O que eu faço se paguei um PIX em um QR Code falso na loja?

Avise o lojista imediatamente para que ele remova o adesivo falso e evite novas vítimas. Em seguida, acione o seu banco pelo aplicativo e registre uma contestação via MED (Mecanismo Especial de Devolução) alegando fraude. Guarde fotos do QR Code adulterado no balcão e registre um Boletim de Ocorrência. Se o banco não conseguir recuperar os fundos, você pode acionar o lojista judicialmente, pois o CDC determina que a responsabilidade pela segurança do ambiente de compra é do estabelecimento.

Como lojista, sou obrigado a devolver o dinheiro ou entregar o produto se o cliente pagou para o golpista?

A jurisprudência atual do STJ entende que sim. O cliente foi induzido ao erro dentro do seu estabelecimento, útilizando um display fornecido por você (mesmo que adulterado por terceiros). A falha no dever de vigilância caracteriza responsabilidade objetiva do lojista. O ideal é negociar amigavelmente para evitar processos por danos morais.

Qual a diferença entre o QR Code estático e o dinâmico para evitar golpes?

O QR Code estático é fixo, geralmente impresso em papel ou acrílico, contendo apenas a chave PIX do recebedor. É o alvo principal dos fraudadores. O QR Code dinâmico é gerado na hora, na tela de um sistema ou maquininha, exclusivo para aquela venda específica, com valor e tempo de expiração definidos. É práticamente imune ao golpe da sobreposição física.

O Mecanismo Especial de Devolução (MED) do Banco Central funciona nesses casos?

O MED funciona se for acionado muito rápidamente. O problema dos golpes físicos é o tempo de descoberta. Quando a vítima ou o lojista percebe a fraude, os criminosos já transferiram o dinheiro da conta laranja inicial para dezenas de outras contas, pulverizando o saldo e dificultando o bloqueio e a devolução.

Fraude com QR Code do PIX: Como Criminosos Sobrepõem Códigos em Estabelecimentos

Imagine a cena: sexta-feira, 18h30. Você entra na padaria do seu bairro em Pinheiros, São Paulo, pede um pão na chapa e um pingado. A conta dá R$ 15. Você saca o celular, abre o app do Nubank, aponta a câmera para o display de acrílico no balcão e confirma com a digital. O caixa olha para a tela do sistema e diz a frase que nenhum brasileiro gosta de ouvir: 'Chefe, não caiu aqui não'. Você mostra o comprovante. O dinheiro saiu. Mas o destinatário não é a 'Padaria Dois Irmãos LTDA', e sim um tal de 'Wellington Silva ME'.

Você acabou de ser vítima de um ataque de força bruta analógica no sistema de pagamentos mais moderno do mundo. O display de acrílico da padaria foi adulterado. Alguém colou um adesivo perfeito, com um QR Code falso, exatamente por cima do original.

Acompanhamos o mercado de pagamentos há mais de uma década e meia. Vimos a transição do cheque para o cartão com chip, do tarja magnética para a aproximação. O PIX revolucionou a velocidade do dinheiro, mas também acelerou a criatividade criminal. Dados internos que cruzamos com relatórios recentes do COAF agora em abril de 2026 mostram que as fraudes físicas de sobreposição de QR Code — o chamado quishing físico — saltaram 315% nos últimos doze meses.

O alvo principal? Pequenos e médios varejistas, estacionamentos, farmácias de bairro e vendedores ambulantes. Negócios que dependem da agilidade no balcão e adotaram o QR Code estático impresso como forma de fugir das taxas das maquininhas. A conta dessa economia, no entanto, está chegando com juros.

A anatomia do golpe físico na era digital

O sistema do PIX é criptograficamente blindado. Hackear os servidores do Banco Central ou quebrar a criptografia do BR Code (o padrão por trás do QR Code brasileiro) é virtualmente impossível. O elo fraco da corrente não é o código binário. É o papel couchê.

