Golpe do QR Code falso em estacionamentos: como se proteger
Entenda como funciona o golpe do QR Code falso em estacionamentos (quishing), quais sinais observar antes de pagar via Pix e o que fazer se cair na fraude.
Rita Cavalcanti
Pagar o estacionamento pelo celular virou rotina em shoppings, aeroportos, hospitais e ruas de grandes cidades. Basta apontar a câmera para o QR Code, abrir o Pix e finalizar em segundos. Só que essa mesma praticidade abriu uma porta nova para os golpistas: o chamado golpe do QR Code falso em estacionamentos, também conhecido como 'quishing' (uma mistura das palavras QR Code e phishing). A fraude é simples, barata de aplicar e, quando a vítima percebe, o dinheiro já caiu na conta de um terceiro.
A lógica do crime é enganosamente banal: o criminoso imprime um adesivo com um QR Code próprio, vinculado a uma chave Pix de laranja, e cola por cima do código legítimo afixado no totem, na cancela ou no comprovante do estacionamento. Quem vai pagar aponta o celular, lê o código adulterado e acaba transferindo o valor direto para a conta do golpista, achando que está quitando a tarifa. Nesta matéria você vai entender em detalhe como o golpe é montado, por que ele tem crescido, quais sinais observar antes de confirmar o pagamento, o que fazer se já caiu no golpe e como se proteger daqui para frente.
Como funciona o golpe do QR Code falso em estacionamentos
O golpe do QR Code falso costuma seguir um roteiro parecido, independentemente da cidade. O criminoso escolhe um estacionamento com grande fluxo — de preferência um local em que o cliente paga sozinho, sem interação com um atendente humano. Pode ser um pátio a céu aberto, um estacionamento rotativo em rua (zona azul), um totem de autoatendimento em shopping ou até um estabelecimento pequeno que passou a aceitar Pix por QR Code no lugar da máquina de cartão.
Com o local mapeado, o golpista imprime um QR Code de aparência oficial. É comum que ele reproduza o layout do estacionamento, use logotipos parecidos e coloque instruções curtas como 'pague aqui via Pix'. Em seguida, aproveita um momento de menor movimento — de madrugada, na troca de turno ou em horário de almoço — e cola o adesivo sobre o QR Code verdadeiro. Alguns criminosos colam o adesivo sobre o comprovante impresso, outros diretamente na cancela, no vidro do guichê ou em placas informativas.
A vítima chega, escaneia o código, e o aplicativo do banco abre uma tela de Pix normal, com valor a ser digitado ou já preenchido. Como o Pix é uma transferência entre pessoas físicas ou jurídicas, o dinheiro cai imediatamente na conta indicada pelo QR Code — que, neste caso, é a conta usada pelo criminoso. O estacionamento não recebe o pagamento, e o cliente, na maioria das vezes, só descobre o problema quando a cancela não abre, quando um funcionário cobra novamente ou quando a fiscalização da zona azul aponta que o veículo está irregular.
Por que o quishing cresceu no Brasil
O avanço do golpe do QR Code falso está diretamente ligado à popularização do Pix e ao hábito de pagar por leitura de código. O Pix é gratuito, instantâneo e amplamente adotado por comércios de todos os portes, o que fez o QR Code virar praticamente um padrão de cobrança no país. E é justamente essa universalização que os criminosos exploram: o consumidor confia no símbolo, aponta a câmera e paga sem checar para quem está transferindo o dinheiro.
Outro fator é o custo baixíssimo do golpe. Aplicar quishing não exige tecnologia sofisticada nem invasão de sistemas. Basta uma impressora, papel adesivo e uma chave Pix aberta em nome de um 'laranja' — muitas vezes contas abertas com documentos de terceiros ou em fintechs com verificação frágil. Do ponto de vista do criminoso, é uma fraude de baixo risco imediato e retorno rápido, porque o dinheiro entra na hora e pode ser transferido para outras contas em minutos.
Soma-se a isso o comportamento do consumidor. A maioria das pessoas aponta o celular, olha o valor e confirma. Não confere o nome do recebedor, não verifica o CNPJ do estabelecimento e não repara se o adesivo do QR Code está desalinhado, mal colado ou com aparência diferente da comunicação visual do estacionamento. Essa pressa é o principal aliado do golpista. Estacionamentos, aliás, são o ambiente perfeito para isso: o cliente quase sempre está com pressa, com criança no carro, com sacolas na mão ou tentando sair antes que a próxima hora comece a ser cobrada.
Sinais de que o QR Code do estacionamento pode ser falso
A boa notícia é que o golpe do QR Code falso deixa rastros visuais e digitais. Prestar atenção em alguns detalhes antes de confirmar o pagamento reduz drasticamente o risco. O primeiro sinal está no próprio adesivo: se ele parece colado por cima de outro código, se as bordas estão descascando, se o papel é diferente do restante da sinalização do estacionamento ou se o adesivo cobre parte de uma placa oficial, desconfie. Golpistas raramente conseguem reproduzir com perfeição a identidade visual do local.
