O banco é obrigado a devolver o dinheiro em caso de fraude via PIX?

Depende de como a fraude ocorreu. Pela Súmula 479 do STJ, os bancos respondem objetivamente por danos gerados por fortuito interno (falhas no sistema do banco). Porém, se o golpe ocorreu devido a um malware instalado no computador do cliente ou engenharia social onde a própria vítima digitou a senha, os bancos costumam alegar 'culpa exclusiva da vítima', o que leva o caso para longas disputas judiciais.

O que é o MED do Banco Central e como acionar?

O Mecanismo Especial de Devolução (MED) é um recurso do Banco Central exclusivo para casos de fraude comprovada ou falha operacional no PIX. Para acionar, a vítima deve entrar em contato com seu banco em até 80 dias após a transação. O banco emissor notifica o banco recebedor, que bloqueia os fundos da conta de destino preventivamente. Se a fraude for comprovada, o dinheiro é devolvido, desde que ainda haja saldo na conta do criminoso.

Por que as corretoras de criptomoedas (exchanges) são usadas nesses golpes?

Criminosos usam criptomoedas para evasão de divisas e lavagem de dinheiro devido à velocidade de liquidação e à falta de fronteiras. Ao converter reais (BRL) recebidos de laranjas em moedas estáveis como Tether (USDT) no mercado P2P (Peer-to-Peer), eles transferem os fundos para carteiras anônimas fora do sistema financeiro tradicional, tornando o rastreamento e o congelamento pelas autoridades brasileiras práticamente impossível.

Como funciona o golpe do Man-in-the-Browser?

É uma técnica onde um malware (como o trojan Grandoreiro) infecta o computador da vítima e intercepta a comúnicação do navegador web com o site do banco. Quando a vítima aprova um pagamento legítimo, o malware troca secretamente os dados de destino (como a chave PIX) nos bastidores, enquanto continua mostrando os dados originais e corretos na tela. A vítima autoriza com sua senha, achando que está pagando a pessoa certa.

A Anatomia de um Golpe PIX de R$ 500 Mil: Caso Real Reconstruído

Sexta-feira, 15h42. O diretor financeiro de uma construtora de médio porte na capital paulista acessa o internet banking corporativo. Ele insere sua senha, pluga o token físico e autoriza um lote de pagamentos via PIX para 15 fornecedores. Tudo parece normal na tela do computador. O valor total: R$ 512.430,00. O comprovante é gerado. Ele fecha o notebook e vai para casa.

Na segunda-feira, às 08h15, o telefone toca. É o principal fornecedor de cimento cobrando a fatura atrasada. O diretor envia o comprovante de repasse. O fornecedor responde: 'Esse CNPJ no comprovante não é nosso'.

Em exatos 14 minutos após o clique de aprovação na sexta-feira, meio milhão de reais havia sido pulverizado em 50 contas fantasmas, convertido em Tether (USDT) numa corretora de criptomoedas e enviado para uma carteira fria na Rússia. O dinheiro sumiu.

Aqui na Ouro Capital, cobrimos o ecossistema de pagamentos brasileiro há mais de uma década. Vimos o PIX nascer, revolucionar a economia e, infelizmente, se tornar a via expressa para o crime financeiro organizado. Não estamos falando do golpe do 'falso parente no WhatsApp' que rouba R$ 500 da sua tia. Estamos falando de operações de nível militar mirando tesourarias corporativas.

Tivemos acesso exclusivo a inquéritos policiais recentes do DEIC (Departamento Estadual de Investigações Criminais) de São Paulo. Reconstruímos passo a passo a anatomia desse golpe de R$ 500 mil. Se você opera um e-commerce, uma construtora ou qualquer empresa com fluxo de caixa diário, preste atenção aqui. O que você vai ler agora é o manual de sobrevivência do seu negócio.

O Cavalo de Troia Brasileiro: A Infiltração Silenciosa

O ataque não começou na sexta-feira. Começou 14 dias antes, numa terça-feira chuvosa, quando um assistente do departamento de contas a pagar recebeu um e-mail. O assunto era 'NF 8934 - Intimação de Protesto em Cartório'. O remetente parecia legítimo, simulando um domínio de um cartório conhecido.

