Falha grave no CNJ compromete dados de 11 milhões de chaves Pix; entenda os riscos

O Brasil enfrenta mais um grave alerta de segurança digital. Um acesso indevido ao sistema Sisbajud, utilizado pelo Conselho Nacional de Justiça (CNJ) em parceria com o Banco Central, expôs informações vinculadas a mais de 11 milhões de chaves Pix. O incidente representa um dos maiores vazamentos envolvendo dados bancários no país.

Apesar de o Banco Central garantir que não houve comprometimento de saldos ou senhas, a exposição de dados cadastrais, como número da conta e agência, levanta preocupações sérias quanto ao uso indevido dessas informações por criminosos digitais.

LEIA MAIS:

• PIX automático e golpes: veja como se proteger das fraudes mais recentes
• Pix supera promessas das criptomoedas, diz Nobel de Economia Paul Krugman
• Fim dos cartões de crédito? Entenda os impactos do Pix

Vazamento de chaves Pix: O que aconteceu no Sisbajud?

A falha no sistema

O sistema Sisbajud, que permite o bloqueio e rastreamento de ativos financeiros por determinação judicial, teve uma vulnerabilidade explorada nos dias 20 e 21 de julho de 2025. Durante esse período, houve um acesso não autorizado a informações bancárias armazenadas no ambiente da ferramenta.

Segundo o comunicado oficial, o problema foi “imediatamente corrigido”, e o sistema voltou ao funcionamento normal após ações emergenciais de reforço na segurança.

Número de pessoas afetadas

Foram afetadas 11.003.398 pessoas, cujos dados cadastrais vinculados às chaves Pix ficaram expostos. Esses dados incluem:

• Nome completo do titular da chave
  
• Instituição financeira vinculada
  
• Número da agência bancária
  
• Número da conta
  
• Tipo da chave Pix (como CPF, e-mail ou telefone)
  

Essas informações, embora não envolvam diretamente o acesso ao dinheiro, podem ser utilizadas em golpes sofisticados, como engenharia social e tentativas de invasão a contas.

O que dizem os órgãos oficiais?

Posição do Banco Central

Em nota divulgada à imprensa, o Banco Central afirmou que o incidente não comprometeu o funcionamento do Pix nem afetou os sistemas operados diretamente pela autoridade monetária. Segundo a entidade, não houve qualquer acesso a senhas, extratos, saldos ou dados protegidos por sigilo bancário.

A instituição destacou que a vulnerabilidade se concentrou exclusivamente no ambiente do CNJ, no qual o Banco Central atua de forma técnica para viabilizar o funcionamento da integração com o sistema financeiro nacional.

Posição do CNJ

O Conselho Nacional de Justiça declarou que o problema foi rapidamente detectado e solucionado. Além disso, o órgão enfatizou que está adotando medidas adicionais para reforçar o ambiente de tecnologia da informação do Sisbajud, evitando novas ocorrências.

O CNJ informou ainda que comunicou oficialmente o caso à Autoridade Nacional de Proteção de Dados (ANPD) e à Polícia Federal, como determina a Lei Geral de Proteção de Dados (LGPD).

Quais são os riscos para a população?

Riscos diretos e indiretos

Embora os dados vazados sejam classificados como “cadastrais”, o vazamento representa um risco real. Informações como nome, número da conta e chave Pix podem ser suficientes para a aplicação de golpes personalizados, principalmente por meio de mensagens fraudulentas.

Esses golpes utilizam engenharia social para convencer a vítima a clicar em links maliciosos ou fornecer dados adicionais que completam o acesso indevido às suas contas bancárias.

Potenciais fraudes

Entre os principais golpes que podem surgir com base nas informações vazadas estão:

• Phishing bancário por SMS ou e-mail
  
• Falsas cobranças ou boletos usando os dados do cliente
  
• Tentativas de recuperação de senhas via telefone ou sites clonados
  
• Uso das informações em simulações de empréstimos ou cadastros em instituições financeiras
  

Medidas de segurança recomendadas

Orientações do CNJ

O CNJ já anunciou que irá disponibilizar um canal específico em seu site para que os cidadãos verifiquem se estão entre os afetados pelo incidente. O órgão também orienta que não realiza contato com usuários por SMS, e-mail ou telefone, e alerta para que desconfie de qualquer tentativa de abordagem nesses canais.

