Clientes da XP Investimentos foram informados, nesta quinta-feira (24), sobre um acesso não autorizado a uma base de dados hospedada por um fornecedor externo. O incidente expôs informações cadastrais e financeiras, como nome, número da conta, saldo e limite de crédito de correntistas com dados referentes ao mês de março.
De acordo com a empresa, nenhuma operação financeira foi realizada e dados sensíveis, como senhas, assinaturas eletrônicas, biometria e documentos pessoais (como CPF e RG), não foram acessados.
Ainda assim, especialistas em segurança digital alertam para os riscos decorrentes da exposição de dados parcialmente financeiros e cadastrais. Mesmo sem permitir transações diretas, essas informações podem ser utilizadas em golpes de engenharia social, como ligações falsas, tentativas de phishing e fraudes de identidade.
O que foi exposto
Segundo a XP, o acesso indevido envolveu:
– Dados cadastrais: nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, nacionalidade e cargo
– Informações sobre produtos contratados, como presença ou ausência de cartão de crédito, seguro, consórcio ou previdência
– Informações financeiras básicas, como saldo, limite de crédito, nome do assessor e número da conta
A empresa reforça que seus sistemas internos não foram comprometidos e que as operações podem seguir normalmente, sem necessidade de troca de senhas ou alterações cadastrais por parte dos clientes.
Risco de golpes
Apesar da estabilidade das contas, a XP orienta seus clientes a ficarem atentos a possíveis contatos suspeitos, principalmente ligações em nome da instituição solicitando atualizações, reconhecimento de operações ou ações urgentes pelo aplicativo.
A recomendação é que nenhum procedimento seja realizado por orientação telefônica e que, em caso de dúvida, o cliente entre em contato diretamente pelos canais oficiais da XP.
Segurança digital em debate
O caso reacende a discussão sobre segurança da informação em instituições financeiras e a dependência de fornecedores terceirizados para o armazenamento de dados sensíveis. O uso de bases externas exige cuidados redobrados com acesso, criptografia e governança digital — especialmente em um setor de alta confiança como o financeiro.
A empresa afirma que bloqueou imediatamente o acesso à base de dados violada e que segue monitorando possíveis impactos. O Banco Central e autoridades de proteção de dados devem acompanhar o caso.
