Fraudes no Pix: Como Proteger Sua Empresa dos Golpes Mais Comuns em 2026
O Pix virou parte da rotina de brasileiros e empresas. Em 2025, o sistema movimentou mais de 33 trilhões de reais em transações, segundo dados do Banco Central. Mas o crescimento também trouxe um problema: os criminosos estão mais sofisticados. Eles exploram mecanismos que o próprio Bacen criou para proteger usuários, mas que abrem brechas quando usadas com má intenção.
Na Sentinex Risk, acompanhamos centenas de casos de fraude envolvendo Pix todos os meses. O que vemos é que as empresas frequentemente confundem segurança de TI com segurança no contexto de pagamentos. São problemas diferentes, que exigem estratégias diferentes. Este artigo descreve os tipos de fraude que estamos vendo na prática e como sua empresa pode se defender.
Os Tipos de Fraude no Pix em 2026
1. O Golpe do Falso Funcionário
É o tipo de fraude que cresceu mais nos últimos doze meses. O criminoso se passa por funcionário de um banco, empresa de logística ou até mesmo de um órgão público. Entra em contato com um colaborador da sua empresa, geralmente alguém que trabalha em financeiro ou operações, e convence a pessoa a fazer uma transferência por Pix alegando um problema urgente.
O que torna esse golpe tão eficaz é a simplicidade. Não precisa de código malicioso, não precisa invadir sistemas. Precisa apenas de persuasão. Um criminoso liga para a empresa, usa informações obtidas em redes sociais ou em bancos de dados vazados (sabendo o nome do gerente, por exemplo), e cria uma situação de urgência. A pressão psicológica é o ataque.
Em um caso que acompanhei, o criminoso conseguiu 280 mil reais de uma PME de tecnologia. Ligou para o coordenador financeiro dizendo que era do suporte de um banco de dados que a empresa usava, informou (corretamente) o nome do CTO da empresa, e pediu para fazer um Pix urgente para validar uma conta. O colaborador transferiu o dinheiro em menos de 10 minutos. O banco não conseguiu devolver porque a chave Pix era de uma conta criada em outra instituição, com dados de terceiros. Esse é exatamente o tipo de cenário que a Sentinex Risk ajuda a prevenir, mapeando vulnerabilidades de engenharia social nas operações das empresas e estruturando processos que reduzem drasticamente o risco.
2. Ataque à Conta e Autorização Forçada
Aqui o criminoso já conseguiu acesso à conta bancária da empresa (via phishing, malware, roubo de credenciais). Com a conta comprometida, ele tem duas opções: fazer transferências diretas, ou usar o aplicativo para enviar Pix diretamente.
A limitação do Pix é conhecida: cada instituição define limites por transferência e por período. Um banco pode permitir até 5 mil reais por transferência, mas o criminoso consegue fazer múltiplas transferências. A velocidade do sistema, as transações são liquidadas em segundos, significa que quando a empresa detecta o problema, o dinheiro já está em outras contas.
O Bacen introduziu a Resolução BCB 403 para limitar esse tipo de ataque, permitindo que os bancos implementem bloqueios por padrão de comportamento. Mas depende de cada instituição configurar corretamente esses filtros, o que nem sempre acontece.
3. Fraude de Autorização Forçada (Authorized Push Payment Fraud)
Este é um tipo de golpe que a indústria chama de "Authorized Push Payment Fraud" ou APP Fraud. O criminoso convence a vítima a fazer uma transferência por Pix para uma conta que ele controla, mas a vítima acredita estar pagando um serviço legítimo ou resolvendo um problema.
Exemplo: o criminoso cria um anúncio falso em marketplace vendendo um celular. Quando o cliente quer comprar, o "vendedor" pede para fazer o Pix para liberar o produto. O cliente faz a transferência, que é "autorizada" no sentido técnico (veio da conta do cliente para a conta do criminoso), mas fraudulenta no sentido intencional. O banco recusa o estorno porque formalmente o cliente autorizou a transação.
Para empresas, o risco é diferente: fornecedores enganados, clientes redirecionados para contas erradas, ou representantes de vendas que enviam links de cobrança falsificados. Uma empresa de SaaS em São Paulo perdeu 95 mil reais quando um e-mail phishing enviado para seus clientes simulava uma cobrança pendente com um Pix para quitação.
4. Manipulação de QR Code
O QR code é conveniente, mas é também um vetor de ataque. Um criminoso pode:
- Substituir o QR code no ponto de venda (restaurante, loja, táxi) pelo seu próprio
- Enviar um QR code por e-mail ou WhatsApp aparentando ser de uma empresa legítima
- Colocar adesivos com QR codes falsos em caixas eletrônicos ou estabelecimentos
- Interceptar um QR code em uma cobrança por e-mail e substituir pela sua chave Pix
Para empresas, o risco está em duas frentes. Primeira: seus clientes podem acabar pagando para contas fraudulentas se você disponibiliza QR codes para cobrança. Segunda: seus colaboradores podem escanear códigos malicosos sem saber.
5. Abuso do Mecanismo de Devolução (MED)
O Mecanismo Especial de Devolução (MED) foi criado pelo Bacen com uma boa intenção: permitir que uma transferência por Pix seja devolvida se houver suspeita de fraude. O procedimento é rápido, leva horas, não dias como em uma disputa de cartão.
