Segurança Digital · Fraude financeira

Conta bancária ou app do banco invadido: o que fazer agora

Resposta rápida

Se sua conta ou app do banco foi invadido, aja em minutos: ligue para a central do banco e bloqueie acesso e cartões, troque a senha por outro dispositivo e revogue aparelhos autorizados. Para Pix fraudulento, peça o MED (Mecanismo Especial de Devolução) em até 80 dias. Conteste as transações por escrito, registre boletim de ocorrência e guarde todos os protocolos.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Avisos de login, troca de senha ou novo dispositivo autorizado que você não reconhece.
  • Pix, TED ou pagamentos saindo da conta sem sua autorização, muitas vezes em valores fracionados.
  • Limite de crédito, empréstimo pré-aprovado ou cartão contratados em seu nome sem solicitação.
  • App do banco que para de abrir, pede recadastro inesperado ou exige reinstalação fora do horário comum.
  • Mudança de e-mail, telefone ou chave Pix cadastrados, e e-mails de confirmação que você não pediu.
  • Contatos recebendo mensagens suas pedindo dinheiro ou códigos de verificação.

Passo a passo — o que fazer

  1. 1

    1. Bloqueie o acesso pela central oficial

    Ligue para o telefone que está no verso do cartão ou no site oficial do banco e peça o bloqueio imediato do acesso ao internet banking, ao app e aos cartões. Não use links de SMS ou WhatsApp para isso. Anote o número de protocolo de cada solicitação.

  2. 2

    2. Troque a senha por um dispositivo confiável

    Use outro aparelho que você confia, de preferência em rede móvel, para trocar a senha de acesso e a senha de transações. Se o golpista pode estar com seu e-mail, troque também a senha do e-mail e do número de telefone associados à conta.

  3. 3

    3. Revogue dispositivos e tokens autorizados

    No app ou internet banking, abra a área de segurança e remova todos os dispositivos autorizados, sessões abertas e tokens que você não reconhece. Muitos golpes mantêm um aparelho do criminoso autorizado mesmo depois da troca de senha.

  4. 4

    4. Acione o MED para Pix fraudulento

    Se houve Pix sem sua autorização ou por golpe, peça ao seu banco a abertura do MED (Mecanismo Especial de Devolução), previsto na Resolução BCB nº 403. O pedido deve ser feito em até 80 dias da transação; o banco do recebedor tem prazo para analisar e, havendo saldo, devolver os valores.

  5. 5

    5. Conteste todas as transações por escrito

    Liste cada operação não reconhecida (Pix, TED, débitos, compras e contratações) e formalize a contestação pelos canais oficiais do banco, de preferência por escrito ou registrando protocolo. Peça o estorno e o cancelamento de qualquer crédito ou empréstimo aberto em seu nome.

  6. 6

    6. Registre boletim de ocorrência

    Faça o boletim de ocorrência, presencial ou pela delegacia eletrônica do seu estado, descrevendo datas, valores e o que foi acessado. O BO é prova importante para a contestação bancária, para eventual ação judicial e para limpar seu nome em caso de fraude com crédito.

  7. 7

    7. Verifique CPF, cadastros e crédito

    Consulte o Registrato do Banco Central para ver contas e empréstimos vinculados ao seu CPF, e os birôs de crédito para identificar dívidas ou consultas indevidas. Avise o banco sobre qualquer contrato fraudulento e formalize o pedido de cancelamento.

  8. 8

    8. Limpe o dispositivo e preserve evidências

    Se suspeita de aplicativo falso ou acesso remoto, faça print de avisos e mensagens antes de apagar nada, depois remova apps desconhecidos e considere restaurar o aparelho. Reinstale o app do banco apenas pela loja oficial e ative a verificação em duas etapas.

O que NÃO fazer

  • Não atenda ligações pedindo para você instalar app, digitar senha ou ler código de segurança: bancos não pedem isso.
  • Não clique em links de SMS, e-mail ou WhatsApp sobre o problema; acesse o banco apenas digitando o endereço oficial.
  • Não autorize nenhum dispositivo, token ou biometria a pedido de terceiros, mesmo que digam ser do banco.
  • Não apague mensagens, e-mails ou comprovantes antes de registrar; eles são prova para a contestação.
  • Não negocie a devolução diretamente com o golpista nem faça novos pagamentos para tentar reverter a fraude.

