CPF Vazado: Como Saber Se o Seu Foi Exposto e O Que Fazer
Resposta rápida
Um CPF vazado significa que seus dados pessoais circulam em bases ilegais, podendo ser usados para contratar empréstimos, abrir contas e realizar compras fraudulentas em seu nome. Para saber se isso aconteceu, consulte o Registrato (Banco Central), o portal Serasa e verifique seu histórico no gov.br. Se confirmar o vazamento ou uso indevido, registre um boletim de ocorrência imediatamente, conteste junto aos órgãos de proteção ao crédito e acione seus direitos pela Lei Geral de Proteção de Dados (LGPD).
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Você recebe cobranças ou faturas de produtos ou serviços que nunca contratou.
- ›Seu nome aparece negativado no SPC ou Serasa por dívidas que você desconhece.
- ›O banco nega crédito e, ao verificar, você encontra empréstimos já em seu nome.
- ›Você recebe mensagens de confirmação de cadastro em sites ou aplicativos que nunca acessou.
- ›Ligações de cobranças chegam para dívidas que você jamais assumiu.
- ›Ao consultar o Registrato, aparecem contas bancárias ou chaves Pix que você nunca criou.
Passo a passo — o que fazer
- 1
Consulte o Registrato (Banco Central)
Acesse registrato.bcb.gov.br com sua conta gov.br e verifique todas as contas bancárias, empréstimos e chaves Pix registrados em seu CPF. Qualquer lançamento que você não reconheça é sinal de uso fraudulento.
- 2
Verifique seu CPF no gov.br
Entre em cpf.receita.fazenda.gov.br e confirme se seus dados cadastrais (nome, data de nascimento, endereço) estão corretos. Alterações que você não fez indicam que alguém tentou modificar seu registro.
- 3
Cheque seu histórico de crédito
Acesse o portal Serasa (serasa.com.br) e o SPC Brasil com seu CPF. Veja se há dívidas, negativações ou consultas de crédito que você não autorizou — cada consulta não reconhecida pode indicar tentativa de fraude.
- 4
Registre um Boletim de Ocorrência
Em qualquer delegacia física ou pelo portal de sua Delegacia Virtual estadual, registre um B.O. de uso indevido de dados pessoais ou estelionato. Esse documento é fundamental para contestar dívidas fraudulentas e acionar a LGPD.
- 5
Conteste junto aos credores e bureaus
Com o B.O. em mãos, entre em contato com o banco ou financeira onde o crédito foi contratado fraudulentamente e solicite o cancelamento e a exclusão do seu nome do cadastro de inadimplentes. Envie o B.O. como prova.
- 6
Ative alertas de crédito e monitoramento
Ative as notificações gratuitas do Serasa e do SPC para receber um aviso imediato toda vez que alguém consultar ou tentar negativar seu CPF. Isso transforma semanas de dano em minutos de reação.
- 7
Notifique a ANPD se houver empresa envolvida
Se você souber qual empresa vazou seus dados, registre uma reclamação na Autoridade Nacional de Proteção de Dados (gov.br/anpd). Pela LGPD (Lei 13.709/2018), você tem direito a saber quais dados foram expostos, exigir correção e ser indenizado por danos.
- 8
Considere o bloqueio do seu CPF para crédito
Alguns bureaus de crédito oferecem o bloqueio temporário do CPF para consultas de crédito, dificultando que fraudadores abram novas contas em seu nome. Consulte essa opção diretamente no Serasa ou no SPC Brasil.
O que NÃO fazer
- ✕Não ignore e-mails ou SMS de bancos desconhecidos: mesmo parecendo spam, podem indicar que alguém tentou abrir uma conta em seu nome.
- ✕Não pague dívidas fraudulentas sem contestar primeiro: pagar valida a dívida e não garante que o fraudador pare de agir.
- ✕Não compartilhe seu CPF em sorteios, promoções em redes sociais ou sites sem CNPJ verificável: são os principais vetores de coleta ilegal de dados.
