Golpe com chave Pix alerta quem espera restituição do IR 2026

Um novo tipo de fraude com o uso indevido da chave Pix ligada ao CPF tem preocupado contribuintes e especialistas, justamente no início do prazo para entrega do Imposto de Renda (IR) 2026 (ano-base 2025). Essa prática pode desviar a restituição para contas de terceiros sem que o titular saiba.

Desde 2022, a Receita Federal permite que a restituição seja paga via Pix, utilizando como chave o CPF do contribuinte. Essa medida visa diminuir erros na informação bancária e acelerar os pagamentos.

Este ano, o sistema ganhou importância com a ampliação do público apto a receber restituições, incluindo trabalhadores de baixa renda, que poderão receber automaticamente o chamado “cashback do IR”, mesmo sem declarar ajuste anual.

O golpe envolve o uso ilegal de dados pessoais. Criminosos usam essas informações para abrir contas bancárias em nome de terceiros e associar os CPFs das vítimas como chaves Pix. Assim, quando a Receita processa as restituições, os valores são enviados para essas contas fraudulentas.

Casos reais mostram a vulnerabilidade do sistema. A jornalista Amanda Pinheiro de Oliveira, 30 anos, constatou que sua restituição foi direcionada para uma conta desconhecida ao consultar o sistema Registrato do Banco Central, que permite verificar informações pessoais.

“Descobri que meu dinheiro havia sido enviado para uma conta que eu nem conhecia”, relata.

Ela abriu vários protocolos no Banco Central e na Receita Federal, além de registrar boletim de ocorrência, mas ainda não recuperou a quantia.

Situação semelhante ocorreu com o porteiro Aldair José Fernandes, 47 anos, que aguardava cerca de R$ 620 de restituição, mas soube por seu contador que o valor já havia sido sacado.

“Fui ao banco e disseram que o pagamento foi feito, mas eu não recebi nada”, conta.

A advogada tributarista Letícia Méier Soares alerta que a prática tem causado perdas financeiras e insegurança, principalmente entre pessoas de baixa renda que desconhecem que o CPF pode ser usado como chave Pix para restituição.

“A vinculação indevida do CPF a contas de terceiros tem gerado transtornos e prejuízos aos contribuintes”, afirma.

O advogado Bruno Medeiros Durão reforça que, nesses casos, o contribuinte é vítima de fraude.

“A questão jurídica envolve identificar quem falhou na segurança do sistema”, explica.

A Receita Federal confirma a existência dessa fraude e ressalta que criminosos exploram brechas em algumas instituições financeiras para abrir contas falsas vinculadas a CPFs de outros.

Segundo o órgão, validar a titularidade da conta é responsabilidade do sistema financeiro, não havendo mecanismo próprio para isso. A receita recomenda que o contribuinte vincule sua chave Pix com CPF a uma conta sob seu nome previamente.

A Federação Brasileira de Bancos (Febraban) afirma que não é possível cadastrar uma chave do tipo CPF em conta de titularidade diferente e que fraudes geralmente envolvem golpes de engenharia social, como phishing, onde criminosos fingem ser empresas confiáveis para roubar dados.

A entidade aconselha a não compartilhar informações pessoais e ressalta que não responde por todas as instituições financeiras do país, apenas pelas associadas.

O Banco Central não respondeu às perguntas da reportagem até a publicação.

Consequências e responsabilidades

Especialistas avaliam que o desvio de restituições via chaves Pix ligadas indevidamente ao CPF pode representar falha na prestação de serviços pelas instituições financeiras.

Letícia Méier destaca que normalmente a responsabilidade recai sobre os bancos que permitiram o cadastro irregular e os que receberam os valores.

“Permitir vincular um CPF a conta de terceiros constitui falha grave na segurança”, comenta.

Em casos de falha sistêmica, a Receita Federal também pode ser questionada judicialmente.

Bruno Durão explica que, conforme o Código de Defesa do Consumidor (CDC), a responsabilidade do banco é objetiva.

“Basta provar o dano e a falha no serviço; o banco não pode repassar o risco ao cliente”, diz.

Normas do Pix exigem que instituições financeiras verifiquem a identidade dos usuários e confirmem que a chave está vinculada ao titular da conta. O descumprimento pode fundamentar ações judiciais, especialmente se houver comprovação de uso indevido do CPF.

Como se proteger

A recomendação principal é preventiva: cadastrar a chave Pix com CPF apenas em conta própria. Também é importante monitorar o sistema Registrato para identificar chaves vinculadas ao CPF e acompanhar o status da restituição regularmente.

Se a restituição não for recebida, é fundamental agir rapidamente: consultar a Receita Federal, solicitar ao banco o rastreamento da transação e registrar ocorrência policial. O Pix é rastreável, facilitando a identificação da conta destinatária.