O Banco Central do Brasil confirmou o vazamento de dados cadastrais vinculados a 28.203 chaves PIX sob responsabilidade da Pefisa, fintech do grupo Pernambucanas. O incidente foi causado por falhas pontuais nos sistemas da instituição.
Os dados ficaram expostos entre 30 de agosto de 2025 e 27 de fevereiro de 2026 — cerca de seis meses. Informações como nome, CPF, número de agência, tipo e número de conta e datas vinculadas à chave PIX foram comprometidas.
A Pefisa se apresenta como uma fintech — empresa de tecnologia que oferece serviços financeiros digitais — e braço financeiro do grupo Pernambucanas. Seu portfólio inclui cartões, empréstimos pessoais, seguros e contas digitais.
De acordo com o BC, o vazamento decorreu de falhas pontuais nos sistemas da própria instituição. A exposição persistiu por quase seis meses sem que os titulares das chaves fossem comunicados durante o período.
O que foi comprometido
O conjunto de dados expostos combina identificação pessoal com informações bancárias: nome completo, CPF, instituição financeira de relacionamento, número e tipo da conta, número da agência, data de abertura da conta e datas de criação e de posse da chave PIX.
O Banco Central informou que adotou as medidas necessárias para a apuração detalhada do incidente. Sanções previstas na regulação vigente serão aplicadas à Pefisa, embora a autoridade não tenha detalhado quais penalidades estão em análise.
Os titulares das chaves afetadas serão notificados exclusivamente pelo aplicativo ou pelo internet banking de sua própria instituição de relacionamento — e não pela Pefisa diretamente. A comunicação oficial, segundo o BC, está restrita a esses canais digitais.
A determinação reforça que qualquer contato recebido por outros meios não integra o processo oficial de notificação previsto para este incidente.
Regulação e próximos passos
O Banco Central sinalizou que o caso segue em apuração detalhada e que as medidas sancionadoras cabíveis serão aplicadas com base na regulação em vigor. A autoridade não fixou prazo para a conclusão do processo nem especificou o rito disciplinar a ser adotado contra a Pefisa.
O episódio reacende o debate sobre a responsabilidade das instituições participantes do ecossistema PIX na proteção dos dados cadastrais de seus usuários e o papel do BC na fiscalização desses controles.