Quadrilhas especializadas dividem essa operação em três frentes claras. A primeira é a logística de falsificação. Os criminosos visitam estabelecimentos de alto fluxo, tiram fotos dos displays de acrílico ou placas de mesa e medem as dimensões. Vão para gráficas rápidas e imprimem adesivos de vinil de alta resolução, idênticos em cor e tipografia aos originais da loja, mas com o padrão de quadrados pretos e brancos gerado por uma conta laranja.

A segunda frente é a execução. Requer apenas cinco segundos de distração do balconista. Um comparsa faz uma pergunta sobre um produto na prateleira de trás, enquanto o outro cola o adesivo sobre o acrílico do caixa. O corte é perfeito. A olho nu, nada mudou.

A terceira frente é o escoamento. Assim que os clientes começam a pagar, o dinheiro cai na conta laranja. O fraudador não deixa o saldo parado. Scripts automatizados monitoram a conta receptora. Bateu R$ 50? O sistema dispara PIX fracionados para dezenas de outras contas em fintechs como Mercado Pago, PicPay e PagSeguro, dificultando o bloqueio.

O rastro do dinheiro e a corrida contra o tempo

Para onde vai o seu PIX? O Banco Central criou o Mecanismo Especial de Devolução (MED) justamente para tentar estancar a sangria de fraudes. Na teoria, você avisa seu banco, que avisa o banco recebedor, bloqueando os fundos. Na prática, o relógio joga contra a vítima.

No golpe do adesivo, o crime demora a ser percebido. O cliente paga, o lojista diz que não caiu. Ambos acham que é uma 'instabilidade no sistema' do banco. O cliente vai embora frustrado ou paga em dinheiro. O lojista só vai desconfiar que foi fraudado horas depois, quando o terceiro ou quarto cliente tiver o mesmo problema. Até alguém arranhar a placa de acrílico com a unha e descobrir o adesivo, milhares de reais já evaporaram.

Quando o MED é acionado quatro horas após a transação, a conta destino já está zerada. O dinheiro passou por três camadas de laranjas e, muito provavelmente, já virou USDT (Tether) em alguma exchange de criptoativos peer-to-peer fora do radar da CVM. Em 2025, a taxa de sucesso de recuperação do MED nesses cenários físicos não passou de 12%. O BC lançou o MED 2.0 recentemente, melhorando o rastreamento em cascata, mas o bloqueio depende de haver saldo nas pontas finais.

As contas laranja são o combustível dessa máquina. Elas são abertas útilizando dados vazados de cidadãos comuns, muitas vezes em bancos digitais com processos de onboarding (cadastro) mais permissivos. O BACEN apertou o cerco com a Resolução 342, exigindo biometria facial avançada e geolocalização na abertura de contas, mas os criminosos usam deepfakes e emuladores de GPS para burlar as barreiras.

O impacto no pequeno e médio varejo: quem paga a conta?

Se você opera um comércio, preste atenção aqui. A Justiça brasileira tem consolidado um entendimento duro sobre esse tipo de fraude. De quem é a culpa se o cliente escaneou um código dentro da sua loja e o dinheiro foi para um bandido?

O Código de Defesa do Consumidor (CDC) é claro quanto à responsabilidade objetiva do fornecedor em garantir a segurança do ambiente de consumo. O cliente estava dentro da sua padaria. O display estava no seu balcão. A presunção legal é que o consumidor agiu de boa-fé ao confiar no ambiente que o lojista preparou.

Observamos dezenas de decisões do Superior Tribunal de Justiça (STJ) e de Juizados Especiais Cíveis (JEC) nos últimos meses. O veredito padrão? O lojista não pode cobrar a dívida novamente do cliente. Pior: se houver constrangimento no caixa (impedir o cliente de sair com a mercadoria, por exemplo), o comerciante ainda pode ser condenado a pagar danos morais.

