TopGPSTracker
Recuperação de Celular Roubado Roubo de carteira digital

Celular roubado com Apple Pay ou Google Wallet: bloqueio em 10 minutos

Apple Pay, Google Wallet e Pix continuam ativos no celular roubado desbloqueado. Sequência de 10 minutos para travar tudo antes das compras começarem.

Por Martin Pavlič · 7 de junho de 2026 ·10 min de leitura
Carteira de couro aberta e vazia ao lado de uma catraca de metrô, iluminação urbana de transporte público, estética documental de urgência
Nesta página 10 seções
Acabou de ser assaltado? Não persiga o ladrão. Vá para um lugar seguro primeiro, peça um celular emprestado ou ache um computador e siga os passos abaixo em ordem. Se você corre risco imediato, ligue 190 antes de continuar lendo.

Um celular roubado com Apple Pay ou Google Wallet ativos é uma maquininha de pagamento por aproximação na mão errada. Um ladrão que pega seu iPhone desbloqueado num bar cheio gasta à vontade em qualquer terminal NFC antes de você voltar para a mesa. A sequência de bloqueio em 10 minutos abaixo fecha cada canal de pagamento na ordem certa, então você para as compras sem destruir sua melhor ferramenta de recuperação no processo.

Guia de recuperação de celular roubado

Pontos-chave

  • Tokens do Apple Pay (DPAN) ficam válidos num iPhone roubado desbloqueado até você marcar o aparelho como perdido no Buscar
  • Cartões de Trânsito Expresso funcionam com tela bloqueada ou aparelho desligado, zero autenticação exigida
  • Apagar o iPhone mata os tokens do Apple Pay, mas também mata o rastreio do Modo Perdido; a ordem importa
  • iOS 17.3 Proteção de Dispositivo Roubado adiciona uma hora de espera para mudanças na carteira, mas só em locais desconhecidos
  • Google Wallet pode ser suspenso remotamente em wallet.google.com de qualquer navegador em menos de dois minutos
  • O Pix tem o MED (Mecanismo Especial de Devolução) que bloqueia e devolve valores em até 80 dias após contestação por fraude
  • Políticas Zero Liability da Visa e Mastercard cobrem fraude por aproximação em cartões de crédito em aparelho roubado
  • O CDC e a Resolução BCB 4.658 obrigam bancos brasileiros a investigar e estornar transações fraudulentas reportadas em até 90 dias

Por que Apple Pay e Google Wallet continuam funcionando depois do roubo

Nem o Apple Pay nem o Google Wallet guardam seu número real de cartão no aparelho. Os dois sistemas usam um Device Primary Account Number (DPAN), um substituto tokenizado gerado pelo Visa Token Service ou Mastercard Digital Enablement Service (MDES). O DPAN é o que vai para o terminal de pagamento. Seu número real de 16 dígitos nunca sai dos servidores da rede de pagamento.

Essa arquitetura é excelente para segurança. Vira problema durante um roubo porque o DPAN continua funcionando até alguém suspender. O terminal de pagamento não distingue entre você encostar seu próprio celular e um ladrão fazendo a mesma coisa. A autenticação acontece no nível do aparelho antes da aproximação, não no terminal.

Num celular já desbloqueado, não sobra etapa de autenticação. O ladrão arrasta para cima, encosta e o terminal aprova. O banco vê um DPAN válido, um aparelho reconhecido e um token legítimo. A transação passa.

Fóruns de suporte financeiro mostram o mesmo padrão sempre: o celular do dono foi pego enquanto desbloqueado, o ladrão fez quatro ou cinco compras no Apple Pay em lojas próximas em 12 minutos, e a primeira coisa que o dono soube foi ver as notificações chegando no Apple Watch.

A sequência de bloqueio em 10 minutos, na ordem exata

A ordem importa aqui. Fazer o passo 8 antes do passo 1 é o erro mais comum, e custa poder de recuperação.

Os passos exatos

  1. Peça um celular emprestado ou ache um computador. Você não pode usar o aparelho roubado. Pergunte a um estranho, entre numa cafeteria, use qualquer tela conectada à internet que conseguir.

  2. Entre no iCloud.com (para iPhone) ou android.com/find (para Android) imediatamente. Use as credenciais do seu Apple ID ou conta Google.