Como criminosos assumem o controle da conta

A maioria das invasões de conta não quebra a criptografia do banco: ela engana o usuário ou o aparelho. Os caminhos mais comuns são phishing (páginas e mensagens que imitam o banco), engenharia social por telefone (o falso funcionário que pede códigos) e malware bancário em apps falsos baixados fora das lojas oficiais.

Um vetor que cresceu é o do dispositivo autorizado pelo golpista. Sob pressão, a vítima confirma uma autorização de novo aparelho ou lê um código de verificação. A partir daí o criminoso opera como se fosse o titular, e a simples troca de senha não basta: é preciso revogar o dispositivo na área de segurança do app.

O CERT.br, ligado ao Comitê Gestor da Internet no Brasil, registra fraude e phishing entre os incidentes mais reportados no país. Entender o vetor ajuda a fechar a porta certa: se foi código entregue por telefone, o problema é o canal de autorização; se foi app falso, o foco é limpar o dispositivo.

MED, contestação e seus direitos

Para o Pix, o Banco Central criou o MED (Mecanismo Especial de Devolução), regulado pela Resolução BCB nº 403. Ele permite que, diante de fundada suspeita de fraude, o banco do pagador acione o banco do recebedor para tentar bloquear e devolver os valores. O pedido deve ser feito em até 80 dias da transação, e a devolução depende de haver saldo disponível na conta de destino.

O MED não é garantia automática de ressarcimento, mas é o caminho formal e deve ser solicitado o quanto antes, porque o golpista costuma esvaziar a conta rapidamente. Para débitos, TEDs e compras no cartão, a contestação segue as regras do contrato e do Código de Defesa do Consumidor, com pedido de estorno das operações não reconhecidas.

Guarde tudo: protocolos de bloqueio, número do MED, BO, prints e e-mails. Se o banco negar o ressarcimento de operação que você não reconhece, esse conjunto de provas sustenta reclamação no próprio banco, no Banco Central, em órgãos de defesa do consumidor e, se necessário, na Justiça. A clareza dos registros costuma decidir o caso.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Reduza o estrago e evite a próxima invasão

Depois de conter a fraude, fortaleça as defesas. Ative a verificação em duas etapas em banco, e-mail e redes; use senhas longas e diferentes, guardadas em um gerenciador; e mantenha o celular com bloqueio de tela forte, já que o aparelho costuma ser a chave de tudo.

Configure limites e alertas no app: tetos de Pix por período, notificações de cada transação e revisão periódica dos dispositivos autorizados e das chaves Pix cadastradas. Baixe apps apenas pelas lojas oficiais e desconfie de qualquer contato que crie urgência para você autorizar algo agora.

Trate o e-mail como conta crítica. Quem controla seu e-mail consegue redefinir senhas e interceptar códigos. Protegê-lo com 2FA e revisar acessos suspeitos é uma das medidas de maior impacto contra o sequestro de contas bancárias.

Quando a conta é da empresa: o risco PJ

Os mesmos vetores que atingem a pessoa física são usados contra contas corporativas (PJ), e ali o impacto é maior. Numa conta empresarial há limites de Pix e TED elevados, folha de pagamento, fornecedores e, muitas vezes, mais de uma pessoa com acesso, o que multiplica as portas de entrada e o valor que um golpe pode movimentar.

A fraude no financeiro corporativo costuma combinar engenharia social com comprometimento de e-mail: o criminoso estuda a rotina da empresa, intercepta uma cobrança e troca os dados bancários do boleto ou do Pix. Sem segregação de funções, dupla aprovação para pagamentos e monitoramento de credenciais vazadas, a transferência sai sem que ninguém estranhe.

Por isso a proteção PJ não pode depender só do esforço individual de cada colaborador. Ela exige controles de processo (alçadas e dupla checagem em pagamentos), higiene de acessos (2FA, revogação de dispositivos, contas separadas por função) e visibilidade contínua sobre ameaças que miram a marca e os funcionários da empresa.

Como a Decripte protege empresas contra fraude financeira

A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de 1 a mais de 100.000 colaboradores. O foco é dar a equipes de TI, segurança e finanças a visibilidade que falta para impedir que um golpe de phishing ou um vazamento de credencial vire fraude na conta corporativa.

