Na quinta-feira (24), a XP Investimentos enviou um comunicado oficial a seus clientes informando sobre um acesso não autorizado a uma base de dados hospedada por fornecedor externo, expondo informações sensíveis como saldo bancário, número da conta, limite de crédito e dados cadastrais.
O incidente, que também teria atingido clientes da Clear e possivelmente da Rico — empresas do mesmo grupo —, levanta preocupações sobre a segurança digital de grandes instituições financeiras no Brasil.
Leia mais:
Quase 70 milhões de brasileiros estão com o nome sujo em 2025
O que foi vazado?
Dados pessoais e financeiros acessados
Segundo os comunicados enviados por e-mail, a XP identificou que os seguintes dados foram indevidamente acessados:
- Informações cadastrais: nome completo, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade;
- Dados da conta: número da conta, saldo disponível, posição de investimentos, nome do assessor de investimentos e limite de crédito referente ao mês de março;
- Produtos contratados: indicação binária sobre contratação de serviços como cartão de crédito, seguro, consórcio, previdência privada e portabilidade de salário.
Em nota ao Canaltech, a XP afirmou que nenhum sistema interno foi invadido e que senhas, biometria, assinaturas eletrônicas, CPF e documentos de identidade não foram expostos.
Quem foi afetado?
XP, Clear e possivelmente Rico
A falha de segurança foi confirmada inicialmente para clientes da XP e da Clear, com comunicações praticamente idênticas enviadas por ambas as instituições. Embora a Rico não tenha se pronunciado oficialmente até o momento, reportagens da Folha de S. Paulo indicam que usuários da corretora também podem ter sido afetados.
O comunicado detalha que a falha foi identificada no dia 22 de março de 2025 e que as medidas de contenção foram tomadas de forma imediata, incluindo o bloqueio da base de dados comprometida e notificação às autoridades competentes.
Dados protegidos, segundo a XP
Nenhuma operação foi realizada, diz empresa
A XP garantiu que nenhuma transação foi efetuada com base nos dados expostos. Em sua nota, a empresa afirma que os sistemas financeiros seguem íntegros e que os clientes podem continuar utilizando os serviços normalmente.
A instituição ainda destacou que:
“Não foram acessadas informações como senha, assinatura eletrônica e biometria, e nem mesmo seu CPF ou documento de identidade.”
Apesar da garantia, a XP recomendou atenção redobrada contra tentativas de phishing, especialmente em ligações ou e-mails que solicitem senhas, tokens ou códigos de autenticação.
O que fazer se você é cliente da XP, Clear ou Rico?
Precauções recomendadas
Mesmo que a XP informe que não há necessidade de ação imediata por parte dos clientes, especialistas em cibersegurança recomendam algumas medidas:
Ações imediatas
- Não compartilhe senhas ou códigos com terceiros.
- Desconfie de contatos inesperados em nome das corretoras.
- Habilite a verificação em duas etapas nos apps da XP, Clear e Rico.
- Acompanhe seus extratos e investimentos com frequência.
O que não fazer
- Não clique em links enviados por desconhecidos.
- Não atenda ligações suspeitas solicitando confirmação de dados pessoais.
Especialistas comentam o impacto
Valor dos dados financeiros expostos
Segundo Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, mesmo informações aparentemente superficiais, como “saldo ou limite de crédito”, podem ser utilizadas por golpistas para aplicar engenharia social altamente sofisticada.
“Dados financeiros, ainda que superficiais, têm alto valor para cibercriminosos quando combinados com técnicas avançadas de persuasão.”
Já a advogada Camila Camargo, consultora da Andersen Ballão, destaca que até grandes instituições financeiras estão vulneráveis, especialmente quando envolvem terceirização de serviços e fornecedores externos:
“A dependência de prestadores de serviços terceirizados exige uma revisão criteriosa de contratos com tais terceiros.”
O que diz a LGPD?
Comunicação obrigatória ao cliente
Desde a vigência da Lei Geral de Proteção de Dados (LGPD), as empresas são obrigadas a notificar clientes e autoridades em caso de incidentes relevantes que envolvam exposição de dados pessoais.
De acordo com o advogado Luis Fernando Prado, do escritório Prado Vidigal, esse tipo de comunicado se tornará cada vez mais comum:
“A tendência é que as pessoas recebam com certa frequência comunicados como esse, que são úteis para que redobremos a atenção quanto a possíveis tentativas de fraudes.”
O que a XP pode fazer daqui para frente?
Ações esperadas
Com a reputação abalada, a XP deverá:
- Revisar contratos com fornecedores de tecnologia e armazenamento de dados;
- Ampliar medidas de cibersegurança;
- Investir em transparência com os clientes e com os órgãos reguladores;
- Oferecer canais exclusivos de suporte para dúvidas e denúncias relacionadas ao incidente.
Vazamento XP em números
| Dado Exposto | Confirmado pela XP? |
|---|---|
| Nome completo | Sim |
| CPF e documento de identidade | Não |
| Saldo bancário | Sim |
| Senha ou token | Não |
| Número da conta | Sim |
| Produtos contratados | Sim (em binário) |
| Assinatura eletrônica | Não |
Contato oficial da XP
Para clientes com dúvidas ou preocupações, a XP disponibilizou seus canais de atendimento:
- App da XP (disponível para Android e iOS);
- Telefone oficial: 0800 772 0202;
- Site oficial: www.xpi.com.br.
Conclusão
O vazamento de dados da XP reacende um alerta vermelho sobre a fragilidade digital mesmo entre grandes instituições. Embora a empresa afirme que o incidente foi contido rapidamente e que nenhuma conta foi acessada, a exposição de dados financeiros exige atenção por parte dos clientes.
O episódio reforça a importância da segurança digital, da comunicação transparente e da conformidade com a LGPD. Fica claro que a proteção de dados é uma responsabilidade compartilhada entre empresas, fornecedores e usuários.
Imagem: Brenda Rocha – Blossom / Shutterstock.com
