Celular roubado, conta drenada em horas: os 60 minutos que decidem

Um celular arrancado da sua mão na Avenida Paulista vale uns R$ 2.500 como hardware. Com tela desbloqueada e app do banco instalado, vale dezenas de milhares. Dados do Fórum Brasileiro de Segurança Pública (FBSP) apontam mais de 1 milhão de celulares roubados ou furtados em 2024, e a janela média entre o roubo e a primeira transação fraudulenta no Pix é de menos de 22 minutos. Esta é a sequência exata que fecha essa janela.

Celular roubado: guia de recuperação

Pontos-chave

• Notificação push de 2FA em celular roubado e desbloqueado aprova transferências automaticamente, sem nenhuma entrada extra do correntista
• O FBSP registrou mais de 1 milhão de roubos e furtos de celular no Brasil em 2024, com explosão de fraudes via Pix desde 2020
• A Resolução BCB 4.658/2018 obriga bancos a investigar fraudes eletrônicas e o Código de Defesa do Consumidor (Art. 14) atribui responsabilidade objetiva por falha de segurança
• Bloqueio do chip impede que SMS de senha temporária cheguem ao ladrão; precisa acontecer antes de você registrar o B.O.
• O Programa Celular Seguro (celularseguro.mj.gov.br) dispara bloqueio coordenado em operadoras e bancos com uma única solicitação
• Todo app de banco mantém sessão salva que continua ativa até você revogar de outro aparelho
• Uma senha de portabilidade definida antes do roubo impede que ataques de SIM swap funcionem na sua operadora

Por que celular roubado é igual a conta bancária drenada

O roubo de celular passou de um limite por volta de 2020, quando o Pix entrou no ar. Antes disso, um celular levado significava perda de contatos e acionamento do seguro. Agora significa canal direto para toda conta financeira da vítima. Três vulnerabilidades interligadas explicam o motivo.

Notificação push de autenticação de dois fatores é a primeira. A maioria dos apps de banco brasileiro (Itaú, Bradesco, Santander, Banco do Brasil, Caixa, Nubank, Inter, C6) manda notificação push para o aparelho cadastrado aprovar transferências e Pix. Um ladrão com o celular aberto não precisa interceptar nada. A notificação aparece na tela que ele já controla. Um toque aprova um Pix de R$ 5.000. O sistema do banco vê uma aprovação legítima do aparelho cadastrado e processa o pagamento.

Autenticação biométrica guarda tokens de sessão, não a biometria. Face ID e digital parecem seguros, mas eles desbloqueiam uma sessão salva que o app do banco mantém por horas ou dias. Um ladrão que pega o celular desbloqueado herda essa sessão. Ele não precisa do seu rosto. Ele precisa do celular no estado desbloqueado atual, que é exatamente o que um arrastão na rua proporciona.

Senhas autocompletadas e credenciais salvas completam a superfície de ataque. O gerenciador de senhas do celular (Chaveiro do iCloud, Gerenciador de Senhas do Google ou apps de terceiros como 1Password) costuma preencher automaticamente o login do banco. Combinado com SMS de senha temporária chegando no chip roubado, o atacante consegue entrar em contas que nunca tocou antes, redefinir acesso ao e-mail e trocar números de telefone de recuperação, tudo antes da vítima perceber.

O risco do app autenticador é específico e subestimado. Apps como Google Authenticator guardam senhas temporárias localmente no aparelho. Sem necessidade de interceptação de rede. Um ladrão que enxerga a tela lê o código de seis dígitos e digita num notebook para aprovar uma transferência. Por isso a sequência de 60 minutos trata autenticadores separadamente do SMS.

Como ladrões burlam a biometria

A biometria barra uma parte significativa dos ataques. Mas três rotas de bypass continuam abertas, e quadrilhas profissionais conhecem todas.

O PIN observado por cima do ombro é o mais comum. Ladrões em São Paulo (região da Sé, República, Brás), no Rio (Copacabana, Lapa, Centro) e em Belo Horizonte (Savassi, Centro) trabalham em dupla. Um distrai ou se posiciona atrás do alvo; o outro observa enquanto a pessoa digita o PIN. Memorizam, e segundos depois fazem o arrastão de moto ou a pé. Com o PIN, eles desativam Face ID, trocam a senha do Apple ID, desligam o Find My e começam transferências bancárias. A SSP-SP destaca essa técnica nos boletins porque ela precede a maioria dos casos de fraude de alto valor.

