33.632 Chaves Pix Vazadas e 251 Milhões de CPFs na Dark Web: O Mapa dos 4 Incidentes de 2026 e Por Que o BCB Mira Stablecoin Enquanto a Infra Cadastral Sangra

Em 117 dias, o Banco Central do Brasil emitiu quatro comunicados oficiais de exposição de dados de chaves Pix. 33.632 chaves identificadas em vazamento — entre Agibank, Ministério Público de Goiás, Pefisa e Credifit. O agregado leva o sistema ao 24º incidente desde o lançamento, em novembro de 2020.

No mesmo período, um agente identificado como Buddha colocou à venda na dark web a base MORGUE: 251,7 milhões de registros vinculando CPF, nome, filiação, data de nascimento e — em parte dos casos — data de óbito. Preço: US$ 500 em Bitcoin. O Ministério da Gestão e da Inovação em Serviços Públicos negou invasão ao Gov.br.

É a quarta vez em doze meses que escrevemos essa frase em variações diferentes. A primeira foi a matéria do Abril Negro do Brasil Digital. A segunda, o cluster Brasil Sob Fogo, em 8 dias da janela BTG-Rendimento-Notre Dame-Morgue. A terceira, o caso Dígitro/Guardião, com 150 órgãos brasileiros expostos pela cadeia. A quarta é esta.

O eixo da reportagem de hoje não é mais "houve vazamento". É outro: por que, enquanto o BCB constrói o aparato regulatório mais rigoroso do mundo sobre cripto e wallet self-custodial, a infraestrutura cadastral nacional sangra na cadência de um incidente por mês — e o aparato regulatório de proteção a essa infraestrutura permanece desproporcionalmente leve?

O Mapa dos 4 Incidentes Pix de 2026

Cada um dos quatro tem topologia diferente. Vendo em sequência, fica visível que a vulnerabilidade não está concentrada — está distribuída.

#1 — Agibank (fevereiro): 5.290 chaves, 21º incidente desde 2020

O primeiro comunicado de 2026 saiu em fevereiro. Dados cadastrais de 5.290 chaves Pix de clientes do Banco Agibank ficaram expostos. A janela do vazamento, segundo o BC, foi de 26 de dezembro de 2024 a 30 de janeiro de 2025 — ou seja, o incidente começou no fim do ano anterior e levou o ciclo completo de detecção+report+publicização para chegar ao público em fevereiro de 2026.

Esse padrão de defasagem é estrutural na regulação Pix do BCB: o ciclo de notificação opera por janelas. O cidadão descobre que está exposto entre 6 e 12 meses depois do fato. Pelo regramento, isso é "transparência tardia". Para o operador de fraude, é oito meses sem custos de obsolescência da base.

#2 — Ministério Público de Goiás (1 de março): 93 registros, o tipo de incidente que mais incomoda

Aconteceu em primeiro de março: acesso não autorizado ao sistema operado pelo Ministério Público do Estado de Goiás. 93 registros expostos. Volume baixo — mas a topologia é o ponto.

Esse não é o caso de uma fintech com infra recente e equipe de segurança em formação. É o sistema de um órgão constitucional do Estado, com acesso a chaves Pix de servidores e — provavelmente — investigados. A vulnerabilidade não estava na borda comercial do Pix. Estava no acesso institucional autorizado.

É o mesmo padrão que mapeamos no caso Dígitro/Guardião: o problema não é o cidadão usar Pix de forma insegura, é a infra estatal de monitoramento e processamento sendo o ponto de entrada. O Pix é o produto final. O cano que entrega o Pix ao Estado vaza primeiro.

#3 — Pefisa/Pernambucanas (março): 28.203 chaves vazadas por seis meses sem detecção

O incidente mais sério, em volume, do ano. 28.203 chaves Pix da Pefisa — financeira do grupo Pernambucanas — expostas. A janela do vazamento informada pelo BC é o que assusta: de 30 de agosto de 2025 a 27 de fevereiro de 2026. Seis meses contínuos de exposição sem detecção interna.