O segundo sinal aparece na tela do celular, no momento em que o aplicativo do banco reconhece o QR Code. Antes de digitar o valor ou confirmar o Pix, o app mostra o nome (ou razão social) e parte do CPF ou CNPJ de quem vai receber. Se o estacionamento é uma empresa conhecida, o recebedor deveria ser uma pessoa jurídica com nome compatível — e não um CPF de pessoa física desconhecida, uma MEI sem relação com o negócio ou uma razão social totalmente diferente da placa do estabelecimento. Essa checagem simples, de poucos segundos, é a barreira mais eficaz contra o golpe.
O terceiro sinal é o valor. Muitos QR Codes falsos vêm com o campo de valor 'em aberto', para que a vítima digite o preço que acha correto. Em estacionamentos oficiais, especialmente em shoppings e aeroportos, o valor costuma vir travado no código, calculado pelo tempo de permanência. Se o QR Code que deveria ser fechado abre um campo livre, é motivo para desconfiar. O contrário também vale: se o valor apresentado é muito diferente da tabela informada no local, cancele o pagamento.
Há ainda sinais indiretos. Se o estacionamento tem um funcionário ou atendente, é sempre mais seguro pedir a ele que confirme qual é o meio de pagamento oficial. Se o pagamento é feito por aplicativo próprio (comum em zonas azuis e apps de estacionamento rotativo), prefira abrir o aplicativo diretamente pela loja oficial do seu celular em vez de escanear qualquer código colado em poste ou parquímetro.
O que fazer se você caiu no golpe do QR Code do estacionamento
Se você percebeu que pagou um QR Code falso, cada minuto conta. O primeiro passo é abrir imediatamente o aplicativo do seu banco e acionar o Mecanismo Especial de Devolução (MED) do Pix, criado pelo Banco Central justamente para casos de fraude e falha operacional. Pelo MED, a instituição em que você tem conta pede à instituição do recebedor o bloqueio e a devolução do valor. Quanto mais rápido o pedido, maior a chance de o dinheiro ainda estar na conta do golpista e ser recuperado. Segundo o Banco Central, o MED pode ser solicitado em até 80 dias após a transação, mas o ideal é acionar nas primeiras horas.
Em paralelo, registre um boletim de ocorrência. Hoje, quase todos os estados permitem que o BO seja feito de forma eletrônica pelo site da Polícia Civil, sem precisar ir até a delegacia. Descreva o que aconteceu, informe o local exato do estacionamento, anexe o comprovante do Pix, prints da tela do banco (com o nome do recebedor) e, se possível, fotos do adesivo falso. Esse registro é importante tanto para a investigação policial quanto para reforçar o pedido de devolução junto ao banco.
O terceiro passo é avisar o estacionamento. Muitos estabelecimentos ainda não sabem que estão sendo usados como fachada para o golpe. Ao comunicar a fraude, você ajuda o local a remover o adesivo falso, revisar a segurança dos totens e alertar outros clientes. Se o estacionamento se recusar a liberar o veículo alegando falta de pagamento, apresente o boletim de ocorrência e o protocolo do MED como prova de que você foi vítima — e, em caso de negativa, procure o Procon da sua cidade.
Um ponto importante: o banco não é obrigado, por lei, a reembolsar automaticamente todo caso de golpe. O MED é um mecanismo de tentativa de recuperação, não uma garantia de devolução. Por isso, prevenção continua sendo o melhor caminho. Ainda assim, se você entende que houve falha de segurança da instituição financeira ou do estabelecimento — por exemplo, um totem de autoatendimento sem qualquer proteção contra adulteração — vale registrar reclamação no Banco Central (para bancos) e no Procon (para o estacionamento), além de avaliar orientação jurídica em casos de valor elevado.
Como se proteger no dia a dia do golpe do QR Code falso
A prevenção do quishing passa por mudar dois ou três hábitos pequenos, mas decisivos. O primeiro deles é criar o costume de ler a tela do Pix antes de confirmar. Não olhe só o valor: olhe também o nome do recebedor. Se você está pagando um estacionamento de shopping, o recebedor precisa ser a empresa do estacionamento (ou uma administradora contratada por ele). Se aparecer nome de pessoa física ou uma empresa sem ligação nenhuma com o local, cancele. Essa checagem leva menos de cinco segundos e neutraliza quase todos os golpes desse tipo.
O segundo hábito é preferir o aplicativo oficial do estacionamento sempre que ele existir. Grandes redes de estacionamento em shoppings, aeroportos, hospitais e zonas azuis municipais mantêm aplicativos próprios, em que o pagamento é feito dentro do app, sem QR Code exposto. Baixar o aplicativo pela loja oficial do celular (App Store ou Google Play) e cadastrar o cartão ou o Pix dentro dele evita totalmente o risco de adesivo falso, porque nenhum código físico é escaneado.
