Como se proteger dos golpes do Pix
Ter o celular roubado pode ser o início de um pesadelo financeiro. Descubra o que pode acontecer caso você se torne uma vítima. E veja como se precaver.
Você está caminhando na rua quando o celular apita. No minuto em que tira o aparelho do bolso e desbloqueia a tela para ler a mensagem, o aparelho desaparece. Alguém roubou naquele instante em que toda a sua atenção estava na tela. Começa ali uma corrida contra o tempo. Seu objetivo é um só: evitar que o ladrão limpe as suas contas bancárias.
Roubo de celular é a nova Covid. Em 2021, o país registrou um telefone roubado por minuto, segundo o Anuário Brasileiro de Segurança Pública. Em 2022, a Polícia de São Paulo investiga se o PCC, a maior facção criminosa do Brasil, estaria envolvido. O que se sabe até agora é que bandidos profissionalizaram o esquema: montaram “centrais de TI” clandestinas para invadir celulares recém-roubados e limpar as contas das vítimas.
O Pix foi um divisor de águas nessa história. Até o lançamento do sistema de pagamentos, o prejuízo máximo de uma pessoa roubada geralmente se restringia ao valor do aparelho. É que com as transferências tipo DOC e TED, tudo era mais lento. Quase não valia o esforço de tentar invadir uma conta porque os bancos tinham tempo para barrar as operações. Afinal, uma TED leva pelo menos 20 minutos para cair na conta. Com o Pix, o dinheiro muda de mão instantaneamente, pode ser sacado automaticamente e sumir do radar das instituições financeiras. Nisso, o tamanho do rombo de um golpe via Pix dependerá dos bancos – e do limite de crédito que eles te deram, sem que você tenha sequer pedido.
Os clientes dizem que a culpa é dos bancos, que não detectam as transações atípicas e liberam contratações automáticas de crédito e transferências de toneladas de dinheiro. Os bancos dizem que a culpa não é deles, mas sim do cliente, por não ter cuidado com as senhas, e do Banco Central, por ter imposto regras do que eles podem e não podem fazer com o Pix. O BC devolve a bola para as instituições financeiras, que estão falhando em controlar a abertura de contas fraudulentas – aquelas que recebem as transferências bandidas.
Ninguém está mentindo. Clientes anotam senhas no bloco de notas do celular, bancos liberam transações mais do que suspeitas e não conseguem controlar a abertura de contas fraudulentas, já o Banco Central tem sido lento em dar uma resposta ao excesso de flexibilidade do Pix.
Enquanto isso, cada vez mais gente tem a vida financeira devastada após um roubo de celular. Ninguém está 100% imune, mas existem jeitos de deixar a vida dos bandidos mais difícil.
Como o golpe acontece
Se o seu smartphone tiver ido parar nas mãos do ladrão com a tela bloqueada, você está mais seguro – desde que sua senha de bloqueio não seja 1,2,3,4 ou algo do gênero.
Sabe-se de relatos em que bandidos teriam conseguido quebrar a senha de acesso e invadido celulares, especialmente modelos Android, mas trata-se de exceção, não regra. Esse, aliás, é um dos problemas desse tipo de crime: ninguém tem certeza de como ele é feito, o que dificulta impedir a ação do bandido.
Uma das possibilidades é a seguinte: ele transfere o chip do celular roubado para outro aparelho e passa a receber as mensagens da vítima. Existem técnicas para barrar isso: pedir à operadora para cadastrar uma senha no chip ou migrar para um chip virtual. Só que isso dificulta a sua vida também. No caso da senha, ela será pedida cada vez que você desligar o aparelho ou ficar sem bateria. Com o chip virtual, você não pode simplesmente trocar de telefone – nem para uma emergência. Será preciso ir a uma loja da operadora recadastrar o chip virtual.
Ok, mas sem esse bloqueio o ladrão descobre o número de telefone da vítima instantaneamente. Não só. As mensagens de texto passam a chegar para ele, incluindo aquelas usadas para dar mais segurança aos logins (a autenticação em dois fatores).
