Decripte — Cibersegurança Enterprise
Segurança Digital · Fraude financeira

Golpe do Pix: o que fazer imediatamente e como tentar recuperar o dinheiro

Resposta rápida

Se você foi vítima de um golpe via Pix, ligue para o seu banco imediatamente e peça o bloqueio preventivo — quanto antes você agir, maiores as chances de acionar o MED (Mecanismo Especial de Devolução) do Banco Central. Registre um boletim de ocorrência online e guarde todas as evidências da fraude. O prazo para solicitar a devolução pelo MED é de até 80 dias corridos a partir da data da transação.

Comece grátis agora Guia de Segurança Digital

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Pedido urgente de dinheiro por WhatsApp de alguém dizendo ser familiar ou amigo — golpistas clonam ou invadem o número da pessoa conhecida para criar urgência emocional.
  • Central de atendimento do banco que 'liga para você' pedindo que transfira dinheiro para uma 'conta segura' — bancos nunca pedem transferências por telefone.
  • QR Code de cobrança impresso colado sobre o original em estabelecimentos — verifique sempre o nome do beneficiário antes de confirmar o pagamento.
  • Anúncio de produto com preço muito abaixo do mercado que exige Pix imediato como condição para garantir a compra — sem entrega garantida, sem recibo formal.
  • Mensagem de 'falso funcionário' do banco pedindo seus dados, token ou código de confirmação para 'cancelar uma transferência suspeita' — nenhum banco solicita esses dados por mensagem.
  • Link de pagamento enviado por mensagem que leva a um site idêntico ao do banco ou loja, mas com URL diferente — sempre confira o endereço completo antes de inserir qualquer dado.

Passo a passo — o que fazer

  1. 1

    1. Ligue para o banco agora

    Acione o canal de atendimento da sua instituição financeira (app, chat ou telefone) e informe que sofreu um golpe via Pix. Peça o registro formal de 'contestação de transação por fraude'. Quanto mais rápido você agir, maior a chance de o banco localizar os recursos antes que sejam sacados ou movimentados.

  2. 2

    2. Solicite o MED ao banco

    O Mecanismo Especial de Devolução (MED), regulado pela Resolução BCB nº 381/2023 do Banco Central, permite ao banco da vítima solicitar o bloqueio e a devolução de valores transferidos em caso de fraude. Você não aciona o MED diretamente: é o seu banco que entra com o pedido junto ao banco do beneficiário. O prazo é de até 80 dias corridos a partir da data da transação.

  3. 3

    3. Registre o boletim de ocorrência

    Acesse a Delegacia Eletrônica do seu estado (disponível na maioria dos estados brasileiros) ou vá presencialmente à delegacia mais próxima. O B.O. é documento obrigatório para qualquer ação judicial futura e fortalece sua contestação junto ao banco. Descreva o golpe em detalhes: valor, data, hora e como você foi enganado.

  4. 4

    4. Colete e guarde todas as evidências

    Salve capturas de tela das conversas (WhatsApp, SMS, e-mail), do comprovante do Pix, dos anúncios falsos ou do QR Code adulterado. Anote o número de telefone, nome ou qualquer dado do golpista. Evidências bem documentadas agilizam a análise pelo banco e pela polícia.

  5. 5

    5. Registre reclamação no Banco Central

    Se o banco não resolver o problema ou não responder no prazo de 10 dias úteis, registre reclamação pelo Registrato ou pelo portal gov.br/reclame (Consumidor.gov.br). O Bacen fiscaliza as instituições e um registro formal aumenta a pressão por resolução.

  6. 6

    6. Notifique a plataforma onde ocorreu o golpe

    Se o golpe envolveu marketplace (Mercado Livre, OLX, Shopee), rede social ou aplicativo de mensagens, reporte o perfil do golpista diretamente na plataforma. Isso ajuda a impedir novas vítimas e pode gerar registros adicionais úteis à investigação.

  7. 7

    7. Altere senhas e revogue acessos

    Se você compartilhou algum dado sensível (senha, código de verificação, foto de documentos), troque imediatamente as senhas do app do banco, do e-mail e do WhatsApp. Ative a verificação em duas etapas em todos os serviços e monitore seu CPF no Registrato (registrato.bcb.gov.br) para verificar contas abertas no seu nome.