Desbloqueio facial forçado durante o arrastão é menos comum, mas documentado em casos de roubo noturno. A vítima ainda segura o celular quando ele é levado, e a câmera capta o rosto durante a tomada. iPhones modernos exigem detecção de atenção (olhos abertos, olhando para a tela), o que limita o golpe, mas aparelhos antigos e a maioria dos Android com reconhecimento facial básico continuam vulneráveis.

Reset de fábrica via modo de recuperação é a rota de engenharia social para aparelhos travados. Um ladrão que não consegue desbloquear pode ligar para a operadora, dizer que comprou o aparelho de segunda mão sem as credenciais do dono anterior removidas, e tentar fazer o Activation Lock do iCloud ou o Factory Reset Protection do Google serem desativados. Por isso o Modo Perdido no iPhone importa: ele acrescenta uma mensagem de contato e exige credenciais iCloud para qualquer reset, fechando essa rota.

Resposta em 60 minutos: sequência exata

Os passos abaixo estão numerados em ordem. Não pule e não troque a ordem. A lógica importa: cada passo ou interrompe fraude em andamento ou preserva prova necessária para o estorno depois.

Passo 1 (0-3 minutos): pegue qualquer celular, tablet ou notebook emprestado. Não gaste tempo tentando bloquear seu número pelo próprio chip. Você precisa de um aparelho funcionando imediatamente.

Passo 2 (3-5 minutos): bloqueie o chip pela operadora. Ligue para a linha de roubo da sua operadora. Vivo: 1058. Claro: 10621 ou *611. *TIM: 144 ou 103-41. Oi: 1057. Diga: “Meu celular foi roubado, bloqueia meu chip agora.” Isso impede que SMS de senha temporária cheguem às mãos do ladrão. Esse passo, feito em 5 minutos, barra a maioria das fraudes bancárias baseadas em SMS antes de começarem.

Passo 3 (5-10 minutos): ative o Modo Perdido no iPhone ou Proteger Dispositivo no Android. Acesse icloud.com/find ou android.com/find. Marque o aparelho como perdido. Isso trava a tela com uma mensagem, desativa o Apple Pay e mantém o rastreio de localização ativo. Não apague ainda. O Modo Perdido preserva a trilha de localização como prova para o B.O. e para a disputa bancária. Apagar imediatamente custa essa prova.

Passo 4 (10-15 minutos): congele todos os apps de banco de um segundo aparelho. Entre em cada app de banco ou no site de outro aparelho. Os principais bancos brasileiros (Itaú, Bradesco, Santander, Banco do Brasil, Caixa, Nubank, Inter, C6, PicPay, Mercado Pago) têm opção “dispositivo perdido” ou “bloquear cartão” nas configurações. Desative o Pix imediatamente – todos os bancos brasileiros permitem desativar o Pix dispositivo a dispositivo dentro do app. Se não conseguir entrar de longe, ligue para a central de fraudes do banco.

Passo 5 (15-20 minutos): saia do Apple ID ou Conta Google remotamente. No icloud.com, vá em configurações da conta e remova o aparelho roubado dos dispositivos confiáveis. Em myaccount.google.com, vá em Segurança, depois Seus Dispositivos, e desconecte o celular roubado. Isso revoga sessões salvas e força login novo em todos os apps vinculados.

Passo 6 (20-25 minutos): desative Apple Pay e Google Pay. No icloud.com, selecione o aparelho roubado e clique em Remover. Isso anula todos os cartões salvos. Em pay.google.com, vá em Formas de pagamento e remova o aparelho. Não espere o congelamento do app do banco resolver isso. Apple Pay e Google Pay operam em sistemas de token separados do app bancário.

Passo 7 (25-30 minutos): troque a senha do e-mail de outro aparelho. E-mail é a chave-mestra de toda conta. Resets de senha de banco, corretora e pagamento caem todos no e-mail. Um ladrão com sessão de e-mail aberta no seu celular clica em todo “esqueci minha senha”. Troque agora, antes dele.

