A Realidade do PIX: R$ 4,9 Bilhões em Fraudes
Vou ser direto: o PIX é, disparado, o melhor sistema de pagamentos instantâneos do mundo. Nenhum país tem algo que chegue perto – nem o UPI da Índia, nem o FedNow americano que mal saiu do papel. Mas essa mesma velocidade que torna o PIX genial é o que faz dele o alvo preferido de criminosos no Brasil.
Os números de 2024 não mentem. Segundo dados do Banco Central obtidos via Lei de Acesso à Informação, as fraudes com PIX somaram R$ 4,941 bilhões – um aumento de 70% em relação aos R$ 2,911 bilhões de 2023. Pra colocar em perspectiva: isso é mais que o orçamento anual de várias capitais brasileiras.
Em 2024, o PIX movimentou 63,8 bilhões de transações. Responde por mais de 80% de todas as transferências no Brasil. Quando você fala “me manda um PIX”, não tá fazendo uma escolha – é o padrão. TED virou relíquia. Boleto tá morrendo. Cartão de débito perdeu relevância pra compras do dia a dia.
O Fórum Brasileiro de Segurança Pública estima que 24 milhões de brasileiros foram vítimas de golpes envolvendo PIX. Vinte e quatro milhões. É a população inteira do estado do Rio de Janeiro caindo em fraude.
Agora, antes de entrar em pânico: proporcionalmente, as fraudes representam 0,019% do volume total. Menos de dois centésimos de por cento. O sistema em si é seguro – criptografia de ponta a ponta, autenticação no SPI, tudo rodando na infraestrutura do Banco Central. O problema não é o PIX. O problema é engenharia social, malware e a combinação perversa de três características que nenhum outro meio de pagamento reúne ao mesmo tempo:
Instantâneo. O dinheiro cai em segundos. Não tem “cancelar transferência” como no TED agendado.
Irrevogável. Uma vez confirmado, o débito aconteceu. Não existe chargeback como no cartão de crédito.
24 horas, 7 dias por semana. Sábado de madrugada, feriado, tanto faz. Criminoso não precisa esperar horário bancário.
Essa combinação é o sonho de qualquer golpista. E é por isso que você precisa entender exatamente como cada golpe funciona – porque a melhor defesa não é tecnológica, é comportamental.
Os 8 Golpes Mais Comuns do PIX (E Como Cada Um Funciona)
Trabalho com segurança cibernética há anos e uma coisa nunca muda: golpe que funciona é golpe que se repete. Os criminosos brasileiros não estão inventando a roda – estão otimizando os mesmos esquemas que já deram certo milhares de vezes. Conhecer o mecanismo de cada um é o primeiro passo pra não cair.
1. Falso Funcionário do Banco
Um caso clássico: você recebe uma ligação às 7 da manhã, o número aparece como do seu banco. A pessoa sabe seu nome, os últimos 4 dígitos do seu CPF, e diz que houve uma compra suspeita no seu cartão. “Senhor, pra sua segurança, preciso que transfira o valor para uma conta protegida enquanto bloqueamos a movimentação.”
Conta protegida não existe. Ponto final.
Esse é o campeão absoluto – a Febraban registrou 105 mil reclamações só em 2024. Como o golpista sabe tudo sobre você? Vazamentos de dados. O Brasil teve megavazamentos em 2021 (223 milhões de CPFs) e os dados continuam circulando em fóruns criminais. Com nome, CPF e banco, o cara monta um script convincente. Aí vem a pressão psicológica: urgência fabricada pra você agir sem pensar.
O que mudou em 2025: o STJ decidiu em outubro que bancos devem indenizar vítimas quando falhas de segurança da instituição contribuíram pro golpe. Isso inclui casos em que dados internos vazaram ou os filtros antifraude falharam. Marco jurídico importante.
E tem a camada de deepfake de voz. Segundo relatório da Kaspersky de 2025, ataques usando clonagem de voz por IA cresceram significativamente na América Latina. A tecnologia atual consegue clonar a voz de uma pessoa com apenas 15 segundos de áudio. Aquele áudio que você mandou no grupo da família? Pode virar matéria-prima pra um golpista ligar pro seu pai imitando sua voz pedindo PIX urgente. Não é ficção científica – tá acontecendo.
