Golpe do PIX: como funcionam os 7 esquemas mais comuns (e como se proteger)

Nós cobrimos o mercado financeiro brasileiro há tempo suficiente para acompanhar a evolução das fraudes de perto. Antes da digitalização pesada, o assaltante precisava de um revólver, explosivos e uma agência física de tijolo e cimento. Hoje, a arma do crime é um chip pré-pago de R$ 15 e um roteiro de persuasão bem ensaiado. O alvo deixou de ser o cofre da transportadora de valores. O alvo, agora, é a sua mente.

O PIX movimentou mais de R$ 17 trilhões apenas no último ano, segundo dados consolidados do Banco Central (BACEN). É uma ferramenta revolucionária que colocou o Brasil na vanguarda dos pagamentos instantâneos globais, superando sistemas de países desenvolvidos. A liquidação em tempo real resolveu a vida de 160 milhões de brasileiros. O problema? A liquidação instantânea também significa perda instantânea.

Quando o dinheiro sai da sua conta no Itaú, Nubank ou Bradesco e cai na conta do golpista, ele não fica parado esperando contestação. Softwares automatizados fragmentam esse valor em dezenas de contas de "laranjas" em frações de segundo, ou convertem o saldo imediatamente para criptoativos em exchanges peer-to-peer (P2P). Recuperar o rastro exige velocidade e conhecimento técnico.

Nossa análise dos dados do Mecanismo Especial de Devolução (MED) revela que mais de 2,5 milhões de contestações de fraude foram abertas em 2023. A imensa maioria não envolveu falhas de segurança nos aplicativos dos bancos, mas sim engenharia social. O fraudador manipula a vítima para que ela mesma digite a senha e confirme a transação com reconhecimento facial. Mapeamos os 7 esquemas mais reportados ao BACEN e detalhamos como desarmar cada um deles.

Os 7 Golpes do PIX Mais Comuns

Entender a mecânica do crime é a única vacina eficaz. Os criminosos operam como verdadeiras startups do crime, com centrais de atendimento falsas, metas de conversão e scripts de vendas baseados em gatilhos mentais de urgência e medo.

1. Falso Funcionário de Banco

O telefone toca. O identificador de chamadas (Bina) mostra o número oficial do seu banco — uma técnica conhecida como "Spoofing", fácilmente comprada no submundo da internet. Do outro lado da linha, uma voz profissional, com barulho de call center ao fundo, chama você pelo nome completo e cita os quatro últimos dígitos do seu CPF.

O golpista avisa sobre uma tentativa de invasão na sua conta ou um PIX suspeito de valor alto. Ele cria o pânico. Para "cancelar" a operação fictícia ou "proteger" seu saldo, o falso atendente instrui você a transferir todo o dinheiro para uma "conta segura" do próprio banco, ou pede que você faça um PIX para uma chave específica a fim de "estornar" o valor. A vítima, apavorada com a ideia de perder o dinheiro, obedece. O dinheiro vai direto para a quadrilha.

2. O Novo Número (Falso Parente)

Clássico, direto e altamente rentável. Você recebe uma mensagem no WhatsApp de um número desconhecido, mas com a foto do seu filho, mãe ou irmão. A mensagem padrão é: "Oi mãe, troquei de número, anota o novo. Meu celular quebrou/fui assaltado".

Após algumas trocas de mensagens para criar familiaridade, vem o bote: "Preciso pagar um fornecedor ou um boleto urgente, mas meu aplicativo do banco bloqueou no celular novo. Consegue fazer um PIX de R$ 1.500? Amanhã te devolvo". O fraudador usa dados vazados de birôs de crédito (como Serasa) para saber exatamente o nome dos seus parentes e construir a narrativa perfeita.

3. Falsa Central de Atendimento (0800 Patrocinado)

Se você tiver um problema com o Mercado Pago ou PagSeguro, provavelmente vai ao Google pesquisar "telefone atendimento Mercado Pago". Os golpistas compram anúncios no Google Ads (links patrocinados) para que o número 0800 deles apareça em primeiro lugar, acima do site oficial da empresa.

Você liga achando que está falando com a fintech. O atendente falso ouve seu problema de acesso e oferece ajuda. Ele pede para você baixar um aplicativo de acesso remoto (como AnyDesk ou TeamViewer) sob o pretexto de "sincronizar o token". Com o controle da tela do seu celular, ele limpa sua conta enquanto você assiste impotente.

4. Golpe do Bug do PIX (Urubu do PIX)

Este esquema ataca a ganância ou o desespero financeiro da vítima. Perfis em redes sociais (Instagram, TikTok, X) públicam vídeos mostrando maços de dinheiro ou contas bancárias recheadas. A promessa é uma suposta "falha no sistema do Banco Central" ou um "robô de investimentos em PIX".

As tabelas são divulgadas: "Transfira R$ 100 e receba R$ 500. Transfira R$ 500 e receba R$ 2.500". O golpista usa contas laranjas para receber os pequenos depósitos iniciais. Às vezes, eles até devolvem o primeiro PIX multiplicado para ganhar a confiança da vítima. Quando o usuário decide investir R$ 2.000 ou R$ 5.000, o golpista bloqueia o contato e desaparece.

