Phishing Bancário: Como Identificar e Se Proteger do Golpe Virtual Mais Comum do Brasil

Você recebe um e-mail do seu banco informando que sua conta foi bloqueada. A mensagem parece legítima: tem o logotipo correto, a formatação profissional e um link para "desbloquear" sua conta. Você clica, insere seus dados... e acaba de entregar suas informações a um criminoso. Isso é **phishing** — e é o golpe virtual mais praticado no Brasil.

Segundo dados da Kaspersky, o Brasil registrou mais de **553 milhões de tentativas de phishing** em 2025, consolidando o país como um dos mais afetados do mundo por esse tipo de fraude. O setor bancário é o principal alvo: de acordo com a Serasa Experian, foram quase **7 milhões de tentativas de fraude** no primeiro semestre de 2025, um aumento de 29,5% em relação ao mesmo período do ano anterior.

O que é phishing

O termo "phishing" vem do inglês "fishing" (pescar) e descreve exatamente a técnica utilizada: os criminosos lançam uma "isca" digital para "pescar" dados pessoais e financeiros das vítimas. A isca pode ser um e-mail, SMS, mensagem de WhatsApp, site falso ou até uma ligação telefônica.

O objetivo é sempre o mesmo: fazer a vítima acreditar que está interagindo com uma instituição legítima (banco, operadora, governo, loja) para que ela forneça voluntariamente informações sensíveis como senhas, números de cartão, CPF e dados bancários.

Os tipos mais comuns de phishing

Os golpistas utilizam diferentes canais para aplicar o phishing. Conhecer cada modalidade é fundamental para se proteger:

### 1. Phishing por e-mail A forma mais clássica. O criminoso envia e-mails que imitam comunicações oficiais de bancos, com logotipos, cores e linguagem institucional. Geralmente informam sobre bloqueio de conta, transação suspeita ou atualização cadastral, incluindo um link para um site falso.

### 2. Smishing (SMS + Phishing) Mensagens de texto que simulam alertas bancários: "Compra aprovada de R$ 2.499,00 no seu cartão. Se não reconhece, ligue para 0800-XXX-XXXX". O número leva a uma falsa central de atendimento.

### 3. Vishing (Voice + Phishing) Ligações telefônicas em que o golpista se passa por funcionário do banco. Utiliza gravações profissionais e menus eletrônicos para parecer legítimo. Solicita dados da conta, senhas e até pede que a vítima instale aplicativos de acesso remoto.

### 4. Phishing por WhatsApp Mensagens que chegam por WhatsApp com links para sites falsos, promoções inexistentes ou pedidos de atualização de dados. Muitas vezes, o golpista clona o número de um contato da vítima para dar credibilidade.

### 5. Spear phishing Uma versão mais sofisticada e direcionada. O criminoso pesquisa informações específicas sobre a vítima (nome, cargo, empresa, processos judiciais) para criar mensagens altamente personalizadas e convincentes.

Como identificar um phishing

Apesar de cada vez mais sofisticados, os golpes de phishing deixam sinais que podem ser identificados:

• Urgência exagerada: "Sua conta será bloqueada em 24 horas", "Ação imediata necessária"
• Erros de português: Mesmo em mensagens bem elaboradas, é comum encontrar erros gramaticais ou de formatação
• Remetente suspeito: O endereço de e-mail não corresponde ao domínio oficial da instituição (ex: [email protected] em vez de @banco.com.br)
• Links estranhos: Ao passar o mouse sobre o link (sem clicar), a URL exibida não corresponde ao site oficial
• Pedido de dados sensíveis: Bancos nunca pedem senha, número completo do cartão ou código de segurança por e-mail, SMS ou telefone
• Ofertas boas demais: Promoções irreais, prêmios inesperados ou dinheiro fácil
• Anexos inesperados: Arquivos que você não solicitou, especialmente .exe, .zip ou .pdf de remetentes desconhecidos

Como se proteger do phishing

A prevenção é a melhor defesa. Adote estas práticas no seu dia a dia:

1. **Nunca clique em links de e-mails ou SMS suspeitos** — acesse o site do banco digitando o endereço diretamente no navegador 2. **Verifique sempre o remetente** — confira se o e-mail vem do domínio oficial da instituição 3. **Ative a autenticação em duas etapas** (2FA) em todas as suas contas bancárias e de e-mail 4. **Mantenha o antivírus atualizado** e utilize um navegador com proteção contra phishing 5. **Não forneça dados pessoais por telefone** — se o banco ligar, desligue e ligue você mesmo para o número oficial 6. **Desconfie de urgência** — golpistas criam pressão para que você aja sem pensar 7. **Verifique o cadeado SSL** — sites legítimos de bancos sempre começam com https:// e exibem o cadeado de segurança 8. **Não instale aplicativos solicitados por terceiros** — bancos nunca pedem que você instale apps de acesso remoto 9. **Monitore suas contas regularmente** — verifique extratos e ative notificações de transações 10. **Eduque familiares e idosos** — pessoas mais velhas são alvos frequentes e precisam de orientação

O que diz a lei

O phishing bancário é tipificado como crime no Brasil por diversas leis:

• Estelionato eletrônico (art. 171, §2º-A, do Código Penal, incluído pela Lei 14.155/2021): pena de 4 a 8 anos de reclusão, além de multa. A pena é aumentada de 1/3 a 2/3 se o crime é praticado contra idoso ou vulnerável
• Furto mediante fraude eletrônica (art. 155, §4º-B, do Código Penal, incluído pela Lei 14.155/2021): pena de 4 a 8 anos de reclusão
• Invasão de dispositivo informático (art. 154-A do Código Penal, Lei 12.737/2012): pena de 1 a 4 anos de reclusão e multa
• Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD): responsabiliza empresas que não protegem adequadamente os dados dos clientes

A Lei 14.155/2021 foi um marco importante, pois endureceu significativamente as penas para crimes cibernéticos e permitiu que a ação penal seja proposta no **domicílio da vítima**, facilitando o acesso à Justiça.

O que fazer se você foi vítima

Se você caiu em um golpe de phishing, siga estes passos imediatamente:

1. **Entre em contato com o banco** — ligue para o SAC ou vá a uma agência e solicite o bloqueio imediato de cartões e contas comprometidas 2. **Troque todas as senhas** — altere as senhas de e-mail, banco, redes sociais e qualquer serviço que use a mesma senha 3. **Registre um Boletim de Ocorrência** — vá à delegacia de crimes cibernéticos ou registre online 4. **Acione o MED do PIX** — se houve transferência via PIX, solicite o Mecanismo Especial de Devolução ao banco. O prazo é de **até 80 dias contados da data do fato** 5. **Registre reclamação no Banco Central** — acesse consumidor.gov.br ou o site do Banco Central 6. **Guarde todas as provas** — salve e-mails, prints de tela, comprovantes de transação, números de protocolo 7. **Monitore seu CPF** — consulte regularmente o Registrato do Banco Central e serviços como Serasa para verificar se não foram abertas contas ou empréstimos em seu nome

O banco pode ser responsabilizado?

Sim, em diversas situações. O Superior Tribunal de Justiça (STJ) tem reconhecido a responsabilidade das instituições financeiras por fraudes eletrônicas, com base na **Súmula 479 do STJ**, que estabelece que as instituições financeiras respondem **objetivamente** pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

Em outubro de 2025, o STJ reafirmou esse entendimento ao decidir que bancos e instituições de pagamento devem indenizar clientes vítimas de golpes quando há falha na segurança dos seus sistemas. O tribunal entende que a sofisticação do golpe não exime o banco da responsabilidade quando seus mecanismos de segurança são insuficientes para proteger o cliente.

Além disso, o Código de Defesa do Consumidor (art. 14) estabelece a responsabilidade objetiva do fornecedor de serviços por defeitos na prestação, o que inclui falhas nos sistemas de segurança bancária.