2. Clonagem de WhatsApp e “Parente em Apuros”
Você já recebeu mensagem de um número desconhecido dizendo “oi mãe, troquei de número”? Fique esperto. Esse golpe lidera o ranking da Febraban com 153 mil reclamações em 2024 – é o golpe mais reportado do Brasil.
Funciona de duas formas. Na clonagem propriamente dita, o criminoso sequestra sua conta do WhatsApp via SIM swap ou engenharia social (ligando pro suporte da operadora com seus dados vazados, ou te convencendo a informar o código de verificação de 6 dígitos). Com acesso ao seu WhatsApp, ele manda mensagem pra seus contatos pedindo PIX urgente – e as pessoas confiam porque a mensagem vem “de você”.
A variante “parente em apuros” nem precisa clonar nada. O criminoso pega uma foto sua de rede social, cria um perfil novo com número diferente, e manda mensagem pra sua mãe, pai, tia: “Oi, sou eu, troquei de chip. Tô precisando de uma ajuda urgente, depois te explico. Pode me mandar R$ 800 por PIX?” A pessoa vê a foto, reconhece o nome, e manda.
Proteção: ative a verificação em duas etapas do WhatsApp agora – Configurações > Conta > Confirmação em Duas Etapas. Crie um PIN de 6 dígitos. Simples assim. E a regra de ouro: se alguém pedir PIX por mensagem, ligue pra pessoa no número antigo. Não caia nessa.
3. QR Code Falso e Link Malicioso
Dois vetores diferentes, mesmo objetivo: fazer você pagar pra conta errada.
No QR code físico, o criminoso cola um adesivo por cima do QR code legítimo em restaurantes, estacionamentos, bancas de jornal. Você escaneia achando que tá pagando o estabelecimento, mas o dinheiro vai pra conta do golpista. A solução é simples: use QR codes dinâmicos gerados na hora pela maquininha, não códigos impressos colados em parede.
No phishing digital, o golpe vem por SMS ou WhatsApp. “Sua fatura vence hoje, pague com desconto via PIX” com um link que leva pra uma página falsa idêntica ao site do banco. Você digita senha e token, o criminoso captura tudo em tempo real. Se tá em Wi-Fi público, o risco é maior – uma boa VPN ajuda a proteger a conexão, mas a melhor defesa é nunca clicar em link de cobrança recebido por mensagem.
No desktop, existe o GoPIX – um malware que intercepta códigos PIX copiados pra área de transferência. Você copia o código PIX de uma compra legítima, mas quando cola no app, o malware já substituiu pelo código do criminoso. Distribuído via anúncios maliciosos no Google, principalmente buscas por “WhatsApp Web”.
4. Golpe do PIX Errado
Esse é elegante na sua simplicidade. O golpista realmente faz um PIX pra você. Dinheiro de verdade, caiu na sua conta. Aí ele entra em contato: “Oi, fiz um PIX errado pra sua chave, pode devolver?”
A armadilha: ele pede que você devolva pra uma chave diferente da que enviou. Não é a conta original – é uma terceira conta, controlada por outro criminoso (laranja). Se você devolver pra chave diferente, o golpista aciona o MED no banco alegando que o PIX original foi fraude, e o banco estorna da sua conta. Resultado: você perdeu o valor duas vezes.
A regra de ouro: se alguém pedir devolução de PIX, use exclusivamente a função “Devolver” do seu app bancário, que envia automaticamente pra conta de origem. Nunca faça um novo PIX pra uma chave fornecida por quem tá pedindo.
5. SIM Swap – Sequestro do Número de Celular
Já parou pra pensar no que acontece se alguém tomar o controle do seu número de celular?
SIM swap é quando o criminoso consegue portar seu número pra um chip novo. Liga na operadora se passando por você (com seus dados vazados), pede segunda via do chip, e pronto – seu número agora tá no aparelho dele. Com isso, recebe todos os SMS de verificação. Acessa seu WhatsApp. Acessa apps bancários que usam SMS como segundo fator. É devastador.
