Pular para o conteúdo
Usuário consultando o CVV dinâmico do cartão virtual no aplicativo do Mercado Pago em um smartphone, com foco na segurança online.
Voltar para o Blog
Negócios

CVV dinâmico do Mercado Pago: o fim do código fixo e o que muda para você (e para quem vende online)

Golber Dória
14 min de leitura
Atualizado em
Ouça este artigo

CVV dinâmico do Mercado Pago: o fim do código fixo e o que muda para você (e para quem vende online)

0:000:00

O Mercado Pago lançou o CVV dinâmico para seu cartão virtual, que se renova a cada 15 minutos. Isso aumenta a segurança contra fraudes, tornando códigos roubados inúteis rapidamente, com impacto mínimo para o usuário.

O Mercado Pago vai aposentar o código de segurança fixo do seu cartão virtual e trocá-lo por um CVV que se renova sozinho a cada 15 minutos. Parece um detalhe de três dígitos, mas ataca a raiz de um golpe que custa bilhões por ano ao brasileiro.

Na prática, muda pouco no seu dia a dia e muito na sua proteção. Você continua consultando o CVV no aplicativo, na área do cartão, como sempre fez. A diferença é que, passados os 15 minutos, aquele código expira e um novo é gerado automaticamente. Se um site salvar seus dados ou um vazamento entregar número, validade e CVV a um criminoso, o código roubado vira lixo digital em minutos.

Simples de entender e resolve um problema real. Mas tem camadas técnicas e efeitos colaterais que quase nenhum texto sobre o assunto está explicando, e é aí que este post vai.

O CVV sempre foi o elo mais frágil do cartão

Todo mundo já digitou aqueles três dígitos em algum checkout. O CVV, sigla para Card Verification Value, é o código que autoriza compras em que o cartão não é passado numa maquininha. Nos cartões Visa e Mastercard, fica no verso, com três dígitos. Nos American Express, são quatro, na frente. Nos cartões virtuais, ele vive dentro do app.

A lógica dele é a de uma prova de posse. O número do cartão e a validade circulam bastante: aparecem em comprovantes, ficam em cadastros de lojas, passam por vários sistemas. O CVV foi criado para ser o dado que, teoricamente, só está com quem tem o cartão em mãos.

O problema é que essa lógica tem um furo de nascença. No modelo tradicional, o CVV é fixo. Ele nunca muda durante toda a vida do cartão.

Um segredo que nunca muda, uma vez descoberto, deixa de ser segredo para sempre.

Basta o código vazar uma vez, num site mal protegido, num golpe de phishing, numa base de dados invadida, para que ele possa ser reutilizado quantas vezes o fraudador quiser, até você perceber e bloquear o cartão. Foi para tapar exatamente esse furo que o CVV dinâmico foi inventado.

O inimigo tem nome: fraude de cartão não presente

Para entender por que isso importa tanto, você precisa conhecer a categoria de golpe que o CVV dinâmico ataca: a fraude CNP, de card not present, ou cartão não presente.

Fraude de cartão presente é a clonagem clássica, aquela em que o golpista copia a tarja ou o chip para usar numa maquininha. Com a adoção de chip, senha e aproximação, esse tipo de fraude caiu muito. O crime, então, migrou para onde ficou mais fácil: a internet.

Na fraude CNP, o criminoso não precisa do plástico. Ele precisa só dos dados: número, validade e CVV. Com esses três campos, faz compras online, assina serviços e gera prejuízo, tudo sem nunca tocar no seu cartão.

E o Brasil é um alvo gordo. Segundo a Federação Brasileira de Bancos, a Febraban, cerca de 36% dos brasileiros foram vítimas de algum tipo de fraude em 2024, com prejuízos que passaram de dez bilhões de reais. Quanto mais o país adota compras online, assinaturas e carteiras digitais, maior a superfície de ataque.

O CVV fixo é combustível para a fraude CNP. O dinâmico corta esse combustível.

O que muda no Mercado Pago, exatamente

O anúncio enviado aos usuários descreve uma mudança direta. O CVV do cartão virtual, hoje fixo, passa a ser dinâmico. A cada 15 minutos, o sistema gera um novo código e invalida o anterior.

O fluxo para você, na hora de comprar, fica assim:

  1. Abra o app do Mercado Pago e vá até a área de cartões.
  2. Consulte o CVV atual do cartão virtual, do mesmo jeito que já vê número e validade.
  3. Use esse código no checkout da loja, dentro da janela de validade.
  4. Passados os 15 minutos, aquele código morre e um novo nasce, automaticamente.

