Segurança Digital · Boas práticas

Como proteger seu Pix

Resposta rápida

Proteger o Pix começa antes de qualquer golpe: ajustar os limites por transação e o limite noturno, revisar as chaves cadastradas, entender como funciona o MED e reconhecer o que um banco nunca pede por mensagem reduzem bastante a janela de fraude. A seguir, as configurações e os hábitos que blindam sua conta no dia a dia, com a ponte para o ambiente corporativo.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Limites de Pix muito acima do que você realmente movimenta, deixando a conta exposta a uma única transferência grande.
  • Chaves Pix antigas ou de números e e-mails que você não usa mais ainda ativas e vinculadas à conta.
  • App do banco instalado em celular sem bloqueio de tela, sem biometria e com notificações de saldo visíveis na tela bloqueada.
  • Hábito de confirmar pagamentos por links recebidos em SMS, WhatsApp ou e-mail em vez de abrir o app do banco manualmente.
  • Pix por aproximação ou pagamentos por QR Code feitos sem conferir o nome do recebedor antes de confirmar.
  • Reaproveitamento da mesma senha do banco em outros sites e ausência de verificação em duas etapas no aplicativo.

Passo a passo — o que fazer

  1. 1

    1. Defina limites por transação e por período

    No app do banco, ajuste os limites de Pix para valores próximos do que você costuma movimentar. Limites menores significam que, mesmo se a conta for acessada, o prejuízo possível em uma única operação fica restrito. Você pode manter um limite diurno baixo e solicitar elevação pontual quando precisar de um valor maior.

  2. 2

    2. Ative e calibre o limite noturno

    Desde regulação do Banco Central, das 20h às 6h vigora um limite reduzido para Pix e TED a pessoas físicas (referência de R$ 1.000 por transação, ajustável pelo cliente). Mantenha esse limite noturno baixo: a maioria das fraudes com coação ocorre fora do horário comercial, e o teto reduzido limita o dano.

  3. 3

    3. Revise e limpe suas chaves Pix

    Acesse a área de chaves no app e remova chaves de telefones, e-mails ou CPFs que você não usa mais. Cada chave ativa é uma porta de identificação; manter só o necessário reduz a superfície de exposição e o risco de portabilidade indevida de chave para outra instituição.

  4. 4

    4. Configure o Pix por aproximação com critério

    O Pix por aproximação permite pagar encostando o celular na maquininha, sem abrir o app. Defina um valor máximo por aproximação compatível com compras do dia a dia e exija desbloqueio do aparelho a cada uso. Assim, um celular perdido ou roubado não vira um meio de pagamento livre.

  5. 5

    5. Blinde o acesso ao app do banco

    Use biometria ou senha forte e exclusiva para o app, ative a verificação em duas etapas e habilite o bloqueio automático de tela do celular. Desative a pré-visualização de notificações sensíveis na tela bloqueada e mantenha o sistema operacional e o aplicativo sempre atualizados.

  6. 6

    6. Conheça o MED antes de precisar

    O Mecanismo Especial de Devolução (MED) permite pedir o bloqueio e a devolução de um Pix em caso de fraude ou suspeita de golpe. Registre a contestação pelo próprio banco o quanto antes, idealmente em até 72 horas: quanto mais rápido, maior a chance de os recursos ainda estarem na conta destino.

  7. 7

    7. Use marca de limites e contatos confiáveis

    Cadastre contatos e recebedores frequentes e, quando o banco oferecer, marque limites diferenciados para destinatários conhecidos. Para valores fora do seu padrão, prefira fluxos com verificação adicional. Confirme sempre o nome completo e o documento do recebedor antes de concluir a transferência.

  8. 8

    8. Crie o hábito de abrir o app manualmente

    Nunca pague ou confirme Pix a partir de links recebidos por mensagem. Sempre que receber uma cobrança, abra o aplicativo do banco por conta própria e digite a chave ou leia o QR Code diretamente ali. Isso elimina a maior parte das fraudes de engenharia social baseadas em páginas falsas.

