O Banco Central confirmou que 28.203 chaves Pix vinculadas à Pefisa S.A., braço financeiro das Lojas Pernambucanas, ficaram expostas devido a falhas sistêmicas entre 30 de agosto de 2025 e 27 de fevereiro de 2026. O episódio representa o terceiro vazamento envolvendo o Pix em 2026 e reacende o debate sobre a governança de segurança no ecossistema de pagamentos digitais brasileiro.
Segundo o BC, as informações expostas incluem dados cadastrais como nome completo do titular, CPF, instituição de relacionamento, número de agência, tipo e número de conta, além das datas de abertura da conta e criação da chave Pix. Não houve comprometimento de senhas, saldos ou histórico de transações, de acordo com a autoridade monetária. A Pefisa atende cerca de 5 milhões de clientes ativos, funcionando como o braço financeiro do grupo Pernambucanas.
Em alinhamento com a apuração regulatória, o BC ressalta que o vazamento ocorreu de modo pontual e classificou o impacto como baixo. No entanto, o incidente eleva o risco de golpes de engenharia social e de fraude direcionada aos clientes afetados, destacando a importância de reforçar controles de acesso e monitoramento.
O panorama de incidentes com Pix é marcado por repetição: apenas em 2026 já foram expostas mais de 33,5 mil chaves Pix em diferentes instituições, configurando um padrão sistêmico que demanda ações urgentes de cibersegurança nas instituições financeiras, fintechs e no próprio ecossistema de pagamentos instantâneos.
Reguladores indicaram que a Pefisa será alvo de sanções previstas pela regulamentação vigente e que os clientes deverão ser notificados exclusivamente pelos canais oficiais da instituição (aplicativo móvel ou internet banking). O BC ainda orienta que usuários ignorem mensagens de outras fontes para evitar golpes que exploram o contexto do vazamento.
Para executivos de TI, o caso reforça a necessidade de uma abordagem de segurança em camadas, criptografia de dados em repouso e em trânsito, autenticação multifator para acessos administrativos e segmentação de redes. Além disso, especialistas defendem testes de penetração trimestrais, uso de soluções de prevenção contra perda de dados (DLP) e capacitação contínua de equipes em desenvolvimento seguro para reduzir o tempo de detecção e resposta a incidentes.