Se ele não descobrir login e senha para o primeiro passo, tem mais uma possibilidade de golpe. A vítima vai bloquear a linha, pedir um chip novo e colocar em outro aparelho. A partir daí, o ladrão começará a enviar SMS com um link para “localizar o seu telefone”. Quem tenta acessá-lo informa login e senha, e assim entrega de bandeja as informações de acesso ao aparelho para o bandido. As mensagens podem chegar por meses, segundo relatos de vítimas.
Esse é o cenário “menos pior”. Ainda assim, é preciso fazer todos os procedimentos de segurança: bloquear a linha de telefone, ligar para o banco para avisar do roubo e configurar o serviço de nuvem (iCloud ou conta Google).
Justamente porque é mais difícil saquear contas de telefones bloqueados, o alvo principal tem sido vítimas distraídas enquanto usam o aparelho: a tela está desbloqueada. Quem sofre esse tipo de ataque precisa agir muito rápido para evitar uma tragédia financeira. Só tem um detalhe. Rapidez hoje é sinônimo de resolver tudo pelo celular – justamente aquele que você perdeu. Daí por que você precisa ter feito tudo certo antes de um roubo.
A vítima perfeita
Em muitos dos relatos de golpe, clientes afirmam que suas contas foram invadidas. Os grandes bancos rebatem essa ideia. Parece um papo de louco, mas vamos entender por quê.
Até 2020, os sistemas de gerenciamento de senhas dos celulares mantinham salvas as senhas dos aplicativos de bancos. Se um ladrão conseguia trocar o código de desbloqueio do aparelho (com os golpes que falamos antes), poderia muito bem acessar outras áreas restritas do aparelho. E lá ele encontraria todas as senhas salvas no celular.
Essa porta foi fechada, afirmam os bancos. Hoje, se você procurar no seu próprio celular pelas senhas dos seus aplicativos de banco, não vai encontrar. Ainda assim, vai poder desbloquear o app das instituições financeiras usando biometria, claro. O lance é que, se o bandido troca o código de acesso ou a biometria, isso deixa de funcionar no banco. Aí é preciso primeiro digitar a senha no aplicativo para reabilitar o uso. E essa senha não pode ser trocada tão facilmente.
Por isso, os grandes bancos afirmam que não há uma invasão propriamente dita de suas contas. O que acontece com mais frequência é que o cliente tinha as senhas salvas no e-mail ou no bloco de notas, o equivalente a trancar a porta de casa e deixar a chave embaixo do capacho.
Com a senha em mãos, o cara que entrou no celular roubado faz a festa. Consegue se passar pela vítima e aprovar transferências, limpando a conta. Se o banco tiver uma linha de crédito pessoal pré-aprovada em nome da vítima, eles contratam e transferem a grana imediatamente.
E o banco dificilmente vai indenizar. A explicação deles é simples: essa pessoa não cuidou das senhas de maneira adequada. Ela informou, mesmo que indiretamente, o código a alguém, e portanto autorizou a transação.
Se o bandido conseguir deduzir uma senha muito fácil – sua data de nascimento, por exemplo – o caminho tende a ser parecido.
Para não cair numa dessas, faça uma busca no seu celular por senhas anotadas em bloco de notas e no e-mail. Verifique no histórico de conversas no WhatsApp se você não mandou a alguém dados bancários, data de nascimento ou outras informações sensíveis. Delete tudo. E tenha senhas diferentes para cada login, sem relação com informações pessoais.
Se você tiver mais de uma conta bancária no celular, com a mesma senha, o que os bandidos farão é o seguinte: primeiro eles tiram o dinheiro de uma conta sua para outra conta sua. Transferências entre contas do mesmo CPF dificilmente caem em filtros de segurança dos bancos – e ainda tendem a ter limites mais altos. O banco em que tenho conta me deixava transferir R$ 100 mil (-!-) por dia via Pix, desde que fosse para meu próprio CPF. Para contas de outros CPFs, esse teto era de generosos R$ 30 mil.