O primeiro sinal: seu celular perde sinal de repente. Se tá em área com cobertura e de uma hora pra outra ficou sem rede, ligue imediatamente pra operadora de outro telefone.
Proteção real: migre pra eSIM (não pode ser clonado fisicamente) e troque toda autenticação de SMS por app autenticador – Google Authenticator, Authy, Microsoft Authenticator. SMS como segundo fator é uma vulnerabilidade, não uma proteção.
6. BrasDex, GoPIX e BRats – Os Trojans Brasileiros
Aqui a coisa fica técnica, e é onde muita gente subestima o risco.
BrasDex é um trojan Android que abusa dos Serviços de Acessibilidade do sistema. Mira em pelo menos 10 bancos brasileiros – Nubank, Inter, Bradesco, Itaú, Caixa, Santander, Banco do Brasil, entre outros. Quando você abre o app do banco, o BrasDex cria uma camada falsa (overlay) por cima da tela real. Você digita senha e confirma transferência achando que tá no app legítimo, mas o malware interceptou os dados e redirecionou o PIX.
GoPIX é o equivalente pra Windows. Fica monitorando sua área de transferência. Copiou código PIX? Ele substitui por um código que aponta pra conta do criminoso. Distribuído através de anúncios maliciosos no Google – especialmente buscas por “WhatsApp Web”, “correios rastreamento” e similares.
BRats é o mais avançado. Um sistema de transferência automatizado (ATS) que opera sozinho no aparelho infectado. Não precisa nem de interação com o criminoso em tempo real. É a segunda ameaça mais detectada no Brasil segundo empresas de segurança. Funciona inteiramente pelo Serviço de Acessibilidade do Android – mais um motivo pra nunca dar essa permissão pra apps desconhecidos.
Esses três malwares são a razão pela qual um bom antivírus no celular não é paranoia – é necessidade. Android é o sistema dominante no Brasil (87% de market share) e o mais visado.
7. Falso Comprovante de PIX
Se você vende qualquer coisa – produto, serviço, rifa – presta atenção. PIX cai em menos de 10 segundos. Se não caiu, o comprovante é falso. Não entregue nada. Confira no SEU app, não no celular do comprador.
8. PIX por Coação – Sequestro Relâmpago
O mais violento. E é exclusivamente brasileiro. O bicho pega de verdade.
Dados do FBSP mostram que sequestros relâmpago cresceram entre 35% e 39% em São Paulo desde a popularização do PIX. Foram 131 pessoas sequestradas só na capital paulista entre janeiro e setembro de 2024. O padrão: abordagem na rua ou no trânsito, vítima é levada pra um carro, obrigada a fazer PIX sob ameaça.
O detalhe cruel: criminosos aprenderam que existe limite noturno. Então mantêm a vítima por 24 horas ou mais, esperando o limite resetar. Fazem múltiplas transferências ao longo da madrugada e do dia seguinte.
As proteções do Banco Central (limite noturno, atraso pra aumento de limite) foram criadas exatamente pra isso – reduzir o valor que pode ser extraído por coação. Mas não resolvem completamente. A seção seguinte mostra todas as configurações disponíveis pra minimizar o dano.
Como Se Proteger: Configurações Que Seu Banco Já Oferece
A maioria dessas proteções já existe no seu app bancário. O problema é que quase ninguém configura. É como ter alarme em casa e nunca ligar. Vou listar cada uma e explicar por que ativar agora.
Limite Noturno e Por Transação
Desde a Resolução BCB 403/2024, todas as transações PIX entre 20h e 6h têm limite padrão de R$ 1.000. Isso já vem ativado por padrão, mas confira no seu app – alguns bancos permitem que o cliente aumente. Se você não precisa fazer PIX alto de madrugada, mantenha no mínimo.
E mais: reduza o limite diurno também. Pense no máximo que você realisticamente precisa transferir num dia e configure isso. Quando precisar mandar mais, aumenta na hora – com a carência de 24-48h, o que é uma proteção, não um inconveniente.
Bloqueio de Dispositivo Novo
Quando você acessa o app bancário de um celular novo (ou após restauração de fábrica), o PIX fica limitado a R$ 200 por transação e R$ 1.000 por dia. Isso é automático e protege contra roubo de celular + acesso ao app. Não tem o que configurar aqui – só não desative se o banco oferecer a opção.
