O Banco Central informou ter identificado um incidente de segurança envolvendo chaves Pix da Credifit Sociedade de Crédito Direto S.A. A autoridade aponta que dados cadastrais referentes a 46 chaves foram obtidos: nome do usuário, CPF, instituição de relacionamento, número da agência, número e tipo de conta, além das datas de criação e de última atualização da chave.
Segundo o comunicado do BC, não houve exposição de dados sensíveis que permitam movimentação de recursos — como senhas, informações sobre saldos ou transações — nem quebra de sigilo bancário. A autarquia ressalta ainda que as pessoas afetadas serão notificadas exclusivamente pelo aplicativo ou internet banking de sua instituição de relacionamento e alerta contra comunicações por SMS, e-mail, chamadas ou aplicativos de mensagens.
É o quarto incidente em 2026 envolvendo chaves Pix reportado pelo Banco Central; além da Credifit, a autoridade já registrou ocorrências relacionadas à Pefisa S.A., ao Ministério Público do Estado de Goiás e ao Banco Agibank S.A. Diante do caso, o BC afirma ter adotado medidas para a apuração detalhada e poderá aplicar as sanções previstas na regulação.
O episódio reforça um custo reputacional crescente para fintechs e serviços que operam pagamentos instantâneos, além de ampliar a pressão por fiscalização e padrões mais rígidos de segurança. Para usuários, o risco principal é a erosão de confiança no sistema de pagamentos; para o setor, a consequência provável é a necessidade de investimentos adicionais em controles, auditoria e governança.
A clareza na comunicação do BC e das instituições envolvidas será crucial para conter o desgaste. Resta acompanhar a investigação e eventuais medidas sancionatórias, que têm impacto direto sobre a regulação do mercado e sobre o apetite de usuários e investidores por serviços digitais de pagamento.