- ✕Não envie foto do documento com CPF visível por aplicativos de mensagem — use somente canais seguros e autenticados para fins oficiais.
- ✕Não espere o problema se resolver sozinho: cada dia sem contestação aumenta o dano ao seu histórico de crédito e o risco de novas fraudes.
O Que É um Vazamento de CPF e Por Que Ele Acontece
O CPF (Cadastro de Pessoas Físicas) é o principal identificador civil do brasileiro. Quando um banco, loja, aplicativo ou governo coleta seu CPF, ele fica armazenado em bancos de dados digitais. Se esses sistemas forem invadidos ou configurados de forma insegura, milhões de registros — incluindo nome, CPF, data de nascimento, endereço e renda — podem ser copiados e vendidos em fóruns criminosos na internet.
Grandes vazamentos brasileiros já expuseram mais de 220 milhões de CPFs (incluindo de pessoas falecidas), conforme investigações da empresa de segurança PSafe e amplamente noticiado em 2021. Isso significa que há grande chance de seu CPF já circular em alguma base ilegal, independentemente de qualquer descuido seu.
Os criminosos compram essas bases por valores irrisórios e as usam para: solicitar empréstimos consignados em financeiras, abrir contas digitais para lavar dinheiro, fazer compras parceladas em e-commerces e aplicar golpes de engenharia social usando seus dados reais para parecerem legítimos.
Como Verificar se Seu CPF Foi Usado de Forma Fraudulenta
A ferramenta mais poderosa para isso é o Registrato, sistema gratuito do Banco Central do Brasil (registrato.bcb.gov.br). Com login pela conta gov.br, você obtém em minutos um relatório completo de todas as contas bancárias abertas em seu CPF, empréstimos ativos, operações de câmbio e chaves Pix registradas. Qualquer item não reconhecido deve ser investigado imediatamente.
Para o histórico de crédito, acesse o Serasa (serasa.com.br) e o SPC Brasil. Ambos oferecem consulta gratuita e mostram não apenas negativações, mas também o histórico de consultas — ou seja, quais empresas pediram seu CPF para análise de crédito. Se aparecer uma financeira que você nunca procurou, é sinal de que alguém tentou contratar crédito usando seus dados.
Você também pode verificar se seu e-mail foi exposto em vazamentos usando o serviço internacional Have I Been Pwned (haveibeenpwned.com), que indexa bases de dados roubadas. Embora não seja específico para CPF, muitos vazamentos brasileiros associam CPF a e-mail, então a combinação de dados pode ser suficiente para fraudes.
Por fim, monitore seu extrato bancário e de cartão semanalmente. Fraudes de CPF frequentemente começam com pequenas transações de teste antes de valores maiores, exatamente para verificar se a vítima está atenta.
Proteja também a sua empresa
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraSeus Direitos Pela LGPD e Como Exercê-los
A Lei Geral de Proteção de Dados (Lei 13.709/2018) garante que você tem o direito de saber quais dados seus uma empresa possui, pedir a correção de dados incorretos, solicitar a eliminação de dados desnecessários e ser indenizado por danos causados por tratamento irregular. Esses direitos valem para qualquer empresa pública ou privada que trate seus dados no Brasil.
Para exercer esses direitos, você deve primeiro identificar qual empresa foi responsável pelo vazamento. Se souber, entre em contato com o encarregado de dados (DPO) da empresa — por lei, eles são obrigados a responder em até 15 dias. Guarde todos os registros da comunicação.
Se a empresa não responder ou se recusar, registre uma reclamação formal na Autoridade Nacional de Proteção de Dados (ANPD), pelo portal gov.br/anpd. A ANPD pode multar empresas em até 2% do faturamento, limitado a R$ 50 milhões por infração. Você também pode buscar indenização na Justiça, especialmente se conseguir comprovar dano financeiro ou moral.
