Cartão de crédito clonado: o que fazer e como se proteger
Resposta rápida
Se o seu cartão de crédito foi clonado, bloqueie-o imediatamente pelo aplicativo ou telefone do banco e conteste cada transação não reconhecida pelo canal oficial do emissor — o prazo para chargeback começa a contar na data da fatura. Você tem direito ao estorno garantido pelo Código de Defesa do Consumidor e pelas regras das bandeiras (Visa, Mastercard), desde que aja rapidamente e registre um Boletim de Ocorrência. Nunca pague faturas com cobranças fraudulentas antes de resolver a contestação: pagar equivale a aceitar a cobrança.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Cobranças que você não reconhece aparecem na fatura ou no extrato, especialmente em valores pequenos (os fraudadores testam com micro-transações antes de fazer compras maiores).
- ›Você recebe notificação de compra aprovada em estabelecimento que nunca visitou, frequentemente em outro estado ou país.
- ›O banco recusa uma compra legítima porque o limite foi consumido por transações desconhecidas.
- ›Você recebe SMS ou e-mail de confirmação de cadastro em sites de e-commerce que nunca acessou — sinal de que seus dados podem estar sendo usados para criar contas.
- ›Chegam cobranças de assinaturas (streaming, software, deliveries) que você nunca contratou.
- ›O atendente do banco informa que já existe uma contestação aberta no seu cartão que você não iniciou — indicativo de uso fraudulento simultâneo.
Passo a passo — o que fazer
- 1
1. Bloqueie o cartão agora
Abra o aplicativo do seu banco ou ligue para o número impresso no verso do cartão e solicite o bloqueio imediato. A maioria dos bancos permite bloquear em segundos pelo app, sem precisar falar com um atendente. Peça também o cancelamento e a emissão de um novo cartão com número diferente.
- 2
2. Conteste as transações junto ao emissor
No próprio aplicativo ou internet banking, localize cada cobrança não reconhecida e acione a opção de 'contestação' ou 'disputa de compra'. Anote o número de protocolo de cada contestação. As bandeiras Visa e Mastercard possuem prazos de até 120 dias para abertura de chargeback; consulte o regulamento do seu banco para o prazo específico.
- 3
3. Registre um Boletim de Ocorrência
Acesse a Delegacia Eletrônica do seu estado (a maioria dos estados brasileiros oferece registro de B.O. online) e registre um boletim por 'fraude' ou 'estelionato'. O documento serve de prova para o banco e para a Justiça, caso necessário, e é exigido por alguns emissores para concluir o chargeback.
- 4
4. Troque suas senhas e ative autenticação em dois fatores
Altere a senha do aplicativo do banco, do e-mail principal e de qualquer conta ligada ao cartão (lojas online, assinaturas). Ative a verificação em dois fatores (2FA) em todos esses serviços para dificultar acessos não autorizados.
- 5
5. Avise a Receita Federal e monitore seu CPF
Acesse o portal gov.br e consulte se há empréstimos ou contratos abertos em seu nome. Utilize os serviços gratuitos de consulta de CPF do Serasa e do SPC para verificar se há dívidas fraudulentas. Caso encontre, formalize a disputa diretamente com o bureau de crédito.
- 6
6. Notifique o Bacen se o banco não resolver
Se o banco negar o chargeback de forma injustificada ou não responder no prazo de até 5 dias úteis exigido pela Resolução CMN nº 4.949/2021, registre uma reclamação no Sistema de Atendimento ao Consumidor do Banco Central (www.bcb.gov.br) ou ligue 145. A reclamação formal acelera a resposta do emissor.
- 7
7. Habilite alertas de transação em tempo real
Após receber o novo cartão, ative notificações por SMS e push para cada compra realizada. Defina limites de gasto por transação no aplicativo e desative canais que você não usa, como compras internacionais ou débito automático, até ter certeza de que o ambiente está seguro.
- 8
8. Prefira cartão virtual para compras online
Use o cartão virtual gerado pelo app do banco — ele tem número, data de validade e CVV temporários, válidos para uma única compra ou por tempo limitado. Mesmo que os dados sejam capturados em um site comprometido, o número já terá expirado e será inútil para fraudes futuras.
O que NÃO fazer
- ✕Não pague a fatura com cobranças fraudulentas antes de contestar: o pagamento é interpretado como reconhecimento da dívida e pode dificultar o chargeback.
