de prevenção robustos e mecanismos efetivos de reparação, garantindo que a inovação no sistema financeiro caminhe lado a lado com a proteção do consumidor e a preservação da confiança pública.

*Andrea Mottola é advogada especialista em Direito do Consumidor e Direito Digital