  3. Marque o aparelho como Perdido (iPhone) ou Bloqueie o aparelho (Android). Para iPhone: iCloud.com > Buscar > seu aparelho > Marcar como Perdido. Para Android: android.com/find > Proteger Dispositivo. Este é o passo mais importante. O Modo Perdido no iPhone ativa o Bloqueio de Ativação, mostra uma mensagem de contato na tela e desativa o Apple Pay na hora. O bloqueio remoto do Google suspende o Google Wallet no aparelho.

  4. Não apague ainda. Apagar mata o Bloqueio de Ativação, que é a única coisa impedindo o ladrão de resetar e revender o aparelho. Também mata o rastreio do Buscar. Mantenha o Modo Perdido ativo.

  5. Abra o app do seu banco no aparelho emprestado ou vá ao site do banco. Congele ou suspenda cada cartão vinculado ao Apple Pay ou Google Wallet. Os principais bancos brasileiros (Itaú, Bradesco, Santander, Banco do Brasil, Caixa, Nubank, Inter, C6, Banco Original) têm opção de congelar cartão no app em segundos.

  6. Bloqueie o Pix também. Esta é a parte mais urgente no Brasil. Entre no app do banco em outro aparelho e ative o bloqueio cautelar do Pix (todos os bancos têm essa opção desde 2023 por exigência do Banco Central). Você também pode ligar para a central do banco e pedir bloqueio imediato da chave Pix. Se já houve transferência fraudulenta, peça o MED (Mecanismo Especial de Devolução) já citando o protocolo.

  7. Acione o Programa Celular Seguro em celularseguro.mj.gov.br do Ministério da Justiça. Um único alerta dispara bloqueio coordenado nas operadoras (Vivo, Claro, TIM) e em apps de pagamento.

  8. Vá em wallet.google.com (para usuários do Google Wallet). Entre, selecione o aparelho roubado e clique em Remover todos os cartões. Isso suspende cada token de pagamento naquele aparelho em segundos, independente do bloqueio do dispositivo.

  9. Remova cartões do iCloud.com como camada extra de segurança, mesmo depois do Modo Perdido. No iCloud.com, vá em Ajustes > role até seu aparelho > Carteira e Apple Pay > remova cada cartão. O Modo Perdido já deve ter desativado, mas confirmar leva 30 segundos.

  10. Ligue para a central de fraude do seu banco para cada instituição cujo cartão estava na carteira. Comunique o roubo, dê o horário aproximado e peça que sinalizem qualquer transação NFC por aproximação feita depois daquele timestamp como não autorizada. Pegue o número de protocolo de cada ligação.

  11. Mude a senha do seu Apple ID ou conta Google no aparelho emprestado. Isso revoga sessões confiáveis e impede o ladrão de sair do Modo Perdido remotamente pelas configurações do aparelho.

  12. Remova o cartão de transporte separadamente se seu sistema de transporte exigir. Cada operadora de transporte (SPTrans, RioCard, EMTU) tem seu portal próprio onde você suspende o cartão vinculado ao celular.

  13. Registre o B.O. na delegacia eletrônica do seu estado (dec.sp.gov.br para São Paulo, delegaciaonline.rj.gov.br para Rio, e assim por diante). Anote o número de protocolo. Você precisa dele para toda contestação de fraude no banco.

  14. Ligue para sua operadora para comunicar o aparelho roubado e adicionar o IMEI ao CEMI da Anatel (cadastro nacional de aparelhos bloqueados). Vivo 1058, Claro 10621, TIM *144, Oi 1057.

Guia completo do Find My iPhone

Apple Pay, Google Wallet e Samsung Pay: comportamento em aparelho roubado

Apple Pay (iPhone)Google Wallet (Android)Samsung Pay (Galaxy)
Bloqueio remotoiCloud.com > Marcar como Perdidoandroid.com/find > Bloquear, ou wallet.google.comfindmymobile.samsung.com
Tempo até desativarMenos de 30 segundos via Modo PerdidoMenos de 60 segundos1 a 3 minutos
Exige conexão de rede no aparelhoSim, para desativação imediataSimSim
Bypass de Trânsito ExpressoSim (tela bloqueada ou desligada passa)Sim (cartões configurados)Sim
Atraso da Proteção de Dispositivo Roubado1 hora (iOS 17.3+ em local desconhecido)Sem equivalenteSem equivalente
Suspensão de DPANAutomática no Modo PerdidoManual ou automática no bloqueioAutomática no bloqueio remoto
Cartão físico afetadoNão, só DPANNão, só DPANNão, só DPAN

Cartões de Trânsito Expresso: a vulnerabilidade silenciosa

Trânsito Expresso é o recurso que deixa você passar na catraca do metrô sem acordar o celular nem se autenticar. É útil de verdade. Num celular roubado, significa que o ladrão anda de graça indefinidamente até você agir.