- ✕Não compartilhe o código de verificação (CVV) ou a senha por telefone, SMS ou WhatsApp com ninguém que afirme ser do banco — bancos nunca pedem essas informações por esses canais.
- ✕Não clique em links de e-mails ou mensagens que avisam sobre 'bloqueio do cartão' ou 'transação suspeita': acesse sempre o site ou app oficial digitando o endereço no navegador.
- ✕Não ignore cobranças pequenas e desconhecidas achando que é 'apenas alguns reais': fraudadores testam limites antes de aplicar golpes maiores.
- ✕Não fotografe o cartão físico mostrando os 16 dígitos, a data de validade e o CVV juntos, nem envie essa foto por aplicativo de mensagens.
Como os criminosos clonam cartões de crédito
O método mais antigo é o skimming: um dispositivo físico instalado em caixas eletrônicos, maquininhas de pagamento ou postos de combustível captura os dados da tarja magnética quando você passa o cartão. Câmeras ocultas ou sobreposições no teclado registram a senha digitada. Embora o chip EMV dificulte cópias físicas, os dados captados ainda permitem fraudes em ambientes 'card not present', como compras online.
O phishing é a rota digital mais comum: um e-mail, SMS (smishing) ou mensagem de WhatsApp imita o banco, a Receita Federal ou uma loja conhecida e direciona a vítima a um site falso onde ela digita número do cartão, validade, CVV e, às vezes, a senha. Páginas falsas chegam a copiar o visual do site legítimo pixel a pixel e usam certificados SSL, então o cadeado no navegador não é garantia de segurança.
Vazamentos de dados (data breaches) em lojas virtuais, restaurantes e serviços de assinatura expõem milhões de números de cartão de uma vez. Esses dados são vendidos em fóruns clandestinos da dark web em pacotes chamados 'dumps' ou 'fullz' (conjunto completo: número, validade, CVV, nome, endereço de cobrança). Uma única base comprometida pode alimentar fraudes por meses.
Malware instalado no computador ou celular da vítima pode interceptar dados digitados em formulários de pagamento (keyloggers) ou capturar screenshots no momento do checkout. Extensões de navegador maliciosas fazem o mesmo de forma silenciosa. Manter o sistema operacional e os aplicativos atualizados elimina a maior parte dessas vulnerabilidades.
Seus direitos legais: CDC, Bacen e chargeback
O artigo 14 do Código de Defesa do Consumidor (Lei nº 8.078/1990) responsabiliza fornecedores de serviços por danos causados por defeitos na prestação, incluindo falhas de segurança. Bancos e emissores de cartão respondem objetivamente — sem necessidade de provar culpa — por transações fraudulentas realizadas sem a participação do titular.
A Resolução CMN nº 4.949/2021 e as normas complementares do Banco Central determinam que instituições financeiras devem ter canais de atendimento funcionais 24 horas para bloqueio de cartões e que contestações devem ser respondidas em prazo razoável. A Resolução BCB nº 6/2020 regula o tratamento de reclamações e impõe obrigações de transparência.
O chargeback é o mecanismo pelo qual a bandeira (Visa, Mastercard, Elo, American Express) pode estornar uma transação ao emissor do cartão do titular lesado e, depois, ao estabelecimento onde a fraude ocorreu. Para acioná-lo, você deve contestar a transação junto ao seu banco dentro do prazo previsto no regulamento — geralmente entre 60 e 120 dias da data da transação. O banco tem obrigação de abrir a disputa; a negativa injustificada pode ser levada ao Procon ou ao Bacen.
Se o banco não resolver a situação em prazo adequado ou negar o chargeback sem justificativa, você pode registrar reclamação no Banco Central pelo portal bcb.gov.br, pelo telefone 145, ou pelo aplicativo gov.br. Também é possível acionar o Procon do seu estado e, em última instância, o Juizado Especial Cível (JEC), onde ações de até 20 salários mínimos não exigem advogado.
Proteja também a sua empresa
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraComo se proteger: cartão virtual, alertas e boas práticas
O cartão virtual é a principal ferramenta de proteção para compras online. Gerado pelo aplicativo do banco com número, validade e CVV únicos e temporários, ele expira após o uso ou após um prazo definido. Mesmo que os dados sejam interceptados, o criminoso não conseguirá utilizá-los em uma segunda transação. Praticamente todos os grandes bancos brasileiros oferecem esse recurso gratuitamente.