O que NÃO fazer

  • Não eleve seus limites de Pix por orientação de quem ligou ou mandou mensagem se passando pelo banco; bancos não pedem isso.
  • Não informe senha, código de aprovação, token ou foto de documento por telefone, SMS, WhatsApp ou e-mail, nem para supostos atendentes.
  • Não clique em links de cobrança ou de regularização de chave Pix; acesse sempre o app oficial digitando você mesmo.
  • Não confirme transferências com pressa diante de ameaças de bloqueio, multa ou prazo curto: urgência forçada é tática de golpe.
  • Não deixe o app do banco sem biometria, sem verificação em duas etapas ou com senha repetida de outros serviços.

Limites: o controle que mais reduz prejuízo

O limite de Pix é a primeira camada de proteção e a mais subestimada. Ele define o máximo que pode sair da conta por transação e por período, e isso vale tanto para o uso legítimo quanto para qualquer acesso indevido. Manter limites alinhados ao seu uso real transforma um eventual incidente de catastrófico em contornável.

O Banco Central padronizou um limite noturno reduzido para transferências a pessoas físicas entre 20h e 6h, ajustável pelo próprio cliente. Aproveite essa janela: defina um teto noturno baixo e solicite com antecedência a elevação temporária apenas quando realmente for transacionar valores altos. As mudanças de limite para cima costumam ter prazo de carência justamente para frear fraudes.

Revisar limites é uma tarefa de poucos minutos no app, mas precisa virar rotina. Sempre que sua necessidade mudar, ajuste; e desconfie de qualquer contato externo sugerindo aumento de limite, pois essa é uma etapa recorrente em golpes de coação e falso funcionário.

Chaves, Pix por aproximação e QR Code sob controle

Suas chaves Pix são identificadores vinculados à conta. Quanto menos chaves ativas e quanto mais próximas de dados que você de fato controla, menor a chance de portabilidade indevida ou de associação a vazamentos antigos. Revise a lista periodicamente e remova o que não usa.

Se você quer reduzir esse tipo de risco em escala, a Decripte ajuda pessoas e empresas de 1 a mais de 100.000 colaboradores a monitorar exposição de dados, credenciais vazadas e fraudes em andamento, com um plano gratuito para começar. Avalie como o monitoramento contínuo se encaixa na sua rotina antes que um incidente force a decisão.

No Pix por aproximação e em pagamentos por QR Code, o ponto de atenção é a confirmação. Defina um valor máximo por aproximação, exija desbloqueio do aparelho e, em QR Codes, confira nome e documento do recebedor antes de concluir. QR Codes podem ser adulterados ou colados sobre os legítimos em estabelecimentos, então a verificação visual é a sua trava final.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

MED e o que o banco nunca vai pedir

O Mecanismo Especial de Devolução existe para casos de fraude e falha operacional. Ao perceber um Pix indevido, abra a contestação pelo canal oficial do banco o mais rápido possível; o prazo de referência para acionar o MED é de até 72 horas após a transação. A instituição destino analisa e, havendo saldo, devolve os valores ao cliente prejudicado.

Conhecer de antemão os limites do MED ajuda a agir sem pânico: ele cobre situações de fraude, não arrependimento de compra. Por isso a prevenção, e não a devolução, continua sendo a melhor defesa. Saber onde fica a opção de contestação no seu app, antes de precisar, economiza minutos decisivos.

Por fim, internalize uma regra simples: o banco nunca pede senha, token, código de aprovação, foto de documento ou que você faça um Pix de teste ou de segurança. Nenhuma central liga solicitando que você aumente limites, transfira para uma conta segura ou instale aplicativos de acesso remoto. Qualquer pedido nesse sentido é golpe, e o desligamento da ligação é a resposta correta.

Da conta pessoal à conta PJ: o Pix na empresa

Os mesmos princípios escalam para o ambiente corporativo, com camadas extras. Em uma conta PJ, limites por usuário, alçadas de aprovação e dupla custódia para Pix acima de determinado valor evitam que uma única credencial comprometida esvazie o caixa. Cada colaborador deve ter acesso mínimo necessário, e movimentações relevantes devem exigir aprovação de mais de uma pessoa.