Por que isso importa? Porque o ciclo de detecção, em qualquer protocolo SIEM razoável, opera em escala de horas a dias para anomalias de acesso. Seis meses indica que o controle compensatório esperado não estava funcionando, ou que o acesso indevido foi tratado como legítimo durante esse período.

O BC, no comunicado, repete a fórmula: "informações cadastrais expostas não permitem movimentação de recursos". A formulação está tecnicamente correta. Mas não é movimentação direta o vetor — é a alimentação de operações de engenharia social sobre as 28 mil pessoas afetadas, que agora têm dado de chave-Pix vinculado a nome, conta, instituição.

#4 — Credifit (comunicado em 12 de maio): 46 chaves e a primeira divergência pública entre BCB e instituição

O quarto comunicado, publicado em 12 de maio de 2026, refere-se a um incidente ocorrido entre 26 e 28 de abril, atingindo 46 chaves Pix sob guarda da Credifit Sociedade de Crédito Direto. Volume pequeno. Mas a história tem uma camada nova.

O BCB caracterizou o evento como "falhas pontuais no sistema da Credifit". A Credifit publicou nota contestando: o evento, segundo a SCD, resultou de "utilização indevida de credenciais legítimas obtidas fora do ambiente da Credifit". É a primeira divergência pública entre BCB e instituição participante sobre a caracterização de um incidente Pix.

A discordância importa juridicamente. Se foi falha sistêmica da Credifit, há infração administrativa e sanção possível. Se foi uso de credenciais obtidas em terceiros — como em campanhas de credential stuffing semelhantes ao caso PexRat/Binance que cobrimos —, a Credifit é vítima, não causadora.

O que essa divergência também sinaliza: o protocolo de notificação Pix do BCB ainda não diferencia, em comunicado público, a causa-raiz. Trata diferenças muito relevantes (vulnerabilidade interna vs. credencial vazada em terceiros) sob o mesmo rótulo de "falha pontual". O efeito sobre o cidadão é o mesmo. O efeito sobre a indústria, não.

MORGUE: o cisne preto paralelo de 18 de abril

Enquanto os quatro incidentes Pix se desenrolavam em ritmo de comunicado oficial, em 18 de abril apareceu na dark web o que poderia ser o maior vazamento de identidade fiscal já circulado no Brasil. O agente, identificado pelas handles Buddha, #bigF e #Shinigami nas postagens, batizou a base de MORGUE — o nome é coerente com o conteúdo: registros vivos cruzados com registros de óbito.

O dataset, conforme amostragem distribuída pelo próprio ator e validada por analistas independentes, contém:

• 251,7 milhões de registros — número superior ao da população brasileira (cerca de 213 milhões), o que indica inclusão de pessoas falecidas e múltiplos registros por CPF;
• Estrutura: CPF, nome completo, gênero, data de nascimento, nome dos pais (filiação) e, em parte significativa dos casos, data de óbito;
• Atribuição sugerida pelo ator: vinculação ao portal Gov.br;
• Preço: US$ 500 pagos em Bitcoin;
• Hashtags promocionais: #Brazil #NationalID #LeakedData.

O Ministério da Gestão e da Inovação em Serviços Públicos, responsável pelo Gov.br, comunicou oficialmente que "não há registro de invasão ou vazamentos no sistema". A formulação é literal: pode ser verdade que o Gov.br como portal não foi invadido, e simultaneamente verdade que o dataset agrega informações disponíveis a partir de múltiplas fontes ao longo dos anos — bases de Receita Federal, registros civis, vazamentos anteriores, scraping de bases públicas — rebatizadas como "Gov.br" para fins de marketing criminal.

Analistas de threat intelligence ouvidos por veículos especializados convergem para a hipótese de remix: vazamentos anteriores reorganizados sob branding novo. Mesmo assim, a base é funcional. O risco para empresas e cidadãos é o mesmo de um vazamento original — porque a operação de fraude que precisa de CPF+nome+filiação+data de nascimento não distingue se o dado veio do Serpro em 2021 ou do Buddha em 2026.