Biometria e Autenticação
Ative autenticação biométrica (digital ou facial) pra toda transação PIX no app. Toda. Não só acima de determinado valor. É um inconveniente mínimo que dificulta enormemente o acesso por terceiros.
Aumento de limite com carência de 24-48h: se você pedir pra aumentar seu limite de PIX, a mudança só entra em vigor 24 a 48 horas depois. Essa é uma medida anti-coação direta – mesmo que o criminoso te obrigue a aumentar o limite, ele teria que te manter refém por mais de um dia. Não desative essa carência.
BC Protege+
Lançado em dezembro de 2025, o Protege+ permite que você bloqueie a abertura de novas contas bancárias usando seus dados (CPF). Em dois dias de funcionamento, 145.500 brasileiros ativaram e 1.630 tentativas de abertura de conta foram bloqueadas. Isso impede que criminosos usem seus dados vazados pra abrir contas laranja. Ative pelo app do seu banco ou diretamente no Registrato do Banco Central.
Celular Roubado: Apagar Remoto
Configure agora, antes de precisar.
No Android: ative “Encontrar Meu Dispositivo” no Google. No iPhone: “Buscar” (Find My). Isso permite localizar, bloquear e apagar remotamente o conteúdo do celular. Se for roubado, a primeira coisa é acessar de um notebook ou computador e apagar o dispositivo. Depois, ligue pro banco.
Registre também o IMEI do celular na operadora. Em caso de roubo, peça bloqueio por IMEI – o aparelho vira tijolo. O governo lançou o Celular Seguro (celularseguro.mj.gov.br) que bloqueia IMEI, contas bancárias e chip de uma vez só.
Autenticação em Dois Fatores (Sem SMS)
Já falei no SIM swap, mas vale repetir: SMS é inseguro. Qualquer autenticação que depende de receber um código por SMS é vulnerável a SIM swap. Troque pra app autenticador em todos os serviços – banco, e-mail, redes sociais, tudo. Google Authenticator e Authy são gratuitos.
Configure tudo isso numa sentada. Leva 15 minutos. É o melhor investimento de tempo que você faz esse mês.
Como Recuperar PIX de Golpe: MED 2.0
Caiu num golpe? O tempo é o fator mais importante. Cada minuto que passa, o dinheiro se fragmenta em mais contas e fica mais difícil recuperar.
O MED (Mecanismo Especial de Devolução) é o sistema oficial do Banco Central pra recuperação de valores em fraudes com PIX. A primeira versão era burocrática e lenta – 80 dias pra contestar, 7 dias úteis de análise, até 11 dias no total pra ter uma resposta. E a taxa de recuperação era deprimente: menos de 7% do valor era devolvido.
O MED 2.0, instituído pela Resolução BCB 493, mudou o jogo. A grande diferença técnica: o sistema agora rastreia até 5 camadas de contas. Quando o criminoso recebe seu PIX e imediatamente distribui pra outras contas (prática chamada de “pulverização”), o MED 2.0 consegue seguir o dinheiro por até 5 saltos. A versão anterior parava na primeira conta.
Desde outubro de 2025, existe um botão de contestação direto no app do banco. Sem precisar ligar pra central, sem ir à agência. Abriu o app, contestou, o processo começa. E desde 2 de fevereiro de 2026, o MED 2.0 é obrigatório pra todas as instituições participantes do PIX.
A meta do Banco Central é elevar a taxa de recuperação pra até 80%. Os números reais dos primeiros meses ainda não foram publicados, mas a estrutura técnica é incomparavelmente melhor que a anterior.
Passo a passo se você foi vítima:
1) Abra a contestação no app do banco imediatamente. Procure a transação no extrato e use o botão de contestação MED. Quanto mais rápido, maior a chance de o dinheiro ser bloqueado na conta destino antes de ser sacado ou transferido.
2) Registre um Boletim de Ocorrência online. Todos os estados oferecem B.O. eletrônico. Em SP: delegaciaeletronica.policiavivil.sp.gov.br. Isso cria o registro oficial necessário pra qualquer ação judicial posterior.