O risco corporativo soma engenharia social a fraudes de boleto e de troca de dados bancários de fornecedores. Confirmar alterações de chave Pix de fornecedores por canal independente, registrar quem aprova o quê e monitorar credenciais vazadas da equipe reduzem o tipo de fraude que mais cresce contra empresas. A proteção do Pix pessoal e a do Pix empresarial compartilham a mesma lógica: limitar, verificar e reconhecer o que nenhuma instituição legítima pede.

Termos importantes

MED (Mecanismo Especial de Devolução)
Procedimento criado pelo Banco Central que permite ao cliente solicitar o bloqueio e a devolução de um Pix em casos de fraude ou falha operacional, com prazo de referência de até 72 horas para acionamento.
Limite noturno
Teto reduzido para Pix e TED a pessoas físicas no período das 20h às 6h, ajustável pelo cliente, com valor de referência de R$ 1.000 por transação, voltado a conter fraudes de coação fora do horário comercial.
Pix por aproximação
Forma de pagamento em que o cliente encosta o celular na maquininha para concluir a transferência sem abrir o app, com valor máximo por operação configurável e exigência de desbloqueio do aparelho.
Chave Pix
Identificador vinculado à conta (CPF/CNPJ, telefone, e-mail ou chave aleatória) usado para receber transferências; chaves ativas em excesso ampliam a superfície de exposição e devem ser revisadas.

Perguntas frequentes

Qual o limite ideal para o Pix?

Não existe valor único; o ideal é o mais próximo possível do que você realmente movimenta. Mantenha limites diurno e noturno baixos e eleve de forma temporária e pontual quando precisar de um valor maior, lembrando que aumentos costumam ter prazo de carência.

O que é o limite noturno do Pix e como ajusto?

É um teto reduzido para transferências a pessoas físicas entre 20h e 6h, com referência de R$ 1.000 por transação definida pelo Banco Central e ajustável no app do banco. Mantê-lo baixo limita o prejuízo em golpes de coação, que tendem a ocorrer à noite.

Como funciona o MED se eu cair em um golpe?

Você abre a contestação pelo canal oficial do banco o mais rápido possível, idealmente em até 72 horas. A instituição que recebeu o Pix analisa o caso e, havendo saldo disponível na conta destino, devolve os valores. Por isso a agilidade é decisiva.

O Pix por aproximação é seguro?

É seguro quando bem configurado. Defina um valor máximo por aproximação compatível com compras corriqueiras, exija o desbloqueio do celular a cada uso e mantenha bloqueio de tela ativo. Assim, um aparelho perdido não se torna um meio de pagamento livre.

O que o banco nunca vai pedir por telefone ou mensagem?

O banco nunca pede senha, token, código de aprovação, foto de documento, Pix de teste ou de segurança, aumento de limite, transferência para conta segura ou instalação de app de acesso remoto. Qualquer pedido assim é golpe; encerre o contato e procure o canal oficial.

Devo apagar chaves Pix que não uso?

Sim. Cada chave ativa é um identificador a mais vinculado à sua conta. Remover chaves de telefones, e-mails ou documentos que você não usa mais reduz a superfície de exposição e o risco de portabilidade indevida de chave para outra instituição.

Como proteger o Pix na conta PJ da minha empresa?

Aplique os mesmos princípios com camadas extras: limites por usuário, alçadas e dupla custódia para valores altos, acesso mínimo por colaborador e confirmação de mudanças de dados de fornecedores por canal independente. Monitorar credenciais vazadas da equipe também reduz fraudes.

A Decripte ajuda na proteção do meu Pix?

A Decripte atua na prevenção, monitorando exposição de dados e credenciais vazadas que alimentam fraudes, para pessoas e empresas de 1 a mais de 100.000 colaboradores, com plano gratuito para começar. As configurações de limite e MED você faz diretamente no app do seu banco.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.