O Pix deve continuar no centro das estratégias de fraude digital em 2026, impulsionado pelo uso cada vez mais sofisticado de inteligência artificial (IA) e técnicas avançadas de engenharia social. O alerta é da ESET, empresa líder em detecção proativa de ameaças, que aponta uma evolução significativa no nível de personalização, realismo e escala dos golpes financeiros no Brasil.
Em 2025, os criminosos concentraram esforços em explorar características próprias do Pix, como transferências instantâneas, funcionamento 24 horas por dia e dificuldade de reversão, para obter dinheiro rapidamente e reduzir as chances de recuperação pelas vítimas. Segundo relatório da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP), aproximadamente 28 milhões de brasileiros foram vítimas de golpes via Pix em 2025, com pessoas acima de 50 anos representando 53% dos casos.
“É importante reforçar que o Pix não é o vilão. O problema está no uso combinado da tecnologia com pressão emocional, urgência e histórias cada vez mais convincentes. Para o golpista, isso significa dinheiro rápido e menos barreiras”, explica Daniel Barbosa, pesquisador de segurança da ESET Brasil.
Golpes mais comuns em circulação
Entre os principais tipos de fraude registrados ao longo de 2025, destacam-se:
- Golpe da falsa central de atendimento: criminosos entram em contato se passando por bancos e convencem a vítima a realizar transferências para suposta regularização da conta.
- Golpe do Pix errado: modalidade em crescimento, usada para confundir a vítima e extrair dinheiro em dobro, além de dados sensíveis.
- Falsas vagas de emprego: anúncios inexistentes que exigem pagamento via Pix como “taxa simbólica” de inscrição.
- Falsas lojas online: perfis e sites fraudulentos oferecem preços atrativos e direcionam o pagamento via Pix fora de plataformas oficiais, sem entrega do produto.
- Golpe do Pix da Receita Federal: notícias falsas sobre cobrança de impostos ou monitoramento de transações, já desmentidas oficialmente pelo órgão.
IA eleva o nível dos golpes
A inteligência artificial tem desempenhado um papel central na evolução das fraudes. Se antes os golpes eram genéricos e facilmente identificáveis, agora são moldados em segundos para perfis específicos, com dados reais, linguagem natural e narrativas coerentes.
“Em 2026, o golpe não começa com erro de português. Ele começa com o nome da vítima, sua cidade e uma história que faz sentido para ela. A IA potencializa a engenharia social, tornando o convencimento mais rápido e preciso”, alerta a ESET.
O uso de deepfakes também tende a se intensificar. Já circulam conteúdos falsos com imagens e vídeos de autoridades públicas anunciando supostas taxações ou mudanças no Pix, materiais que devem se tornar ainda mais realistas e difíceis de identificar.
Medidas do Banco Central avançam, mas não eliminam o risco
Diante do aumento das fraudes, o Banco Central do Brasil implementou e aperfeiçoou medidas de segurança ao longo de 2025. Entre elas estão o bloqueio de chaves Pix associadas a atividades fraudulentas, a verificação obrigatória de CPF ou CNPJ junto à Receita Federal no cadastro de chaves e o aprimoramento do Mecanismo Especial de Devolução (MED), que agora permite rastrear o caminho completo do dinheiro, mesmo após múltiplas transferências entre contas intermediárias.
No entanto, a própria existência do MED também passou a ser explorada por criminosos. Um dos exemplos é o chamado golpe do Pix errado, no qual o golpista envia uma transferência para a vítima, solicita que uma nova transferência via Pix seja criada para a devolução do dinheiro para a mesma conta de origem e, em seguida, aciona o MED alegando fraude. Na prática, a vítima acaba devolvendo o dinheiro ao criminoso e ainda tem seus próprios recursos bloqueados durante a apuração, sofrendo prejuízo duplo.
