Falha em Agibank expõe dados de mais de 5 mil chaves Pix
O Banco Central do Brasil (BC) confirmou nesta sexta-feira (13) que um incidente de segurança envolvendo o Banco Agibank S.A. resultou na exposição de dados cadastrais de 5.290 chaves Pix. O episódio, que envolve informações sensíveis dos clientes, acende alertas sobre a proteção de dados financeiros no país e a necessidade de mecanismos mais robustos de prevenção a incidentes cibernéticos em instituições financeiras.
De acordo com o BC, o período afetado compreende registros cadastrados entre 26 de dezembro de 2025 e 30 de janeiro de 2026. Os dados expostos incluem nome do usuário, CPF com máscara, instituição de relacionamento, número da agência e número e tipo da conta. Não houve, porém, vazamento de informações sensíveis como senhas, movimentações financeiras ou saldos bancários. Segundo o órgão, “as informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”.
Comunicação restrita aos clientes
O Banco Central detalhou que os clientes afetados serão informados exclusivamente por meio do aplicativo ou do internet banking do Agibank. A instituição esclareceu que não utilizará outros canais, como mensagens de texto, e-mails ou ligações telefônicas, para notificar os usuários, reforçando o controle e a segurança da comunicação.
O BC afirmou ainda que todas as medidas previstas na regulação vigente já foram adotadas para apuração detalhada do incidente, incluindo auditoria dos sistemas e reforço na segurança da plataforma Pix do banco. Apesar de não haver obrigação legal de divulgar o caso publicamente, o BC optou pela transparência como princípio de atuação institucional.
Histórico de irregularidades e problemas anteriores
O episódio da falha em Agibank não é isolado. Em fevereiro de 2026, Gilberto Waller Júnior, presidente do Instituto Nacional do Seguro Social (INSS), revelou que cerca de 2 mil empréstimos consignados foram liberados a aposentados e pensionistas já falecidos, majoritariamente por meio do Agibank. O relato ocorreu durante audiência da CPMI do INSS, que investiga fraudes e irregularidades em contratos de crédito consignado.
Segundo o presidente do INSS, falhas na verificação de identidade permitiram a liberação irregular dos empréstimos, evidenciando fragilidades nos processos de controle e segurança do banco. Em agosto de 2025, o instituto chegou a suspender temporariamente o contrato com o Agibank, responsável pelo pagamento de benefícios previdenciários, para apurar denúncias de descumprimentos contratuais graves.
Entre as irregularidades detectadas pelo INSS estavam a interceptação e o redirecionamento de chamadas à Central 135, recusas à portabilidade de benefícios, retenção indevida de valores e convocações obrigatórias a agências físicas. O instituto classificou as práticas como infração gravíssima e afirmou que a suspensão visou preservar transparência e segurança nos pagamentos. O Agibank, por sua vez, negou qualquer irregularidade, garantindo que atua dentro das normas e busca retomar integralmente os serviços operacionais com o INSS.
Impactos da exposição de dados
A falha em Agibank evidencia riscos potenciais de incidentes de segurança em bancos que operam com Pix e outros meios de pagamento digital. Embora não haja comprometimento direto de fundos ou senhas, o vazamento de informações cadastrais pode facilitar golpes, phishing e tentativas de fraude. Especialistas em segurança digital alertam que dados como CPF, agência e tipo de conta podem ser utilizados em esquemas de engenharia social.
Além disso, incidentes dessa natureza reforçam a importância de processos internos de auditoria contínua, monitoramento de acessos e atualização de protocolos de segurança, especialmente em instituições que gerenciam grande volume de transações financeiras e dados sensíveis de clientes.
Reforço na governança e medidas corretivas
Após o incidente, o Agibank reforçou a governança de segurança da informação, adotando medidas preventivas e corretivas em parceria com o Banco Central. Entre as ações implementadas estão a revisão de controles de acesso, aprimoramento de sistemas de monitoramento e auditorias regulares para identificar vulnerabilidades.
O BC acompanha de perto a situação e manterá a supervisão até a completa regularização das operações e mitigação de riscos. A divulgação do incidente segue o compromisso do órgão com a transparência, assegurando que clientes e sociedade estejam informados sobre eventuais vulnerabilidades em sistemas financeiros.
Repercussão regulatória e transparência
A divulgação do caso pela autoridade monetária também tem caráter regulatório e preventivo. A atuação proativa do BC sinaliza para o setor financeiro a necessidade de políticas robustas de gestão de risco, controles internos eficientes e procedimentos claros de comunicação em incidentes de segurança.
Apesar de a exposição envolver apenas dados cadastrais, o episódio serve como alerta para outras instituições financeiras sobre a importância de políticas preventivas e de compliance rigoroso, especialmente no contexto de expansão de pagamentos digitais e aumento de transações via Pix.
Vigilância do mercado financeiro
O incidente da falha em Agibank coincide com crescente atenção do mercado financeiro a riscos cibernéticos. Bancos e fintechs enfrentam pressão regulatória e exigência de adoção de práticas de segurança alinhadas às normas do Banco Central, que prioriza proteção do consumidor e integridade dos sistemas financeiros.
Para especialistas, o episódio reforça a necessidade de cultura corporativa voltada à segurança digital, investimentos em tecnologia e capacitação constante de equipes técnicas, garantindo que vulnerabilidades sejam rapidamente identificadas e mitigadas.
Orientações aos clientes afetados
Clientes do Agibank devem ficar atentos a mensagens oficiais recebidas pelo aplicativo ou internet banking, evitando clicar em links suspeitos ou fornecer dados adicionais por canais não oficiais. O banco recomenda monitoramento regular das contas e atenção a qualquer movimentação incomum.
O incidente serve como alerta para toda a base de usuários de bancos digitais sobre a importância de boas práticas de segurança, incluindo uso de autenticação em dois fatores, atualização de senhas e atenção a tentativas de fraude.
