As novas regras do Pix que passaram a valer agora deixam mais claro como o sistema vai reagir quando alguém cai num golpe. A principal mudança é que o tempo passou a jogar menos a favor do criminoso e mais a favor da vítima.
Na prática, a partir deste mês de Fevereiro o Pix agora conta com dois mecanismos que atuam de forma complementar. O primeiro independe da ação da vítima: é o bloqueio cautelar. Se o banco que recebe o Pix identificar indícios de fraude, por exemplo, uma conta recém-criada recebendo vários valores semelhantes, a instituição pode bloquear automaticamente os recursos por até 72 horas, a partir do momento em que o dinheiro cai na conta. Nesse período, o banco aprofunda a análise e, se confirmar o golpe, faz a devolução diretamente para quem pagou, sem depender de uma corrida posterior atrás do dinheiro.
O segundo pilar é o Mecanismo Especial de Devolução (MED 2.0), que entra em ação quando a própria vítima percebe rapidamente que foi enganada. Ao avisar o banco por canais oficiais, a instituição aciona a infraestrutura do Pix para alertar o banco do recebedor. A partir daí, os recursos ficam bloqueados enquanto as instituições avaliam se houve fraude. Se confirmada, o valor é devolvido integralmente. A diferença em relação ao passado é que esse processo deixou de ser manual, fragmentado e lento, agora é coordenado, com prazos claros e troca estruturada de informações.
Isso muda bastante a realidade para quem sofre o golpe. Antes, mesmo percebendo rápido, a vítima dependia de boletim de ocorrência, ligações e comunicação entre bancos que levava tempo demais. Hoje, o dinheiro pode ser travado antes de ser sacado ou pulverizado em outras contas, que era justamente a principal estratégia das quadrilhas.
Essas medidas não surgem isoladas. Elas fazem parte de um conjunto maior de iniciativas do Banco Central para fechar o cerco às fraudes no Pix, especialmente após os episódios recorrentes observados ao longo de 2025. Ficou evidente que o problema não estava na tecnologia do Pix, mas na exploração de contas de passagem, identidades usadas indevidamente e estruturas pensadas para dispersar recursos em minutos.
Nesse contexto entra também o Protege+, que atua antes mesmo do golpe acontecer, ao permitir que o cidadão impeça o uso do próprio CPF para abertura de contas ou vínculos não autorizados. Isso afeta diretamente a base do ecossistema criminoso: a criação de contas de laranja, que são fundamentais para o fluxo normal de evasão do dinheiro após a fraude.
O desenho que se consolida é de uma estratégia em camadas: prevenção no uso indevido de identidades, detecção mais rápida de transações suspeitas e reação coordenada para bloqueio e devolução dos recursos. Para o usuário, isso significa mais chance real de recuperar o dinheiro. Para as instituições, mais responsabilidade na resposta a fraudes. E para os criminosos, menos tempo, menos margem de manobra e mais risco ao longo de toda a operação.
Em resumo, o Pix continua rápido, mas deixa claro que velocidade não é sinônimo de tolerância à fraude. O sistema amadureceu e o cerco está visivelmente se fechando.
SOBRE RODRIGO GAVA:
Rodrigo Gava é CTO da VULTUS. Formado em Sistemas de Informação e Planejamento Estratégico pela Universidade Mackenzie, com especialização em Proteção e Privacidade de Dados pelo INSPER, possui mais de 20 anos de experiência no desenvolvimento de sistemas seguros e na definição de estratégias de segurança para grandes instituições financeiras, indústrias, empresas de varejo e outros setores.
Também é professor convidado de Cybersecurity na Inteli e tem profundo conhecimento técnico em novas tecnologias, com atuação e interesse que vão de inteligência artificial (incluindo GenAI e AGI) a robótica, IoT e outras inovações emergentes.
Por Rodrigo Gava, CTO da VULTUS