No Brasil, integrações de transporte NFC contactless variam por cidade: alguns sistemas como o bilhete metropolitano de SP, RioCard, EMTU começam a aceitar pagamento por aproximação direto no celular, geralmente em modo similar ao Trânsito Expresso. O cartão é cobrado em silêncio, às vezes em valores pequenos suficientes para passar despercebidos no extrato.

O conselho padrão de “marcar o aparelho como perdido” não resolve na hora o problema do Trânsito Expresso em todos os sistemas. Algumas redes de transporte processam aproximações NFC em modo offline, onde o status de bloqueio do aparelho não é checado contra os servidores da Apple em tempo real. Um ladrão no metrô consegue encostar várias vezes antes da rede sincronizar.

A correção confiável: depois de marcar o aparelho como perdido, entre também no app ou portal web do próprio sistema de transporte e suspenda o cartão lá direto. Bilhete Único SP: app SPTrans ou portal. RioCard: app ou riocard.com. Cada um leva menos de dois minutos.

iOS 17.3 Proteção de Dispositivo Roubado: o que faz e o que não faz

A Apple lançou a Proteção de Dispositivo Roubado no iOS 17.3 (janeiro de 2024) depois de um padrão surgir de ladrões espionando PINs antes de arrancar iPhones. O recurso exige Face ID ou Touch ID (sem alternativa por PIN) para mudar senhas de Apple ID, adicionar ou remover cartões de pagamento, e modificar certas configurações da Carteira. Também impõe uma espera obrigatória de uma hora antes dessas mudanças se completarem (Apple Support, 2024).

A proteção ativa só quando o celular está em local desconhecido. Na sua casa ou trabalho habitual, não vale.

O que não faz: não consegue parar uma transação que já está autorizada. Um ladrão que pegou seu iPhone 14 desbloqueado num show consegue completar compras no Apple Pay durante a hora de espera, porque a sessão de pagamento já estava autenticada quando o aparelho foi desbloqueado. A Proteção de Dispositivo Roubado é melhoria significativa, mas não substitui a sequência de bloqueio remoto.

Como rastrear celular pelo IMEI

Ações remotas do Google Wallet em wallet.google.com

A interface de gerenciamento remoto do Google Wallet é menos conhecida que o Find My Device, mas é mais rápida para matar cartões de pagamento especificamente. De qualquer navegador:

  1. Vá em wallet.google.com e entre com sua conta Google.
  2. Clique no ícone de engrenagem (Configurações) no canto superior direito.
  3. Selecione o aparelho listado como roubado.
  4. Escolha Remover todos os cartões do aparelho.

Essa ação suspende todo DPAN associado àquele registro de aparelho, em todos os cartões, sem apagar o celular. O aparelho mantém a capacidade de rastreio do Modo Bloqueado via android.com/find, que você deve acionar separado. Usar as duas ferramentas em sequência é mais rápido do que esperar uma propagar.

O log de atividade do Google Wallet em wallet.google.com também mostra cada pagamento por aproximação por timestamp, comerciante e valor. Tire print disso imediatamente depois do roubo. É a cadeia de evidências mais clara para sua contestação no banco.

Quando apagar: certo versus caro

Apagar o aparelho é irreversível. Também destrói sua melhor proteção.

Não apague se você já ativou o Modo Perdido (iPhone) ou bloqueio remoto (Android). Os dois estados preservam:

  • Bloqueio de Ativação, impedindo o ladrão de resetar e revender o aparelho
  • Rastreio de localização Buscar / Find My Device enquanto o celular tiver bateria e sinal
  • A cadeia de evidências do histórico de localização do aparelho

Apague apenas se você confirmou que o aparelho não será recuperado, tem o número de protocolo do B.O., todos os cartões de pagamento foram suspensos pelos respectivos portais, e já fez backup de qualquer dado crítico no iCloud ou Google One que sincronizava automaticamente.

