Conta bancária ou app do banco invadido: o que fazer agora
Resposta rápida
Se sua conta ou app do banco foi invadido, aja em minutos: ligue para a central do banco e bloqueie acesso e cartões, troque a senha por outro dispositivo e revogue aparelhos autorizados. Para Pix fraudulento, peça o MED (Mecanismo Especial de Devolução) em até 80 dias. Conteste as transações por escrito, registre boletim de ocorrência e guarde todos os protocolos.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Avisos de login, troca de senha ou novo dispositivo autorizado que você não reconhece.
- ›Pix, TED ou pagamentos saindo da conta sem sua autorização, muitas vezes em valores fracionados.
- ›Limite de crédito, empréstimo pré-aprovado ou cartão contratados em seu nome sem solicitação.
- ›App do banco que para de abrir, pede recadastro inesperado ou exige reinstalação fora do horário comum.
- ›Mudança de e-mail, telefone ou chave Pix cadastrados, e e-mails de confirmação que você não pediu.
- ›Contatos recebendo mensagens suas pedindo dinheiro ou códigos de verificação.
Passo a passo — o que fazer
- 1
1. Bloqueie o acesso pela central oficial
Ligue para o telefone que está no verso do cartão ou no site oficial do banco e peça o bloqueio imediato do acesso ao internet banking, ao app e aos cartões. Não use links de SMS ou WhatsApp para isso. Anote o número de protocolo de cada solicitação.
- 2
2. Troque a senha por um dispositivo confiável
Use outro aparelho que você confia, de preferência em rede móvel, para trocar a senha de acesso e a senha de transações. Se o golpista pode estar com seu e-mail, troque também a senha do e-mail e do número de telefone associados à conta.
- 3
3. Revogue dispositivos e tokens autorizados
No app ou internet banking, abra a área de segurança e remova todos os dispositivos autorizados, sessões abertas e tokens que você não reconhece. Muitos golpes mantêm um aparelho do criminoso autorizado mesmo depois da troca de senha.
- 4
4. Acione o MED para Pix fraudulento
Se houve Pix sem sua autorização ou por golpe, peça ao seu banco a abertura do MED (Mecanismo Especial de Devolução), previsto na Resolução BCB nº 403. O pedido deve ser feito em até 80 dias da transação; o banco do recebedor tem prazo para analisar e, havendo saldo, devolver os valores.
- 5
5. Conteste todas as transações por escrito
Liste cada operação não reconhecida (Pix, TED, débitos, compras e contratações) e formalize a contestação pelos canais oficiais do banco, de preferência por escrito ou registrando protocolo. Peça o estorno e o cancelamento de qualquer crédito ou empréstimo aberto em seu nome.
- 6
6. Registre boletim de ocorrência
Faça o boletim de ocorrência, presencial ou pela delegacia eletrônica do seu estado, descrevendo datas, valores e o que foi acessado. O BO é prova importante para a contestação bancária, para eventual ação judicial e para limpar seu nome em caso de fraude com crédito.
- 7
7. Verifique CPF, cadastros e crédito
Consulte o Registrato do Banco Central para ver contas e empréstimos vinculados ao seu CPF, e os birôs de crédito para identificar dívidas ou consultas indevidas. Avise o banco sobre qualquer contrato fraudulento e formalize o pedido de cancelamento.
- 8
8. Limpe o dispositivo e preserve evidências
Se suspeita de aplicativo falso ou acesso remoto, faça print de avisos e mensagens antes de apagar nada, depois remova apps desconhecidos e considere restaurar o aparelho. Reinstale o app do banco apenas pela loja oficial e ative a verificação em duas etapas.
O que NÃO fazer
- ✕Não atenda ligações pedindo para você instalar app, digitar senha ou ler código de segurança: bancos não pedem isso.
- ✕Não clique em links de SMS, e-mail ou WhatsApp sobre o problema; acesse o banco apenas digitando o endereço oficial.
- ✕Não autorize nenhum dispositivo, token ou biometria a pedido de terceiros, mesmo que digam ser do banco.
- ✕Não apague mensagens, e-mails ou comprovantes antes de registrar; eles são prova para a contestação.
- ✕Não negocie a devolução diretamente com o golpista nem faça novos pagamentos para tentar reverter a fraude.
