A taxa é a mais alta da categoria e gera um prejuízo médio de R$ 863 por pessoa. Só o golpe do Pix já roubou R$ 25 bilhões das pessoas —superando furtos e roubos de celulares (R$ 23,5 bilhões), segundo dados do Anuário Brasileiro de Segurança Pública de 2024.
Apesar da gravidade, o registro de Boletins de Ocorrência (BOs) ainda é baixo —só 16% das vítimas de golpes com Pix ou boletos formalizaram a denúncia.
Por isso, o criminoso tem migrado de forma significativa para a internet. Infrações que antes eram praticadas nas ruas agora utilizam meios tecnológicos para alcançar um maior número de vítimas Alessandro Gonçalves Barreto, delegado coordenador do Laboratório de Operações Cibernéticas da Secretaria Nacional de Segurança Pública
Como funciona o golpe
Mensagens simulam cobranças ou movimentações bancárias. O primeiro passo é estabelecer contato com a vítima. Para isso, o criminoso liga ou manda SMS usando da chamada técnica da engenharia social, que significa manipular e gerar pânico para convencer alguém a agir sem pensar. "Induzem a vítima a acreditar que está em 'apuros' e, após ganhar confiança, desviam valores das contas", explica Barreto.
"Como minha mãe costuma comprar produtos nessa loja, meu pai foi confiando. Ela tinha ido ao supermercado e, quando voltou, ele comentou: 'Querida, já paguei aquela conta que estava atrasada lá naquela loja'. Minha mãe na hora percebeu que era golpe", conta uma professora paulistana de 37 anos, que preferiu não se identificar. "A transação começou com um SMS e, depois, o golpe foi concluído pelo telefone. A gente tentou ligar de volta, mas a ligação nunca completava. Ele perdeu quase R$ 700."
Para tornar o contato mais real, criminoso usa código curto falso. O SMS das empresas para disparo em massa costuma vir de um número de três a seis dígitos —por exemplo, o número "38383". Mas os criminosos já conseguem forjar para que as mensagens enviadas por eles também apareçam assim. É o chamado "código curto fraudulento" ou SMS pirata. Então, a vítima não tem como saber se é um disparo de marketing, um aviso dos correios ou uma cobrança bancária de verdade.
Golpista se passa pelo banco usando informações vazadas. Eles simulam uma conversa oficial, fingindo ser uma central bancária ou de cartão, e tudo fica altamente convincente, porque conseguem acessar dezenas de dados vazados sobre as pessoas —CPF, renda, parentes, registro de bom pagador, etc. Existem mais de 1 bilhão de registros de brasileiros vazados ou roubados facilmente acessáveis em painéis de dados na internet, segundo levantamento da Tenable, empresa de cibersegurança. A assinatura desse tipo de painel de dados custa entre R$ 30 e R$ 350 ao mês, como revelou o UOL Prime.
Disparo em massa para que alguém clique em link malicioso ou faça Pix. Em geral, há envio em massa de mensagens com ofertas falsas, cobranças e solicitações de dados bancários. Em alguns casos, o golpista faz ligação de falsa central telefônica, que imita o número de telefone do banco ou da empresa original. Pode haver ainda instalação de softwares de acesso remoto —o chamado "golpe da mão fantasma". O objetivo é sempre convencer alguém, em milhares, a cair no golpe e transferir o dinheiro.
"Recebia tanto SMS que parei de checar o app. E os telefones, eu ia bloqueando, mas sempre aparecia um novo", diz um servidor federal de 45 anos, morador de Santos (SP). "Chegou ao ponto de eu desativar as notificações, o que é ruim, porque usava para acompanhar os gastos do cartão de crédito. Já peguei compra feita por golpista no meu nome vendo as mensagens, mas agora não tem mais como."
Como os criminosos se safam
SMS é disparado de número 'fantasma', o que impede a identificação do criminoso. Os envios em massa de SMS são feitos por empresas que usam linhas de celular com registros falsos. Ou seja, os criminosos usam o mesmo painel citado acima para pegar dados pessoais e comprar planos pré-pagos nas operadoras em nome de pessoas físicas.
