Em comunicado enviado a clientes nesta quinta-feira (24/4), a corretora de valores XP afirmou que sofreu um incidente de segurança envolvendo o acesso indevido a dados de clientes por meio de uma base hospedada em um fornecedor externo. Segundo a empresa, o incidente atingiu dados sensíveis, incluindo nome completo, telefone, e-mail, data de nascimento, estado civil, nacionalidade, produtos financeiros contratados (como cartão, seguro e previdência), número da conta, saldo, posição e limite de crédito.
A XP não detalhou quantos titulares foram afetados. “Os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto, inexistindo vazamento de senhas, assinaturas eletrônicas, token, credenciais de acessos ou qualquer dado que permita realizar transações financeiras. Nenhuma conta de cliente, seus recursos ou sistema interno da XP foram comprometidos”, afirmou a empresa em nota enviada ao JOTA.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
O caso chama a atenção pela natureza e amplitude dos dados. “Tivemos casos antigos de vazamentos relacionados a outros setores, mas de dados financeiros, em si, é uma novidade”, diz Gabriel Araújo Souto, advogado do PG Advogados e especialista em proteção de dados. Camila Leite Contri, coordenadora do programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), diz que, mesmo em vazamentos envolvendo bancos, o da XP se destaca por ter “envolvido tantas informações como nome, telefone, CEP e saldo no mesmo vazamento”, e que não há registro de outro incidente comparável.
Bruno Bioni, fundador da Data Privacy Brasil, classifica o caso como “emblemático, porque há atração de diversas leis, como a LGPD e o Código de Defesa do Consumidor, e todas elas passam esse dever de segurança com relação aos dados pessoais, incluindo dados bastante significativos, como o patrimônio das pessoas”.
Investidores podem processar a XP por vazamento?
Núria Lopez, sócia da Daniel Advogados e especialista em Direito Digital, diz que o simples fato de os dados terem sido expostos não garante, por si só, direito à indenização. “Se não houver dano efetivo decorrente do incidente, não há necessariamente causa para ação judicial. A avaliação será sempre caso a caso”, explica.
O dano, nesse caso, poderia se configurar, por exemplo, em casos de fraude a partir dos dados expostos, como empréstimos bancários feitos por terceiros usando o CPF de clientes. Também seria possível alegar dano moral, mas, para Lopez, isso teria que ser demonstrado de forma concreta, da mesma forma. “O incidente começa agora”, diz Lopez. “Os clientes ainda estão sujeitos a danos que ainda podem ocorrer futuramente, devido a esse episódio”.
“Hoje no Brasil há uma epidemia de fraude, e essas epidemias de fraude estão acontecendo porque há vazamentos, incidentes de segurança sistemáticos de dados pessoais. Esses golpistas se passam por empresas e coisas do tipo para solicitar pagamentos indevidos”, diz Bruno Bioni.
Inscreva-se no canal de notícias do JOTA no WhatsApp e fique por dentro das principais discussões do país!
Já para Gabriel Araújo Souto, mesmo sem prova de prejuízo financeiro, é possível alegar dano moral em razão da violação à intimidade e à vida privada, diante do tipo e volume de dados acessados. “A mera criação do nexo causal entre o vazamento e o dano já pode ensejar responsabilidade civil, tanto patrimonial quanto moral. Os titulares têm legitimidade para propor ações individuais ou coletivas com base na LGPD, no Código Civil e até na Constituição”, diz.
A jurisprudência nesse sentido não é uniforme, diz Bioni.” A violação de dados pessoais configura a violação de um direito de personalidade e, por conseguinte, um dano moral in re ipsa [presumido]? Existem outras decisões que vão no sentido contrário, em que o mero incidente de segurança por si só não caracterizaria um dano moral”, afirma. “O caso em si tem uma dimensão danosa, que não é de menor importância, porque são uma série de dados, inclusive, da situação financeira patrimonial. Então, é um caso que, qualitativamente, tem características cuja a probabilidade da caracterização de um dano moral in re ipsa, eu diria, é maior.”
Demora em avisar os clientes
A Autoridade Nacional de Proteção de Dados (ANPD) foi notificada “logo que a XP tomou ciência do ocorrido”, segundo a assessoria de imprensa da XP. Segundo a Lei Geral de Proteção de Dados (LGPD), os agentes de tratamento têm o dever de proteger os dados pessoais contra acessos não autorizados e de comunicar incidentes com potencial de causar “risco ou dano relevante” aos titulares no prazo de três dias úteis a partir da ciência do evento.
No entanto, no caso da XP, o acesso indevido teria sido identificado no mesmo dia em que ocorreu, no final do mês passado, mas os clientes só foram avisados nesta quinta. O InfoMoney, site de notícias de propriedade da XP, inclusive, noticiou o episódio antes de todos os clientes da base receberem a comunicação. A empresa justificou, via assessoria de imprensa, que “a comunicação para os clientes impactados só poderia ser feita após a apuração do caso”, mas a demora pode representar descumprimento da LGPD.
“Caso não tenham cumprido esse prazo, eles deveriam ter avisado na notificação o porquê da demora, o que não aconteceu. Isso pode agravar a situação, porque nesse meio tempo as pessoas podem ter ficado mais vulneráveis a fraudes”, afirma Camila Leite Contri.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
“O controlador deve sempre agir com cautela […]. A comunicação tem como objetivo não apenas o cumprimento do dever de mitigação do próprio prejuízo, mas sobretudo permitir que a pessoa natural afetada possa tomar medidas preventivas para conter os eventuais danos”, disse a ANPD em nota enviada ao JOTA. A autoridade ainda afirmou que “informações individualizadas referentes a processos de comunicação de incidentes de segurança não são passíveis de acesso público, uma vez que se encontram protegidas por diversos dispositivos legais”.