A trilha dos comprovantes: encontrando transações não autorizadas

Antes de ligar para o banco, documente cada transação você mesmo. Isso torna a contestação mais rápida e mais difícil de negar.

Para Apple Pay: entre no iCloud.com, abra Ajustes, role até o aparelho, abra Carteira e Apple Pay e veja transações recentes por cartão. Em qualquer outro aparelho Apple, abra o app Carteira, toque em cada cartão e puxe para baixo para ver o feed de histórico. Transações incluem nome do comerciante, valor e timestamp ao minuto.

Para Google Wallet: vá em wallet.google.com, selecione Atividade no menu da esquerda. Cada transação NFC aparece em ordem cronológica inversa. Exporte essa página como PDF antes de contestar.

Para Pix: entre no app do banco em outro aparelho e veja o extrato Pix da janela do roubo. Todo banco brasileiro mostra extrato Pix detalhado com chave do destinatário, valor e timestamp. Tire print de cada transação suspeita.

Para cartões de transporte: entre no portal de conta do próprio sistema de transporte. SPTrans, RioCard e EMTU mantêm históricos de transações por aproximação ligadas ao seu registro de conta.

Tire print ou imprima tudo isso antes de contatar o banco. Equipes de fraude bancária respondem mais rápido quando o cliente chega com lista completa e com timestamp em vez de reclamação vaga sobre cobranças não autorizadas.

Contestações bancárias: suas proteções legais no Brasil

Políticas Zero Liability da Visa e da Mastercard cobrem transações por aproximação não autorizadas, incluindo as feitas em aparelho roubado. Você não tem responsabilidade pelas cobranças fraudulentas, desde que comunique rápido e não tenha agido com negligência grave.

No Brasil, o Código de Defesa do Consumidor (CDC, Lei 8.078/1990) e a Resolução BCB 4.658/2018 obrigam bancos a investigar e estornar transações fraudulentas reportadas em até 90 dias. Para o Pix, a Resolução BCB 103/2021 criou o Mecanismo Especial de Devolução (MED), que permite ao banco recebedor bloquear o valor por até 30 dias e devolver em até 80 dias úteis após contestação por fraude. Para ativar o MED, ligue para a central do seu banco e cite explicitamente “MED por fraude com indícios de crime”.

A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) reforça seu direito de exigir que o banco corrija e bloqueie dados pessoais em situação de fraude, com a Autoridade Nacional de Proteção de Dados (ANPD) como instância de recurso se o banco recusar.

A contestação bancária não é automática. Você precisa do número de protocolo do B.O., os timestamps das transações dos logs de atividade da carteira acima, e uma declaração escrita de quando e onde o roubo aconteceu. Registre rápido. Atrasos criam ambiguidade que os emissores aproveitam.

Se o banco recusar o estorno sem justificativa razoável, registre reclamação no Procon do seu estado e, em paralelo, no Banco Central via canal de denúncia BC+ (bcb.gov.br/cidadaniafinanceira). Esses canais regulatórios costumam acelerar a resposta.

Depois do bloqueio: a operadora e o IMEI

Depois de completar a sequência de bloqueio, contate sua operadora para adicionar o IMEI ao CEMI da Anatel (Cadastro Especial de Estações Móveis Impedidas). No Brasil, todas as quatro principais operadoras (Vivo, Claro, TIM, Oi) alimentam o CEMI, que impede o aparelho de ser ativado em qualquer rede nacional em 24 a 72 horas. Você verifica o status enviando SMS para 5311 com a palavra IMEI seguida do número.

A camada de pagamento agora está fechada. A camada de recuperação, rastrear o aparelho pelo Buscar ou Find My Device, é um esforço paralelo separado descrito em detalhe no guia de recuperação de celular roubado.

Perguntas e respostas

O que os leitores costumam perguntar

7 perguntas · atualizado em jun. de 2026

Devo apagar o celular ou congelar a carteira primeiro?
Congele a carteira primeiro, sempre. Apagar o iPhone na hora destrói o Bloqueio de Ativação e mata o rastreio do Buscar, então o ladrão consegue revender o aparelho e você perde sua melhor ferramenta de recuperação. Marque o dispositivo como perdido no Buscar (Find My). O Modo Perdido ativa o Bloqueio de Ativação, mostra seu telefone de contato e desativa o Apple Pay ao mesmo tempo. O bloqueio remoto do Google em android.com/find faz o mesmo para o Google Wallet sem apagar o aparelho. Deixe o apagar total para último recurso, depois de confirmar que o aparelho não será recuperado.
Um ladrão consegue usar o Apple Pay se meu iPhone estiver bloqueado?
Não, se a tela está bloqueada e o ladrão não sabe seu PIN ou código. O Apple Pay exige Face ID, Touch ID ou o código do aparelho para toda transação padrão em loja. A exceção é o Trânsito Expresso: cartões configurados para Trânsito Expresso (metrô, ônibus, balsa) pulam a autenticação biométrica. Um ladrão que pega um iPhone bloqueado ainda consegue passar e usar o transporte público indefinidamente até você remover aquele cartão específico no iCloud.com ou marcar o dispositivo como perdido.
E meu bilhete único? Alguém consegue passar na catraca depois de roubar meu celular?
Sim, sem nenhuma autenticação. O Trânsito Expresso foi feito de propósito para funcionar com tela bloqueada ou aparelho desligado. O Bilhete Único de São Paulo (via parceria pontual), o RioCard no Rio e cartões NFC contactless de várias cidades operam em Trânsito Expresso. O ladrão não precisa de Face ID, PIN, nem nada. Encosta o iPhone na catraca e passa. Para parar isso, vá ao iCloud.com, marque o dispositivo como perdido, ou em outro aparelho abra a Carteira e remova o cartão de transporte diretamente.
O que é DPAN e por que importa para fraude em celular roubado?
DPAN significa Device Primary Account Number (Número Primário da Conta do Dispositivo). É o número do cartão tokenizado que o Apple Pay ou Google Wallet guarda no lugar do seu número real de 16 dígitos. Comerciantes e sistemas de transporte cobram o DPAN, que volta ao seu cartão real só no nível da rede de pagamento (Visa Token Service, Mastercard MDES). Seu número real de cartão nunca aparece na transação por aproximação. Porém, o DPAN é tão utilizável quanto um cartão real até o token ser suspenso. Seu banco ou provedor de carteira consegue invalidar o DPAN sem cancelar o cartão físico.
Meu banco vai devolver compras no Apple Pay ou Google Wallet feitas em celular roubado?
Quase sempre, sim. As políticas Zero Liability da Visa e da Mastercard cobrem transações por aproximação não autorizadas feitas em aparelho roubado, desde que você comunique rápido. No Brasil, o Código de Defesa do Consumidor (CDC) e a Resolução BCB 4.658 obrigam o banco a investigar e estornar transações fraudulentas reportadas em até 90 dias. Para Pix, a Resolução BCB 103 criou o Mecanismo Especial de Devolução (MED), que permite ao banco bloquear e devolver valores em até 80 dias após contestação por fraude. Registre o B.O. primeiro para ter o número de protocolo, depois conteste cada transação no banco citando esse protocolo.
iOS 17.3 Proteção de Dispositivo Roubado evita o roubo da carteira?
Em parte. A Proteção de Dispositivo Roubado, lançada no iOS 17.3, exige Face ID ou Touch ID (sem alternativa por PIN) para mudar a senha do Apple ID, métodos de pagamento e certas configurações da Carteira quando o celular está em local desconhecido. Também impõe uma espera obrigatória de uma hora antes dessas mudanças se completarem. Porém, ela não impede que uma sessão já autenticada do Apple Pay complete uma transação. Um ladrão que pega o aparelho desbloqueado num lugar lotado ainda consegue fazer compras no Apple Pay até você acionar o Modo Perdido remotamente.
Como encontro transações não autorizadas no Apple Pay e Google Wallet depois do roubo?
Para Apple Pay: abra o iCloud.com em qualquer navegador, entre, vá em Ajustes e role até a seção Carteira para ver todos os cartões e atividade recente. Outra opção: em qualquer outro aparelho Apple, abra o app Carteira, toque em cada cartão e veja o histórico de transações. Para Google Wallet: vá em wallet.google.com, entre e selecione Atividade para o log cronológico completo de cada pagamento por aproximação. Cruze as duas fontes com seus extratos bancários, porque passagens de transporte às vezes aparecem como cobranças pequenas e repetidas, fáceis de perder num extrato longo.