O assistente clicou no link para baixar o suposto PDF da nota fiscal. O arquivo baixado era um .ZIP que escondia um executável. Ao clicar, nada aconteceu na tela. Nenhuma janela abriu, nenhum erro apareceu. O assistente achou que o link estava quebrado e seguiu a vida.

Naquele exato milissegundo, o computador foi infectado por uma variante do Grandoreiro, um trojan bancário (cavalo de troia) desenvolvido no Brasil e exportado para o mundo. O malware não roubou senhas imediatamente. Ele simplesmente se escondeu no sistema operacional e começou a monitorar.

O Grandoreiro gravou as teclas digitadas, tirou prints de tela invisíveis e identificou que aquela máquina acessava a conta corporativa de um grande banco (vamos chamá-lo de Banco Alpha). Os criminosos, operando de uma central clandestina, colocaram a máquina da construtora na lista de 'alvos quentes'. Eles sabiam exatamente qual dia da semana a empresa rodava a folha e pagava os fornecedores pesados: sexta-feira à tarde.

O Ataque: Man-in-the-Browser e a Cegueira Digital

Chegamos à fatídica sexta-feira. O diretor financeiro assume a máquina infectada para fazer as aprovações finais.

O malware entra na fase de ataque ativo usando uma técnica chamada Man-in-the-Browser (Homem no Navegador). Funciona assim: o trojan intercepta a comúnicação entre o navegador de internet do diretor e os servidores do Banco Alpha.

Quando o diretor carrega o arquivo de remessa com as chaves PIX de 15 fornecedores legítimos, o malware age na fração de segundo antes do pacote de dados sair do computador. Ele substitui silenciosamente as chaves PIX originais (CNPJs dos fornecedores) por 50 chaves PIX aleatórias de 'laranjas' (CPFs e e-mails).

Mas há um detalhe brutal — e isso muda o jogo: o malware altera o que o diretor vê na tela. A página web do banco é manipulada localmente. O diretor lê na tela os nomes corretos dos fornecedores. Ele revisa, aprova e digita o token de segurança. O banco recebe a ordem perfeitamente autenticada, com token válido, do IP correto da empresa, mas com o destino alterado.

Para o sistema antifraude do Banco Alpha, era uma transação legítima. O dinheiro saiu.

A Engenharia da Lavagem: Laranjas e Criptoativos

Assim que os R$ 500 mil saem da conta corporativa, a corrida contra o tempo começa. O crime organizado opera em camadas para quebrar o rastro do dinheiro (o chamado money trail).

Camada 1: Contas de Passagem (Smurfing)

O valor total nunca vai para uma única conta. Ele é fatiado (técnica de smurfing) em 50 transferências de R$ 10 mil. O destino? Contas abertas em bancos digitais e fintechs com processos de onboarding historicamente explorados por fraudadores. Observamos no inquérito que o dinheiro pingou em dezenas de contas no Mercado Pago, PicPay, PagSeguro e Nubank.

Essas contas não pertencem aos hackers. Pertencem a 'laranjas' — pessoas em situação de vulnerabilidade que alugam suas contas por R$ 100, ou identidades sintéticas criadas com CNHs falsas e deepfakes de reconhecimento facial.

Camada 2: A Ponte Cripto (P2P)

Deixar o dinheiro no sistema financeiro tradicional é suicídio para o criminoso, pois o Banco Central pode congelar os fundos. Nos três minutos seguintes, scripts automatizados nas contas dos laranjas disparam novos PIXs.

O destino agora são corretores P2P (Peer-to-Peer) na plataforma da Binance ou contas em exchanges menores. Os criminosos compram USDT (Tether), uma criptomoeda pareada ao dólar. Os vendedores P2P, muitas vezes operando de boa-fé no mercado livre, recebem os reais e liberam as criptomoedas para a carteira digital do fraudador.

Camada 3: O Buraco Negro

Com o USDT na mão, os criminosos transferem os ativos para carteiras não custódiadas (unhosted wallets), como a MetaMask ou Ledger, ou passam por mixers virtuais. A partir deste segundo, o dinheiro sai da jurisdição brasileira. O rastreamento policial vira poeira.

