BC comunica vazamento de dados PIX na Polícia Civil do Maranhão

O Banco Central confirmou na sexta-feira (12 de junho) a ocorrência de um incidente de segurança envolvendo a plataforma PIX que resultou na exposição de dados cadastrais de oitocentas e vinte e oito chaves de transferência instantânea. O incidente decorre de acessos não autorizados ao sistema operacional utilizado pela Polícia Civil do Estado do Maranhão, tendo sido detectado entre os dias vinte e três e trinta de abril. Conforme comunicado da autoridade monetária, as informações vazadas caracterizam-se exclusivamente como dados cadastrais, não ensejando risco de movimentação financeira ou acesso às contas bancárias das pessoas afetadas.

Contexto

O PIX consolidou-se como infraestrutura crítica do sistema financeiro nacional desde seu lançamento no final de dois mil e vinte. A plataforma processa bilhões de transações diariamente e integra-se aos sistemas de órgãos públicos, instituições financeiras e empresas privadas. A expansão dessa integração amplifica a superfície de ataque para acessos indevidos, como demonstram os incidentes sucessivos registrados ao longo do exercício fiscal de dois mil e vinte e quatro. Órgãos de segurança, incluindo polícias estaduais, utilizam consultas ao PIX para atividades investigativas e administrativas, funcionando como ponto de convergência entre infraestrutura financeira e operações de segurança pública. Essa confluência gera riscos específicos quando protocolos de autenticação e autorização não são rigorosamente implementados.

O que foi decidido

O Banco Central comunicou oficialmente o incidente sem impor punições imediatas à Polícia Civil do Maranhão. A comunicação reconhece que credenciais de acesso foram utilizadas irregularmente, possibilitando consultas não autorizadas no sistema policial que fornecia informações ao ecosistema do PIX. Os dados expostos abrangem: nome de usuário, cadastro de pessoa física (CPF), instituição bancária relacionada, número da agência, número da conta e data de criação da chave PIX. O Banco Central reafirmou explicitamente que informações sensíveis—como senhas, históricos de movimentações, saldos e outras informações sob proteção de sigilo bancário—não foram comprometidas. A Polícia Civil do Maranhão foi responsabilizada por divulgar canal oficial para consulta e esclarecimento aos potenciais afetados, sendo vedado ao Banco Central e às instituições financeiras qualquer contato telefônico, por mensageiros ou correspondência sobre o tema, diminuindo risco de golpes secundários.

Base normativa e precedentes

• Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD): Artigos 5º (definições), 32 (dever de segurança técnica), 33 (comunicação de incidente) e 42 (responsabilidade civil). Obriga o controlador de dados a implementar medidas técnicas e administrativas adequadas e a comunicar incidentes à autoridade nacional quando houver risco aos direitos fundamentais dos titulares.

• Lei Complementar nº 128/2008 (Banco Central): Confere ao Banco Central competência de supervisão sobre infraestruturas críticas de pagamentos, incluindo o Sistema de Pagamentos Instantâneos (PIX).

• Resolução nº 4.893/2020 (Banco Central): Estabelece requisitos de segurança operacional para operadores de sistemas de pagamento de importância sistêmica e para participantes diretos e indiretos.

• Jurisprudência consolidada: A responsabilidade civil por vazamento de dados inscreve-se tanto no regime da LGPD quanto na responsabilidade civil extracontratual (artigos 927 a 954 do Código Civil), podendo gerar condenações por dano moral e material aos afetados, conforme a jurisprudência dos tribunais estaduais e do Superior Tribunal de Justiça.

Impacto prático

Os oitocentos e vinte e oito titulares de chaves PIX potencialmente afetados enfrentam exposição de dados que, embora limitada a informações cadastrais, possibilita engenharia social e fraudes direcionadas. Golpistas podem utilizar nome, CPF e instituição bancária para simular comunicações falsas do próprio banco ou de órgãos públicos, solicitando códigos de autenticação, senhas ou dados sensíveis adicionais. Profissionais de segurança da informação recomendão especial vigilância em contatos não solicitados por telefone, mensagens de texto (SMS), aplicativos de mensageria instantânea (WhatsApp, Telegram), correio eletrônico ou links encurtados. A Polícia Civil do Maranhão instrui que a população evite compartilhar senhas, códigos de autenticação dinâmica (um tempo—OTP) ou outras credenciais com qualquer entidade, pública ou privada. Para advogados e consultores empresariais, o incidente evidencia a urgência de auditorias de controle de acesso em sistemas que armazenam informações financeiras ou identificadoras; violações em órgãos públicos geram exposição reputacional e potencial responsabilidade civil para a administração. Instituições financeiras que integram sistemas governamentais devem implementar vigilância ativa de anomalias em padrões de consulta.

O que observar

Este é o quinto incidente de segurança envolvendo a infraestrutura PIX registrado em dois mil e vinte e quatro, incluindo incidentes anteriores envolvendo Agibank, Ministério Público do Estado de Goiás, Pefisa e Credift. A recorrência sugere fragilidades sistêmicas em modelos de controle de acesso e gestão de credenciais em organismos que atuam como intermediários entre o PIX e usuários finais. Resta aguardar regulamentação específica do Banco Central sobre segurança mínima obrigatória para órgãos e instituições com acesso ao PIX. A LGPD pode gerar condenações a órgãos públicos em ações coletivas ou individuais de consumidores e cidadãos; a Lei de Acesso à Informação (Lei 12.527/2011) não oferece impedimento para titulares requererem informações sobre medidas corretivas adotadas. Profissionais em direito digital devem acompanhar eventual regulamentação do Banco Central acerca de certificações e auditorias obrigatórias, bem como molduragem de seguro de responsabilidade civil para intermediários do PIX.