Golpe do WhatsApp clonado: como agir e quem responde pelo prejuízo

O sequestro de contas de aplicativos de mensagens virou uma das fraudes digitais mais comuns no país, e a reação da vítima nas primeiras horas define o tamanho do prejuízo. Registrar a ocorrência, avisar os contatos e acionar os canais oficiais de recuperação são passos que precisam acontecer quase em paralelo, antes que o criminoso peça dinheiro em nome do titular.

Como o golpe se concretiza

A clonagem e o sequestro de contas seguem um roteiro previsível. O criminoso obtém o número de telefone da vítima, muitas vezes coletado em anúncios de venda, grupos públicos ou vazamentos de dados, e tenta ativar o aplicativo em outro aparelho. Para concluir o processo, ele precisa do código de verificação que a plataforma envia por SMS.

É nesse ponto que entra a engenharia social. O golpista liga ou manda mensagem se passando por uma central de atendimento, por um suposto comprador de produto anunciado ou por um órgão público, e induz a vítima a repassar o código. Com o código em mãos, ele assume a conta e desconecta o titular original.

De posse da identidade digital alheia, o criminoso aciona a lista de contatos com pedidos urgentes de dinheiro, alegando emergências ou oportunidades de transferência. A confiança construída pela vítima ao longo de anos passa a trabalhar contra ela, porque familiares e amigos tendem a acreditar na mensagem que parte de um número conhecido.

Primeiras providências após perceber a invasão

O primeiro sinal costuma ser a desconexão repentina do aplicativo, acompanhada de aviso de que o número foi registrado em outro dispositivo. Quem identifica isso deve agir de imediato, sem esperar para entender exatamente o que aconteceu. A prioridade é interromper o acesso do invasor e documentar o ocorrido.

O registro do boletim de ocorrência é a base de qualquer providência posterior. A maioria dos estados oferece delegacia eletrônica, o que permite formalizar a denúncia pela internet, sem deslocamento. No registro, convém narrar a data, o horário aproximado da perda de acesso, a forma como o código foi obtido pelo criminoso e os pedidos de dinheiro feitos em nome do titular.

Esse documento cumpre dupla função. Serve de prova para eventual ação de reparação e protege a vítima de ser responsabilizada por dívidas ou fraudes que o golpista venha a praticar usando a conta sequestrada. Sem o boletim, a comprovação do crime fica frágil.

As primeiras horas após o sequestro da conta valem mais do que qualquer providência tomada dias depois.

Em paralelo ao boletim, é recomendável reunir capturas de tela das mensagens fraudulentas, dos pedidos de transferência e de qualquer comunicação com o criminoso. Esses elementos compõem o conjunto probatório e ajudam a demonstrar a extensão do golpe, tanto na esfera criminal quanto em pedidos de indenização.

Comunicação aos contatos e contenção de danos

Enquanto a conta permanece sob controle do invasor, o maior risco recai sobre terceiros. Avisar a rede de contatos por outros meios, como ligação telefônica, outro aplicativo ou redes sociais, costuma ser a medida que evita o prejuízo financeiro mais grave, justamente o repasse de valores por quem confia no titular.

A mensagem de alerta deve ser direta e pedir que ninguém faça transferências ou pagamentos solicitados por aquele número até segunda ordem. Quanto mais rápido o aviso circular, menor a janela de oportunidade do criminoso para enganar familiares, colegas de trabalho e clientes.

Quem caiu no golpe e chegou a transferir dinheiro deve acionar o banco imediatamente. Instituições financeiras dispõem de mecanismos de bloqueio cautelar e de tentativa de devolução em casos de fraude, sobretudo quando o pagamento ocorreu por transferência instantânea. A comunicação ágil amplia as chances de reversão dos valores.

Recuperação da conta e reforço da segurança

A retomada da conta passa pelos canais oficiais da própria plataforma. Reinstalar o aplicativo e solicitar novo código de verificação por SMS costuma encerrar a sessão aberta pelo criminoso, porque o cadastro está vinculado ao número de telefone, e não ao aparelho.

Se o golpista tiver ativado a verificação em duas etapas com um PIN próprio, o titular precisa usar o procedimento de redefinição, que normalmente exige a confirmação do e-mail cadastrado. Esgotadas as tentativas automáticas, o suporte da plataforma deve ser contatado com o relato do incidente e o número do boletim de ocorrência.

Recuperado o acesso, a etapa seguinte é fechar as portas que permitiram a invasão. Ativar a verificação em duas etapas com PIN, vincular um endereço de e-mail seguro e revisar os dispositivos conectados reduz drasticamente o risco de novo sequestro. Nenhuma central legítima solicita o código de verificação por telefone, e essa simples regra elimina a maior parte das tentativas de golpe.

Vale também desconfiar de mensagens que criam urgência artificial. Pressão por respostas rápidas, ameaças de bloqueio e promessas de prêmios são marcas registradas da engenharia social que sustenta esse tipo de fraude.

Responsabilidade da plataforma e de terceiros

A responsabilização dos envolvidos depende da conduta de cada um. O criminoso responde na esfera penal por invasão de dispositivo informático, prevista no artigo 154-A do Código Penal, e por estelionato, tipificado no artigo 171, cuja pena foi agravada pela legislação que tratou da fraude eletrônica praticada por meios digitais.

A responsabilidade civil da plataforma de mensagens, por sua vez, não é automática. O Marco Civil da Internet condiciona a obrigação de indenizar, em regra, ao descumprimento de ordem judicial específica para remoção de conteúdo ou bloqueio. Quando a empresa adota mecanismos razoáveis de segurança e oferece canais de recuperação, a tendência dos tribunais é afastar o dever de reparar danos causados exclusivamente pela ação do fraudador.

O cenário muda quando há falha comprovada do serviço, como demora injustificada no bloqueio da conta após a comunicação do titular ou ausência de ferramentas básicas de proteção. Nessas hipóteses, o Código de Defesa do Consumidor pode amparar pedido de indenização, já que a relação entre usuário e plataforma é de consumo.

Há ainda a responsabilidade de quem participa da cadeia do golpe, como o titular da conta bancária que recebe os valores desviados. A jurisprudência admite a responsabilização desse intermediário, o chamado laranja, quando demonstrado que ele emprestou a conta para a circulação do dinheiro fraudado, ainda que alegue desconhecimento da origem.

A proteção de dados pessoais reforça esse arcabouço. A legislação específica impõe a quem trata informações o dever de segurança, e o vazamento que viabiliza o sequestro pode gerar consequências para a empresa responsável pela guarda dos dados, independentemente da conduta do criminoso.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.