Então bandidos tendem primeiro a mover a grana para outra conta sua, que tenha limites generosos de transferência para contas de outros CPFs. De lá, eles começam a pulverizar os fundos em várias contas de laranjas. Aí o dinheiro é sacado em caixas eletrônicos e desaparece. Puft. Você nunca mais verá essa grana.
Como se proteger disso? Desde que os golpes no Pix começaram, o Banco Central tomou algumas medidas para tentar diminuí-los. A primeira foi limitar a R$ 1.000, por default, o valor das transações feitas entre as 20h e as 6h. Se o cliente quiser elevar o valor, pode. Mas a mudança só entra em vigor depois de 24 horas. Se você quiser baixar ainda mais o valor, também pode.
Durante o dia, não há restrição. O banco precisa autorizar que clientes transfiram pelo Pix o mesmo valor que ele permitia via TED. Era um jeito de o BC evitar que as instituições boicotassem o Pix, que é de graça. A TED chega a custar R$ 10.
O que o Banco Central fez foi obrigar os bancos a incluir uma ferramenta para que os clientes definam seus próprios limites de transferência pelo Pix. Faça isso. Todo app de banco tem uma “área pix”. Lá há opção de gerenciamento de limites. Use. Reduza o seu a um valor compatível com a suas transferências máximas. Se o único jeito de você fazer um Pix de R$ 30 mil for em caso de fraude, por que deixar essa porta aberta?
Os bancos dizem que a existência dessa opção não basta. Como os clientes não a utilizam, apesar de a ferramenta estar disponível, eles querem autorização do BC para fazer por conta própria. A Febraban (a entidade que representa os grandes bancos) tem negociado a mudança com o BC.
Outra coisa que você pode fazer é avaliar quantas contas tem – e realmente utiliza. As contas digitais e sem tarifas se proliferaram, e muita gente começou um relacionamento com outras instituições financeiras, seja em busca de benefícios específicos, seja como alternativa ao serviço ruim e caro dos bancos tradicionais.
Uma pesquisa do IPEC, encomendada pelo C6 no ano passado, mostrava que o brasileiro tinha, em média, 3,6 contas. Se você é um deles, vale a pena reavaliar. É política de redução de riscos. E o cancelamento é simples, costuma ser feito pelo app (eu mesma encerrei nada menos que sete contas neste ano).
Essa combinação de medidas – senhas seguras, não ter nenhuma delas anotada em bloco de notas, poucos bancos, limites para transferências pelo Pix e senha no chip – tendem a colocar você alguns passos à frente do bandido na corrida pela preservação do seu dinheiro.
Melhor que isso, só ter dois celulares. Um para andar na rua, com um único app de banco digital e pouco dinheiro lá dentro, de modo a ter como fazer seus Pix de baixo valor, e manter a conta principal, onde suas economias estão guardadas, num segundo aparelho, que não sai de casa (os mais baratos custam por volta de R$ 600, e fazem o mesmo que os de R$ 6 mil).
Vale lembrar: não adianta a ideia de simplesmente não ter aplicativos de banco. Mesmo que você queira usar o internet banking pelo computador, precisará dos tokens gerados pelo app no smartphone para se logar – algo que você descobre no minuto em que é roubado, digo por experiência própria.
Se depois de tudo isso você ainda tiver suas contas invadidas, será mais provável que, sim, houve uma falha no sistema da instituição financeira. Aí é responsabilidade do banco te indenizar. Procurados, os bancos dizem apenas que analisam caso a caso para decidir quem tem direito à compensação pelas fraudes. De acordo com eles, precisa ser assim porque existem, inclusive, casos de “autofraude”, quando o cliente finge que foi vítima de golpe.
Dá para dividir de dois jeitos. Se o problema foi no sistema do banco, ele vai ser obrigado a te indenizar. Se for falha sua ou qualquer outra causa externa, não.
