Na última quarta-feira (24), clientes da XP Investimentos foram surpreendidos com um comunicado oficial informando sobre o acesso indevido a dados pessoais e financeiros por meio de um fornecedor externo. O incidente, que ocorreu em 22 de março de 2025, também envolveu clientes das marcas Rico e Clear, pertencentes ao mesmo grupo econômico.
Segundo a nota enviada por e-mail aos clientes, nenhum sistema da XP foi invadido diretamente e os investimentos, senhas, assinaturas eletrônicas, biometria, CPF e documentos de identidade estariam seguros. A empresa ressaltou que não houve movimentações financeiras não autorizadas, e que as contas continuam protegidas.
Quais dados foram acessados indevidamente?
De acordo com a XP, os seguintes dados foram expostos:
Dados cadastrais: nome completo, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade;
Dados financeiros internos da XP: número da conta, saldo, posição de investimentos, nome do assessor e limite de crédito — todos referentes ao mês de março.
Ainda não foi revelado qual foi o fornecedor externo responsável pelo armazenamento ou manipulação desses dados, nem a quantidade de clientes afetados. O CidadeMarketing enviou questionamentos à assessoria da XP, que respondeu com uma nota padrão, sem esclarecer todos os pontos.
O Banco Central do Brasil e outras autoridades reguladoras já foram notificadas, segundo a XP, que afirma estar conduzindo uma investigação interna detalhada.
Como os clientes podem se proteger?
Embora a XP informe que nenhuma ação é necessária por parte dos usuários, especialistas em segurança digital alertam para cuidados redobrados:
1. Desconfie de ligações ou mensagens
Evite fornecer dados pessoais ou bancários a contatos que se dizem da XP, Rico ou Clear. A empresa afirma que não solicita senhas, tokens ou códigos por telefone, SMS ou e-mail.
2. Monitore sua conta com frequência
Acompanhe o extrato e movimentações de sua conta, mesmo que o comunicado assegure que os investimentos estão protegidos.
3. Evite clicar em links suspeitos
Golpistas podem usar os dados vazados para criar campanhas de phishing mais realistas. Sempre acesse o site oficial da empresa diretamente pelo navegador.
4. Habilite autenticação em dois fatores
Se disponível, ative essa opção em todos os serviços bancários e financeiros que utiliza.
5. Utilize sempre os canais oficiais da XP, Clear e Rico para esclarecer qualquer dúvida
Com o vazamento de dados que incluem informações sobre o assessor vinculado à sua conta, é essencial redobrar a atenção e verificar cuidadosamente a identidade de quem entra em contato com você.
O que a XP ainda precisa esclarecer?
Apesar do comunicado enviado aos clientes, o caso envolvendo o acesso indevido a dados por um fornecedor externo ainda levanta uma série de questionamentos relevantes:
O que permitiu o acesso não autorizado aos dados por parte do fornecedor externo?
Esse fornecedor possuía rotina de acesso previamente autorizada a essas informações?
Qual é o número exato de clientes impactados pelo incidente?
Por que a XP comunicou o episódio apenas um mês após a ocorrência?
Além disso, os órgãos reguladores e fiscalizadores no Brasil seguem em silêncio sobre o caso. O CidadeMarketing entrou em contato com o Banco Central do Brasil, mas até o momento não obteve retorno aos questionamentos enviados.
Pelas redes sociais e pela plataforma ReclameAqui, clientes da XP seguem tentando entender como ocorreu o vazamento de dados e de que forma essas informações foram parar em um fornecedor externo.
“Base privada em fornecedor terceiro, ou seja, terceiros tendo acesso a saldo de conta, endereço, telefone… Isso não poderia ocorrer em hipótese alguma”, questionou a usuária Eunice em um comentário no perfil oficial da XP no Instagram.
No ReclameAqui, um cliente de Juiz de Fora desabafou:
“A XP me envia um e-mail dizendo que meus dados foram vazados tanto da XP quanto da Rico, e que não é para eu me preocupar. Infelizmente para a XP, perderam um cliente e vão me encontrar na Justiça.”