O pulo do gato de segurança está na consequência: como o código muda de tempos em tempos, um site não consegue mais salvar o CVV para reutilizá-lo depois. Cada compra passa a exigir uma validação nova e recente, o que devolve a você o controle sobre onde e quando o seu crédito é usado.

Vale a nota prática do próprio comunicado: fique de olho nas notificações do app, porque a funcionalidade chega de forma gradual às contas, não de uma vez para todo mundo.

Como um CVV dinâmico funciona por baixo do capô

Aqui a maioria dos textos para. Vamos além, porque a engenharia é elegante e ajuda a entender os limites da tecnologia.

A analogia com a autenticação de dois fatores

A melhor analogia é aquela que você já usa todo dia. Sabe os códigos de seis dígitos que o app do seu banco ou o autenticador geram e trocam a cada 30 segundos? O CVV dinâmico é a mesma família de solução, conhecida como senha de uso único baseada em tempo.

O princípio é o seguinte. Existe uma chave secreta compartilhada entre duas pontas, o emissor do cartão e o sistema que valida a transação. Essa chave nunca trafega pela internet. Combinando a chave com o horário atual, um algoritmo gera um código curto, no caso do CVV, de três dígitos.

Como as duas pontas conhecem a chave e olham para o mesmo relógio, ambas calculam o mesmo código de forma independente, sem se comunicar. Quando o relógio avança para a próxima janela, um novo código é calculado dos dois lados, e o anterior deixa de bater.

// Conceito: o CVV dinâmico é um código de uso único baseado em tempo
const janela = Math.floor(Date.now() / (15 * 60 * 1000)); // muda a cada 15 min
const cvv = derivar(chaveSecreta, janela).slice(0, 3);     // 3 dígitos, calculado na hora

É por isso que o código roubado expira: ele estava amarrado a uma janela de tempo que já passou. E é por isso que não existe uma tabela de CVVs para vazar: os códigos não estão guardados em lugar nenhum, são calculados na hora.

Tokenização, o irmão silencioso

Tem uma peça que anda de mãos dadas com o CVV dinâmico: a tokenização. Tokenizar é substituir o dado sensível de verdade, o número real do cartão, por um substituto, o token, que só faz sentido dentro de um contexto específico.

Nos cartões virtuais modernos, o número que você usa não precisa ser o número real da sua conta de crédito. É um número gerado digitalmente, que aponta para a sua conta por baixo, mas que pode ser bloqueado, trocado ou descartado sem afetar o cartão principal.

Junte as duas coisas, tokenização mais CVV dinâmico, e o resultado é um cartão em que praticamente nenhum dado exposto é permanente nem reutilizável. O número é um token, o código é temporário.

A janela de tempo é uma decisão de produto

Diferentes emissores escolhem janelas diferentes, e isso revela uma escolha entre segurança e conforto. Janela curta significa mais proteção e mais atrito. Janela longa significa mais conveniência e uma brecha de tempo maior.

  • Mercado Pago: 15 minutos, um meio-termo pensado para não atrapalhar a compra.
  • Provedores como a Pomelo: validade padrão de 2 minutos, ajustável por estratégia.
  • Pilotos com cartão físico: troca a cada 60 minutos, em alguns casos após cada transação.

Duas escolas de implementação

O CVV dinâmico não é invenção brasileira nem de 2026. O que muda agora é como e para quem ele chega. Existem duas escolas, e vale conhecer as duas.

A escola do hardware

Nessa abordagem, o cartão físico ganha uma pequena tela de tinta eletrônica, do mesmo tipo dos leitores de livro digital, que exibe o CVV e o atualiza sozinha. A tecnologia mais conhecida apareceu ainda em 2016, com o Motion Code da Idemia, adotada por bancos europeus e testada nos Estados Unidos com a Visa.

No Brasil, uma multinacional de identificação segura firmou parceria com uma fintech americana para trazer cartões físicos com CVV dinâmico. É bonito, mas caro de produzir e logisticamente complicado, porque exige fabricar e distribuir um plástico especial.

A escola do software

Aqui não existe telinha nem plástico especial. O CVV dinâmico vive no aplicativo, associado ao cartão virtual. É essa a abordagem que o Mercado Pago está usando, e a que virou notícia.