3) Registre reclamação no Procon. Especialmente se o banco não devolver o valor. O Procon pode mediar e pressionar a instituição.
4) Registre no Banco Central. Acesse registrar.bcb.gov.br e formalize a reclamação contra a instituição financeira. O BC usa esses dados pra fiscalização e, em casos de negligência recorrente, aplica sanções.
Não pare no passo 1. Faça os quatro. Cada registro fortalece seu caso e pressiona a cadeia inteira.
Se o banco negar a devolução e você tiver evidências de que houve fraude (prints de conversa, gravação da ligação falsa, comprovantes), procure um advogado. A decisão do STJ de outubro de 2025 abriu precedente claro: quando o banco falhou em detectar a fraude, ele deve indenizar.
Proteção Avançada: O Que os Especialistas Fazem
Até agora falei do básico – configurações que qualquer pessoa deveria ter. Mas se você quer um nível real de proteção, precisa ir além.
Celular “cofre” separado do celular do dia a dia. Pode parecer exagero, mas quem tem patrimônio relevante em conta digital deveria considerar. Um celular secundário, que fica em casa, com os apps bancários principais. O celular que você leva na rua tem apenas uma conta corrente com saldo baixo pra despesas diárias. Se for roubado, o dano é limitado. Alguns bancos já oferecem funcionalidade de “conta salário” ou “conta corrente secundária” que serve exatamente pra isso.
Pasta segura / perfil de trabalho. No Samsung, a Pasta Segura isola apps bancários numa área separada protegida por senha diferente. No Android puro, o perfil de trabalho faz algo similar. Se alguém desbloquear seu celular (por coerção ou roubo), os apps bancários não aparecem na tela inicial.
Monitore seus dados no Registrato. O Registrato do Banco Central (registrato.bcb.gov.br) mostra todas as contas bancárias, chaves PIX, empréstimos e financiamentos no seu CPF. Verifique mensalmente. Se aparecer uma conta que você não abriu, ative o Protege+ imediatamente e registre B.O.
Chave PIX: prefira aleatória. Usar CPF como chave PIX é conveniente, mas expõe seu documento a qualquer pessoa que te pagar ou receber de você. Chave aleatória não revela nada sobre você. Pra receber de conhecidos, chave de e-mail ou telefone. Pra vendas online e desconhecidos, sempre aleatória.
Desconfie de urgência. Todo golpe de engenharia social tem um elemento em comum: pressão de tempo. “Precisa ser agora”, “sua conta vai ser bloqueada em 30 minutos”, “só hoje”, “é urgente”. Urgência fabricada é o sinal mais confiável de golpe. Banco real não te pressiona – ele bloqueia e espera você ir à agência.
PIX é Seguro – Você Precisa Ser Também
Depois de tudo isso, a conclusão pode parecer contraditória: o PIX é um sistema seguro. A infraestrutura técnica do SPI (Sistema de Pagamentos Instantâneos) é robusta. Criptografia TLS 1.3, autenticação mútua entre participantes, segregação de rede. O Banco Central não brincou na engenharia.
O elo fraco é humano. Sempre foi, sempre vai ser. Os R$ 4,9 bilhões em fraudes não vieram de hackers quebrando a criptografia do PIX – vieram de pessoas sendo enganadas, coagidas ou infectadas por malware.
E o PIX continua evoluindo. PIX por aproximação (NFC via Google Pay) já movimentou R$ 46,5 milhões em janeiro de 2026. PIX automático chega em junho de 2026 pra substituir débito automático. Cada novo recurso traz novos vetores de ataque – mas a base é sólida.
O que fazer agora, hoje, nesta sessão:
Nos próximos 15 minutos: abra o app do seu banco principal. Configure limite noturno no mínimo. Reduza limite diurno pro mínimo necessário. Ative biometria pra todas as transações. Ative notificações de PIX recebido e enviado.
Nos próximos 30 minutos: instale um app autenticador (Authy ou Google Authenticator). Troque toda autenticação de SMS pra app autenticador – banco, e-mail, WhatsApp, redes sociais. Ative “Encontrar Meu Dispositivo” no celular.
