Ligaram a dizer que são do banco e pedem o código de autenticação para "anular" um movimento

O telefone toca. Antes, ou logo a seguir, chegou-te um SMS ou um email a dizer que houve uma “transferência não reconhecida” ou um “movimento suspeito” na tua conta, talvez com um link para confirmares. Agora, do outro lado da linha, uma voz calma diz que é do departamento de cibersegurança do teu banco. E sabe coisas tuas: o teu nome, os últimos dígitos do cartão, talvez o saldo. Diz que há uma transferência de grande valor a sair e oferece-se para a anular. Só precisa que confirmes a anulação com o código que vais receber por SMS.

Para já, faz só uma coisa: não digas esse código a ninguém. Se a chamada está a acontecer agora, desliga. Não precisas de dar explicações nem de ser malcriado, basta um “vou já ligar ao banco” e cortas a chamada. Por desligar, não perdes nada. Se ficares na linha e ditares aquele código, tens tudo a perder.

E se já o disseste, fica comigo. Isto tem caminho e o tempo agora joga a teu favor. Antes de mais, quero que acredites numa coisa: cair nisto não te faz ingénuo. O Ministério Público chamou a este esquema uma “campanha criminosa complexa”. São profissionais, com guião e treino, que sabem mexer com o medo. Apanha gente atenta todos os dias.

Como funciona

O golpe tem duas partes que encaixam uma na outra. Por dentro, funciona assim:

1. A primeira isca, por escrito. Mandam SMS ou emails a milhares de pessoas, em nome do banco, a avisar de uma “transferência suspeita” e a meter pressa: carrega “imediatamente” neste link. Quem carrega vai parar a uma cópia perfeita da página do banco e escreve lá os dados, incluindo o número de telemóvel. É assim que os criminosos ficam com dados reais da tua conta.
2. A chamada, a parte traiçoeira. Pouco depois ligam-te. Apresentam-se como o departamento de cibersegurança do banco e, para te convencerem, recitam os teus dados reais (os que tu próprio escreveste, ou que obtiveram antes). Dizem que há um movimento suspeito de grande valor a sair.
3. Oferecem-se para “salvar-te”. “Não se preocupe, eu anulo isso por si.” De repente, já não são o problema, são a solução. É aqui que baixas a guarda.
4. O truque do código. Enquanto falam contigo, são eles que, do lado deles, dão uma ordem de transferência para uma conta que controlam. O banco, como faz sempre, manda-te um código de autenticação por SMS para confirmares esse movimento. Eles pedem-te esse código, a dizer que é “para anular”. Tu ditas. E acabaste de autorizar a transferência deles. O código nunca anulou nada. Aprovou-a.
5. Mantêm-te ao telefone. Não te deixam desligar para “confirmar com a família” nem “ligar ao balcão”. Dizem que isso faz o dinheiro sair. É mentira. Querem-te sozinho até o dinheiro estar fora.

O detalhe que vira o estômago: muitas vezes o número que te aparece no ecrã é mesmo o do banco. Conseguem falsificar a origem da chamada (chama-se spoofing). Por isso o número certo no telemóvel não prova absolutamente nada.

Partilhar

O isco

Este golpe não joga com a ganância. Joga com o medo de perder o que é teu e com a confiança no banco. É por isso que apanha tanto as pessoas cuidadosas, as que têm poupanças e tremem só de pensar em vê-las desaparecer.

As alavancas que usam:

• Autoridade. “Departamento de cibersegurança do seu banco.” A farda invisível de quem manda e percebe de segurança.
• Dados reais. Saberem o teu nome e os dígitos do cartão derruba a desconfiança nos primeiros cinco segundos. Mas dados teus a circular não provam que é o banco. Provam que houve uma fuga.
• Urgência. “O dinheiro está a sair agora.” Não te dão tempo para respirar nem para confirmar.
• A inversão. Põem quem te está a roubar no papel de quem te está a salvar. É genial e é cruel. Tu agradeces enquanto te esvaziam a conta.

Sinais de alarme

Se ouvires um destes ao telefone, acende-se a luz vermelha. Dois ou mais, desliga sem pensar:

• Pedem-te um código de autenticação (o que recebes por SMS, ou o que aparece na app) seja com que desculpa for, incluindo “para anular” ou “para reverter” um movimento.
• Dizem que são do banco mas chegou primeiro um SMS ou email com um link sobre um “movimento suspeito”.
• Recitam dados teus para ganharem confiança e a seguir pedem-te uma ação.
• Metem pressa e dizem que tem de ser agora, senão o dinheiro sai.
• Não te deixam desligar para confirmar com o banco ou com a família.
• Querem que instales uma aplicação ou que sigas passos na tua própria app, guiado por eles.

Guarda esta regra e diz-a em voz alta se for preciso: um código de autenticação nunca anula nada. Só autoriza. O teu banco nunca to pede por telefone, SMS ou email.

