Sécurité PIX pour les entreprises : comment protéger votre compte marchand contre la fraude
Apprenez à protéger votre entreprise contre la fraude PIX, y compris les fausses captures d'écran de paiement, les échanges de QR codes et les attaques d'ingénierie sociale ciblant les commerçants brésiliens.
Sécurité PIX pour les entreprises : comment protéger votre compte marchand contre la fraude
PIX a transformé la façon dont les entreprises brésiliennes gèrent les paiements. Avec un règlement instantané, zéro frais de transaction pour la plupart des opérations et une disponibilité 24h/24, il est devenu le moyen de paiement dominant — traitant plus de 40 milliards de transactions en 2025. Mais à mesure que l'adoption de PIX a explosé, les techniques de fraude ciblant les commerçants se sont multipliées.
Pour les entreprises qui dépendent de PIX, comprendre ces menaces n'est pas optionnel. Voici votre guide complet de la sécurité PIX pour les commerçants.
Menaces PIX ciblant les entreprises
1. Fausses captures d'écran de paiement
La fraude la plus simple et la plus courante. Un client présente un faux reçu PIX sur l'écran de son téléphone, affirmant que le paiement a été envoyé. Pour les commerçants occupés — food trucks, vendeurs de rue, boutiques — la tentation de jeter un coup d'oeil à la capture et de passer à autre chose est exactement ce sur quoi comptent les escrocs.
Ampleur du problème : FEBRABAN a rapporté que la fraude aux faux reçus PIX a touché plus de 500 000 entreprises en 2025.
2. Attaques par échange de QR code
Les escrocs remplacent physiquement votre QR code PIX au point de vente par le leur. Chaque client qui scanne le QR code envoie l'argent au fraudeur au lieu de votre entreprise. C'est particulièrement courant dans :
- Les food courts et stands de rue
- Chez les vendeurs de marché
- Les stations de paiement en libre-service
- Les QR codes imprimés laissés sans surveillance
3. Ingénierie sociale contre les employés
Les escrocs appellent votre entreprise en se faisant passer pour votre banque ou votre processeur de paiement. Ils prétendent qu'une « mise à jour du système PIX » ou une « vérification de sécurité » nécessite que vos employés partagent des identifiants, effectuent un virement test ou installent un logiciel d'accès à distance.
4. Exploitation du PIX programmé
Un client vous montre un reçu de « PIX programmé » comme preuve de paiement. Contrairement à un virement PIX instantané, un virement programmé peut être annulé par l'expéditeur avant son traitement. Vous remettez la marchandise, et le client annule le paiement.
5. Exploitation des remboursements
Un client effectue un petit paiement PIX légitime, puis prétend avoir payé plus ou deux fois. Il demande un remboursement vers une clé PIX différente. Le remboursement est effectué, mais le litige vous laisse en perte.
6. Prise de contrôle du compte via la clé PIX
Si la clé PIX de votre entreprise est un numéro de téléphone ou un email, et qu'un attaquant prend le contrôle de ce numéro (via SIM swap) ou de ce compte email, il peut rediriger les paiements entrants vers lui.
Matrice des menaces pour les entreprises
| Menace | Cible | Complexité | Impact |
|---|---|---|---|
| Fausse capture d'écran | Point de vente | Faible | Moyen par transaction |
| Échange de QR code | Emplacement physique | Faible | Élevé (affecte tous les clients) |
| Ingénierie sociale | Employés | Moyenne | Très élevé |
| Astuce PIX programmé | Point de vente | Faible | Moyen |
| Exploitation remboursement | Équipe finance | Moyenne | Moyen |
| Prise de contrôle clé PIX | Compte professionnel | Élevée | Critique |
| Malware/RAT | Systèmes comptables | Élevée | Critique |
Mesures de protection pour les commerçants
Vérification des paiements en temps réel
Ne vous fiez jamais à ce que le client vous montre. Mettez en place ces étapes de vérification :
- Vérifiez directement sur votre compte bancaire — Ouvrez votre appli bancaire ou système POS pour confirmer le crédit
- Configurez des notifications push en temps réel pour chaque paiement PIX entrant
- Utilisez des notifications audio — Certaines applis bancaires peuvent annoncer les paiements entrants, utile dans les environnements de vente bruyants
- Vérifiez le montant, l'expéditeur et l'horodatage de chaque transaction
Sécurité des QR codes
Protégez vos QR codes PIX contre la falsification :
- Plastifiez les QR codes statiques pour qu'ils ne puissent pas être facilement recouverts
- Vérifiez les QR codes quotidiennement — Cherchez des signes d'autocollants superposés ou de remplacement
- Utilisez des QR codes dynamiques qui changent à chaque transaction
- Placez les QR codes là où le personnel peut les surveiller
- Testez régulièrement votre propre QR code pour vérifier qu'il redirige vers votre compte
Formation des employés
Votre personnel est votre première ligne de défense :
- Formez les employés à vérifier chaque paiement PIX dans l'appli bancaire, pas à partir des captures d'écran des clients
- Établissez une politique selon laquelle aucun employé ne doit partager des identifiants bancaires par téléphone
- Créez un protocole de vérification pour quiconque prétend être de votre banque — raccrochez et rappelez la banque directement
- Pratiquez des scénarios pour que le personnel reconnaisse les tentatives d'ingénierie sociale
Sécurité des comptes
Protégez les comptes qui reçoivent vos paiements PIX :
- Utilisez une clé PIX liée au CNPJ plutôt qu'un numéro de téléphone ou email personnel
- Activez l'authentification à deux facteurs sur toutes les applis bancaires et financières
- Limitez l'accès aux comptes — Seul le personnel autorisé doit avoir les identifiants
- Définissez des limites de transaction pour les opérations PIX individuelles
- Consultez quotidiennement l'activité du compte pour détecter les transactions non autorisées
Partager les informations financières de l'entreprise en toute sécurité
Les entreprises doivent régulièrement partager leurs clés PIX, coordonnées bancaires et instructions de paiement avec des partenaires, fournisseurs et employés. Envoyer ces informations par email ou dans des groupes WhatsApp crée des enregistrements permanents qui peuvent être compromis.