Além da demora, pode haver problemas com a comunicação em si, segundo Bruno Bioni. “Ela deveria ser mais específica, abrangendo se, além de ter tido o acesso ao banco de dados, esses atacantes tiveram algum tipo de extração desses bancos de dados, que seria a palavra mais adequada para entender se causa ou não um risco de dano relevante”, diz. “Esse comunicado deveria ser mais preciso, assertivo. E, por fim, também quais órgãos e autoridades foram comunicados a esse respeito? Já que a XP, sendo considerada uma instituição financeira, estaria obrigada não apenas a reportar isso para o Banco Central, mas também para a própria ANPD”.
Procurado, o Banco Central não retornou à reportagem. O espaço segue aberto.
Processo administrativo
A existência de um processo na ANPD não impede ações judiciais por parte dos consumidores. A esfera administrativa, com a autoridade, e a judicial, com ações individuais ou coletivas, funcionam de maneira paralela. A ANPD pode aplicar sanções regulatórias, enquanto o Judiciário julga pleitos de reparação civil por danos. “A ANPD recebeu a abertura do processo, o que eles chamam de CIS — Comunicação de Incidente de Segurança”, diz Lopez.
Segundo a Coordenação de Tratamento de Incidentes de Segurança, foram comunicados 67 incidentes no setor privado apenas em 2025. 9 deles se caracterizaram por acesso não autorizado a sistemas de informação, como o caso da XP. A partir da comunicação do incidente, o processo pode seguir diferentes caminhos, a depender da avaliação da autoridade sobre a gravidade do caso e a resposta da empresa envolvida, segundo Núria Lopez. “Com a comunicação, começa a instrução: a ANPD vai querer saber qual era o sistema, quem era o fornecedor, que tipo de governança de dados existia”, diz.
Depois, a autoridade pode solicitar mais informações, questionar aspectos técnicos da segurança da informação, avaliar se houve falha na governança da empresa ou do fornecedor envolvido, e examinar a adequação das medidas de mitigação e comunicação. A depender da resposta da empresa e dos detalhes do incidente, a ANPD pode arquivar o caso, se entender que a empresa atuou adequadamente, recomendar medidas adicionais, como ampliar a comunicação aos titulares ou adotar controles internos extras, ou instaurar um processo sancionador, caso entenda que houve violação à LGPD e falhas graves na condução do incidente. Se instaurado o processo sancionador e confirmada a infração, a ANPD pode aplicar as sanções previstas no artigo 52 da LGPD, como advertência ou multas simples ou diárias, de até R$ 50 milhões por infração.
Sigilo bancário
“Além da responsabilidade civil e sanções administrativas da LGPD, se configurada quebra de sigilo bancário, pode ter até consequências penais”, afirma Contri, do Idec. O artigo 10 da Lei Complementar 105/2001 tipifica como crime a revelação ou utilização indevida de informações bancárias fora das hipóteses legais. “Houve vazamento de informações como saldo e número da conta, o que configura quebra de sigilo fora das hipóteses autorizadas por lei”, diz.
Já Gabriel Souto e Núria Lopez afirmam que, para caracterizar quebra de sigilo bancário, é necessário que os dados transacionais tenham sido expostos — ou seja, informações sobre movimentações entre contas, valores transferidos, histórico de operações. “O saldo por si só não configura sigilo bancário clássico. Para isso, é preciso que haja registro de transações entre ponto A e ponto B. Pelo que foi informado até agora, esse não parece ser o caso”, diz Souto.
O comunicado da XP enviado a clientes afirma que não é necessário que os clientes tomem nenhuma atitude, como troca de senhas. “Por conta do ocorrido, desconfie de ligações telefônicas em nome da XP. sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou realize qualquer ação no aplicativo sob orientação de qualquer contato telefônico”, diz.
Como empresas podem se prevenir?
Os especialistas ouvidos pelo JOTA afirmam que a prevenção de casos como esse passa por três pilares: governança interna de proteção de dados, avaliação rigorosa da cadeia de fornecedores e atualização constante das práticas de cibersegurança.
Para Gabriel Souto, muitas empresas ainda subestimam os riscos associados a prestadores de serviços terceirizados, que podem representar a principal vulnerabilidade do sistema. “É essencial auditar fornecedores, exigir padrões mínimos de segurança, limitar acessos, realizar testes recorrentes. A cadeia de responsabilidade precisa ser compreendida como parte da política de proteção de dados”, diz.
“Parece que é uma situação que internamente poderia ter sido resolvida por uma governança, uma segurança de dados melhor internamente dentro dos sistemas da XP e das suas parcerias”, diz Camila, do Idec. “Limitação do acesso de credenciais para acessar dados excessivos é parte de políticas básicas de segurança”.
Para Núria Lopez, os consumidores estão cada vez mais atentos à segurança de seus dados. Um exemplo que demonstra essa preocupação crescente é a recepção ao canal de denúncias da ANPD, lançado em agosto do ano passado. “Houve um boom de recebimento de denúncias e de petições das pessoas para a autoridade”, diz. “As pessoas podem denunciar, inclusive anonimamente. Podem reclamar que foram atendidas ou que não foram atendidas, podem fazer petições, se elas não foram atendidas pelas empresas primeiro.” Para ela, como as empresas lidam com eles logo deve se tornar um diferencial competitivo no mercado. “Empresas que comunicam de forma clara, prestam contas e orientam os clientes sobre medidas de proteção tendem a preservar sua imagem e demonstrar responsabilidade”, diz.