Provedores como a Pomelo já oferecem isso como serviço nativo, integrado às APIs de emissão e processamento, com o CVV configurável para trocar por dia, por compra ou por janela de tempo.

Aspecto Cartão com telinha (hardware) Cartão no app (software)
Onde o código vive Tela de tinta eletrônica no plástico Aplicativo do banco ou carteira
Custo de operação Alto, exige fabricar plástico especial Baixo, é puro software
Atualização Depende do hardware e da logística Instantânea e remota
Melhor cenário Quem quer manter o cartão físico Cartão nativo digital, dentro de um super app

Faz todo sentido estratégico. Um cartão que nasce virtual, dentro de um super app financeiro, é o terreno perfeito para essa tecnologia, porque o app já é o canal de consulta, já tem biometria e já tem notificação.

Por que o CVV dinâmico sozinho não é bala de prata

Um bom texto técnico não vende milagre. O CVV dinâmico é uma camada excelente, mas é uma camada. Ele funciona melhor dentro de um ecossistema com outras três peças.

  • Tokenização: garante que o número em circulação não seja o número real do cartão.
  • 3-D Secure: o passo extra de autenticação em que você confirma a compra por senha ou biometria. O CVV dinâmico prova posse recente, o 3DS prova que é você mesmo autorizando.
  • Biometria e alertas: digital, reconhecimento facial e notificação em tempo real de cada gasto fecham o cerco pelo lado do acesso à conta.

O que o CVV dinâmico não resolve são golpes que não dependem de reutilizar dados vazados. Se um criminoso te convence, por engenharia social, a informar um código válido naquele exato momento, nenhum CVV dinâmico impede.

A tecnologia protege contra a reutilização de dados, não contra a sua própria mão sendo enganada.

Por isso a regra de ouro não muda: nunca informe CVV, senha ou código por telefone, e-mail ou mensagem, e desconfie sempre de urgência e de links.

O ponto cego do debate: o que muda para quem vende online

Essa é a seção que quase nenhum texto traz, e a que mais interessa se você tem um e-commerce, uma assinatura ou constrói checkout. Como quem trabalha integrando meios de pagamento, eu vejo no anúncio duas mensagens ao mesmo tempo: uma para o consumidor e outra, implícita, para o mercado.

Guardar CVV nunca foi permitido

A frase "os sites não poderão salvar os dados de segurança" descreve um comportamento que, na teoria, já é proibido. As regras da indústria de cartões, o padrão PCI DSS, proíbem que lojas armazenem o CVV depois de autorizar a transação.

O CVV dinâmico não está apenas adicionando um recurso, está forçando na prática uma regra que muita gente descumpria. Quem construiu checkout guardando CVV, coisa que nunca deveria ter feito, vai simplesmente parar de funcionar. E isso é ótimo.

Assinaturas legítimas não quebram

Aquele receio natural, "se o CVV muda a cada 15 minutos, como a Netflix cobra minha mensalidade no mês que vem?", tem resposta técnica tranquilizadora.

Cobranças recorrentes, no jargão as transações iniciadas pelo lojista, em geral não reenviam o CVV a cada cobrança. O código é exigido no cadastro inicial. Depois, o lojista opera com credenciais salvas de forma segura e com tokens de rede, não com o seu CVV guardado.

// Errado: guardar o CVV para cobrar depois (proibido pelo PCI DSS)
await db.cards.save({ number, expiry, cvv }); // nunca faça isso

// Certo: tokenizar e cobrar a recorrência com a credencial salva
const token = await psp.tokenize({ number, expiry, cvv }); // CVV usado só agora
await db.cards.save({ token });                            // guarda o token, não o dado sensível
await psp.charge({ token, amount, type: "recurring" });    // cobranças futuras sem CVV

A leitura estratégica para quem desenvolve

O futuro do checkout no Brasil é tokenizado e autenticado, não baseado em guardar dado sensível do cliente. Se você constrói produtos de pagamento, o caminho é abraçar tokenização de rede, 3DS bem implementado e recorrência via credencial salva.

O movimento do Mercado Pago é um empurrão de mercado nessa direção. Quem estiver do lado certo dessa linha ganha, quem construiu gambiarra vai ter retrabalho.

Vantagens e limitações, sem enrolação

Para fechar a análise, os dois pratos da balança lado a lado.