Ative alertas de transação por push e SMS para cada compra aprovada ou tentada. Responder a uma cobrança suspeita em segundos permite bloquear o cartão antes que transações maiores sejam realizadas. Configure também limites por transação e por período diretamente no aplicativo — muitos bancos permitem definir valores máximos para compras presenciais, online e internacionais separadamente.
Prefira utilizar a função de aproximação (NFC/contactless) em vez de inserir o cartão físico em maquininhas, especialmente em locais de alto movimento como postos de combustível e estacionamentos, que são alvos frequentes de instalação de skimmers. A tecnologia NFC processa o pagamento de forma criptografada sem transmitir o número real do cartão.
Nunca salve dados de cartão em sites de e-commerce desconhecidos ou de reputação duvidosa. Prefira plataformas que exibem o selo PCI-DSS (Payment Card Industry Data Security Standard) e que utilizam gateways de pagamento reconhecidos, como Stripe, Adyen, Cielo ou PagSeguro, que processam os dados sem que o site do comerciante os armazene diretamente.
O que monitorar nos meses seguintes ao golpe
Após um episódio de clonagem, seus dados possivelmente circulam em bases fraudulentas. Por isso, monitore o extrato do novo cartão com frequência semanal nos primeiros três meses. Configure alertas para qualquer cobrança acima de R$ 1,00 — os fraudadores costumam testar com valores irrisórios antes de aplicar golpes maiores.
Consulte regularmente seu CPF nos bureaus de crédito (Serasa, Boa Vista, SPC Brasil) para identificar dívidas ou consultas não autorizadas. O serviço de 'alerta de consulta' disponível gratuitamente no Serasa avisa por e-mail sempre que alguém pesquisa seu CPF, o que pode indicar uma tentativa de abrir crédito em seu nome.
Verifique se seu endereço de e-mail ou número de telefone foi incluído em vazamentos de dados usando serviços como Have I Been Pwned (haveibeenpwned.com). Caso encontre correspondências, troque as senhas dos serviços afetados e implemente 2FA em todos eles. Um gerenciador de senhas (como Bitwarden ou 1Password) facilita o uso de senhas únicas e complexas para cada serviço.
Se você utiliza o mesmo número de cartão para assinaturas recorrentes, entre em contato com cada serviço e atualize os dados de pagamento com o novo cartão. Aproveite para revisar quais assinaturas ainda fazem sentido e cancelar as que estão sem uso — reduzir a superfície de exposição dos dados do novo cartão é uma medida preventiva eficaz.
Para empresas: vazamento de dados de cartões de clientes e PCI-DSS
Quando o problema não é o cartão do consumidor individual, mas o sistema da empresa que o armazena, o cenário é muito mais grave. Empresas que processam, armazenam ou transmitem dados de cartões de crédito devem cumprir o PCI-DSS (Payment Card Industry Data Security Standard), um conjunto de 12 requisitos de segurança estabelecidos pelas principais bandeiras do mercado. O não cumprimento sujeita a empresa a multas pesadas das bandeiras, perda do direito de aceitar pagamentos com cartão e responsabilização civil pelas perdas dos titulares afetados.
No e-commerce brasileiro, fraudes com cartões clonados representam uma das principais causas de chargeback. O estabelecimento que aprova uma transação fraudulenta geralmente arca com o custo total do estorno, além de taxas adicionais das bandeiras. Sistemas antifraude inadequados, integração com gateways que não tokenizam os dados e ausência de autenticação 3DS (3D Secure) aumentam substancialmente o índice de fraude e, consequentemente, o risco de perda de credenciamento.
Uma violação de dados de cartões não é apenas uma questão financeira: a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) exige a notificação à ANPD e aos titulares afetados em até 72 horas após a ciência do incidente, quando o vazamento puder causar risco ou dano relevante. A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
A Decripte atua exclusivamente com empresas — de 1 a mais de 100 mil colaboradores — que precisam estruturar ou fortalecer sua postura de cibersegurança e resposta a incidentes. Se sua empresa processa pagamentos com cartão e quer entender se está vulnerável a fraudes e violações de dados, comece pelo plano gratuito de Gestão de Ameaças ou conheça os planos completos em decripte.com.br/planos — a plataforma entrega um diagnóstico real do seu ambiente de segurança, não um relatório genérico.