Passo 8 (30-40 minutos): troque contas que usavam autenticador no celular. Entre no Google, Microsoft, Dropbox e qualquer conta financeira que usava seu celular como autenticador. Use códigos de backup, e-mail secundário ou ligue na central. Revogue a sessão antiga do autenticador. Se você usava Google Authenticator sem códigos de backup e não consegue acessar a conta, ligue direto na recuperação do serviço.

Passo 9 (40-45 minutos): registre o B.O. pela Delegacia Eletrônica. No Brasil, registre online pelo portal do seu estado: dec.sp.gov.br (São Paulo), delegaciaonline.rj.gov.br (Rio de Janeiro), SI-DPC (Minas Gerais). Outros estados têm portais equivalentes. Anote o número do B.O. – você precisa dele para toda disputa bancária seguinte. Tenha esse número por escrito. Para casos com violência, vá presencialmente à Delegacia de Polícia Civil mais próxima.

Passo 10 (45-50 minutos): acione o Programa Celular Seguro. Acesse celularseguro.mj.gov.br do Ministério da Justiça e cadastre o aparelho roubado com o IMEI e o número do B.O. Uma única solicitação dispara bloqueio simultâneo nas operadoras (Vivo, Claro, TIM, Oi) e em apps de pagamento (Pix, Itaú, Bradesco, Nubank, Mercado Pago, PicPay). Em seguida, ligue para a central de fraudes de cada banco e diga: “Meu celular foi roubado às [hora e local]. Acredito que tentaram ou vão tentar transações não autorizadas pelos apps bancários no aparelho. Estou registrando ocorrência de fraude e pedindo bloqueio para disputa.” Passe o número do B.O.

Passo 11 (50-55 minutos): troque senhas de todo login salvo no celular. Prioridade: e-mail primeiro, depois bancos, depois corretoras, depois serviços de pagamento (PicPay, PayPal, Mercado Pago), depois redes sociais que possam ser usadas em engenharia social. Use um gerenciador de senhas de outro aparelho para atualizar de forma sistemática.

Passo 12 (55-60 minutos): defina senha de portabilidade na operadora. Ligue para a operadora e adicione PIN verbal ou numérico à sua conta. Isso barra tentativas de SIM swap em que o golpista liga para a operadora fingindo ser você. A Anatel exige verificação adicional para portabilidade desde 2023. Defina agora para proteger seu chip novo.

A linha do tempo do golpe SIM swap

SIM swap é o vetor que a vítima descobre por último e que o banco contesta com mais agressividade. Entender o golpe ajuda a sustentar o pedido de estorno.

O tempo médio de SIM swap pós-roubo é menos de 30 minutos, da primeira ligação à portabilidade completa do número, com base em casos documentados pela Anatel e pelo Procon-SP. O golpista liga para a operadora usando dados achados no celular (contatos salvos como “Mãe” ou “Itaú”, seu nome completo visível nos Ajustes, ou seu e-mail). Diz que perdeu o aparelho e precisa transferir o número para um chip novo. Um atendente, seguindo script com verificação mínima, completa a portabilidade.

Uma vez portado, todo SMS de senha temporária que os apps de banco mandam vai para o golpista. Ele entra no seu banco usando credenciais salvas do celular ou de um vazamento anterior, pede um código, recebe no número portado, aprova a transferência. O sistema do banco vê usuário correto, senha correta e código correto. Processa o pagamento.

Definir uma senha de portabilidade antes de qualquer roubo é a prevenção mais eficaz. Ela obriga quem ligar para a operadora a verificar o PIN antes de qualquer mudança na conta. A Anatel publicou em 2024 orientação exigindo verificação SMS adicional antes de portabilidade.

Proteção do consumidor no Brasil: o que a lei garante

A palavra “negligência grave” é onde a maioria das recusas de banco começa. Bancos às vezes alegam que digitar seu PIN (mesmo sob observação) ou ter o app do banco instalado configura negligência grave. Nem o Banco Central nem o Tribunal de Justiça de São Paulo acolhem esse argumento quando: (1) o roubo foi comunicado em horas, (2) existe número de B.O., e (3) a vítima tinha as configurações de segurança padrão ativadas. Guarde a documentação dos três pontos.