Boas práticas para os usuários

Enquanto isso, especialistas em cibersegurança recomendam a adoção de medidas de prevenção, como:

• Não clicar em links suspeitos
  
• Utilizar autenticação em dois fatores (2FA)
  
• Evitar compartilhar dados bancários em redes sociais ou aplicativos não verificados
  
• Manter aplicativos e sistemas atualizados
  
• Verificar regularmente movimentações bancárias
  

O papel da LGPD nesse tipo de incidente

Legislação em vigor

A Lei Geral de Proteção de Dados Pessoais (LGPD) prevê no artigo 48 que qualquer incidente de segurança que possa representar risco ou dano relevante ao titular deve ser comunicado imediatamente às autoridades e ao titular.

O CNJ, ao comunicar a ANPD e a Polícia Federal, cumpre essa obrigação legal, mas o incidente evidencia a necessidade de aprimoramento contínuo das infraestruturas tecnológicas dos órgãos públicos.

Responsabilidades dos gestores públicos

Segundo especialistas, os gestores de sistemas públicos precisam manter protocolos rigorosos de segurança da informação, principalmente em ambientes sensíveis como o Sisbajud, que interage diretamente com o sistema financeiro nacional.

A exposição de dados de mais de 11 milhões de pessoas é considerada de alto impacto, exigindo não apenas correções imediatas, mas também auditorias e medidas preventivas de longo prazo.

Investigações e desdobramentos

Atuação da Polícia Federal

A Polícia Federal abriu inquérito para investigar a origem da falha e identificar possíveis responsáveis, internos ou externos. A investigação irá apurar se houve ação maliciosa intencional, negligência técnica ou falha humana.

Os resultados do inquérito poderão embasar sanções administrativas, civis e criminais, de acordo com o grau de envolvimento ou omissão detectado.

Fiscalização da ANPD

A Autoridade Nacional de Proteção de Dados também iniciou um processo de fiscalização sobre o incidente. A ANPD poderá aplicar penalidades administrativas ao CNJ, que incluem advertência, multa e até suspensão parcial das operações de tratamento de dados.

O que pode mudar após o incidente?

Debate sobre cibersegurança no setor público

O episódio deve intensificar o debate sobre os investimentos em cibersegurança no setor público. Diversos especialistas já vinham alertando para fragilidades em sistemas de integração entre órgãos da Justiça e instituições financeiras.

A falha no Sisbajud reforça a necessidade de planos de contingência, testes de invasão e atualizações constantes nos sistemas utilizados por órgãos públicos.

Impactos na confiança da população

Casos como este podem afetar a confiança da população em serviços públicos digitais. A segurança dos dados tornou-se um elemento essencial da prestação de serviços, especialmente no contexto do crescimento do uso do Pix e de plataformas online para movimentações financeiras.

A falha de segurança no CNJ que resultou na exposição de dados de mais de 11 milhões de chaves Pix evidencia uma lacuna preocupante na proteção das informações pessoais no Brasil. Mesmo que os dados comprometidos não permitam movimentações financeiras, seu uso em fraudes digitais representa um risco real e imediato para a população.

O caso ressalta a importância de investimentos contínuos em tecnologia da informação, capacitação das equipes técnicas e aplicação rigorosa da LGPD. Para os cidadãos, o episódio serve como alerta para redobrar os cuidados com a segurança digital e estar atento a qualquer movimentação ou contato suspeito.

Enquanto isso, cabe ao Estado garantir não apenas a reparação do dano, mas a construção de um sistema mais seguro e transparente, capaz de preservar a integridade dos dados dos brasileiros em todos os ambientes digitais.