R$ 2,5 bilhões evaporaram em golpes ligados ao Pix em 2023, e mais da metade dessas fraudes aconteceu em menos de nove minutos. O Banco Central decidiu virar o jogo. Vem aí uma bateria de mudanças para facilitar a devolução do dinheiro e dificultar a vida de quadrilhas que exploram redes sociais, engenharia social e contas de laranjas.
O Mecanismo Especial de Devolução (MED) nasceu em 2021, um ano após o lançamento do Pix, para dar um caminho rápido a quem foi vítima de golpe. Hoje, quando o banco do cliente aciona o MED, o dinheiro que estiver na conta de destino é bloqueado por até sete dias, período em que as instituições analisam o caso e decidem se devolvem os recursos disponíveis. Funciona, mas ainda deixa muita gente no prejuízo quando a grana é pulverizada em poucas horas.
A primeira virada é de usabilidade. Pela Resolução BCB 589, todos os participantes do Pix terão que oferecer o MED em modo de autoatendimento dentro dos próprios aplicativos até outubro de 2025. Nada de depender de ligação ou chat para abrir solicitação: a vítima poderá iniciar o pedido direto no app, com registro da ocorrência e envio de evidências. Isso reduz tempo, atrito e erro na coleta de informações.
O passo mais ambicioso chega com o MED 2.0, previsto para fevereiro de 2026. O novo sistema vai rastrear e bloquear transferências em cadeia, seguindo o rastro do dinheiro por até cinco camadas de contas. A lógica é atacar o core do golpe moderno: a dispersão veloz em dezenas de destinos para driblar bloqueios.
Por trás dessa capacidade está o GRAF, um mecanismo de rastreamento baseado em grafos acíclicos direcionados. Traduzindo: a partir da transação raiz (a que deu origem ao golpe), o sistema desenha o mapa das transações seguintes, identifica padrões suspeitos e coordena bloqueios sucessivos em contas envolvidas. Critérios estatísticos dão o sinal de alerta, e os bancos, integrados na mesma malha, executam os travamentos quase em sincronia.
Tem mais. A governança do ecossistema também passa por reforma. A Resolução BCB nº 493/2025, publicada em 28 de agosto de 2025, reestrutura o Fórum Pix e cria grupos especializados, entre eles o GE-SEG (Grupo Estratégico de Segurança), dedicado a diretrizes de mitigação de risco e prevenção a fraudes. A ideia é acelerar decisões técnicas e uniformizar respostas entre bancos, fintechs e o próprio BC.
No front da experiência do usuário, o pagamento por aproximação ganha um freio. A partir de 1º de dezembro de 2025, operações por proximidade terão teto de R$ 500 por transação. O cliente poderá definir limites diários personalizados no app, o que ajuda a reduzir o impacto de uso indevido em caso de perda do celular ou de clonagem.
Outra camada é a autenticação de dispositivo. Movimentações feitas a partir de aparelhos não reconhecidos sofrerão exigências adicionais de verificação. Isso ataca um vetor comum de golpe: sequestro de conta com troca de chip, instalação de apps espiões ou uso de emuladores. O esforço é combinar prevenção na origem (detectar abuso antes do envio) com detecção no destino (identificar e isolar contas de risco já dentro do sistema).
Para quem gosta de ver o filme pela linha do tempo, a sequência é esta:
Para o usuário, a principal mudança é o acesso. Sofreu um golpe? O caminho estará dentro do app: abrir uma solicitação do MED, descrever o caso, anexar provas como prints de conversa e comprovantes e confirmar a transação alvo. O banco de origem dispara o alerta para a instituição recebedora e, com o MED 2.0, a rede inteira pode receber o sinal para travar contas que aparecem depois no rastro do dinheiro. O retorno pode ser total ou parcial, a depender do que ainda estiver disponível nas contas bloqueadas.
Por que isso importa? Porque os golpistas se profissionalizaram. Em 2024, o Pix superou 42 bilhões de transações. Com esse volume, criminosos montaram esteiras de fraude que combinam WhatsApp, Instagram e “robôs” de repasse instantâneo. Eles aplicam o golpe, fatiam os valores em dezenas de contas e esvaziam tudo antes do primeiro bloqueio. Rastrear cinco camadas amplia muito a chance de congelar recursos antes que virem saque, boleto, cartão virtual ou cripto.
Um exemplo prático: você faz uma transferência para um falso vendedor. Em minutos, a quantia é repartida entre três contas; dessas, parte vai para outras seis, e assim por diante. O MED 2.0 mapeia a árvore dessas transações, identifica ramificações típicas de lavagem e dispara bloqueios em cada ponto da cadeia. Se houver fundos em qualquer uma dessas pontas quando o bloqueio chegar, há chance de recuperar pelo menos parte do valor.
Para bancos e fintechs, o recado é trabalho pesado de compliance e tecnologia. Eles terão que:
Haverá custos. A indústria vai investir em detecção, armazenamento de logs, trilhas de auditoria e resposta a incidentes. No curto prazo, isso pode provocar mais bloqueios preventivos e, às vezes, retenções temporárias que irritam clientes legítimos. Por isso, o ponto de equilíbrio vai ser transparência: informar motivo do bloqueio, prazo de análise e canal de recurso.
Comerciantes que recebem via Pix precisam se preparar para um ambiente com mais contenções em caso de suspeita. Boas práticas reduzem a chance de cair em filtros: chave verificada, conciliação rápida, nota fiscal, histórico de transações coerente com o porte da empresa e evitar triangulações sem justificativa.
Do lado da segurança, as mudanças tendem a deslocar as táticas do crime. Veremos mais tentativas de “cash-out” imediato em dinheiro vivo, uso de contas em instituições menores e microfracionamento extremo. A boa notícia é que o rastreio em grafos melhora a visibilidade de padrões, mesmo em valores pequenos, desde que os sinais circulem rápido entre os participantes.
O limite de R$ 500 no pagamento por aproximação reduz a exposição em cenários de celular perdido ou cartão digital clonado. E os pedágios extras de autenticação para dispositivos desconhecidos ajudam a travar invasões silenciosas. Não resolve tudo, mas compra tempo — e tempo é o recurso mais valioso em fraude instantânea.
E os direitos do consumidor? O MED não é um “chargeback automático”. Há análise, critérios e possibilidade de devolução parcial. Quem tiver a conta bloqueada por engano deve ter canal de contestação claro e prazos de resposta. A própria estrutura do Fórum Pix, reforçada pela Resolução 493/2025 e pelo GE-SEG, tende a padronizar essas rotas, reduzindo arbitrariedade.
Algumas dicas práticas para quem for vítima de golpe: agir no minuto zero, abrir o MED pelo app, guardar prints e comprovantes, revisar limites do Pix e do Pix por Aproximação, checar aparelhos confiáveis cadastrados e alterar senhas. Em golpes que envolvem extorsão ou ameaça, vale registrar ocorrência para proteger a própria segurança e documentar o caso.
O pano de fundo é simples: o Pix cresceu mais rápido do que a capacidade dos criminosos de se esconder, mas eles se adaptaram rápido. O BC agora tenta reequilibrar a balança com rastreio em rede, bloqueio encadeado e mais controle no dispositivo. Se a execução for ágil e coordenada, a janela de nove minutos que hoje favorece o golpe tende a encolher. E, quando o tempo encurta, aumenta a chance do dinheiro voltar para quem é de direito.
Escreva um comentário