A XP comunicou, por meio de e-mail enviado a clientes nesta quarta-feira (24), que no dia 22 de março de 2025 identificou um acesso não autorizado a uma base de dados hospedada em um fornecedor externo. A corretora afirmou que tomou medidas imediatas para bloquear o acesso indevido e reforçou que nenhum sistema próprio foi comprometido, garantindo que as contas e os investimentos dos clientes seguem em segurança.
Segundo o comunicado oficial, não houve exposição de informações sensíveis como senhas, assinaturas eletrônicas, biometria, CPF ou documentos de identidade. A XP destacou que não há necessidade de alteração de senhas ou qualquer outra ação por parte do cliente neste momento. As plataformas digitais da empresa continuam operando normalmente.
No entanto, o alerta de risco é real. Entre os dados acessados estão informações cadastrais como nome completo, telefone, e-mail, data de nascimento, estado civil, cargo e nacionalidade, além de informações financeiras como número de conta na XP, saldo, posição patrimonial, nome do assessor e limite de crédito — todos referentes ao mês de março. Apesar da XP afirmar que não houve movimentações financeiras e que os valores dos clientes estão protegidos, a exposição dessas informações pode abrir brechas para tentativas de fraudes e golpes de engenharia social.
O principal receio é que os dados acessados possam ser utilizados por criminosos para aplicar fraudes, por meio de contatos via telefone, e-mail ou aplicativos de mensagens, simulando ações de segurança ou validação de operações financeiras. A XP orienta os clientes a desconsiderarem qualquer ligação solicitando códigos, senhas, tokens ou orientações para mexer no aplicativo, destacando que não realiza esse tipo de contato.
Em busca de mais detalhes sobre o episódio, o portal CidadeMarketing encaminhou questionamentos à assessoria de imprensa da XP e também ao atendimento oficial da empresa, visando esclarecer pontos importantes. As perguntas envolvem, por exemplo, se o episódio é considerado um vazamento de dados pela própria XP, qual fornecedor externo teve acesso às informações, quantos fornecedores externos têm acesso a dados sensíveis, quais medidas foram adotadas em relação ao fornecedor envolvido, se o caso foi comunicado ao Banco Central do Brasil ou a outras autoridades reguladoras, e quantos clientes foram afetados.
No contato com o atendimento oficial da XP, fomos atendidos por um colaborador identificado como Alisson, que classificou as informações como “restritas”. Diante da insistência por esclarecimentos, o atendente abriu um chamado formal e informou que a equipe técnica retornará em até 42 horas com uma posição. Também entramos em contato com o Banco Central do Brasil, e a matéria será atualizada assim que obtivermos um posicionamento oficial do órgão regulador.
Até o momento, a XP não detalhou se os dados foram efetivamente vazados para fora da estrutura do fornecedor ou se apenas houve um acesso indevido interno. Para o CidadeMarketing, a XP encaminhou apenas uma nota oficial padrão, sem responder diretamente aos questionamentos enviados pela redação. Tampouco esclareceu se o relacionamento com esse fornecedor externo fazia parte de uma rotina operacional regular ou se o caso envolveu algum tipo de invasão ou falha de segurança. Essas lacunas são fundamentais para compreender a gravidade do incidente e o potencial de risco aos investidores.
A situação envolveu clientes das marcas XP, Rico e Clear, pertencentes ao mesmo grupo.
O que diz a XP em nota ao CidadeMarketing:
A XP informou hoje que tomou conhecimento de um acesso indevido a uma base de dados que se encontrava hospedada em um fornecedor externo, contendo informações parciais de clientes. Os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto, inexistindo vazamento de senhas, assinaturas eletrônicas, token, credenciais de acessos ou qualquer dado que permita realizar transações financeiras. Nenhuma conta de cliente, seus recursos ou sistema interno da XP foram comprometidos. Os clientes podem continuar a operar com total segurança. Não foram afetados os sistemas da XP e de qualquer empresa do grupo XP, bem como suas operações. Imediatamente, tão logo tomou conhecimento do acesso indevido, a XP adotou todas as medidas adicionais de segurança para solucionar o fato. Os reguladores e as autoridades competentes já foram informados do ocorrido.