  8. 8

    8. Procure um advogado se necessário

    Caso o banco negue o ressarcimento e você discorde da decisão, é possível acionar o Juizado Especial Cível (JEC) sem advogado para valores até 20 salários mínimos. Para valores maiores ou situações mais complexas, consulte um advogado especializado em direito digital ou direito do consumidor.

O que NÃO fazer

  • Não transfira dinheiro para 'contas seguras' indicadas por telefone — é o golpe da falsa central bancária; banco legítimo jamais faz essa solicitação.
  • Não confirme nenhum código de verificação ou token enviado ao seu celular para terceiros, nem mesmo para alguém que diz ser funcionário do banco ou familiar.
  • Não pague Pix sem verificar o nome completo do favorecido antes de apertar confirmar — QR Codes podem ser trocados ou adulterados.
  • Não acredite que existe 'chargeback' ou estorno automático no Pix como acontece em cartão de crédito — o MED existe, mas não é garantido e depende de o dinheiro ainda estar disponível na conta do beneficiário.
  • Não ignore prazos: o MED pode ser solicitado em até 80 dias corridos. Após esse período, a via de recuperação é exclusivamente judicial.

Como funciona o MED — Mecanismo Especial de Devolução

O MED foi criado pelo Banco Central do Brasil (Resolução BCB nº 381, de 1º de março de 2023) para dar às vítimas de fraude via Pix uma via de recuperação administrativa dos valores. O mecanismo não é uma garantia de devolução: ele permite que o banco da vítima solicite ao banco do beneficiário o bloqueio do valor equivalente ao transferido.

Existem dois motivos que acionam o MED: fraude (quando a vítima foi enganada a fazer a transferência) e falha operacional (quando um erro técnico causou a transação indevida). No caso de golpe, o enquadramento é fraude.

O processo tem prazos rígidos. A vítima tem até 80 dias corridos para registrar a contestação junto ao seu banco. O banco da vítima tem até 7 dias para analisar e, se validar, solicitar o bloqueio ao banco do beneficiário. O banco do beneficiário tem até 96 horas para bloquear o saldo disponível e notificar o dono da conta. Se o dono da conta do beneficiário não contestar em 7 dias corridos, o dinheiro é devolvido à vítima.

O maior obstáculo na prática é que os golpistas sacam o dinheiro em minutos. Por isso, acionar o banco imediatamente após perceber o golpe é decisivo. Quando não há saldo na conta do beneficiário, o MED não consegue bloquear e a devolução não ocorre pelo canal administrativo.

Os golpes mais comuns envolvendo Pix no Brasil

O golpe do falso parente ocorre quando o criminoso clona ou assume o número de WhatsApp de um familiar ou amigo, entra em contato simulando uma emergência (acidente, prisão, problema médico) e pede transferência urgente. A pressão emocional impede que a vítima verifique a identidade com uma ligação direta para o número real da pessoa.

No golpe da falsa central bancária, o golpista liga para a vítima fingindo ser do setor de segurança do banco, alerta sobre uma suposta transferência suspeita na conta e instrui a vítima a transferir o dinheiro para uma 'conta cofre' temporária. A ligação parece legítima porque o golpista já tem dados básicos da vítima comprados em vazamentos de dados.

O QR Code adulterado é comum em pontos de venda físicos: o criminoso cobre o QR Code legítimo do estabelecimento com um código falso redirecionando o pagamento para outra conta. A vítima paga, mas o estabelecimento não recebe. Verificar o nome do favorecido antes de confirmar é a única proteção eficaz.

O golpe da falsa venda envolve anúncios em marketplaces ou redes sociais com produtos inexistentes a preços atrativos. O golpista exige Pix antecipado, some após receber o valor e o produto nunca é entregue. Plataformas com sistema de pagamento intermediado (escrow) protegem melhor o comprador do que transferências diretas.

O golpe do falso leilão funciona de forma semelhante: sites imitam plataformas de leilão legítimas, exibem produtos valiosos com lances baixos e cobram taxas ou 'retirada' via Pix antes de entregar o bem — que nunca chega.