Nossa Gestão de Ameaças monitora exposição da empresa, domínios e perfis falsos usados em golpes, e credenciais vazadas que abrem caminho para o acesso indevido a sistemas e contas. Esse monitoramento ajuda a detectar a campanha de fraude antes que ela alcance o financeiro.

Há um plano gratuito de Gestão de Ameaças para você começar a enxergar os riscos sem custo inicial. Se a fraude já aconteceu, priorize os passos de contenção deste artigo; em paralelo, estruturar o monitoramento contínuo reduz a chance de que o próximo golpe tenha sucesso.

Termos importantes

MED (Mecanismo Especial de Devolução)
Procedimento do Pix, previsto na Resolução BCB nº 403, que permite ao banco do pagador solicitar ao banco do recebedor o bloqueio e a devolução de valores em casos de fraude ou falha operacional. O pedido deve ser feito em até 80 dias e a devolução depende de saldo na conta de destino.
Dispositivo autorizado
Aparelho registrado no app do banco como confiável para fazer login e aprovar transações. Em golpes de engenharia social, a vítima autoriza sem perceber o aparelho do criminoso; por isso, revogar dispositivos é tão importante quanto trocar a senha.
Phishing
Fraude em que mensagens, sites ou ligações imitam instituições legítimas para roubar senhas, códigos e dados. É um dos vetores mais comuns de invasão de contas bancárias, segundo o CERT.br.
Registrato
Sistema de Registro de Informações do Banco Central que permite ao cidadão consultar gratuitamente contas, empréstimos e relacionamentos vinculados ao seu CPF ou CNPJ, útil para identificar contratos abertos por fraude.

Perguntas frequentes

O banco é obrigado a devolver o dinheiro de uma conta invadida?

Depende do caso. Em transações não autorizadas por falha de segurança, o banco costuma ser responsabilizado com base no Código de Defesa do Consumidor. Em golpes em que a vítima foi induzida a autorizar, a devolução pode ser disputada. Por isso, conteste por escrito, registre BO e guarde provas; se houver negativa, leve ao Banco Central, à defesa do consumidor ou à Justiça.

Qual o prazo para pedir o MED do Pix?

O pedido do MED deve ser feito ao seu banco em até 80 dias da transação, conforme a Resolução BCB nº 403. Quanto antes melhor, porque o golpista tende a esvaziar a conta de destino rapidamente e a devolução depende de haver saldo disponível.

Troquei a senha, mas continuam saindo transações. Por quê?

Provavelmente há um dispositivo do golpista ainda autorizado, ou ele controla seu e-mail ou número de telefone. Entre na área de segurança do app, revogue todos os dispositivos e sessões que não reconhece, troque a senha do e-mail associado e, se necessário, peça novo bloqueio total ao banco.

Preciso registrar boletim de ocorrência?

Sim, é altamente recomendável. O BO documenta a fraude, serve de prova para a contestação bancária e para limpar seu nome caso tenham aberto crédito em seu CPF. A maioria dos estados permite registrar pela delegacia eletrônica, sem ir presencialmente.

Abriram empréstimo ou cartão no meu nome. O que faço?

Conteste formalmente cada contrato com o banco, peça o cancelamento e o estorno, e registre no BO. Consulte o Registrato do Banco Central e os birôs de crédito para mapear todos os contratos e dívidas indevidos, e acompanhe até a baixa de cada um.

Como sei se o app do meu banco é falso?

Baixe apps apenas pelas lojas oficiais e confira o desenvolvedor e a quantidade de avaliações. Desconfie de apps enviados por link, que pedem permissões excessivas (como acessibilidade ou controle da tela) ou que solicitam recadastro fora do fluxo normal. Na dúvida, desinstale e reinstale pela loja oficial.

A conta invadida é da minha empresa. Muda alguma coisa?

Os passos de contenção são os mesmos, mas o risco é maior por causa dos limites elevados e do acesso de várias pessoas. Além de bloquear e contestar, revise alçadas de pagamento, exija dupla aprovação, troque credenciais compartilhadas e investigue se houve comprometimento de e-mail corporativo usado em cobranças.

Como a Decripte ajuda a evitar fraude em contas corporativas?

A Decripte é uma empresa de cibersegurança B2B que monitora a exposição da sua organização: credenciais vazadas, domínios e perfis falsos usados em golpes e ameaças direcionadas a colaboradores. Há um plano gratuito de Gestão de Ameaças para começar a enxergar esses riscos antes que virem fraude no financeiro.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.