Registro falso dificulta que o golpista seja identificado e punido. Cheque sua fatura: há grandes chances de encontrar nela números desconhecidos que usaram seus dados para habilitar uma linha. A reportagem do UOL encontrou recorrentemente em um plano familiar de São Paulo até quatro linhas pré-pagas "estranhas", com DDDs do litoral e do interior paulista, que ninguém do grupo havia contratado.
Cancelamento depende da ação do dono da linha, que precisa ativamente entrar em contato com a operadora. Procuradas, as operadoras, responsáveis por tornar o processo de compra mais seguro e controlado, se recusaram a comentar e não explicaram por que é tão fácil contratar um plano pré-pago usando dados roubados.
Crime organizado também criou o próprio sistema de operadoras e plataformas para executar o crime. Segundo especialistas, as tecnologias usadas são consideradas avançadas até por quem trabalha no setor e exploram a fragilidade do sistema de SMS: envolvem spoofing (técnica de enganar o usuário), proxies (servidor intermediário) e VPNs (rede de conexão privada e criptografada) para mascarar a origem de chamadas e mensagens e dificultar a identificação e a punição.
Sistemas de SMS e chamadas são frágeis desde sua concepção, não foram projetados com segurança robusta, o que dificulta a implementação de mecanismos modernos de proteção. Além disso, muitos golpistas operam fora do país, complicando ainda mais o rastreamento. Mas existem ferramentas, usadas em outros países, que identificam o autor do golpe, como Stir/Shaken [protocolo de autentificação], RCD [Rich Call Data, informação enriquecida da ligação] e inteligência artificial para analisar padrões.
Luiz Henrique Barbosa, especialista em segurança digital
A desterritorialização do estelionato dificulta a investigação. "A vítima faz o boletim de ocorrência em um estado, e a investigação aponta que o endereço de IP é de outro. É necessária uma carta de cooperação entre as polícias para o avanço das investigações", explica Túlio Bueno de Alckmin Morais, delegados de polícia de São Paulo.
Ninguém se responsabiliza
Ausência de dados reflete lacuna operacional, diz Alexander Coelho. Especialista em direito digital e proteção de dados, ele explica que a LGPD e o Marco Civil da Internet exigem das empresas o registro de atividades, mas para fins de auditoria e investigação, não para um banco público de fraudes.
Anatel diz que o fornecimento de códigos curtos é responsabilidade das operadoras. A própria Agência Nacional de Telecomunicações diz que exige que as operadoras monitorem e previnam o envio de SMS fraudulentos e que elas têm a obrigação de fornecer ferramentas para que os consumidores bloqueiem mensagens indesejadas. Mas não há informações de como essa fiscalização é feita.
A organização, a distribuição e o controle dos códigos curtos estão a cargo das prestadoras de SMP [serviço de telefonia móvel], que podem utilizá-los para efetuarem envios massivos de SMS, como celebrarem acordos para empresas terceirizadas comercializarem pacotes de envios de SMS para interessados em divulgação de marketing, promoções, etc.
Anatel
Anatel não forneceu dados sobre uso desses códigos, mas reconheceu aumento das denúncias sobre fraudes. A agência diz que estuda novas medidas de controle, como mecanismos de autenticação, plano de gerenciamento de SMS e criação de lista de códigos suspeitos. Mas ainda não há qualquer previsão para isso.
Descumprimento das medidas da Anatel pode resultar em sanções. Em entrevista ao UOL, o presidente da Anatel, Carlos Manuel Baigorri, disse que multas podem chegar a R$ 50 milhões. Há também o risco de extinção da autorização para prestação de serviço de telecomunicações de prestadora considerada conivente com as práticas criminosas. A Anatel disse que já multou empresas por casos de golpes, mas não deu detalhes.
Em breve, com o Origem Verificada [um identificador inteligente de chamadas], teremos mais um mecanismo para coibir a utilização ilegal de múltiplos números aleatórios para chamadas de um mesmo originador, prática que dificulta a identificação do remetente e o bloqueio de chamadas indesejadas ou fraudulentas..
Carlos Manuel Baigorri
Fiscalizar os códigos é obrigação das operadoras, mas Anatel deveria fiscalizar operadoras. As operadoras devem garantir que os códigos curtos usados no disparo sejam legítimos. Caso sejam enviados sem consentimento ou envolvendo fraude, o consumidor deve acionar a operadoras e a Anatel. Mas, segundo João Valença, advogado especializado em crimes cibernéticos, o uso desses código fraudulento indica uma falha na supervisão das operadoras, que deveriam ser responsabilizadas.
A regulamentação atual carece de um mecanismo que obrigue tanto operadoras quanto órgãos públicos a divulgar estatísticas regulares sobre golpes.
Alexander Coelho
Operadoras de telefonia se recusaram a comentar. O UOL procurou as três principais operadoras, Tim, Claro e Vivo, que transferiram a questão para a Conexis Brasil Digital, sindicato nacional das empresas de telecomunicação. Em nota, a entidade disse apenas que as operadoras seguem "rígidos critérios de segurança" e "as melhores práticas disponíveis" e atuam "sempre que verificam suspeitas de irregularidades, aperfeiçoando continuamente os procedimentos contra fraudes".
Bancos, por meio da Febraban, encaminham periodicamente para a Anatel os números usados em golpes. A Federação Brasileira de Bancos informou cerca de 800 números nos últimos seis meses e pediu que fossem bloqueados.
SSP-SP diz que intensificou ações contra falsas centrais e pede registro de BOs. "A DCCIBER (Delegacia de Crimes Cibernéticos) realiza investigações para identificar e responsabilizar os criminosos envolvidos em golpes, com o apoio das instituições bancárias e operadoras de telefonia. Além do trabalho investigativo, tem investido em tecnologias e soluções de inteligência para fortalecer a segurança digital e prevenir novos crimes", diz a nota.
O que fazer
Quem foi vítima pode buscar ressarcimento. Em casos de cobranças indevidas (como assinaturas) e prejuízos financeiros e emocionais, o consumidor tem o direito de cancelar serviços não autorizados sem custo e buscar compensação por danos morais, de acordo com o Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados.
Tribunais já reconhecem o impacto dessas fraudes, e ações judiciais são válidas para reverter os danos materiais e emocionais causados por essas práticas abusivas. Os consumidores têm direito à transparência e segurança, especialmente em comunicações que envolvem códigos curtos e dados sensíveis.
Valença
Confira as orientações da agência para que se proteger contra fraudes e golpes no ambiente digital:
- Desconfie das mensagens: Evite clicar em links ou fornecer informações pessoais.
- Verifique a autenticidade: Confirme a veracidade com a instituição mencionada, pelos canais oficiais.
- Proteja seu celular: Mantenha-o atualizado e use senhas fortes.
- Não dê dados sensíveis: Instituições legítimas não costumam solicitar senhas, dados bancários ou pedir a instalação de apps. Nunca passe informações pessoais por SMS ou ligações.
- Bloqueie mensagens spam: A maioria dos celulares já oferece esse tipo de bloqueio. Veja aqui diversas formas de fazer isso.
- Denuncie: Caso receba mensagem ou ligação suspeitas, reporte à operadora e, se necessário, às autoridades.
Os sinais dos golpes
Júlio Concilio, professor do Ibsec (Instituto Brasileiro de Segurança Cibernética), lista os sinais mais comuns:
- Sensação de urgência para que você tome atitude sem pensar.
- Pedidos de dinheiro, para pagar conta ou fazer Pix.
- Dívidas vindas de instituições financeiras ou lojas virtuais citando débitos em conta ou cartão de crédito.
- Erros ortográficos e falas informais em ligações e mensagens de texto.
- Links com promoções e ofertas de produtos com preços muito abaixo do mercado