Proteja também a sua empresa

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Pix em empresas: o golpe do falso fornecedor e BEC

No ambiente corporativo, o golpe do Pix assume formas mais sofisticadas e com valores muito mais altos. O mais comum é o golpe do falso fornecedor (também chamado de BEC — Business Email Compromise, ou fraude de e-mail corporativo): criminosos comprometem ou falsificam o e-mail de um fornecedor real e enviam à empresa-vítima uma instrução de mudança de dados bancários, pedindo que o pagamento do mês seja feito para uma nova chave Pix.

O setor financeiro, sem validar a troca por um canal independente (telefone confirmado previamente, por exemplo), realiza o pagamento. Quando o fornecedor legítimo cobra a fatura, a empresa descobre que pagou para o golpista. O valor médio envolvido nesse tipo de fraude costuma ser muito maior do que nos golpes a pessoas físicas.

Outra variante corporativa é a engenharia social direcionada a funcionários do financeiro: o golpista se passa pelo CEO ou diretor financeiro da própria empresa, usando e-mail com domínio parecido ou conta comprometida, e solicita uma transferência urgente e sigilosa para fechar um negócio ou pagar uma multa.

Empresas que não possuem controles formais de verificação de alterações cadastrais de fornecedores, aprovação por alçadas e monitoramento de transações são as mais vulneráveis. A proteção começa com política interna clara: qualquer mudança de dados bancários de fornecedor exige confirmação por telefone no número previamente cadastrado, nunca pelo número ou e-mail que chegou junto ao pedido de alteração.

O que diz a lei e quais são seus direitos

O Pix é regulado pelo Banco Central do Brasil, e as regras do MED estão na Resolução BCB nº 381/2023. A responsabilidade das instituições financeiras por fraudes é disciplinada também pelo Código de Defesa do Consumidor (Lei nº 8.078/1990), que impõe às empresas o dever de segurança nos serviços prestados.

O Superior Tribunal de Justiça (STJ) já firmou entendimento (Tema 466 e jurisprudência recente) de que bancos respondem por fraudes quando falham em seus sistemas de segurança, mesmo que a vítima tenha autorizado a transação sob engano — especialmente em casos de falha na prevenção de golpes de engenharia social que envolvam dados obtidos em vazamentos.

Na prática, cada caso é analisado individualmente. Se o banco entender que não houve falha no sistema e sim que a vítima agiu voluntariamente, pode negar o ressarcimento. Cabe então ao consumidor contestar via Procon, Banco Central (reclame.bcb.gov.br) ou Juizado Especial Cível.

O prazo para ação judicial de reparação de danos contra instituições financeiras é de 5 anos (prescrição), contados do conhecimento do dano. Guardar todos os documentos — comprovantes de transação, registro da contestação no banco, B.O., prints de conversas — é essencial para qualquer demanda.

Como a Decripte ajuda empresas a se protegerem de fraudes financeiras

Golpes financeiros como o BEC e o falso fornecedor não são problemas de TI isolados: são ataques que exploram a falta de processos internos de verificação, credenciais corporativas comprometidas em vazamentos e funcionários sem treinamento para identificar engenharia social.

A Decripte atende exclusivamente empresas — de 1 a mais de 100 mil colaboradores — com serviços de cibersegurança gerenciada, resposta a incidentes e monitoramento contínuo de ameaças. Nossa abordagem une tecnologia e processos: mapeamos os vetores de ataque financeiro mais prováveis para o seu setor, auditamos controles internos e treinamos as equipes de financeiro e operações para reconhecer e bloquear tentativas de fraude antes do dano.

Se a sua empresa já sofreu um golpe financeiro ou suspeita de comprometimento de e-mail corporativo, nossa equipe está disponível para uma avaliação de incidente. Se ainda não foi afetada, o melhor momento para se proteger é agora: comece pelo plano gratuito de Gestão de Ameaças para ter uma visão real dos riscos do seu negócio — sem custo, sem compromisso. Para empresas que precisam de proteção completa, temos planos escaláveis que cobrem desde monitoramento de vazamentos de credenciais até resposta a incidentes 24/7.

