Juliana LimaA CPTM (Companhia Paulista de Trens Metropolitanos) completou no dia 19 de abril de 2026 a implantação do pagamento por aproximação em todas as suas 97 estações, tornando São Paulo a maior rede de transporte público da América Latina a operar exclusivamente com catracas NFC em toda a extensão das linhas. A novidade chegou antes do prazo previsto — originalmente o final de 2026 — mas trouxe consigo questões de segurança digital que especialistas em TI recomendam conhecer antes de usar.
O que mudou nas catracas da CPTM
Desde 19 de abril, os passageiros das linhas 7-Rubi, 8-Diamante, 9-Esmeralda, 10-Turquesa, 11-Coral, 12-Safira e 13-Jade podem entrar nas estações usando qualquer cartão de crédito ou débito com chip NFC das bandeiras Visa, Mastercard e Elo, além de carteiras digitais como Apple Pay, Google Pay e pagamentos via smartwatch.
A tarifa é cobrada diretamente no cartão, sem necessidade de recarga prévia ou Bilhete Único. A mudança elimina as filas nos guichês e terminais de recarga para quem prefere o meio digital. Os funcionários das bilheterias estão sendo realocados para funções de atendimento ao passageiro, segundo informou a CPTM em seu canal oficial.
O sistema aceita pagamentos apenas pela tecnologia ISO 14443 (padrão NFC de 13,56 MHz), a mesma usada em terminais de supermercados e farmácias. Do ponto de vista técnico, o toque nas catracas funciona de maneira idêntica ao pagamento em qualquer ponto de venda.
Os riscos de segurança que você precisa conhecer
A conveniência do NFC vem acompanhada de riscos específicos que especialistas em segurança da informação destacam:
Cobrança dupla por toque involuntário. Diferente de um cartão físico passado em terminal de loja, nas catracas de metrô e trem a aproximação rápida pode gerar cobranças duplicadas se o usuário tocar mais de uma vez sem perceber. O protocolo NFC confirma a transação em milissegundos, e a reversão depende de contestação junto ao banco emissor.
Carteiras digitais e risco de perda do celular. Quem usa Apple Pay ou Google Pay tem o celular como meio de transporte. A perda ou roubo do dispositivo sem biometria ativa — ou com o cartão salvo sem autenticação obrigatória — pode permitir que terceiros usem o serviço às suas custas. A maioria das carteiras digitais no Brasil exige autenticação por biometria ou PIN acima de R$ 50, mas transações abaixo desse limite passam automaticamente.
Ausência de comprovante físico imediato. Diferente do Bilhete Único, que registra o saldo e os acessos no cartão, o NFC bancário não emite comprovante na catraca. O passageiro só saberá que foi cobrado ao verificar o extrato bancário — o que dificulta identificar cobranças indevidas sem acompanhamento ativo da conta.
Dificuldade de contestação em casos de falha de sistema. Se a catraca cobrar o cartão mas não abrir a cancela — situação que já ocorreu em testes — o passageiro precisa abrir chamado na bilheteria e junto ao banco. Sem registro automático na catraca e sem comprovante impresso, provar a cobrança indevida é mais complexo.
Como se proteger: guia prático de um especialista em TI
Profissionais de segurança da informação recomendam um conjunto de medidas simples para usar o NFC nas catracas com mais segurança:
Ative notificações de transação no app do banco. Cada cobrança deve gerar um alerta em tempo real. Com essa configuração ativa, uma cobrança duplicada ou indevida é identificada imediatamente — antes de você sair da estação.
Configure limite de transação sem autenticação. Muitos bancos permitem definir o valor máximo para transações NFC sem biometria. A tarifa da CPTM está na faixa de R$ 5 a R$ 6, mas é prudente definir um limite baixo (R$ 10 a R$ 20) para esse tipo de transação.
Use carteira digital com biometria obrigatória. Prefira Apple Pay ou Google Pay configurados para exigir digital ou reconhecimento facial em qualquer valor — mesmo que isso signifique desbloquear o celular antes de cada catraca.
Guarde o extrato do dia do uso. Se você usar NFC em uma terça-feira e perceber uma cobrança estranha na quinta, o extrato do dia exato é o documento central de uma contestação de cobrança indevida.
Leve o Bilhete Único como backup. A tecnologia é nova na escala de 97 estações. Falhas de sistema — como as que ocorreram nas linhas 10 e 11 em abril de 2026 — podem acontecer. Um Bilhete Único com crédito garante que você chegará ao destino mesmo se houver instabilidade nas catracas NFC.
O que fazer se você for cobrado incorretamente
Se houver uma cobrança indevida, o caminho é duplo:
Junto à CPTM: registre ocorrência na bilheteria da estação onde a cobrança ocorreu, exigindo o número do protocolo. Guarde esse número.
Junto ao banco: use o aplicativo do banco para contestar a transação. A contestação de débito NFC segue o mesmo rito de qualquer chargeback: o banco credita provisoriamente o valor enquanto investiga. O prazo legal para resolução é de até 10 dias úteis para débito e 30 dias para crédito, conforme normas do Banco Central.
Para quem precisa de orientação técnica mais detalhada sobre segurança de carteiras digitais, proteção de dados bancários ou resposta a incidentes de cobrança indevida, consultores de TI especializados em segurança da informação podem oferecer uma avaliação personalizada. Leia também sobre como os golpes do PIX evoluíram em 2026 — o mesmo tipo de descuido que expõe usuários a fraudes via PIX pode colocar em risco pagamentos NFC em transporte público.
Para dúvidas sobre seus direitos como passageiro durante falhas de serviço na CPTM, veja o que a inauguração da Linha 17-Ouro mudou nos direitos dos usuários e como esses mesmos princípios se aplicam às demais linhas.