Utilisez LOCK.PUB pour partager vos coordonnées bancaires professionnelles via des liens protégés par mot de passe qui expirent après un temps défini. Ainsi, vos clés PIX et numéros de compte ne restent pas dans des dizaines d'historiques de conversation WhatsApp où ils pourraient être récupérés par quelqu'un accédant à l'un de ces appareils.
Configurer PIX en toute sécurité pour votre entreprise
Choisir la bonne clé PIX
| Type de clé PIX | Niveau de sécurité | Recommandation |
|---|---|---|
| Clé aléatoire (EVP) | Le plus élevé | Idéal pour les entreprises — aucune info personnelle exposée |
| CNPJ | Élevé | Bon pour l'identification formelle de l'entreprise |
| Moyen | Risque si le compte email est compromis | |
| Numéro de téléphone | Plus faible | Risque d'attaques SIM swap |
| CPF | Le plus faible pour les entreprises | Évitez d'utiliser un CPF personnel pour les transactions professionnelles |
Configurer les limites de transactions
La Banque centrale vous permet de personnaliser les limites PIX :
- Définissez des limites nocturnes plus basses (entre 20h et 6h)
- Établissez des maximums par transaction adaptés à la taille de votre entreprise
- Exigez une authentification supplémentaire pour les virements au-dessus d'un certain seuil
- Enregistrez des destinataires de confiance pour les paiements récurrents importants
Surveiller et auditer
- Passez en revue toutes les transactions PIX quotidiennement
- Rapprochez les reçus PIX de vos relevés de ventes
- Surveillez les schémas inhabituels (multiples petites transactions, activité en dehors des heures)
- Configurez des alertes pour les transactions dépassant votre fourchette habituelle
Que faire si votre entreprise est ciblée
- Gelez le compte concerné en contactant votre banque immédiatement
- Demandez un MED (Mecanismo Especial de Devolucao) via votre banque dans les 80 jours pour les transactions frauduleuses
- Déposez un B.O. (rapport de police) en ligne avec toutes les preuves
- Informez vos employés de la technique de fraude spécifique utilisée
- Revoyez et renforcez vos procédures de vérification
- Vérifiez tous les QR codes dans vos emplacements physiques pour détecter toute falsification
Conclusion
PIX a rendu les paiements plus rapides et plus pratiques pour les entreprises brésiliennes, mais cette commodité nécessite un investissement correspondant en sécurité. L'habitude la plus essentielle est simple : vérifiez toujours les paiements sur votre compte bancaire avant de remettre des biens ou services. Ne faites jamais confiance à une capture d'écran, ne sautez jamais la vérification pendant les périodes chargées et protégez vos QR codes contre la falsification physique.
Pour partager les informations bancaires de votre entreprise avec des partenaires ou des employés, utilisez LOCK.PUB pour créer des liens gratuits protégés par mot de passe avec expiration automatique qui gardent vos données financières en sécurité.
Mots-clés
À lire aussi
Sécurité des portefeuilles électroniques : comment protéger vos paiements mobiles
Apprenez à sécuriser vos comptes de paiement mobile contre la fraude, le phishing et les attaques d'ingénierie sociale.
Fraude SIM swap : comment les escrocs vident vos comptes bancaires et portefeuilles
Découvrez comment les arnaques SIM swap fonctionnent, comment les attaquants interceptent les OTP pour vider les comptes bancaires, et comment vous protéger.
Classeur d'urgence numérique — Comment créer un dossier en ligne de documents essentiels accessible par votre famille en cas de besoin
Assurances, comptes bancaires, factures — apprenez à organiser vos documents critiques dans un classeur d'urgence numérique que votre famille pourra consulter en cas de crise.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement