サービス開始以降、PayPayを経由してクレジットカードが不正利用された報告が相次いだ。PayPayにクレジットカードを登録する際に、セキュリティコードの入力を何度間違えてもロックがかからない仕様となっており、適当な番号で無差別に入力すれば、そのうちクレジットマスターにより他人のクレジットカードが不正登録できてしまうセキュリティの脆弱性が存在する。

このため、PayPayを利用していなくても、クレジットカードを持っている利用者であれば、誰でもPayPayを経由して不正利用されてしまうリスクがある。ただし、PayPayの後の調査によれば、セキュリティコードを20回以上間違えて登録に至った件数は13件、このうち決済の利用があった9件。これらはすべて本人による登録および利用で、いずれも不正利用ではなかったことの確認がとれているという。

• 2018年12月17日、日本放送協会の問い合わせに対してPayPay広報は、この問題は「（セキュリティコードの入力について）現時点でリトライ上限がないのは事実ですが、本日以降速やかに対処する予定です」と回答。セキュリティコードを一定回数以上間違えた場合、ロックがかかってクレジットカードが使用できなくなるよう修正された。
• 2018年12月18日、PayPayアプリに対し「クレジットカード情報を入力する際、入力回数に制限を設ける」アップデートを行ったと発表された。
• 2018年12月21日、更なる暫定処置として「クレジットカードでの決済金額の上限（5万円まで）、Yahoo! JAPANカードからのチャージ金額の上限（5万円まで）」を設定した。
• 2019年1月21日、3Dセキュアによる認証が導入され、認証済みのクレジットカードにおいて、利用上限金額が25万円まで緩和された。

• 2018年12月4日より2019年3月31日までの期間を想定されたキャンペーンは、年末商戦につながらない内での早期終了となった。その内容は、PayPayを使って加盟店で支払いをすると、20%分のPayPayボーナスをバック、さらに40回に1回の確率で、10万円まで全額還元というものである。ただし後のキャッシュバック付与の際は、「架空の取引」「不当な取引や返金によるPayPayボーナス等の詐取」などの、不正な取引を行ったユーザーには、付与取消やアカウント停止のペナルティを与える対策が行われた。