Mas há um problema. Se a conta que recebeu o dinheiro já gastou, ou se o dinheiro foi movimentado para múltiplas contas, fica difícil recuperar. Os criminosos sabem disso. Eles recebem um Pix fraudulento e imediatamente movem o dinheiro para frente, quebrando a cadeia de recuperação.
O Bacen implementou limites no MED e exige que as instituições rastreiem essas devoluções. Mas o sistema ainda é explorado em vários cenários, especialmente quando envolve contas criadas com documentos roubados ou falsificados.
O Que o Bacen Fez (e Ainda Precisa Fazer)
A Resolução BCB 403 foi publicada em dezembro de 2024 e começou a valer gradualmente em 2025. O objetivo é estabelecer um framework mínimo de segurança que todas as instituições financeiras devem implementar. Os pontos principais são:
- Autenticação Multifator (MFA): Obrigatória para registrar chaves Pix e fazer transferências acima de determinados limites.
- Monitoramento de Padrão de Comportamento: Cada instituição deve implementar filtros que detectem atividades anormais (transferências em horários incomuns, para novos beneficiários, etc.).
- Limite de Chaves Pix: Restrição no número de chaves Pix que uma pessoa ou empresa pode registrar.
- Recuperação Mais Rápida: O MED agora tem um protocolo mais estruturado, com prazos menores para rastreamento e devolução.
Tudo isso é necessário, mas não é suficiente. A implementação fica a cargo de cada banco, e há variações significativas de instituição para instituição. Alguns bancos têm controles muito mais rígidos que outros.
"A segurança no Pix não é responsabilidade apenas do banco. É responsabilidade compartilhada entre a instituição financeira, a empresa e o usuário. Se apenas um desses atores falha, o sistema fica vulnerável."
Como Sua Empresa Pode se Proteger
Medidas Internas
1. Segregação de Responsabilidades: Quem autoriza uma transferência não pode ser a mesma pessoa que executa. Uma pessoa propõe, outra aprova. Para pequenas empresas, isso é um desafio, mas é fundamental.
2. Treinamento Contínuo: Seus colaboradores são o primeiro escudo contra engenharia social. Treine-os a verificar informações por canais seguros antes de fazer qualquer transferência. Se o "banco" liga pedindo uma transferência, desligue e ligue de volta para o número oficial do banco.
3. Limite de Transferências por Usuário: Configure dentro do seu aplicativo bancário um limite de quanto cada pessoa pode transferir por dia. Quando alguém tenta exceder o limite, aciona um alarme.
4. Notificações em Tempo Real: Configure alertas para cada Pix feito. Revise regularmente os extratos. Fraudes detectadas nos primeiros minutos têm mais chances de serem recuperadas via MED.
5. Conta Separada para Recebimentos: Se sua empresa recebe Pix de clientes, use uma conta diferente da que você usa para pagamentos. Reduz o risco de um ataque comprometer todos os fluxos.
Medidas com Clientes e Fornecedores
1. Comunicação Oficial de QR Codes: Se você envia cobranças por Pix aos clientes, notifique-os previamente de qual será o QR code oficial. Mude-o periodicamente. Se alguém disser que recebeu um QR code diferente, é um sinal vermelho.
2. Verificação de Identidade Antes de Transferências Grandes: Se um fornecedor pede para mudar a conta de Pix para cobranças futuras, ligue para verificar. Confirme duas vezes. Um fornecedor real vai entender a cautela.
3. Auditoria de Transações Suspeitas: Revise mensalmente as transferências não autorizadas ou fora do padrão. Rastreie para onde foram e quando. Isso dá informações valiosas para relatórios ao banco e à polícia.
Medidas com o Banco
1. Ative Todos os Controles Oferecidos: Peça ao seu gerente de relacionamento para ativar todos os filtros de segurança da Resolução BCB 403. Mesmo que restrinja um pouco a operação, vale a pena.
2. Aumente o Nível de Autenticação: Solicite MFA para qualquer chave Pix registrada. Isso atrasa um pouco a operação, mas torna o ataque muito mais caro e demorado.
3. Documente Tudo: Mantenha um registro escrito de quem pode fazer Pix, qual é o limite, quais são as contas autorizadas. Se houver uma disputa, essa documentação é essencial.
4. Reporte Rápido: Se detectar uma fraude, reporte imediatamente ao banco. Quanto mais rápido, mais chances de recuperar via MED. O Bacen exige que os bancos processem esse pedido em no máximo 24 horas. Empresas que contam com a Sentinex Risk conseguem reduzir significativamente o tempo de detecção através de monitoramento e análise forense especializada.
O Que Esperar em 2026
O Bacen já sinalizou que vai endurecer ainda mais os requisitos. Há discussões sobre MFA obrigatória para todo Pix, independente do valor. Também há debates sobre identificação de dispositivos e limitações ainda maiores no número de chaves Pix por pessoa.
Do lado dos criminosos, espere ver técnicas mais sofisticadas. Deepfakes de áudio estão começando a aparecer em alguns golpes internacionais. É questão de tempo até chegar por aqui. A engenharia social também vai ficar mais personalizada, usando dados vazados de forma mais criativa.
Para sua empresa, a receita é clara: defesa em profundidade. Não confie em uma única camada de segurança. Combine controles internos, treinamento, monitoramento e colaboração com o banco.
Sua empresa está protegida contra fraudes no Pix?
A Sentinex Risk avalia o risco de fraude específico para sua operação e recomenda controles personalizados.
Solicitar Avaliação Gratuita