O Mecanismo Especial de Devolução (MED) do Pix, criado pela Resolução BCB de 2021, permite que o banco recebedor bloqueie e devolva valores transferidos em fraude. Solicite ao seu banco imediatamente após perceber o Pix fraudulento – quanto mais cedo, maior a chance de o dinheiro ainda estar na conta destino. O prazo formal para abertura é de até 80 dias, mas a janela útil são as primeiras 24 a 72 horas.

Quando o banco se recusa a estornar

Bancos recusam pedidos de fraude pós-roubo com três argumentos: “você autorizou com sua biometria”, “você tinha o PIN salvo no aparelho” ou “suas configurações de segurança eram insuficientes”. Nenhum desses é defesa válida automática sob o CDC ou as resoluções do Bacen.

Primeira etapa: ouvidoria do banco. Toda instituição financeira no Brasil é obrigada a manter ouvidoria com resposta em 10 dias úteis. Registre por escrito, anexe o B.O. e a linha do tempo do roubo. Sem resposta ou negativa? Próximo passo.

Segunda etapa: Procon. Registre no Procon estadual (procon.sp.gov.br para SP, procon.rj.gov.br para RJ). O Procon notifica o banco e cobra resposta. Reclamações no Procon entram em base pública (consumidor.gov.br) e afetam o rating da instituição.

Terceira etapa: Banco Central. Registre no canal Fale Conosco do Bacen em bcb.gov.br. O Banco Central encaminha a denúncia e monitora o tempo de resposta. Bancos com histórico ruim sofrem fiscalização. Esse canal tem dentes de verdade.

Quarta etapa: Justiça. Ação no Juizado Especial Cível (até 40 salários mínimos, sem advogado obrigatório até 20 salários). O TJ-SP e o TJ-RJ têm jurisprudência consolidada favorável ao consumidor em fraude pós-roubo de celular, fundamentada no CDC Art. 14 e na responsabilidade objetiva do banco pela segurança do serviço. Em paralelo, registre Notícia-Crime de estelionato (Art. 171 do Código Penal) no Ministério Público contra o autor da fraude.

Onde roubam celulares e como prevenir

Prevenção de longo prazo: quatro mudanças que funcionam

Find My iPhone guia completo

Ative o PIN do chip. No iPhone: Ajustes, Celular, PIN do SIM. No Android: Configurações, Segurança, Bloquear cartão SIM. Isso exige PIN de 4 dígitos para usar o chip em qualquer aparelho. Um ladrão que coloca seu chip em outro celular não consegue receber ligações ou SMS sem digitar o PIN. Três tentativas erradas bloqueiam o chip de vez.

Use um autenticador com PIN próprio, não SMS. Microsoft Authenticator e Duo permitem PIN ou biometria dentro do próprio app. Mesmo com o celular aberto, o ladrão não consegue ler códigos sem o PIN do app. Google Authenticator não tem esse recurso por padrão, o que é uma lacuna real para uso bancário.

Defina PIN do app do banco diferente do desbloqueio do aparelho. A maioria dos apps de banco brasileiros (Itaú, Bradesco, Santander, Banco do Brasil, Caixa, Nubank, Inter, C6) permite PIN interno diferente da senha do celular. Ative. Um ladrão que viu seu PIN do celular por cima do ombro ainda não consegue abrir o app sem esse segundo código. No Pix, ative o limite por transação e o limite noturno – todos os bancos brasileiros oferecem essas duas trancas desde 2021.

Defina uma senha de portabilidade na operadora. Ligue na central de atendimento e peça para adicionar senha de portabilidade ou PIN de segurança da conta. Vivo, Claro, TIM e Oi oferecem o recurso desde a regulação da Anatel de 2023. Esse único passo barra a maioria dos ataques de SIM swap que vêm depois do roubo de celular.

Nenhuma dessas mudanças leva mais de 10 minutos. Combinadas, elas reduzem a superfície financeira de ataque de um celular roubado de “tudo acessível” para “PIN da operadora mais PIN do app mais PIN do autenticador”, o que não vale os 30 minutos do tempo de um ladrão.

Se violência doméstica ou stalking faz parte da sua situação: recursos para abuso facilitado por tecnologia estão disponíveis pela Central de Atendimento à Mulher 180 (24h, gratuita), pelo Disque Direitos Humanos 100 e pelo SaferNet Brasil (helpline.org.br). A organização mantém guia separado para sobreviventes que precisam proteger contas sem alertar o parceiro abusivo.