Por Que o MED (Mecanismo Especial de Devolução) Falhou?

Criado pela Resolução BCB nº 103/2021 e atualizado pela Resolução 147, o Mecanismo Especial de Devolução (MED) é a ferramenta oficial do Banco Central para estornar PIXs fraudulentos. Na teoria, é excelente. Na prática de golpes corporativos, é uma faca de plástico contra um tanque de guerra.

O diretor financeiro da construtora percebeu o golpe na segunda-feira, cerca de 65 horas após a transação. Ele ligou para o gerente do Banco Alpha e acionou o MED. O banco emissor enviou imediatamente um alerta na rede do PIX para os bancos recebedores (Nubank, Mercado Pago, etc.), solicitando o bloqueio preventivo dos fundos.

O resultado? Zero. O saldo nas 50 contas dos laranjas era de exatos R$ 0,00.

O MED só consegue devolver o dinheiro que ainda está na conta de destino. Como vimos, a automação dos criminosos esvazia as contas em menos de 5 minutos. O BACEN exige que os bancos monitorem padrões de fraude, mas a velocidade da liquidação instantânea (a maior virtude do PIX) é também seu calcanhar de Aquiles. O crime age em milissegundos; a burocracia de contestação age em horas.

Como Blindar o Caixa da Sua Empresa

Na nossa análise diária do mercado, percebemos que 90% das empresas médias brasileiras operam suas tesourarias com a mesma segurança de um usuário doméstico. Isso precisa acabar hoje. A responsabilidade civil (Súmula 479 do STJ) até obriga os bancos a ressarcirem fraudes internas, mas golpes iniciados por malware no computador do cliente costumam gerar longas e custosas batalhas judiciais por 'culpa exclusiva da vítima'.

Aqui está o protocolo de segurança que recomendamos:

Máquina Exclusiva para o Financeiro: O computador que acessa o banco não pode ser o mesmo que baixa PDFs de e-mails externos, navega em redes sociais ou instala softwares paralelos. Compre um notebook barato, instale um Linux ou Windows bloqueado, e use-o apenas para acessar o internet banking.
FIDO2 e Chaves Físicas de Hardware: Abandone o SMS e os aplicativos de autenticação no celular para aprovações de alto valor. Exija do seu banco corporativo o uso de chaves YubiKey (padrão FIDO2) que exigem toque físico e criptografia assimétrica inquebrável por malwares remotos.
Gestão Paranoica de Limites: Nenhuma conta corporativa deve ter limite de PIX liberado para o saldo total. Utilize travas de horário rígidas e exija aprovação dupla (maker-checker) em dispositivos físicamente separados. O analista sobe a remessa no computador; o diretor aprova no aplicativo do celular (um celular que não compartilha a mesma rede Wi-Fi da empresa).
Whitelist de Chaves PIX: Configure no seu banco que transferências acima de R$ 5.000 só podem ser enviadas para CNPJs previamente cadastrados e validados há mais de 48 horas. Se o malware tentar trocar a chave no momento do envio, o banco bloqueia.

O Futuro da Prevenção: Drex e Contratos Inteligentes

O mercado hoje vive um jogo de gato e rato. Os bancos brasileiros investem anualmente cerca de R$ 35 bilhões em tecnologia e segurança, segundo a Febraban. O próximo passo do Banco Central é o PIX Automático e atualizações no MED (o chamado MED 2.0), que promete rastrear o dinheiro até a quinta camada de transferências.

No entanto, a bala de prata virá com o Drex, o Real Digital. Ao introduzir a programabilidade do dinheiro através de contratos inteligentes (smart contracts), poderemos condicionar liquidações de alto valor a múltiplos oráculos de validação. O dinheiro só será liberado se o CNPJ de destino estiver com as certidões fiscais em dia e houver uma nota fiscal eletrônica validada na Receita Federal no mesmo milissegundo da transação.

Até que esse futuro chegue, a segurança da sua empresa depende do elo mais fraco da corrente: o dedo de quem clica no mouse. Não seja a próxima manchete dos cadernos policiais. Aja com desconfiança sistemática.