A consequência: vítimas de sequestro-relâmpago também não são ressarcidas, já que o sistema do banco não falhou – trata-se de um problema de segurança pública. O lance é que, como o Pix tem transferência instantânea, é virtualmente impossível bloquear o dinheiro na conta de destino, para onde o criminoso manda o valor roubado. E sem a grana para restituir, os bancos lavam as mãos.
O Banco Central está mudando as regras do Pix para complicar a vida dos bandidos. Foi assim no passado – com os limites nos saques noturnos. Por outro lado, os bandidos estão sempre em busca de jeitos de burlar qualquer sistema de proteção. É um jogo de gato e rato. Nessa selva, nós somos as presas mais fáceis. E só quem se precaver de verdade terá uma chance de sobrevivência.
♦
O passo a passo da segurança
Parece básico demais. E é. Mas a maioria das pessoas não segue essas regras. Se você seguir, terá mais chances de se proteger em caso de roubos.
1. Não anote senhas no celular
É como deixar a chave de casa no capacho em frente à porta. É o principal jeito que bandidos usam para invadir suas contas. Nesse caso, o banco não reembolsa. Usar senhas fáceis e repeti-las é a mesma coisa.
2. Coloque uma senha no chip do seu telefone
Se o bandido trocar o chip de telefone (uma estratégia comum para conseguir acesso) será preciso inserir a senha para que a linha volte a funcionar.
3. Informações importantes
Saiba o IMEI do seu celular – ele é uma espécie de CPF do aparelho. O número vem na caixa, mas também pode ser consultado nas configurações do telefone ou ainda na sua conta iCloud ou Google. Esse número serve para bloquear o aparelho na operadora, em caso de roubo.
4. Configure limites no Pix
Durante a noite, as transferências máximas são de R$ 1.000. Você também pode reduzir os limites durante o dia. Vá na área Pix do seu aplicativo do banco. Se precisar, você pode aumentar de novo – mas demora 24 horas para entrar em vigor.
5. Cancele contas
Se você tem contas que não está usando, cancele. A triangulação por serviços financeiros é usada para despistar sistemas antifraude dos bancos.
♦
Fui roubado, e agora?
Com esse passo a passo, você consegue minimizar o estrago.
1. Bloqueie seu número e aparelho
A primeira coisa que bandidos fazem é colocar seu chip em outro aparelho, para receber suas mensagens de texto – com códigos de acesso a contas e redes sociais. Ligue para a operadora para bloquear a linha de telefone e o aparelho (para isso, você precisará informar o IMEI).
2. Avise todos os bancos
A segunda coisa a fazer é ligar para todas as instituições financeiras o mais rápido possível. Assim, elas têm alguma chance de travar as transações de criminosos. A ligação também barra o acesso a sua conta para evitar que o prejuízo escale de maneira exponencial, com a contratação de serviços.
3. Desconecte suas redes
Você vai precisar de um computador. Acesse suas redes sociais e desconecte todas as sessões. Mande um e-mail para o WhatsApp (support@support.whatsapp.com) com o assunto “Perdido/roubado: desative a minha conta”. Na mensagem, escreva seu telefone completo. Ex: +55 11 91234-5678.
4. Mapeie suas contas bancárias
Você precisa saber quais são as suas contas ativas e tudo o que bandidos podem ter feito com elas. Existem dois riscos principais, além das transferências do saldo em conta: que eles contratem empréstimos que você nem sabia que existia ou que usem cartão de crédito na forma virtual, aumentando o prejuízo.
5. Faça um boletim de ocorrência
Os bancos entendem que o BO é uma evidência de que você realmente foi uma vítima. Se não teve pressa em ir à polícia, pode ser tratado como um potencial golpista. Eles também tendem a analisar apenas o que você relatou que foi roubado. Daí a importância do passo 4.
Entenda como a tecnologia faz parte da sua vida e do seu trabalho
Quer ser mais feliz? Comece pensando menos em si mesmo
7 dicas para você virar um mestre da autoavaliação
Uma provocação: estamos mesmo mudando e evoluindo?
Quais as novas regras para tirar férias, segundo a Reforma Trabalhista