Para mitigar esse tipo de abuso, o Banco Central anunciou, em agosto de 2025, novos aprimoramentos no regulamento do Pix. A partir dessas mudanças, o MED passa a identificar os possíveis caminhos percorridos pelo dinheiro após a fraude, permitindo o compartilhamento dessas informações entre as instituições envolvidas e ampliando as chances de recuperação dos valores. A funcionalidade pode ser usada de forma facultativa, mas se tornará obrigatória em fevereiro de 2026, com o objetivo de desestimular fraudes e dificultar o uso de contas laranja.
“O MED é uma ferramenta importante de proteção, mas não deve ser usado como solução para erros comuns. Em caso de Pix recebido por engano, o único procedimento seguro é utilizar a função ‘devolver’ dentro do próprio aplicativo, para a conta de origem. Qualquer pedido diferente disso deve ser tratado como suspeito”, alerta o pesquisador da ESET.
Apesar dos avanços tecnológicos e regulatórios, a empresa reforça que o maior desafio continua sendo comportamental. A pressão emocional, a urgência e a aparência de legitimidade seguem sendo os principais gatilhos explorados pelos golpistas.
Como se proteger de golpes envolvendo Pix
A ESET recomenda atenção redobrada sempre que o Pix estiver associado a urgência excessiva, ameaças de bloqueio ou multa, pedidos de sigilo ou cobranças fora de canais oficiais. Nenhum órgão público ou instituição séria exige Pix como única forma de pagamento.
No caso específico do golpe do Pix errado, a orientação é clara: nunca devolva um valor por meio de uma nova transferência para outra conta. A devolução deve ser feita exclusivamente pela função “devolver” dentro do aplicativo do banco, que garante que o dinheiro retorne para a conta de origem. Em situações de dúvida, o ideal é contatar diretamente o banco antes de qualquer ação.
“Se chegou uma cobrança inesperada ou um pedido de devolução com pressa e instruções específicas sobre como pagar via Pix, o alerta deve acender imediatamente”, reforça Daniel.
O que fazer se cair em um golpe
Caso o usuário perceba que foi vítima de fraude envolvendo Pix, a ESET recomenda:
- Contatar o banco imediatamente: solicitar o bloqueio da conta do golpista e acionar o Mecanismo Especial de Devolução (MED) o quanto antes.
- Registrar um Boletim de Ocorrência (BO): etapa fundamental para apoiar a investigação e o processo de análise do caso.
- Aguardar a análise do MED: os bancos têm prazo de 11 dias para avaliar a ocorrência e tentar bloquear os valores na conta do criminoso. A devolução, no entanto, não é garantida e depende do saldo disponível e da conclusão da análise.
“A tecnologia evoluiu, então nosso senso crítico precisa evoluir junto. Em 2026, o golpe perfeito não é o mais tecnológico, é o que parece legítimo demais”, conclui a ESET.
Sobre a ESET
A ESET® oferece segurança digital de ponta para prevenir ataques antes que eles aconteçam. Ao combinar o poder da IA e da experiência humana, a ESET® permanece à frente das ameaças cibernéticas conhecidas e emergentes, protegendo empresas, infraestruturas críticas e indivíduos. Quer se trate de proteção de endpoint, nuvem ou dispositivos móveis, suas soluções e serviços nativos de IA e baseados em nuvem são altamente eficazes e fáceis de usar. A tecnologia ESET inclui detecção e resposta fortes, criptografia ultra segura e autenticação multifator. Com defesa em tempo real 24 horas por dia, 7 dias por semana e forte suporte local, mantém os usuários seguros e os negócios funcionando ininterruptamente. Um cenário digital em constante evolução exige uma abordagem progressiva à segurança: a ESET® está comprometida com pesquisas de classe mundial e inteligência poderosa sobre ameaças, apoiada por centros de P&D e uma forte rede global de parceiros. Para mais informações, visite https://www.eset.com/br/ ou siga-nos no LinkedIn, Facebook e Twitter.
Notícias regionais de empresas, investimentos e de carreira, sem custo e sem excesso de conteúdo. Selecionadas para a sua empresa. Participe da COMUNIDADE STG News e Leitura Estratégica: https://bit.ly/STGNewsLeituraEstrategica