Seus dados vazaram? Saiba como agir antes que seja tarde demais

São Paulo, 04/07/2025 - Um recente ataque cibernético à fornecedora C&M Software, responsável por integrar bancos e fintechs ao sistema Pix, expôs uma falha crítica que permitiu o desvio de valores das contas reserva no Banco Central por meio de um vazamento de dados. Estima-se que entre R$ 400 milhões e R$ 1 bilhão tenham sido desviados, afetando pelo menos seis instituições financeiras, além de gerar instabilidades e possíveis brechas de dados operacionais que podem ser exploradas posteriormente.

Embora a invasão tenha se limitado, inicialmente, às contas reserva, usadas exclusivamente para liquidação interbancária e não destinadas diretamente ao consumidor, a instabilidade no Pix e o risco de exposição de dados pessoais preocupam especialistas. Isso porque, mesmo sem acesso imediato às contas dos correntistas, a manipulação ou divulgação de dados sensíveis pode abrir espaço para fraudes em outras frentes.

Para Alexander Coelho, sócio no Godke Advogados, alerta que “não se trata de um erro pontual em uma fintech ou falha de app, mas de uma brecha dentro do próprio ecossistema do Bacen, que deveria ser blindado por camadas rigorosas”. Já Aloísio Costa Jr., do Ambiel Advogados, lembra que os titulares dos dados têm direitos garantidos pela LGPD, especialmente no que diz respeito ao acesso à forma como seus dados estão sendo tratados. 

O que fazer se você teve dados expostos?

1. Mantenha a calma e analise a notificação

Verifique se a comunicação vem de fonte legítima, bancos, ANPD, Procon ou Polícia. Golpistas podem se aproveitar da confusão para aplicar tentativas de fraude.

2. Redefina senhas e ative autenticação em dois fatores

Troque imediatamente senhas em serviços afetados ou versões similares, e ative a autenticação de dois fatores (2FA) sempre que possível para dificultar ataques. 

3. Contate a instituição envolvida

Peça esclarecimentos sobre quais dados foram comprometidos e de que forma. A LGPD garante ao titular o direito de saber a extensão do incidente e as medidas corretivas adotadas (arts. 9º, 18, 20) .

4. Documente tudo e reúna provas

Guarde e-mails, notificações, prints ou qualquer evidência que comprove a exposição de dados, isso será essencial para boletins, queixas e, potencialmente, ações judiciais.

5. Registre um boletim de ocorrência e denuncie à ANPD

O primeiro passo é formalizar a queixa à polícia. Em seguida, faça a denúncia à Autoridade Nacional de Proteção de Dados, que pode investigar e aplicar sanções (advertência, multa, suspensão de operações).

6. Acione o Procon ou órgãos de defesa do consumidor

Se você for consumidor, pode denunciar ao Procon-SP, Idec ou similares, medidas que podem resultar em indenização ou acordo extrajudicial.

7. Avalie a necessidade de reparação judicial

O STJ entende que o simples vazamento não dá direito automático a indenização, é necessário comprovar dano efetivo, como fraude, prejuízo financeiro ou abalo psicológico.

As sanções previstas pela LGPD

A Lei Geral de Proteção de Dados estabelece obrigações claras para empresas: comunicar imediatamente o incidente à ANPD e aos titulares, detalhar os dados afetados, adoção de medidas mitigadoras e transparência total. A violação pode acarretar:

• Multa de até 2% do faturamento anual, limitada a R$ 50 milhões por infração.
• Suspensão ou bloqueio do banco de dados.
• Publicização do incidente.
• Proibição total ou parcial de serviços.

O episódio envolvendo a C&M Software e o Pix reforça uma realidade: seus dados estão vulneráveis. Na eventualidade de vazamento, a melhor postura é agir rápido, informando-se, documentando, denunciando e exigindo transparência. Sem danos comprovados, indenizações podem ser recusadas, mas as sanções administrativas e a pressão pela reparação, coletivamente, pela população, estão asseguradas pela legislação.