Vantagens Limitações
Aposenta a fraude por reutilização de dados vazados no cartão virtual Pequeno atrito: abrir o app e consultar o código na hora da compra
Reduz o valor dos seus dados para criminosos, já que o CVV apodrece em minutos Dependência do celular e do app funcionando
Devolve controle e transparência, com validação recente a cada compra Não protege contra engenharia social, só contra vazamento e reuso
Sem custo extra e sem plástico novo, porque é software Atrapalha o preenchimento automático e o hábito de cartão salvo

Nenhuma dessas limitações chega perto de anular o ganho, mas é bom saber que existem.

O quadro maior: para onde vai a segurança de pagamentos no Brasil

Dá para enxergar esse anúncio como um recurso isolado de um super app, mas ele é mais interessante lido como sintoma de uma direção. O Brasil construiu, em poucos anos, uma das infraestruturas de pagamento mais avançadas do mundo, com o PIX no centro e fintechs empurrando inovação num ritmo que bancos tradicionais têm dificuldade de acompanhar.

Nesse cenário, segurança deixou de ser item de compliance escondido no rodapé e virou diferencial competitivo visível. Quando uma empresa transforma "o seu CVV agora é dinâmico" em comunicado de marketing para a base inteira, ela está dizendo que segurança vende.

Segurança virou vitrine, e a régua da proteção está subindo para todo o mercado.

A tendência é que o cartão como conhecemos, número fixo, validade e código gravado, continue perdendo relevância para o cartão nativo digital, tokenizado, com credenciais temporárias, vivendo dentro de um app com biometria e autenticação forte. O plástico vira detalhe. A conta digital vira o cofre.

Quem constrói tecnologia financeira deveria olhar isso com atenção. O que era diferencial há dois anos vira requisito básico hoje.

Perguntas frequentes

O que é o CVV dinâmico do Mercado Pago?

É o código de segurança do cartão virtual que, em vez de fixo, passa a ser atualizado automaticamente a cada 15 minutos. Você consulta o código atual no aplicativo, e o anterior perde a validade.

Preciso fazer algo para ativar?

Não. A funcionalidade chega de forma gradual às contas. O recomendado é acompanhar as notificações do aplicativo para saber quando ela estiver ativa na sua conta.

O CVV dinâmico vai quebrar minhas assinaturas, como Netflix e Spotify?

Não, se estiverem configuradas corretamente. Cobranças recorrentes em geral não reenviam o CVV a cada mês. O código só é exigido no cadastro inicial. Depois, o lojista opera com credenciais salvas e tokens, não com o seu CVV.

O CVV dinâmico me protege de qualquer golpe?

Não de qualquer um. Ele é muito eficaz contra fraudes que dependem de reutilizar dados vazados ou salvos, porque o código expira. Ele não protege contra engenharia social, quando você é enganado a informar um código válido. Nunca compartilhe códigos por telefone, e-mail ou mensagem.

Essa tecnologia é nova?

O conceito não. Cartões com CVV dinâmico existem desde a década passada, alguns com telinha no próprio plástico. A novidade é o modelo totalmente digital, dentro do app, chegando ao grande público brasileiro por meio de um super app financeiro.

O código dinâmico funciona como a autenticação de dois fatores?

Sim, é a mesma família de tecnologia. Uma chave secreta combinada com o horário atual gera um código temporário que as duas pontas conseguem calcular sem trocar o segredo pela rede. Quando a janela de tempo passa, o código muda.

Conclusão

O CVV dinâmico é uma daquelas mudanças que parecem pequenas, três dígitos que agora se renovam, mas que atacam a raiz de um problema que custa bilhões por ano ao brasileiro. Ao transformar o código de um segredo permanente em um segredo de prazo curtíssimo, o Mercado Pago tira valor da fraude por reutilização de dados.

Para você, usuário, a mudança é quase invisível no dia a dia e muito relevante na proteção. Para quem vende online e constrói sistemas de pagamento, o recado é ainda mais direto: o futuro é tokenizado, autenticado e sem armazenar dado sensível, e quem já está nesse caminho sai na frente.

No fim, o mais interessante não é o recurso em si, é o que ele sinaliza. O cartão está deixando de ser plástico para virar credencial digital temporária, e a régua da proteção está subindo para todo o mercado. Bom para você. E, francamente, bom para o Brasil.

Compartilhar

Quer mais conteúdo desse?

Receba toda semana o que escrevo sobre stack, IA aplicada e negócios solo. Zero spam, descadastro num clique.