Dois jovens, um notebook e R$ 800 milhões transferidos via Pix em questão de horas. Sem armas, sem violência, sem deixar o hotel de luxo em Brasília onde estavam hospedados. Esse é o retrato mais simbólico do que os golpes digitais se tornaram em 2026: invisíveis, sofisticados e devastadoramente eficientes.
O caso, revelado pelo diretor-geral da Polícia Federal, Andrei Rodrigues, durante o Febraban SEC em março de 2026, envolveu a invasão à infraestrutura da empresa de tecnologia C&M Software, com desvio de recursos de pelo menos 40 instituições financeiras. A PF prendeu 25 pessoas e recuperou mais de R$ 500 milhões — mas o episódio ficou marcado como o maior ataque hacker ao sistema financeiro brasileiro da história. “Risco zero, sem uma gota de sangue, sem nada, um notebook e dois olhos”, resumiu Rodrigues.
O tamanho do problema
Os números assustam. Segundo o Banco Central, as fraudes via Pix somaram R$ 6,5 bilhões em prejuízos em 2025, com 4,7 milhões de transações fraudulentas confirmadas. Uma pesquisa da Data Rudder com a Opinion Box revelou que 1 em cada 5 usuários do Pix já foi vítima de algum golpe, e que 70% dos brasileiros perceberam aumento nas fraudes no último ano. O índice de devolução do dinheiro roubado era de apenas 7% antes das novas regras.
Paralelamente, as fraudes com deepfakes e identidades sintéticas cresceram 126% no Brasil em 2025, segundo o Identity Fraud Report. O país concentra quase 39% de todos os deepfakes identificados na América Latina. E as contas laranja — abertas em nome de terceiros para dificultar o rastreamento do dinheiro roubado — cresceram 62% em dois anos, com mais de 2,6 milhões de perfis suspeitos identificados em 2025, segundo a Serasa Experian.
Os golpes mais comuns em 2026
O golpe do Pix com a restituição do IR. Com o início do período de entrega da declaração do Imposto de Renda 2026 (que vai até 29 de maio), criminosos passaram a vincular o CPF de contribuintes a chaves Pix fraudulentas, desviando a restituição antes que a vítima perceba. A Receita Federal reforça: o órgão jamais envia mensagens por WhatsApp, e-mail ou redes sociais. Toda comunicação oficial é feita exclusivamente pela Caixa Postal Digital no e-CAC ou pelos Correios.
O golpe do falso comprovante de Pix. O criminoso envia um comprovante de pagamento falso — antes de qualquer compensação real — e pressiona o vendedor a entregar o produto ou serviço imediatamente. É um dos golpes mais comuns no comércio eletrônico e em transações entre pessoas físicas.
A clonagem do WhatsApp. O golpista obtém o código de verificação de seis dígitos por meio de engenharia social ou troca de chip (SIM swap), assume a conta e começa a pedir dinheiro para todos os contatos. A variante mais conhecida é o “golpe do falso parente”: “Oi, troquei de número, pode me ajudar com uma transferência urgente?”. Em março de 2026, o número de fraudes pelo WhatsApp registrou crescimento alarmante no Brasil.
O deepfake de voz e vídeo. A inteligência artificial já é capaz de clonar a voz de qualquer pessoa a partir de poucos segundos de áudio. Criminosos ligam fingindo ser filhos, netos ou amigos em situação de emergência. Em casos corporativos, vídeos deepfake de CEOs são usados para autorizar transferências milionárias. Um advogado de Bauru (SP) teve imagem e voz clonadas para aplicar golpes em nome dele.
O golpe do falso suporte bancário. O criminoso liga fingindo ser do banco, alerta sobre uma “transação suspeita” e pede que a vítima transfira o dinheiro para uma “conta segura” via Pix. Segundo especialistas da BioCatch, entre 80% e 90% dos golpes atuais não envolvem invasão de conta — o próprio cliente faz a transação, convencido pelo criminoso por meio de engenharia social.
Aplicativos falsos. Apps que imitam bancos, a Receita Federal ou serviços do governo são distribuídos por links no WhatsApp, SMS e redes sociais. Ao instalar, o usuário entrega suas credenciais bancárias a criminosos.
O que mudou: o MED 2.0
Em resposta ao cenário de fraudes, o Banco Central tornou obrigatório, em fevereiro de 2026, o MED 2.0 — Mecanismo Especial de Devolução. A diferença em relação à versão anterior é significativa: enquanto o MED 1.0 só bloqueava a primeira conta que recebia o dinheiro roubado, o MED 2.0 rastreia o valor em cadeia, seguindo os recursos por múltiplas camadas de contas laranja, com bloqueios automáticos ao longo de todo o percurso. O prazo para devolução do dinheiro passa a ser de até 11 dias após a contestação. Especialistas estimam redução de até 40% nos golpes bem-sucedidos com a nova ferramenta.
Como se proteger
A proteção começa pelo comportamento. Antes de qualquer transferência via Pix, confirme o nome completo do destinatário na tela de confirmação — não confie apenas na chave. Nunca transfira dinheiro para uma “conta segura” indicada por ligação telefônica, independentemente de quão convincente seja o interlocutor. Ative a verificação em duas etapas no WhatsApp e jamais compartilhe o código de seis dígitos com ninguém.
Para se proteger de deepfakes, crie uma palavra-código com familiares para verificar identidade em situações de emergência. Para o IR 2026, acesse apenas pelo portal e-CAC oficial. Para aplicativos, baixe somente pelas lojas oficiais e verifique o nome do desenvolvedor. E desconfie sempre de urgência, pressão e pedidos de sigilo — são os três sinais clássicos de que algo está errado.
O crime organizado se adaptou à economia digital mais rápido do que o Estado consegue acompanhar. A melhor defesa, por enquanto, ainda é a informação.
