A corretora afirmou que não houve vazamento de senhas
A XP Investimentos comunicou, nesta quinta-feira (24), que identificou um acesso não autorizado a dados de clientes no dia 22 de março de 2025. A informação foi repassada por e-mail aos usuários das plataformas XP, Rico e Clear.
Segundo o comunicado revelado pela GloboNews, o incidente ocorreu em um ambiente de tecnologia de um fornecedor externo. A empresa não informou o número de clientes afetados.
O acesso indevido expôs dados cadastrais e financeiros, como nome, telefone, e-mail, data de nascimento, saldo de conta e posição de investimentos.
A corretora afirmou que não houve vazamento de senhas, assinaturas eletrônicas, tokens, biometria, CPF ou documentos de identidade. A empresa assegurou que não foram realizadas operações financeiras com as informações acessadas.
Entre os dados comprometidos estão: número da conta nas plataformas do grupo, saldo atualizado em março de 2025, nome do assessor, limite de crédito, além de indicadores binários sobre posse de produtos como cartão de crédito, seguro, consórcio, previdência e portabilidade de salário. A XP ressaltou que os detalhes operacionais desses produtos não foram vazados.
O acesso indevido foi bloqueado no mesmo dia da detecção, segundo a empresa. A XP informou que comunicou o caso às autoridades competentes, incluindo a Polícia Federal e o Ministério Público, e que instaurou uma apuração interna.
A corretora também implementou medidas adicionais de segurança e monitoramento para prevenir fraudes.
Sistemas da XP
Xp Investimentos
Os sistemas internos da empresa e de suas subsidiárias não foram comprometidos e que os clientes podem continuar utilizando os aplicativos e sites normalmente, sem a necessidade de trocar senhas.
A corretora orientou os usuários a desconsiderarem contatos suspeitos, como ligações ou mensagens solicitando confirmação de dados ou transações, e a utilizarem apenas os canais oficiais para atendimento.
A notificação aos clientes ocorreu 33 dias após a detecção do incidente. O intervalo entre a identificação do vazamento e a comunicação aos usuários motivou questionamentos sobre a conduta da empresa em relação à LGPD (Lei Geral de Proteção de Dados).
A legislação determina que o controlador de dados deve comunicar, em prazo razoável, os titulares e a ANPD (Autoridade Nacional de Proteção de Dados) sobre incidentes com risco relevante aos direitos dos usuários.
Vazamento
Este é o segundo vazamento de dados registrado pela XP. Entre 2013 e 2014, 29 mil clientes tiveram informações expostas, incluindo nome, e-mail, telefone e CPF.
À época, os invasores tentaram extorquir a corretora em R$ 22,5 milhões. Três clientes foram vítimas de fraude, com prejuízo total de R$ 500 mil. A XP ressarciu os envolvidos.
Em 2025, a XP administra 4,7 milhões de clientes ativos, segundo balanço do quarto trimestre de 2024. A empresa reiterou que não há evidência de acesso a contas ou movimentações indevidas.
A ANPD pode instaurar procedimento para verificar se a XP cumpriu as exigências da LGPD. A lei prevê sanções em caso de descumprimento, incluindo advertência, multa ou obrigação de reparação aos titulares.
A XP foi procurada pelo Portal iG, mas não respondeu aos questionamentos até a publicação desta reportagem.