O terceiro hábito é observar o entorno. Antes de escanear qualquer QR Code em ambiente público, olhe para o adesivo: ele está reto? Está bem colado? Está sobre outro adesivo? Está em um local que parece improvisado, como um poste, um vidro riscado ou uma placa amassada? Golpistas trabalham rápido e nem sempre caprichado. Adesivos tortos, com bolhas de ar, com papel de qualidade inferior ou colados de forma claramente artesanal são bandeiras vermelhas.
Outra medida útil é evitar QR Codes que vieram por foto, mensagem de WhatsApp ou e-mail dizendo respeito a estacionamentos, multas ou tarifas de zona azul. O golpe do QR Code migrou do adesivo físico para o mundo digital: já existem mensagens falsas de 'aviso de estacionamento irregular' que trazem um QR Code para pagamento imediato de suposta multa. Órgãos públicos e concessionárias oficiais não cobram tarifas ou multas por QR Code recebido em mensagem — a cobrança oficial passa por boletos, aplicativos oficiais e canais próprios do órgão de trânsito.
Por fim, mantenha o aplicativo do seu banco atualizado e ative alertas de transação. Assim, qualquer Pix realizado gera notificação imediata no celular. Se, por qualquer motivo, você perceber que o valor pago não corresponde ao que devia, é possível abrir o MED em segundos, direto pelo próprio app, sem esperar chegar em casa para descobrir o problema.
Estacionamentos, shoppings e o dever de segurança contra o quishing
A responsabilidade não é só do consumidor. Estacionamentos, shoppings, hospitais e prefeituras que oferecem pagamento por QR Code também têm dever de zelar pela segurança do meio de pagamento que colocam à disposição do cliente. Isso inclui rondas frequentes nos totens, adesivos com selo de segurança de difícil reprodução, sinalização clara sobre qual é o pagamento oficial e canais rápidos de denúncia. Alguns estabelecimentos passaram a usar QR Codes exibidos apenas em telas eletrônicas, que se atualizam periodicamente e não podem ser cobertos por adesivo, justamente para dificultar o golpe.
Do ponto de vista jurídico, o consumidor lesado por falha de segurança do estabelecimento pode acionar o Código de Defesa do Consumidor e o Procon. Se ficar comprovado que o estacionamento foi negligente — por exemplo, deixou o totem sem qualquer inspeção por dias, mesmo após denúncias — é possível pleitear ressarcimento e até indenização por danos. Já o banco responde nos limites do MED e das regras do Banco Central sobre resposta a fraudes envolvendo Pix.
Para o mercado, o recado é claro: se o QR Code virou o principal meio de cobrança, ele precisa ter o mesmo nível de proteção que uma maquininha de cartão. E, para o consumidor, o recado é ainda mais direto: o QR Code é seguro, o Pix é seguro — o que falha, no golpe do estacionamento, é a etapa entre o olho e o dedo, o momento em que a pressa impede a checagem do nome do recebedor. Voltar a atenção para esse detalhe é o que separa quem paga o estacionamento de quem paga o golpista.
Resumo prático: o que fazer antes, durante e depois de escanear um QR Code em estacionamento
Antes de escanear: prefira o aplicativo oficial do estacionamento; observe se o adesivo do QR Code parece original, bem colado e sem sinais de ter sido colocado por cima de outro; desconfie de códigos em locais improvisados. Durante o pagamento: leia com calma o nome e o CPF/CNPJ do recebedor exibidos pelo aplicativo do banco antes de confirmar; verifique se o valor bate com a tabela do local; nunca confirme no automático. Depois: guarde o comprovante, confira se a cancela ou o sistema do estacionamento realmente reconheceu o pagamento e, ao mínimo sinal de fraude, acione imediatamente o MED do Pix no seu banco, registre boletim de ocorrência e comunique o estabelecimento.
O golpe do QR Code falso em estacionamentos se aproveita da confiança e da pressa — dois ingredientes que fazem parte da rotina de qualquer motorista. A defesa, felizmente, também é rotineira: cinco segundos de atenção antes de confirmar o Pix bastam para transformar uma fraude quase invisível em uma tentativa frustrada. Em um país onde o Pix se consolidou como principal meio de pagamento, aprender a ler o nome do recebedor antes de tocar em 'confirmar' virou parte básica da educação financeira do dia a dia.
Referências
- Seu Crédito Digital — matéria original sobre golpe do QR Code em estacionamentos (descrição do modus operandi do quishing).
- Febraban e Banco Central — orientações oficiais sobre Pix, Mecanismo Especial de Devolução (MED) e checagem do nome/CNPJ do recebedor antes de confirmar transferências.
- Procon e boletins de segurança pública — orientações sobre boletim de ocorrência eletrônico, atuação do Procon e alertas de que órgãos oficiais não cobram multas ou tarifas por QR Code enviado em mensagens.
Comentários (0)
Ainda não há comentários. Seja o primeiro a comentar!
Deixe seu comentário
📩 Gostou? Receba mais como este
Novidades sobre consignado e FGTS toda semana.