Nesta semana: acesse o Registrato do BC e verifique todas as contas e chaves PIX no seu CPF. Ative o Protege+. Cadastre seu celular no Celular Seguro (celularseguro.mj.gov.br). Instale um antivírus confiável no Android.
Ensine pelo menos uma pessoa. Manda esse artigo pra sua mãe, pro seu pai, pro avô. As maiores vítimas de golpe do PIX são pessoas acima de 50 anos que confiam em ligações telefônicas. Não adianta você se proteger se as pessoas ao redor continuam vulneráveis – porque o golpista vai usar o WhatsApp delas pra chegar em você.
PIX é a melhor inovação financeira do Brasil. Use sem medo – mas use com configuração.
{
“@context”: “https://schema.org”,
“@type”: “FAQPage”,
“mainEntity”: [
{
“@type”: “Question”,
“name”: “PIX é seguro?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Sim, o sistema PIX em si é seguro. A infraestrutura do SPI (Sistema de Pagamentos Instantâneos) usa criptografia TLS 1.3, autenticação mútua entre participantes e segregação de rede – tudo operado pelo Banco Central. As fraudes de R$ 4,9 bilhões em 2024 vieram de engenharia social, malware e coação, não de falhas na criptografia ou no sistema. O PIX é seguro; o risco está em como as pessoas o utilizam. Com limite noturno configurado, biometria ativada e autenticação por app (não SMS), o nível de proteção é alto.”
}
},
{
“@type”: “Question”,
“name”: “PIX por aproximação é seguro?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Sim. O PIX por aproximação foi lançado em fevereiro de 2025, inicialmente disponível apenas pelo Google Pay no Android. O limite é de R$ 500 por transação, os dados são criptografados e a biometria do dispositivo é obrigatória para confirmar o pagamento. Em janeiro de 2026 foram transacionados R$ 46,5 milhões. A tecnologia é segura – usa os mesmos protocolos NFC do pagamento por aproximação do cartão, com a camada adicional de autenticação biométrica do celular. Ainda está em adoção inicial, mas é tão seguro quanto PIX convencional.”
}
},
{
“@type”: “Question”,
“name”: “Banco é obrigado a devolver PIX de golpe?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Depende do caso. O STJ decidiu em outubro de 2025 que bancos devem indenizar vítimas quando falhas de segurança da instituição contribuíram para a fraude. O MED 2.0 (Mecanismo Especial de Devolução) é o canal formal para contestação – obrigatório para todas as instituições desde fevereiro de 2026. A devolução não é automática: o banco analisa o caso, rastreia o dinheiro por até 5 camadas de contas e tenta recuperar. A taxa de recuperação histórica era inferior a 7%, mas o MED 2.0 visa elevar para até 80%.”
}
},
{
“@type”: “Question”,
“name”: “Preciso de antivírus para proteger meu PIX?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Sim, especialmente em Android, que representa 87% do mercado brasileiro e é o principal alvo de trojans bancários. BrasDex, BRats e GoPIX são malwares reais que interceptam transações PIX, criam telas falsas sobre apps bancários e substituem códigos PIX copiados. Um antivírus com proteção em tempo real detecta e bloqueia essas ameaças antes que comprometam suas transações. Avaliamos os melhores antivírus para o mercado brasileiro em nosso guia completo.”
}
},
{
“@type”: “Question”,
“name”: “Limite noturno protege contra sequestro relâmpago?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Parcialmente. O limite noturno padrão de R$ 1.000 (entre 20h e 6h) reduz significativamente o valor que pode ser extraído por coação. Porém, criminosos aprenderam a manter vítimas por 24 horas ou mais, esperando o período noturno acabar e o limite diurno ser restabelecido. Para proteção adicional: configure um limite máximo por transação baixo, ative bloqueio do app por biometria, mantenha um celular secundário em casa com os apps bancários principais, e cadastre-se no Celular Seguro (celularseguro.mj.gov.br) para bloqueio rápido de IMEI e contas.”
}
}
]
}
Aviso: Este post pode conter links de afiliados. Se você comprar por meio desses links, podemos receber uma comissão sem custo adicional para você. Consulte nossa Divulgação de Afiliados para mais detalhes.