O Procon de seu estado também recebe reclamações contra empresas que negligenciaram a proteção de seus dados. Em casos de dano já ocorrido (dívida fraudulenta, negativação indevida), o Juizado Especial Cível (JEC) é gratuito para causas de até 20 salários mínimos e não exige advogado.
Golpes Comuns Após Vazamento de CPF
Empréstimo consignado fraudulento: com seu CPF, nome completo e dados bancários, criminosos solicitam crédito consignado — descontado diretamente na folha de pagamento — em financeiras com processos digitais menos rigorosos. O problema aparece quando o empregador começa a fazer descontos que você não autorizou ou quando a margem consignável esgota.
Abertura de contas digitais laranjas: contas abertas em seu nome são usadas para receber transferências de golpes aplicados a terceiros, o que pode envolver você indiretamente em investigações policiais. Bancos digitais com abertura 100% remota são os mais visados, pois a verificação biométrica pode ser burlada com fotos de documentos vazados.
Compras parceladas em e-commerce: com CPF e dados associados (endereço, data de nascimento), fraudadores tentam compras em lojas que usam análise de crédito simplificada. O produto vai para um endereço de terceiro (o mula), e a dívida fica em seu nome.
Engenharia social usando seus dados: o fraudador liga para você fingindo ser do banco, da operadora ou até da Receita Federal, mencionando seu CPF, nome completo e outros dados vazados para parecer legítimo. O objetivo é fazer você revelar sua senha, token ou código SMS. Lembre-se: bancos nunca pedem senha ou código por telefone.
Clonagem de identidade em cartórios: em casos mais graves, fraudadores usam documentos falsificados com seu CPF para assinar contratos, procurações e até transferências de imóveis. Monitore periodicamente consultas no sistema de proteção a escrituras do Colégio Notarial do Brasil.
Prevenção: Como Proteger Seu CPF Daqui Para Frente
Compartilhe seu CPF somente quando estritamente necessário e com empresas que você conhece e confia. Antes de fornecer, pergunte para que o dado será usado e se existe política de privacidade publicada. Empresas sérias respondem sem hesitação.
Ative a autenticação em dois fatores (2FA) em todos os seus serviços financeiros, e-mails e contas gov.br. Mesmo que seu CPF vaze, o 2FA impede que o criminoso acesse sua conta sem o segundo fator — que, idealmente, deve ser um aplicativo autenticador, não um SMS (mais fácil de interceptar).
Monitore seu CPF regularmente: coloque um lembrete mensal para consultar o Registrato e o Serasa. Muitos serviços de proteção ao crédito oferecem monitoramento automático com alertas por e-mail ou app. Detecção rápida reduz drasticamente o estrago.
Evite redes Wi-Fi públicas para acessar serviços financeiros e não instale aplicativos de fontes não verificadas. Malwares em dispositivos podem capturar dados diretamente do aparelho, independentemente de vazamentos em empresas.
Guarde com segurança seus documentos físicos e digitais. Fotos de RG e CPF salvas sem proteção no celular ou enviadas por WhatsApp são vetores frequentes de roubo de identidade. Use um gerenciador de senhas e armazene documentos sensíveis em pastas criptografadas.
Termos importantes
- Registrato
- Sistema gratuito do Banco Central do Brasil (registrato.bcb.gov.br) que permite a qualquer cidadão consultar, com login gov.br, todas as contas bancárias, empréstimos, chaves Pix e operações de câmbio registradas em seu CPF, sendo a principal ferramenta oficial para detectar uso fraudulento de identidade no sistema financeiro.
- LGPD (Lei Geral de Proteção de Dados)
- Lei federal brasileira n.º 13.709/2018 que regulamenta o tratamento de dados pessoais por empresas públicas e privadas, garantindo ao titular direitos como acesso, correção, exclusão e portabilidade dos seus dados, além de prever multas de até 2% do faturamento da empresa infratora, limitadas a R$ 50 milhões por infração.