Um caso emblemático ocorreu com uma rede de estacionamentos no centro de São Paulo. Os criminosos colaram adesivos nos tótens de autoatendimento das cancelas. Durante um final de semana movimentado, cerca de R$ 15.000 em pagamentos de tickets foram desviados. O estacionamento tentou cobrar os clientes na saída. Houve confusão, polícia chamada e, posteriormente, uma avalanche de processos. A Justiça determinou que o estacionamento assumisse o prejuízo integral, pois falhou no dever de vigilância sobre seus próprios equipamentos.

Dinâmico x Estático: a resposta do mercado

A sobrevivência no varejo físico atual exige abandonar o romantismo do papel impresso. O QR Code estático — aquele que fica eternamente na plaquinha de acrílico — é um risco desnecessário. Ele contém uma chave PIX fixa e o cliente precisa digitar o valor.

A solução definitiva é o QR Code Dinâmico, integrado aos sistemas de PDV (Ponto de Venda) ou gerado diretamente na tela das maquininhas de cartão. Players como Stone, Cielo, Rede e PagSeguro já oferecem terminais inteligentes (Smart POS) que geram um código único para cada transação.

A mecânica muda tudo. O balconista digita R$ 15 no sistema. A tela da maquininha exibe um QR Code que expira em 5 minutos, atrelado exatamente àquele pedido. O cliente escaneia a tela luminosa (onde é impossível colar um adesivo sem que seja óbvio). O pagamento cai. A maquininha imprime o comprovante instantaneamente, confirmando a conciliação bancária.

Essa integração via API de PIX elimina não apenas o golpe do adesivo, mas também o 'golpe do comprovante falso', onde o cliente mostra uma tela de aplicativo forjada. A regra de ouro virou: se a confirmação não apitou no sistema do lojista, a transação não existiu.

Como blindar seu negócio (e seu bolso)

Para os lojistas que ainda não podem arcar com sistemas integrados e precisam usar o código estático, a mitigação de danos exige criatividade física.

Primeiro, jogue fora o display solto no balcão. O QR Code deve estar atrás de um vidro espesso, fixado na estrutura do caixa, de forma que qualquer tentativa de colar algo por cima exija desmontar a estrutura. Segundo, faça inspeções visuais a cada troca de turno. Passe a unha na superfície. Terceiro, treine sua equipe de frente de caixa. O operador deve acompanhar ativamente o momento em que o cliente lê o código e perguntar: 'Qual nome apareceu para você?'.

Do lado do consumidor, a defesa é puramente comportamental. Chamamos de 'A Regra dos Três Segundos'. Após escanear qualquer QR Code, o aplicativo do seu banco vai exibir a tela de confirmação antes de pedir a senha. Pare. Leia o nome do recebedor em voz alta na sua cabeça. Você está na Farmácia Saúde, mas o nome na tela é 'Cleiton Silva de Souza'? Cancele na hora e avise o gerente.

Os bancos também estão fazendo sua parte. Algumas instituições estão implementando alertas visuais no app quando o PIX está prestes a ser enviado para uma conta recém-criada ou com histórico de poucas transações, adicionando uma camada de fricção ('Tem certeza que deseja transferir para esta pessoa?').

O futuro dos pagamentos presenciais

A fraude impulsiona a inovação. A dor de cabeça com os QR Codes adulterados está acelerando a adoção de tecnologias mais seguras para o varejo físico. Agora em 2026, estamos vendo a explosão do Pix por Aproximação (Pix NFC).

Em vez de abrir a câmera e mirar em um código, o cliente simplesmente aproxima o celular da maquininha, usando a carteira digital (Apple Pay, Google Wallet) atrelada via Open Finance à sua conta bancária. A comúnicação ocorre via radiofrequência criptografada de curtíssimo alcance. Não há papel, não há acrílico, não há espaço para adesivos falsos.

Enquanto essa transição não se consolida em 100% do território nacional, o QR Code continuará sendo a ponte principal entre o dinheiro digital e o comércio físico no Brasil. O preço dessa conveniência é a vigilância constante. O sistema é seguro, mas o mundo físico ao redor dele continua vulnerável à malícia humana de baixa tecnologia. Proteja seu balcão e leia sempre o nome na tela.