O Banco Central do Brasil divulgou, em comunicado público, um incidente de segurança que envolveu a exposição de chaves Pix vinculadas ao Agibank. Segundo a autoridade, o episódio está relacionado a problemas em sistemas de um prestador de serviços terceirizado, identificado como JD Consultores, e resultou na obtenção de informações cadastrais de clientes.
A comunicação oficial destaca que dados sensíveis como senhas, extratos e saldos financeiros não foram acessados.
O intervalo em que o vazamento ocorreu foi entre 26 de dezembro de e 30 de janeiro de , e a nota do Banco Central com a divulgação pública foi publicada em 13 de fevereiro de . Ao todo, foram identificadas 5.290 chaves Pix com informações expostas: nome dos titulares, CPF com máscara, instituição de relacionamento, número da agência e tipo e número de conta. O BC qualificou o episódio como de baixo impacto potencial para movimentação financeira, mas alertou para o risco de engenharia social a partir dos dados vazados.
O que aconteceu e como os atacantes atuaram
Segundo apurações iniciais, a invasão envolveu o roubo de certificados digitais armazenados em servidores antigos da consultoria terceirizada. Ter arquivos criptográficos em posse de agentes não autorizados permite a criação de credenciais que simulam acessos legítimos, o que, na prática, abre caminho para ataques sofisticados contra a infraestrutura de pagamento instantâneo. Equipes de segurança de instituições financeiras foram acionadas para proceder à troca emergencial dessas chaves e ao inventário completo dos acessos.
O papel da consultoria e o risco de pontos concentrados
A JD Consultores, que afirma processar uma fatia relevante das transações do Pix, prestava serviços a diversas instituições. Essa concentração de informações em um único fornecedor transformou sistemas legados em potenciais pontos únicos de falha. O incidente evidencia como a terceirização inadequada e a falta de controle sobre armazenamento de segredos podem ampliar o alcance de uma invasão, afetando não só uma instituição — no caso, o Agibank —, mas também outras que tenham usado os mesmos serviços.
Impacto declarado e medidas recomendadas
O Banco Central e o Agibank afirmaram que as informações obtidas têm caráter cadastral e, portanto, não permitem a movimentação de recursos. Mesmo assim, o BC orientou que as comunicações oficiais aos afetados sejam feitas exclusivamente pelo aplicativo ou pelo internet banking do Agibank, advertindo contra mensagens por telefone, SMS, e-mail ou aplicativos de terceiros, que podem ser tentativas de phishing. Além disso, o regulador anunciou que vai aplicar as medidas sancionatórias previstas na regulação vigente e manter a transparência do processo investigativo.
Ações técnicas e procedimentos de contenção
Como resposta imediata, as equipes de segurança das instituições envolvidas iniciaram a revogação e substituição de certificados herdados, revisão de políticas de armazenamento de segredos e inventário completo de acessos e credenciais. O Agibank declarou que identificou e corrigiu o problema de forma pontual e que, até o momento, não há relatos de prejuízo financeiro para clientes. A experiência sublinha a importância de práticas robustas de governança de chaves criptográficas e de políticas de segurança da informação em fornecedores terceirizados.
Lições e contexto mais amplo
O episódio reacende um debate recorrente sobre centralização versus autossoberania na gestão de dados financeiros. Enquanto sistemas centralizados concentram responsabilidade e exposição, soluções descentralizadas buscam reduzir a dependência de intermediários. Em termos práticos, a recomendação a clientes e instituições é reforçar processos de verificação, adotar autenticação multifator quando disponível e garantir que fornecedores cumpram normas de segurança e retenção mínima de segredos. Para o ecossistema, fica a necessidade de fiscalização mais rigorosa e de controles que evitem que certificados antigos permaneçam ativos.
Por fim, embora o evento tenha sido classificado como de baixo impacto potencial em relação à movimentação de fundos, a divulgação pública feita pelo Banco Central mostra o compromisso com a transparência e a importância de que usuários fiquem atentos a comunicações oficiais e às práticas de proteção de seus dados cadastrais.