Close
PUBLICADO 07.05.2026 · ATUALIZADO 01.05.2026 · VERSÃO 1.0
Sigla de Quick Response Code, padrão de código de barras bidimensional criado em 1994 pela empresa japonesa Denso Wave, capaz de armazenar dados alfanuméricos, URLs, informações de pagamento, credenciais e outros conteúdos estruturados. É lido por câmeras de smartphones e decodificado instantaneamente. No Brasil, tornou-se onipresente a partir da implementação do Pix (novembro de 2020) como chave visual de pagamento. A modalidade específica de fraude que utiliza QR Codes como vetor é conhecida como quishing (QR + phishing), em que o código direciona o usuário a sites falsos, induz pagamentos a contas fraudulentas ou instala malware no dispositivo que o lê.Definição
As fraudes com QR Code cresceram exponencialmente no Brasil a partir da popularização do Pix e do uso do código em cardápios digitais, pagamentos presenciais, boletos e campanhas de marketing. As principais modalidades incluem:
(i) substituição física — criminosos colam QR Codes falsos sobre QR Codes legítimos em restaurantes, estacionamentos, cartazes e bombas de combustível, redirecionando pagamentos para suas próprias contas;
(ii) QR Code em e-mail ou mensagem — técnica que burla filtros de phishing tradicionais (que escaneiam links textuais) ao embutir o destino malicioso em imagem;
(iii) QR Code em boleto falso — alteração do código do boleto original para desviar pagamentos;
(iv) QR Code em cartão de embarque, ingresso ou voucher fraudados — geração de códigos que aparentam legitimidade;
(v) Pix Copia e Cola alterado — substituição do conteúdo da área de transferência entre o momento em que o usuário copia o código e o momento em que o cola no aplicativo bancário. A tipificação varia conforme o resultado: estelionato eletrônico (art. 171, §2º-A do CP) quando há indução da vítima ao pagamento voluntário; furto mediante fraude eletrônica (art. 155, §4º-B) quando há acesso direto à conta; invasão de dispositivo (art. 154-A) quando o QR Code instala malware.
A Lei 14.155/2021 aplica-se plenamente. A defesa contra quishing depende de educação do usuário (verificar o destino antes de confirmar pagamentos), de verificação visual de adulteração física do código e de mecanismos bancários de validação.
Art. 171, §2º-A, do Código Penal (estelionato eletrônico). Art. 155, §4º-B, do Código Penal (furto mediante fraude eletrônica). Art. 154-A do Código Penal (invasão de dispositivo). Lei 14.155/2021 (qualificadoras e competência). Resolução BCB 1 e seguintes (sistema Pix).
Código Penal Brasileiro.
Torna mais graves crimes praticados por meio eletrônico (estelionato eletrônico, invasão).
Verbetes correlatosContinue a leitura por conexão
Manual · Letra PPix (golpes e fraudes)
CRIMES ECONôMICOSManual · Letra PPhishing
CRIMES ECONôMICOSManual · Letra EEstelionato digital (eletrônico)
CRIMES ECONôMICOSManual · Letra FFurto mediante fraude eletrônica
CRIMES ECONôMICOSManual · Letra FFraude bancária
CRIMES ECONôMICOSManual · Letra EEngenharia social
CRIMES ECONôMICOS
BIERRENBACH, Juliana. QR Code (e fraudes por QR Code — quishing). Arquivo Conceitual. TechCrime.Project. Bier.Tech, 7 maio 2026. Disponível em: https://firebrick-eel-641877.hostingersite.com/arquivo-conceitual/q/qr-code/. Acesso em: [data de acesso].Como citar este verbeteReferência ABNT
ABNT NBR 6023
Toda semana, leitura crítica do que importa em direito penal e tecnologia, com os verbetes em construção comentados pela autora.Receber a LetterNovos verbetes chegam antes aos assinantes da TechCrime.Letter