- ANPD (Autoridade Nacional de Proteção de Dados)
- Órgão federal brasileiro responsável por fiscalizar o cumprimento da LGPD, receber denúncias de cidadãos sobre uso indevido de dados pessoais, investigar empresas e aplicar sanções administrativas. Reclamações podem ser feitas pelo portal gov.br/anpd.
- Score de crédito
- Pontuação calculada por bureaus como Serasa e SPC que mede a probabilidade de uma pessoa honrar compromissos financeiros, com base em histórico de pagamentos, dívidas e consultas. Um vazamento de CPF pode prejudicar o score ao gerar negativações e consultas não autorizadas, dificultando acesso a crédito legítimo mesmo após a fraude ser contestada.
Perguntas frequentes
Como saber se meu CPF foi vazado de graça?
A consulta mais completa e gratuita é pelo Registrato (registrato.bcb.gov.br), sistema oficial do Banco Central, que exige apenas login gov.br. Para histórico de crédito, o Serasa e o SPC Brasil oferecem consulta gratuita pelo site ou aplicativo. O serviço internacional Have I Been Pwned (haveibeenpwned.com) também verifica se seu e-mail foi exposto em vazamentos conhecidos, o que frequentemente está associado ao CPF em bases brasileiras.
O que é o Registrato e como ele ajuda?
O Registrato é um sistema gratuito do Banco Central do Brasil que consolida, em um único relatório, todas as contas bancárias abertas em seu CPF, empréstimos e financiamentos ativos, operações de câmbio e chaves Pix registradas. É a ferramenta mais precisa para detectar contas ou créditos que você não autorizou. O acesso é feito em registrato.bcb.gov.br com conta gov.br nível Prata ou Ouro.
Posso bloquear meu CPF para evitar novos golpes?
Não existe um bloqueio total do CPF emitido pela Receita Federal, mas alguns bureaus de crédito como o Serasa permitem que você congele temporariamente seu perfil para novas consultas de crédito, dificultando a aprovação de empréstimos e financeiras em seu nome. Para ativar, acesse o aplicativo ou site do Serasa, procure a opção 'Antifraude' ou 'Alerta de Crédito' e siga as instruções.
Quem devo acionar se uma empresa vazou meu CPF?
Primeiro, entre em contato com o encarregado de dados (DPO) da empresa responsável. Se não houver resposta satisfatória em até 15 dias, registre reclamação na ANPD (gov.br/anpd) e no Procon do seu estado. Se houver dano financeiro ou moral comprovável, procure o Juizado Especial Cível (JEC) mais próximo — o processo é gratuito para causas de até 20 salários mínimos e não exige advogado.
O boletim de ocorrência realmente serve para algo?
Sim, e é indispensável. O B.O. documenta oficialmente que você foi vítima de fraude em uma data específica, o que serve como prova para: contestar dívidas fraudulentas junto a bancos e financeiras, solicitar a retirada do seu nome do SPC/Serasa, embasar ação judicial por danos e acionar a ANPD. Sem o B.O., a contestação é muito mais difícil. Você pode registrá-lo online no portal da Delegacia Virtual do seu estado.
Uma dívida contraída com meu CPF sem minha autorização vai para meu nome?
Infelizmente, sim — até que você conteste. O credor registra a dívida no CPF usado no contrato fraudulento. Por isso, a contestação imediata é crucial. Com o B.O. em mãos, contate a empresa credora, informe o crime e exija a exclusão do seu nome. Se a empresa se recusar, o Procon e o JEC podem intervir. Em paralelo, conteste a negativação diretamente no Serasa e SPC, enviando o B.O. como prova.
Quanto tempo tenho para contestar uma fraude de CPF?
Não existe um prazo legal rígido para a contestação inicial junto ao credor, mas quanto mais cedo você agir, menos danos acumula. Para ações judiciais de reparação por dano moral ou material decorrentes de fraude, o prazo prescricional geral é de três anos, contado a partir do momento em que você tomou conhecimento do dano (art. 206, §3º, V do Código Civil). Para reclamações à ANPD, não há prazo expresso na norma, mas agir logo aumenta a efetividade da investigação.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.