O que MORGUE faz, então, é uma operação de mercado: recolocar em circulação ativa, em fórum acessível, a 251 milhões de registros que estavam dispersos em silos.

Denominador comum: o cadastro é o vetor

O BCB repete em todos os quatro comunicados Pix: "informações cadastrais expostas não permitem movimentação de recursos". Tecnicamente correto. Mas movimentação direta nunca foi o vetor relevante.

O cadastro é o ativo de operação porque viabiliza:

1. Engenharia social com legitimidade aparente. O operador de fraude conhece chave Pix, instituição, número de agência e tipo de conta. Liga para o cidadão fingindo ser do banco com dados que nenhum estranho deveria ter. Taxa de conversão sobe.
2. Pig butchering com origem nacional. O capítulo do Brasil no Chainalysis 2026 mostrou que parte das operações de tráfico humano no Sudeste Asiático tem alvo brasileiro. Dataset cadastral nacional barateia o segmentation desses centros.
3. Substituição de identidade em fluxos KYC. Provedores de KYC defensivos exigem cadastro+selfie+OCR. Cadastro vazado serve para forjar respostas em fluxos de baixa fricção — abertura de conta digital, contratação de crédito, ativação de linha móvel.
4. Inicialização de trojan Pix. O GoPix e variantes opera no aparelho da vítima após contato inicial. Esse contato inicial é mais persuasivo quando o operador chama a vítima pelo nome completo + último dígito do CPF.

Vazamento cadastral não é "exposição de baixo risco". É insumo de operação. E quando a base disponível salta de 5 mil para 251 milhões de registros, o custo marginal de cada operação de fraude cai.

A assimetria do BCB: stablecoin no martelo, Pix na inflamação

O contraste mais visível dos últimos doze meses é regulatório. De um lado:

• Resolução 561 do BCB: proíbe stablecoin e cripto na liquidação de pagamentos transfronteiriços a partir de outubro, atinge o front onde o Brasil movimenta US$ 6-8 bilhões por mês em fluxo cripto;
• Resolução 521 (Dia D em 4-mai): traz a wallet self-custodial individual para dentro do radar cambial — o Anexo II-A já provoca discussão de constitucionalidade;
• Resolução 519, sobre fiscalização de PSAVs: vigência em 4 de maio, integra-se com 561 e 521 para um cerco completo;
• Resoluções 5.298 do CMN: bloqueio dos mercados preditivos (Polymarket, Kalshi) com vigência também em 4 de maio.

Do outro lado, o aparato de proteção a chaves Pix:

• Comunicado público com defasagem de seis a doze meses entre o evento e a notificação ao cidadão;
• Aplicação de "medidas sancionadoras" cuja transparência sobre quantum e timing é baixa;
• Ausência de tipificação clara, no comunicado público, da causa-raiz (falha sistêmica vs. credencial em terceiro);
• Sem cronograma público de hardening da infra cadastral nacional vinculada a Pix.

O ponto não é regulação cripto demais. É regulação cadastral de menos. E essa assimetria tem um custo distribucional perverso: quem mais perde é o usuário Pix médio, que é também o cidadão sem capital para se proteger contra fraude pós-vazamento.

O mapeamento da VECERT que cobrimos em abril já trazia o número: 32 atores de threat ativos no Brasil em janela de 90 dias, com 29,8 terabytes de dados vendidos, 214 entidades comprometidas, 1.752 servidores SMTP corporativos à venda. Buddha é só o ator que ganhou capa este mês. A camada por trás é estrutural, não pontual.

A perspectiva ON3X

Três leituras para o quadro completo: quatro incidentes Pix, MORGUE em paralelo, e o desbalanço regulatório que sustenta a assimetria.

1. O eixo correto de avaliação do Pix não é a movimentação financeira — é o cadastro. Quando o BCB defende em comunicado que "não houve exposição de dados sensíveis", está aplicando uma definição de sensibilidade que parou na perspectiva bancária tradicional (saldo, senha, extrato). Para o ecossistema de fraude moderno, cadastro é o ativo de primeira ordem. Enquanto o discurso oficial mantiver essa definição, o tamanho do problema continuará subestimado em comunicação pública.