Como criminosos assumem o controle da conta
A maioria das invasões de conta não quebra a criptografia do banco: ela engana o usuário ou o aparelho. Os caminhos mais comuns são phishing (páginas e mensagens que imitam o banco), engenharia social por telefone (o falso funcionário que pede códigos) e malware bancário em apps falsos baixados fora das lojas oficiais.
Um vetor que cresceu é o do dispositivo autorizado pelo golpista. Sob pressão, a vítima confirma uma autorização de novo aparelho ou lê um código de verificação. A partir daí o criminoso opera como se fosse o titular, e a simples troca de senha não basta: é preciso revogar o dispositivo na área de segurança do app.
O CERT.br, ligado ao Comitê Gestor da Internet no Brasil, registra fraude e phishing entre os incidentes mais reportados no país. Entender o vetor ajuda a fechar a porta certa: se foi código entregue por telefone, o problema é o canal de autorização; se foi app falso, o foco é limpar o dispositivo.
MED, contestação e seus direitos
Para o Pix, o Banco Central criou o MED (Mecanismo Especial de Devolução), regulado pela Resolução BCB nº 403. Ele permite que, diante de fundada suspeita de fraude, o banco do pagador acione o banco do recebedor para tentar bloquear e devolver os valores. O pedido deve ser feito em até 80 dias da transação, e a devolução depende de haver saldo disponível na conta de destino.
O MED não é garantia automática de ressarcimento, mas é o caminho formal e deve ser solicitado o quanto antes, porque o golpista costuma esvaziar a conta rapidamente. Para débitos, TEDs e compras no cartão, a contestação segue as regras do contrato e do Código de Defesa do Consumidor, com pedido de estorno das operações não reconhecidas.
Guarde tudo: protocolos de bloqueio, número do MED, BO, prints e e-mails. Se o banco negar o ressarcimento de operação que você não reconhece, esse conjunto de provas sustenta reclamação no próprio banco, no Banco Central, em órgãos de defesa do consumidor e, se necessário, na Justiça. A clareza dos registros costuma decidir o caso.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraReduza o estrago e evite a próxima invasão
Depois de conter a fraude, fortaleça as defesas. Ative a verificação em duas etapas em banco, e-mail e redes; use senhas longas e diferentes, guardadas em um gerenciador; e mantenha o celular com bloqueio de tela forte, já que o aparelho costuma ser a chave de tudo.
Configure limites e alertas no app: tetos de Pix por período, notificações de cada transação e revisão periódica dos dispositivos autorizados e das chaves Pix cadastradas. Baixe apps apenas pelas lojas oficiais e desconfie de qualquer contato que crie urgência para você autorizar algo agora.
Trate o e-mail como conta crítica. Quem controla seu e-mail consegue redefinir senhas e interceptar códigos. Protegê-lo com 2FA e revisar acessos suspeitos é uma das medidas de maior impacto contra o sequestro de contas bancárias.
Quando a conta é da empresa: o risco PJ
Os mesmos vetores que atingem a pessoa física são usados contra contas corporativas (PJ), e ali o impacto é maior. Numa conta empresarial há limites de Pix e TED elevados, folha de pagamento, fornecedores e, muitas vezes, mais de uma pessoa com acesso, o que multiplica as portas de entrada e o valor que um golpe pode movimentar.
A fraude no financeiro corporativo costuma combinar engenharia social com comprometimento de e-mail: o criminoso estuda a rotina da empresa, intercepta uma cobrança e troca os dados bancários do boleto ou do Pix. Sem segregação de funções, dupla aprovação para pagamentos e monitoramento de credenciais vazadas, a transferência sai sem que ninguém estranhe.
Por isso a proteção PJ não pode depender só do esforço individual de cada colaborador. Ela exige controles de processo (alçadas e dupla checagem em pagamentos), higiene de acessos (2FA, revogação de dispositivos, contas separadas por função) e visibilidade contínua sobre ameaças que miram a marca e os funcionários da empresa.
Como a Decripte protege empresas contra fraude financeira
A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de 1 a mais de 100.000 colaboradores. O foco é dar a equipes de TI, segurança e finanças a visibilidade que falta para impedir que um golpe de phishing ou um vazamento de credencial vire fraude na conta corporativa.
Nossa Gestão de Ameaças monitora exposição da empresa, domínios e perfis falsos usados em golpes, e credenciais vazadas que abrem caminho para o acesso indevido a sistemas e contas. Esse monitoramento ajuda a detectar a campanha de fraude antes que ela alcance o financeiro.