Termos importantes
- Chargeback
- Processo formal de reversão de uma transação com cartão de crédito ou débito, iniciado pelo titular junto ao emissor do cartão após identificar uma cobrança indevida ou fraudulenta. O valor é estornado ao titular e, após análise, pode ser debitado do estabelecimento onde a transação ocorreu.
- Skimming
- Técnica de fraude que utiliza dispositivos físicos (skimmers) instalados discretamente em caixas eletrônicos, maquininhas de pagamento ou leitores de cartão para capturar os dados armazenados na tarja magnética. Os dados coletados são usados para criar cópias do cartão ou realizar transações online.
- PCI-DSS
- Payment Card Industry Data Security Standard — conjunto de 12 requisitos de segurança da informação criado pelas principais bandeiras de cartão (Visa, Mastercard, Elo, American Express, Discover) para empresas que processam, armazenam ou transmitem dados de portadores de cartão. O não cumprimento pode resultar em multas, auditorias obrigatórias e perda do direito de aceitar pagamentos com cartão.
- Cartão virtual
- Número de cartão temporário gerado pelo aplicativo do banco, com validade e CVV exclusivos, destinado a compras online. Após o uso ou decorrido o prazo de validade configurado, o número expira e não pode ser reutilizado, eliminando o risco de fraudes decorrentes de captura dos dados em sites comprometidos.
Perguntas frequentes
Cartão clonado: o banco é obrigado a devolver o dinheiro?
Sim. O banco responde objetivamente por falhas de segurança que permitam transações fraudulentas, conforme o artigo 14 do CDC. Após a contestação formal, o emissor deve realizar o estorno ou apresentar justificativa técnica para a negativa. Se negar de forma injustificada, o consumidor pode acionar o Banco Central (telefone 145 ou bcb.gov.br) e o Procon.
Qual o prazo para contestar uma compra não reconhecida?
O prazo varia conforme o banco e a bandeira, mas geralmente é de 60 a 120 dias contados da data da transação. Consulte as condições gerais do seu cartão ou entre em contato com o emissor para confirmar o prazo exato. Quanto mais cedo você contestar, maiores são as chances de sucesso no chargeback.
Preciso pagar a fatura mesmo com cobranças fraudulentas?
Não pague as cobranças que está contestando antes de a disputa ser resolvida, pois o pagamento pode ser interpretado como reconhecimento da dívida. Pague apenas os valores que você efetivamente reconhece como seus. Confirme esse procedimento diretamente com o seu banco, pois alguns emissores pedem o pagamento parcial para evitar juros sobre o valor não disputado.
O que é chargeback e como funciona?
Chargeback é o processo pelo qual uma transação com cartão é estornada após contestação do titular. Quando você contesta uma compra, o banco notifica a bandeira (Visa, Mastercard, Elo etc.), que por sua vez notifica o banco do estabelecimento. Se a fraude for confirmada, o valor é devolvido ao titular e descontado do lojista. O processo pode levar de 30 a 90 dias, dependendo da bandeira e do emissor.
Cartão com chip pode ser clonado?
O chip EMV dificulta a clonagem física — é praticamente impossível duplicar o chip para uso em terminais físicos. Entretanto, dados como número, validade e CVV ainda podem ser roubados por phishing, malware ou vazamentos de dados e usados em compras online, onde o chip não é exigido. Por isso, o cartão virtual com número temporário é a melhor proteção para compras na internet.
Como saber se meus dados de cartão estão na dark web?
Você pode verificar se seu e-mail está associado a vazamentos conhecidos no site haveibeenpwned.com, que é gratuito e confiável. Alguns bancos e emissoras de cartão também oferecem serviços de monitoramento de dados na dark web incluídos nos planos premium. Se seu e-mail aparecer em um vazamento, troque imediatamente as senhas dos serviços afetados e fique atento ao extrato do cartão associado a essas contas.
Devo registrar boletim de ocorrência mesmo se o banco já está resolvendo?
Sim. O Boletim de Ocorrência é um documento formal que comprova que você é vítima de uma fraude, protege você de eventuais cobranças futuras relacionadas ao mesmo episódio e pode ser exigido pelo banco ou pelas bandeiras para concluir o processo de chargeback. O registro pode ser feito online na Delegacia Eletrônica do seu estado em menos de 15 minutos.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.