Como ler QR Code PIX com segurança

AA Febraban registrou em 2025 um aumento de 150% em fraudes envolvendo QR Code PIX. O modus operandi é simples: o golpista intercepta uma comunicação (WhatsApp, email, fatura impressa) e troca o QR original por um que aponta pra chave dele. O cliente paga, o dinheiro vai pro errado, e quase nunca volta.

A boa notícia: dá pra evitar 100% desses golpes em 5 segundos. Antes de pagar qualquer QR PIX, leia ele num decodificador (que não seja o app do banco — explico por quê) e confira 4 campos. Se algo estranhar, não paga.

Quando você escaneia o QR diretamente no app do banco, ele já entra no fluxo de pagamento. Você vê os dados, sim — mas no contexto de "vou pagar isso aqui". Esse viés cognitivo (já tô na tela de pagar) faz a gente conferir menos.

Lendo o QR num decodificador SEPARADO, você está só conferindo. Sem pressão, sem botão "pagar" piscando. Vê os dados como informação pura, não como ação iminente. É a mesma lógica de "pensar antes de clicar em link de email" — mudar o contexto reduz o erro.

• —Chave PIX (CPF, CNPJ, email, telefone ou aleatória) — confira que bate com quem você espera receber.
• —Nome do beneficiário (campo "merchant") — deve estar legível e fazer sentido. "PADARIA DA RUA X LTDA" é coerente; "JOSÉ DA SILVA P" no QR de uma loja grande NÃO é.
• —Valor — alguns QR PIX trazem valor fixo (você não pode mudar), outros vêm sem (você digita). QR de cobrança SEMPRE deve ter valor fixo. Se vier sem, desconfie.
• —Cidade — campo obrigatório no padrão BR Code. Se a cidade for muito diferente do contexto (ex: padaria de SP com "MIAMI" como cidade), suspeite.

Beneficiário não bate com o suposto pagador

Você recebeu fatura de uma empresa "ABC SOLUÇÕES LTDA" mas o QR mostra beneficiário "JOÃO PEDRO M S". Sinal claro de QR trocado. Cancele e contate a empresa por canal oficial pra pegar QR novo.

Valor diferente do combinado

Você combinou um almoço de R$ 80 e o QR vem com R$ 800. Pode ser: (a) erro de digitação do garçom, (b) QR antigo de outra mesa, (c) fraude. Em qualquer caso, NÃO pague — peça pra refazerem o QR ali na sua frente.

QR fora do contexto

Boleto físico de uma empresa famosa veio com QR colado por cima do original (papel adesivo). Clássico golpe de "interceptação de boleto". O golpista pega o boleto na sua caixa de correio, cola QR dele, e devolve. Sempre desconfie de QR que parece ter sido aplicado sobre o original.

• —Liga pro banco IMEDIATAMENTE — antes de 7 dias úteis, há canal de devolução PIX (MED — Mecanismo Especial de Devolução).
• —Faz boletim de ocorrência — pode ser online em delegacia.gov.br. Necessário pra eventual ressarcimento.
• —Notifica o BCB pelo Bacen Reclamações — registra a fraude pra estatística + possível bloqueio da chave do golpista.
• —Documenta tudo — print do QR, conversa com o golpista, recibo do PIX. Banco pede.
• —Comunica a empresa cuja identidade foi usurpada — eles podem ajudar com prova circunstancial.

• —1. Lê o QR num decodificador externo (não o app do banco).
• —2. Confere chave + beneficiário + valor + cidade.
• —3. Confere se bate com o que você esperava receber.
• —4. Se algo estranhar, não paga — confirma por canal oficial.
• —5. Em pagamentos > R$ 500, dobra a atenção (limite que vale a pena conferir mesmo).