Termos importantes

MED — Mecanismo Especial de Devolução
Ferramenta criada pelo Banco Central do Brasil (Resolução BCB nº 381/2023) que permite ao banco da vítima solicitar o bloqueio e a devolução de valores transferidos via Pix em casos de fraude ou falha operacional. O prazo para acionamento é de até 80 dias corridos a partir da transação, e a devolução só ocorre se houver saldo disponível na conta do beneficiário.
BEC — Business Email Compromise (Comprometimento de E-mail Corporativo)
Modalidade de fraude financeira em que criminosos comprometem ou falsificam contas de e-mail corporativas para enganar funcionários e fazer com que realizem transferências para contas fraudulentas. No Brasil, é frequentemente executado via golpe do falso fornecedor, com instruções de troca de dados bancários para pagamentos via Pix.
Engenharia Social
Conjunto de técnicas psicológicas usadas por golpistas para manipular pessoas a revelarem informações confidenciais, realizarem ações ou efetuarem pagamentos. No contexto de golpes via Pix, a engenharia social cria urgência (emergência familiar), autoridade (falso funcionário de banco) ou confiança (falso fornecedor) para vencer as defesas naturais da vítima.
Chargeback
Mecanismo de contestação e estorno disponível em transações com cartão de crédito, operado pelas bandeiras (Visa, Mastercard, etc.). Não existe equivalente direto no Pix: o MED é o mecanismo mais próximo, mas com funcionamento, prazos e garantias muito diferentes — especialmente porque não há intermediário entre pagador e recebedor como nas redes de cartão.

Perguntas frequentes

Quanto tempo tenho para acionar o MED após um golpe via Pix?

Você tem até 80 dias corridos a partir da data da transação para registrar a contestação junto ao seu banco e solicitar o acionamento do MED. Após esse prazo, o mecanismo administrativo não está mais disponível e a única via é a judicial.

O banco é obrigado a me devolver o dinheiro se eu cair em um golpe?

Não de forma automática. O banco analisará o caso. Se houver falha no sistema de segurança da instituição, a responsabilidade pode ser imputada ao banco pelo Código de Defesa do Consumidor e pela jurisprudência do STJ. Se o banco entender que a transação foi autorizada voluntariamente pela vítima sem falha sistêmica, pode negar o ressarcimento. Em caso de recusa que você considere indevida, registre reclamação no Banco Central e, se necessário, recorra ao Juizado Especial Cível.

Existe chargeback no Pix como no cartão de crédito?

Não. O chargeback é um mecanismo exclusivo das bandeiras de cartão de crédito (Visa, Mastercard, etc.) e não existe no Pix. O equivalente mais próximo é o MED, mas ele é mais restrito: depende de o dinheiro ainda estar disponível na conta do beneficiário e de o banco validar a fraude. Por isso, agir rapidamente é fundamental.

Devo registrar boletim de ocorrência mesmo se o valor for pequeno?

Sim. O B.O. é gratuito, pode ser feito online na maioria dos estados e é fundamental para fortalecer sua contestação junto ao banco. Além disso, o agregado de registros de uma mesma conta criminosa ajuda as autoridades a identificar e prender golpistas que atuam em escala.

Como verifico se o QR Code para o qual vou pagar é legítimo?

Antes de confirmar qualquer pagamento por QR Code, verifique o nome completo do beneficiário e a instituição financeira que aparecem na tela de confirmação do seu banco. Em estabelecimentos físicos, prefira gerar o QR Code a partir do próprio sistema do caixa em vez de escanear um código impresso fixo, que pode ter sido adulterado.

Recebi uma ligação de alguém dizendo ser do meu banco pedindo que eu transfira dinheiro. O que faço?

Desligue imediatamente. Bancos nunca ligam pedindo que você transfira dinheiro para uma 'conta segura' ou qualquer outro destino. Depois, ligue para o número oficial do banco (impresso no verso do seu cartão ou no site oficial) para verificar se há alguma ocorrência real na sua conta e denunciar a tentativa de golpe.

Empresas são mais vulneráveis a golpes de Pix do que pessoas físicas?

Em termos de valor, sim. Empresas realizam pagamentos maiores e mais frequentes, o que torna o golpe do falso fornecedor (BEC) especialmente atrativo para criminosos. Além disso, processos internos mal definidos para alteração de dados bancários de fornecedores criam brechas fáceis de explorar. A mitigação passa por controles de dupla validação, monitoramento de e-mails corporativos e treinamento contínuo das equipes financeiras.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.

Comece grátis agora Ver planos