2. A janela de detecção de seis meses (caso Pefisa) é incompatível com o ritmo de exploit moderno. A defasagem entre o início do vazamento e a detecção interna por parte da instituição participante é o ponto técnico mais grave do quadro de 2026. Em qualquer protocolo de monitoramento de acesso operando com baseline ML mediano, anomalias de seis meses deveriam disparar alerta. Que isso não ocorra em SCD, financeira de varejo e até em sistemas de MP estadual aponta para gap de capacidade — não gap de regra. Regulação adicional sem capacitação fica em letra.

3. A regulação cripto agressiva, sem regulação cadastral correspondente, gera externalidade negativa. O Brasil constrói o aparato MiCA-like mais rigoroso fora da Europa para cripto (Resoluções 561+521+519), mas mantém a infra cadastral nacional em regime de incidente recorrente. O efeito agregado é o oposto do intencionado: o cidadão é empurrado para fora do cripto formal (onde haveria KYC controlado) e mantido em sistema Pix exposto. Operação de fraude se beneficia tanto do cadastro vazado quanto da invisibilidade do cripto informal. A política de "protege com martelo onde dá processo de licenciamento, ignora onde precisa de hardening" entrega o pior dos dois mundos.

Quatro incidentes em 117 dias. 251 milhões de CPFs voltando a circular. Vinte e quatro casos desde 2020. E ainda assim, o discurso oficial repete que "dados sensíveis não foram expostos". A definição de sensibilidade precisa ser atualizada — antes que o quinto comunicado saia.

Perguntas frequentes

Quantos vazamentos de dados Pix aconteceram em 2026?

Quatro até 18 de maio de 2026. Em ordem: Agibank em fevereiro (5.290 chaves), Ministério Público de Goiás em 1 de março (93 registros), Pefisa/Pernambucanas em março (28.203 chaves) e Credifit em comunicado de 12 de maio (46 chaves). Total: 33.632 chaves Pix expostas, levando o sistema ao 24º incidente desde o lançamento, em novembro de 2020.

O que é a base MORGUE?

MORGUE é o nome dado pelo agente identificado como Buddha (com tags #bigF e #Shinigami) à base de 251,7 milhões de registros vinculando CPF, nome completo, gênero, data de nascimento, filiação e — em parte dos casos — data de óbito. Foi colocada à venda na dark web em 18 de abril de 2026 pelo valor de US$ 500 em Bitcoin. O Ministério da Gestão e da Inovação em Serviços Públicos negou invasão ao Gov.br, e a hipótese predominante entre analistas é que se trata de remix de vazamentos anteriores reorganizado sob branding novo.

Meus dados foram vazados em algum dos incidentes Pix?

O Banco Central determina que a notificação ao cidadão afetado seja feita exclusivamente pelo aplicativo ou internet banking da instituição de relacionamento — nunca por SMS, e-mail, WhatsApp ou ligação telefônica. Qualquer contato por esses canais alegando vazamento Pix é, por padrão, golpe. Confirme apenas pelo app oficial da sua instituição.

O vazamento de chaves Pix permite movimentar dinheiro da minha conta?

Não diretamente. O Banco Central reforça em todos os comunicados que dados protegidos por sigilo bancário — saldos, extratos, senhas, movimentações — não são expostos. O risco real é indireto: dados cadastrais viabilizam engenharia social com legitimidade aparente, segmentação de pig butchering, contratação fraudulenta de crédito ou linha móvel via substituição de identidade e inicialização de trojans Pix.

O que o Brasil regula em cripto enquanto isso?

O BCB construiu em 2026 um aparato regulatório que combina a Resolução 561 (proíbe stablecoin e cripto em liquidação de pagamentos transfronteiriços, vigência outubro), a Resolução 521 (traz wallet self-custodial individual para dentro do radar cambial, vigência 4 de maio) e a Resolução 519 (regula PSAVs e fiscalização cripto). O contraste com a regulação Pix — em que a defasagem média entre evento e comunicado público fica entre 6 e 12 meses — é o eixo crítico da assimetria.