Leste um QR code num parquímetro ou numa multa e pediram-te o cartão? Cuidado com o quishing

Estacionaste o carro, foste pagar ao parquímetro e tem lá um QR code para pagares pelo telemóvel, prático. Ou voltaste e tinhas um papel no para-brisas, uma multa, com um QR para pagar logo. Ou chegou-te uma carta a pedir para leres um código para confirmar uma entrega. Leste, abriu uma página, e agora estás a pensar se metes ali os dados do cartão.

Não metas, ou pelo menos espera só um bocadinho. Há um golpe novo que funciona exatamente assim, e tem nome: quishing. É juntar o tal QR code com aquelas burlas que fingem ser de uma entidade para te roubar dados. O Polígrafo confirmou que já está em Portugal, e a GNR já registou casos.

Se já leste o código e ainda não meteste dados, respira, estás a tempo. E se já meteste, fica comigo, que vamos resolver isto passo a passo.

Como funciona

A ideia é tão simples que é por isso que resulta. Um QR code é só uma imagem, e qualquer pessoa pode imprimir um e colá-lo onde quiser.

O esquema costuma ser assim:

1. Colam um QR falso por cima do verdadeiro. Num parquímetro, na ementa de um restaurante, num cartaz. Tu lês, achas que é o serviço normal, mas o código é deles.
2. Inventam uma multa ou um aviso. Põem um papel no teu carro a fingir uma multa de estacionamento, com um QR para pagares já. Ou mandam uma carta a fingir ser dos correios ou de uma entidade, a pedir para leres o código.
3. O QR abre uma página falsa. Parece o site oficial, mas é uma cópia. Pede-te os dados do cartão, ou um pagamento, ou dados pessoais.
4. Levam o teu dinheiro ou os teus dados. Com os dados do cartão, fazem compras ou tiram dinheiro. O valor pode passar rápido por contas intermediárias e seguir para o estrangeiro.

E aqui está a parte traiçoeira: o teu telemóvel não te protege disto. A câmara lê o código tal e qual, sem saber se é bom ou mau. O perigo está na página que abre a seguir, e nessa és tu que tens de reparar.

Partilhar

O isco

Este golpe joga com a rotina e, na versão da multa, com um bocadinho de susto. Lês QR codes todos os dias sem pensar, e é precisamente nesse automatismo que eles entram.

As alavancas que usam:

• O hábito. Já estás habituado a ler QR codes para tudo. Lês mais um sem desconfiar.
• A aparência normal. O QR está onde devia estar, num parquímetro, numa ementa. Nada parece estranho.
• O susto da multa. Um papel no carro a dizer “multa, pague já” mete-te com pressa e com receio de pagar mais se não tratares logo.
• A página convincente. A página que abre copia o aspeto do serviço oficial.

Sinais de alarme

Antes de meteres dados depois de ler um QR, passa por aqui. Um sinal já chega para parar:

• O QR code parece colado por cima de outro, ou tem um autocolante por cima do que estava lá.
• Depois de ler, a página pede-te logo os dados do cartão ou dados pessoais para um serviço simples.
• O endereço da página que abriu tem erros, palavras estranhas, ou não é o site oficial da entidade (repara na barra do endereço).
• A “multa” no carro não tem a forma de uma multa a sério e empurra-te para pagar por QR já.
• Uma carta ou mensagem pede para leres um QR para “confirmar” uma entrega ou um pagamento.
• Há pressa, como em quase todas as burlas.

Guarda esta regra: um QR code pode ser falso e estar colado por cima do verdadeiro. Paga sempre pelo site ou app oficial que escreves tu, nunca pela página que o QR abriu.

O que fazer se já caíste

Se já meteste os dados do cartão ou já pagaste por uma destas páginas, respira. Vamos por ordem, e quanto mais depressa, melhor.

Nos próximos minutos:

1. Liga ao teu banco pelo número do verso do cartão. Diz que meteste os dados do cartão numa página falsa, ou que pagaste a uma. Pede para bloquear o cartão e teres um novo, e para travar ou contestar o pagamento se foi há pouco.
2. Não voltes a essa página nem leias o código outra vez.
3. Se a página te pediu outros dados (acessos, palavras-passe), muda essas palavras-passe.

Guarda as provas:

• Tira fotografias ao QR e ao sítio onde estava (o parquímetro, o papel no carro, a carta), à página que abriu e ao comprovativo de pagamento.

Onde denunciar:

• Faz queixa à GNR ou à PSP, numa esquadra ou posto, ou online na Queixa Eletrónica em https://queixaselectronicas.mai.gov.pt. Indica onde estava o QR, porque ajuda a tirá-lo dali e a proteger a próxima pessoa.
• Se foi num parquímetro ou espaço gerido por uma câmara ou empresa, avisa essa entidade para removerem o autocolante falso.
• Para confirmar se uma multa de estacionamento é mesmo verdadeira, podes consultar o Portal das Contraordenações em gov.pt, em vez de pagares pelo QR.

Sobre recuperar o dinheiro, sou honesto: depende de quão depressa o banco age e de como pagaste. Avisar cedo é o que mais ajuda, por isso não adies por vergonha. Ninguém te julga por leres um QR como lês todos os dias.

Como te proteger

Para a próxima vez que apontares a câmara a um código:

• Antes de ler, repara no QR. Se parece colado, com um autocolante por cima, ou descascado, não o leias. Avisa quem gere o espaço.
• Depois de ler, olha para o endereço da página. Se pede o cartão para um serviço simples, ou o endereço é estranho, fecha e não metas nada.
• Para pagar serviços, escreve tu o endereço oficial ou usa a app oficial, em vez de confiares no que o QR abriu.
• Desconfia de multas no para-brisas com QR. Confirma sempre pelo Portal das Contraordenações ou junto da entidade, e não pagues pelo papel.
• Fala disto com a família. É um golpe novo e ainda pouca gente o conhece. Quem souber que um QR pode ser falso, pensa duas vezes antes de meter o cartão.

---

Fontes: Polígrafo, fact-check de 2026 que confirma o quishing em Portugal; GNR, alerta de março de 2026 sobre burlas com QR codes falsos (11 casos registados: 5 em 2024, 4 em 2025, 2 em 2026), noticiado por Público, Renascença e Observador. Portal das Contraordenações (gov.pt). Queixa Eletrónica do Ministério da Administração Interna.