Há um plano gratuito de Gestão de Ameaças para você começar a enxergar os riscos sem custo inicial. Se a fraude já aconteceu, priorize os passos de contenção deste artigo; em paralelo, estruturar o monitoramento contínuo reduz a chance de que o próximo golpe tenha sucesso.
Termos importantes
- MED (Mecanismo Especial de Devolução)
- Procedimento do Pix, previsto na Resolução BCB nº 403, que permite ao banco do pagador solicitar ao banco do recebedor o bloqueio e a devolução de valores em casos de fraude ou falha operacional. O pedido deve ser feito em até 80 dias e a devolução depende de saldo na conta de destino.
- Dispositivo autorizado
- Aparelho registrado no app do banco como confiável para fazer login e aprovar transações. Em golpes de engenharia social, a vítima autoriza sem perceber o aparelho do criminoso; por isso, revogar dispositivos é tão importante quanto trocar a senha.
- Phishing
- Fraude em que mensagens, sites ou ligações imitam instituições legítimas para roubar senhas, códigos e dados. É um dos vetores mais comuns de invasão de contas bancárias, segundo o CERT.br.
- Registrato
- Sistema de Registro de Informações do Banco Central que permite ao cidadão consultar gratuitamente contas, empréstimos e relacionamentos vinculados ao seu CPF ou CNPJ, útil para identificar contratos abertos por fraude.
Perguntas frequentes
O banco é obrigado a devolver o dinheiro de uma conta invadida?
Depende do caso. Em transações não autorizadas por falha de segurança, o banco costuma ser responsabilizado com base no Código de Defesa do Consumidor. Em golpes em que a vítima foi induzida a autorizar, a devolução pode ser disputada. Por isso, conteste por escrito, registre BO e guarde provas; se houver negativa, leve ao Banco Central, à defesa do consumidor ou à Justiça.
Qual o prazo para pedir o MED do Pix?
O pedido do MED deve ser feito ao seu banco em até 80 dias da transação, conforme a Resolução BCB nº 403. Quanto antes melhor, porque o golpista tende a esvaziar a conta de destino rapidamente e a devolução depende de haver saldo disponível.
Troquei a senha, mas continuam saindo transações. Por quê?
Provavelmente há um dispositivo do golpista ainda autorizado, ou ele controla seu e-mail ou número de telefone. Entre na área de segurança do app, revogue todos os dispositivos e sessões que não reconhece, troque a senha do e-mail associado e, se necessário, peça novo bloqueio total ao banco.
Preciso registrar boletim de ocorrência?
Sim, é altamente recomendável. O BO documenta a fraude, serve de prova para a contestação bancária e para limpar seu nome caso tenham aberto crédito em seu CPF. A maioria dos estados permite registrar pela delegacia eletrônica, sem ir presencialmente.
Abriram empréstimo ou cartão no meu nome. O que faço?
Conteste formalmente cada contrato com o banco, peça o cancelamento e o estorno, e registre no BO. Consulte o Registrato do Banco Central e os birôs de crédito para mapear todos os contratos e dívidas indevidos, e acompanhe até a baixa de cada um.
Como sei se o app do meu banco é falso?
Baixe apps apenas pelas lojas oficiais e confira o desenvolvedor e a quantidade de avaliações. Desconfie de apps enviados por link, que pedem permissões excessivas (como acessibilidade ou controle da tela) ou que solicitam recadastro fora do fluxo normal. Na dúvida, desinstale e reinstale pela loja oficial.
A conta invadida é da minha empresa. Muda alguma coisa?
Os passos de contenção são os mesmos, mas o risco é maior por causa dos limites elevados e do acesso de várias pessoas. Além de bloquear e contestar, revise alçadas de pagamento, exija dupla aprovação, troque credenciais compartilhadas e investigue se houve comprometimento de e-mail corporativo usado em cobranças.
Como a Decripte ajuda a evitar fraude em contas corporativas?
A Decripte é uma empresa de cibersegurança B2B que monitora a exposição da sua organização: credenciais vazadas, domínios e perfis falsos usados em golpes e ameaças direcionadas a colaboradores. Há um plano gratuito de Gestão de Ameaças para começar a enxergar esses riscos antes que virem fraude no financeiro.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
