No dia 23 de julho de 2025, o Conselho Nacional de Justiça e o Banco Central do Brasil noticiaram um incidente de segurança envolvendo acesso indevido ao sistema Sisbajud (Sistema de Busca de Ativos do Poder Judiciário). O incidente não afetou a infraestrutura do Pix, mas sim dados financeiros inseridos no Sisbajud, que é utilizado por juízes e servidores do sistema de justiça no Brasil (saiba mais aqui).

O incidente provocou o acesso indevido a informações cadastrais de 11.003.398 (onze milhões, três mil, trezentos e noventa e oito) pessoas. Trata-se do maior incidente de segurança envolvendo potencial acesso a chaves Pix já noticiado no Brasil.

Segundo o Conselho Nacional de Justiça, foram acessados exclusivamente os seguintes dados: nome da pessoa, chave Pix, nome do banco, número da agência e número da conta. Não houve acesso a qualquer dado protegido pelo sigilo bancário, como saldos, senhas ou extratos, nem acesso a valores depositados.

Como saber se minhas chaves foram acessadas?

Uma mesma pessoa pode ter várias chaves Pix, como email, celular e chaves aleatórias. Essas chaves, nas mãos de criminosos, podem ser usadas como vetores de fraudes e golpes de phishing bancário. Em uma entrevista para a Rádio Nacional no dia 25 de julho, explicamos como esses golpes de engenharia social podem ocorrer (ouça aqui).

Felizmente, o Conselho Nacional de Justiça disponibilizou uma ferramenta para que cidadãos possam consultar se as chaves Pix foram afetadas.

Para consultar, siga os seguintes passos. Primeiro, abra o endereço https://consulta-cpf.cloud.cnj.jus.br/tela-consulta no seu navegador (Chrome, Firefox, Safari, Brave, etc).

Depois, faça login com seu cadastro no GovBr. Ele irá solicitar CPF e senha do GovBr.

O site irá pedir o Código de Acesso, que fica disponível no seu aplicativo de celular (número de seis dígitos). 

Após inserir o Código, ele automaticamente irá apresentar o resultado da busca.

O que fazer se seus dados estão no incidente do Sisbajud?

Se seus dados foram afetados, você possui direitos conforme a Lei Geral de Proteção de Dados Pessoais. Os controladores devem informar os riscos relevantes e as medidas de mitigação.

Não obstante a obrigação legal do controlador de informar o titular dos dados pessoais do incidente, como entidade de pesquisa de interesse público, damos três dicas práticas para evitar danos maiores.

Primeiro, desconfie de toda e qualquer mensagem que chegar por email ou SMS envolvendo uma chave Pix sua. Mensagens como “Seu Pix está com problema no Banco Central. Clique aqui para resolver“, “Você recebeu um Pix de R$ 1.000. Confirme seus dados neste link”, “Identificamos atividade suspeita em sua conta e sua chave Pix XXXX. Faça login aqui para verificar” são típicas de golpes de phishing e engenharia social. Não clique em links recebidos por SMS, Whatsapp ou email. Verifique diretamente com o banco pelo app ou site oficial. Desconfie de urgência e ameaças. Golpistas tentam pressionar você para agir rápido.

Segundo, leia com atenção os dados antes de pagar um boleto com Pix de seus parceiros comerciais. Imagine que você recebe um boleto da escola do seu filho com um QR Code Pix para pagamento. O documento parece oficial, com nome da escola e tudo certo… mas o QR Code foi adulterado. Quando você escaneia o código, aparecem dados bancários de uma pessoa ou empresa totalmente diferente da escola. Sempre confira se os dados que aparecem após ler o QR Code batem com o nome da instituição. Exemplo: Se o boleto é da Escola Boa Aprendizagem, o nome que aparece no Pix deve ser Escola Boa Aprendizagem Ltda ou algo muito parecido.

Terceiro, promova autenticação de dois fatores no seu aplicativo bancário. Mesmo que sua chave Pix tenha vazado, criminosos não conseguem movimentar sua conta sem acesso ao seu celular ou senha. A verificação em duas etapas adiciona uma camada de segurança nos apps de banco. Vá nas configurações de segurança do seu app bancário e ative o 2FA ou token de segurança.

Caso queira saber mais sobre nossas formações em segurança da informação e proteção de dados pessoais, clique aqui. Caso precise de modelos de petição de titular de dados pessoais, acesse nosso Manual do Titular.

 

Veja também

Veja Também