5. Clonagem de WhatsApp (SIM Swap e Phishing)

Diferente do falso parente, aqui o golpista invade a sua conta real do WhatsApp. Eles conseguem isso ligando para você e se passando por uma pesquisa de saúde, site de vendas (OLX, Mercado Livre) ou confirmação de reserva de restaurante. Ao final da ligação, pedem um "código de segurança de 6 dígitos que chegou por SMS" para validar o suposto atendimento.

Esse código é, na verdade, o PIN de ativação do WhatsApp. Ao informar os números, seu aplicativo é desconectado. O criminoso assume sua identidade e dispara mensagens para toda a sua agenda pedindo PIX emergenciais. Como a mensagem vem do seu número real, a taxa de conversão do golpe é altíssima.

6. Falsos Boletos e QR Codes Adulterados

Você faz uma compra em um e-commerce falso que imita perfeitamente o layout da Magazine Luiza ou Américanas, gerando um QR Code de pagamento. Ou pior: criminosos invadem físicamente lojas e colam adesivos com seus próprios QR Codes por cima da placa original do estabelecimento no caixa.

Você escaneia, confere o valor, mas não olha o nome do recebedor na tela de confirmação do banco. Em vez de "Padaria do João LTDA", o dinheiro vai para "Cleiton Souza da Silva". Quando a padaria avisa que o pagamento não caiu, o golpista já sacou os fundos.

7. Golpe do Amor (Tinder e Catfishing)

Uma fraude de ciclo longo. O criminoso cria um perfil falso em aplicativos de relacionamento (Tinder, Bumble, Happn) usando fotos roubadas de pessoas atraentes. O golpista passa semanas construindo uma relação emocional com a vítima, trocando mensagens diárias e promessas de encontros.

De repente, ocorre uma "tragédia". Um acidente de carro, uma doença na família, ou a mala presa na alfândega. O golpista pede um PIX urgente para resolver a situação. A vítima, emocionalmente envolvida, transfere o dinheiro. Após conseguir sugar o máximo de recursos possível, o perfil é apagado.

Fui Vítima. E Agora? O Guia de Sobrevivência

Se você perceber que caiu em um golpe, o cronômetro começa a correr. Cada minuto conta. O Banco Central criou a Resolução nº 103, que instituiu o MED (Mecanismo Especial de Devolução). Nós detalhamos o passo a passo tático para aumentar suas chances de recuperação:

1. Comunique o seu banco imediatamente: Não espere. Acesse o chat do aplicativo ou ligue para a central oficial. Diga a frase mágica: "Fui vítima de fraude e exijo a abertura de um chamado pelo MED do Banco Central".
2. Faça o Boletim de Ocorrência: Registre um B.O. online na delegacia eletrônica do seu estado. O banco vai exigir esse documento para dar andamento ao processo de contestação.
3. O processo interno: Seu banco vai notificar o banco do golpista (instituição recebedora) via sistema do BACEN. O banco recebedor tem a obrigação de bloquear cautelarmente os fundos na conta de destino.
4. O problema real: O bloqueio só funciona se o dinheiro ainda estiver na conta do laranja. Se o golpista já tiver transferido para outras contas ou sacado, o banco recebedor informará que não há saldo. Nesses casos, a devolução é negada.

Os bancos têm até 7 dias para analisar o caso e, se o saldo for bloqueado e a fraude comprovada, até 96 horas para devolver o dinheiro. Na prática, a taxa de sucesso do MED para recuperação total dos fundos ainda é baixa justamente pela velocidade da lavagem do dinheiro. Se o MED falhar, a única via restante é a judicial, processando a instituição recebedora por falha na abertura de contas laranjas.

Blindando sua Conta: Como se Proteger Hoje

A segurança bancária moderna exige que você seja o gestor do seu próprio risco. Implemente estas quatro travas de segurança agora mesmo:

Ajuste seus limites noturnos. A Resolução BCB nº 142 obriga os bancos a oferecerem gestão de limites. Vá nas configurações do seu app e reduza o limite do PIX entre 20h e 06h para R$ 1.000 ou menos. Se você sofrer um sequestro relâmpago à noite, o dano será contido.

Ative a verificação em duas etapas (2FA) no WhatsApp. Acesse Configurações > Conta > Confirmação em duas etapas. Crie um PIN de 6 dígitos que o aplicativo pedirá periodicamente. Isso impede a clonagem via roubo de SMS.

A regra de ouro do recebedor. A tela de confirmação antes de digitar a senha é o seu último porto seguro. Leia em voz alta o nome de quem vai receber o dinheiro e o nome da instituição financeira. Se você está pagando a conta de luz da Enel e o nome do recebedor é "Marcos V. Pagamentos SA", aborte a operação.

O teste de prova de vida. Se um parente pedir dinheiro por WhatsApp alegando número novo ou emergência, não transfira. Ligue para o número antigo. Se não atender, ligue por vídeo para o número novo. Golpistas nunca atendem chamadas de vídeo porque a farsa desmorona instantaneamente.

O ecossistema financeiro continua evoluindo. O BACEN promete para breve melhorias na rastreabilidade do PIX e a responsabilização mais dura dos bancos que permitem a criação massiva de contas falsas. Até que a tecnologia feche todas as portas, o ceticismo radical é a sua melhor apólice de seguro. Desconfie de urgências, recuse ofertas irreais e proteja seus dados como você protege o dinheiro em espécie.