O que fazer se já caíste

Se já ditaste o código, ou já meteste dados naquela página, eu sei o que estás a sentir. O frio na barriga, o “como é que fui cair nisto”. Respira. Há coisas a fazer e a rapidez é o que mais conta agora. Vamos por ordem e depressa.

Nos próximos 5 minutos:

1. Liga ao teu banco, já, pelo número do verso do cartão ou do site oficial (nunca por um número que te tenham mandado). Diz exatamente isto: “Fui vítima de uma burla, dei um código de autenticação a alguém que se fez passar pelo banco.” Pede para travar a transferência e bloquear a conta e o cartão. Se ligas depressa, às vezes a transferência ainda dá para parar.
2. Se a app deixar bloquear ou congelar o cartão com um toque, faz isso já enquanto esperas pela chamada.
3. Se meteste credenciais numa página, muda a password do acesso à conta online. Se a usavas noutros sítios, muda lá também.

Quem contactar:

• O teu banco, sempre o primeiro a saber. É quem pode agir sobre o dinheiro. Liga pelo número do verso do cartão ou do site oficial.
• A polícia (PSP ou GNR), para fazer queixa, online na Queixa Eletrónica em https://queixaselectronicas.mai.gov.pt ou numa esquadra.
• A Linha Internet Segura (operada pela APAV), onde podes reportar mensagens e sites de burla: 800 21 90 90 · linhainternetsegura@apav.pt (dias úteis, 8h-23h).

Como denunciar:

• Faz queixa, online na Queixa Eletrónica em https://queixaselectronicas.mai.gov.pt ou numa esquadra, com tudo o que tiveres: a hora da chamada, o número que apareceu, o SMS ou email que recebeste antes, o link, o que disseram, e o valor.

Como recuperar (se possível):

• Pede ao banco para tentar reverter a transferência ou contestar os movimentos. Não há garantias, e seria mentira eu prometer-te o dinheiro de volta. Mas avisar nos primeiros minutos é, de longe, o que mais aumenta as tuas hipóteses. Por isso não adies a chamada por vergonha. Ninguém te julga por teres sido enganado por profissionais.

Como te proteger no futuro

Para que este telefonema nunca mais te apanhe desprevenido:

• Decora a regra: o código de autenticação nunca anula um movimento, só autoriza. Quem to pede ao telefone quer roubar-te.
• Em caso de dúvida, desliga sempre. Não és malcriado por desligar a alguém que diz ser do banco. Desligas e ligas tu pelo número do verso do cartão. Se for mesmo o banco, eles percebem. Se não era, acabaste de te salvar.
• Não confies no número que aparece no ecrã. Pode estar falsificado para parecer o banco.
• Não carregues em links de SMS ou email sobre a tua conta. Abre tu a app oficial ou escreve o site à mão. Se houver mesmo um problema, aparece lá.
• Fala disto à mesa, com os teus pais ou avós. Quando já se ouviu falar do esquema, é muito mais difícil cair nele. Combinem que, antes de mexer em dinheiro por causa de uma chamada destas, telefonam primeiro a alguém de confiança.

---

Esquemas parecidos: Falso funcionário do banco ao telefone → /fichas/falso-funcionario-banco-telefone · SMS falso da Segurança Social → /fichas/sms-seguranca-social-reembolso

Fontes / quem já avisou:

• Banco de Portugal — alerta para tentativas de fraude por mensagens e chamadas falsas: o banco nunca pede, por email, SMS ou telefone, dados pessoais, credenciais de acesso aos canais digitais nem códigos de autenticação de operações. Ver bportugal.pt (“Recebeu um contacto, supostamente do seu banco, a pedir-lhe dados pessoais? Saiba o que fazer”).
• Ministério Público / Procuradoria-Geral da República (Gabinete Cibercrime) — alerta sobre “campanha criminosa complexa” dirigida a clientes de bancos em Portugal, que combina phishing e engenharia social: as vítimas ditam o código de autenticação a pensar que estão a anular um movimento, quando na verdade autorizam a transferência para os criminosos. O Gabinete Cibercrime aconselha a ignorar e apagar estas mensagens e a ter a mesma cautela com chamadas que peçam códigos ou validações. Em 2025, o Gabinete registou 695 denúncias de phishing e 303 de telefonemas fraudulentos. Ver cibercrime.ministeriopublico.pt.
• Cobertura: Jornal de Notícias (“Alerta para campanha de phishing por falsos agentes bancários”), SOL (“Não carregue neste link: pode ficar sem o dinheiro da sua conta, alerta PGR”, 16/06/2026), Público, SAPO.

Recebeste uma variante diferente? → formulário de reporte em /reporta Apoiar o projeto: /apoiar · Transparência: /transparencia