Segundo o site Tecnoblog, o Banco Central obriga a todos os participantes do Pix sanitizar e apenas admitir tags HTML seguras no campo de anotações. O campo, no entanto, pode ser usado como vetor de ataque para campanhas de phishing com links clicáveis, levando usuários do Pix a potenciais sites maliciosos.
