De acordo com as informações divulgadas pelo BC, o vazamento ocorreu entre os dias 26 de junho e 2 de julho e incluiu informações como nome do usuário, CPF com máscara, instituição de relacionamento, agência e número da conta. O vazamento foi atribuído a falhas pontuais nos sistemas da instituição de pagamento. O BC ressaltou que os dados expostos eram apenas cadastrais e não afetaram as movimentações financeiras. Informações protegidas pelo sigilo bancário, como saldos, senhas e extratos, não foram comprometidas.
Mesmo considerando o baixo impacto potencial para os clientes, o Banco Central decidiu comunicar o incidente em prol da transparência. As pessoas afetadas serão notificadas por meio do aplicativo ou internet banking da instituição. O BC alertou que esses serão os únicos canais oficiais de aviso e pediu para os clientes ignorarem possíveis comunicações por telefone, SMS, aplicativos de mensagens e e-mail.
Apesar da exposição dos dados, não significa necessariamente que todas as informações foram vazadas, apenas que ficaram visíveis para terceiros por algum tempo. O BC afirmou que o caso será investigado e que sanções podem ser aplicadas, incluindo multas, suspensões ou até mesmo exclusão do sistema do Pix, conforme a gravidade da situação. Desde o lançamento do sistema, todos os 11 incidentes registrados envolveram informações cadastrais, sem a exposição de senhas e saldos bancários.
A 99Pay emitiu uma nota informando que o incidente de segurança já foi solucionado e que não haverá perdas financeiras, visto que nenhum dado sensível foi exposto. A instituição garantiu que apenas 0,0003% de sua base de usuários foram afetados e se colocou à disposição para prestar esclarecimentos e apoio aos clientes. Destacou ainda seu compromisso com a segurança, privacidade de dados e combate às fraudes digitais em todas as operações. Os canais oficiais de atendimento seguem disponíveis para esclarecer dúvidas e orientar os usuários da melhor forma possível.
