A XP Investimentos comunicou, na manhã desta quinta-feira (24), um incidente de segurança envolvendo o acesso não autorizado a uma base de dados hospedada em um fornecedor externo. Segundo a empresa, não houve comprometimento de seus sistemas internos e as contas dos clientes permanecem seguras.
De acordo com o comunicado, a XP tomou conhecimento do acesso indevido em 22 de março de 2025 e bloqueou imediatamente a atividade. A empresa informou que a utilização de seus aplicativos e sites continua normal e não há necessidade de alteração de senhas pelos usuários. Além disso, foi iniciada uma investigação detalhada para apurar a extensão do incidente e as autoridades competentes foram notificadas.
Os dados acessados incluem informações cadastrais como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade. Também foram visualizados dados vinculados às contas na XP, como número da conta, saldo, posição, nome do assessor e limite de crédito, todos referentes ao mês de março.
A XP enfatizou, em diversos trechos da comunicação aos clientes, que o acesso indevido foi prontamente interrompido e que não há evidências de que as informações tenham sido divulgadas publicamente. Portanto, segundo a empresa, não seria necessária nenhuma ação por parte dos clientes.
Embora a empresa tenha garantido a segurança das contas, ainda restam dúvidas sobre o destino dos dados visualizados, como destacou o portal TecMundo. Caso essas informações tenham sido copiadas, há o risco de golpes como phishing — envio de links ou e-mails falsos para roubo de dados sensíveis — e vishing, prática que utiliza ligações telefônicas fraudulentas para obter informações pessoais.