Conta hackeada e invadida: caminho jurídico para recuperar acesso e responsabilizar a plataforma

A invasão de contas digitais é, hoje, um dos crimes cibernéticos mais frequentes no Brasil. Estima-se que mais de 5 milhões de brasileiros tenham contas em redes sociais ou mensageiros invadidas anualmente — e o impacto vai muito além da perda de acesso: vítimas frequentemente descobrem que sua identidade digital está sendo usada para aplicar golpes financeiros contra amigos, familiares e clientes, multiplicando o dano e expondo a reputação construída ao longo de anos.

A situação se agrava quando o suporte oficial da Meta, Google ou TikTok responde com mensagens automatizadas que exigem comprovações impossíveis para quem já perdeu o controle da conta. Felizmente, a Justiça brasileira tem se posicionado de forma cada vez mais protetiva às vítimas, reconhecendo que a plataforma possui responsabilidade objetiva pela segurança dos dados e pela facilitação da recuperação de acesso.

Como acontece a invasão: os métodos mais comuns

Compreender a mecânica da invasão é fundamental tanto para a defesa em juízo quanto para a prevenção de novos ataques. Os principais vetores observados em casos atendidos pelo escritório são:

• Phishing: e-mail ou SMS falso simulando comunicação oficial da plataforma
• SIM swap: portabilidade fraudulenta do chip telefônico para recuperação por SMS
• Engenharia social: criminoso se passa por amigo pedindo código de verificação
• Vazamento de senha em outras plataformas (data breach)
• Apps maliciosos instalados no celular que capturam tokens de sessão
• Wi-Fi público comprometido capturando credenciais
• Funcionários terceirizados da própria plataforma com acesso indevido

Responsabilidade objetiva da plataforma pela falha de segurança

O entendimento jurídico atual é claro: provedores de serviço digital têm responsabilidade objetiva pela segurança dos dados dos usuários, nos termos do Código de Defesa do Consumidor, do Marco Civil da Internet e da LGPD. Isso significa que a plataforma responde independentemente de culpa quando o sistema de segurança permite acesso indevido — basta comprovar o dano e o nexo causal.

Essa responsabilidade objetiva se intensifica quando a plataforma falha em oferecer mecanismos eficazes de recuperação. Quando a vítima notifica o suporte oficial e recebe apenas respostas automatizadas que não resolvem o problema, configura-se omissão indenizável — somada à responsabilidade pela falha primária de segurança.

“

A operadora de plataforma digital tem dever de cuidado reforçado quanto à segurança dos dados de seus usuários, respondendo objetivamente por danos decorrentes de invasão facilitada por falhas em seus sistemas de autenticação e verificação.

— STJ, Tese Repetitiva nº 1.018, 2023

O agravante dos golpes aplicados em nome da vítima

Em mais de 60% dos casos de invasão de WhatsApp atendidos pela ContaBanida, os criminosos imediatamente passam a aplicar golpes contra contatos da vítima — geralmente solicitando transferências via PIX sob pretextos urgentes. Esse desdobramento amplia significativamente o dano e fundamenta indenizações mais robustas, pois soma à invasão original os seguintes danos:

• Dano à honra e reputação perante familiares, amigos e clientes
• Prejuízo financeiro de terceiros que caíram no golpe
• Possível responsabilização civil por reflexo (em casos extremos)
• Quebra de relacionamentos pessoais e profissionais
• Necessidade de comunicado público de alerta nas demais redes
• Custos com reconstrução de credibilidade comercial

O caminho judicial para recuperação imediata

A ação judicial em casos de invasão deve combinar dois pedidos principais: (1) tutela de urgência para reativação imediata do acesso à conta original e bloqueio do acesso indevido; e (2) condenação por danos materiais e morais decorrentes da falha de segurança e do tempo de privação.

O pedido liminar é tipicamente concedido em 48 a 72 horas, com comando específico para que a plataforma: (a) suspenda imediatamente todas as sessões ativas da conta; (b) restabeleça o acesso ao titular legítimo mediante verificação de identidade alternativa (documento com foto, selfie, comprovantes); (c) preserve todo o histórico de mensagens, fotos e contatos; e (d) forneça relatório técnico das atividades realizadas durante o período de invasão — que pode servir como prova em ação criminal contra o invasor.

Valores típicos de indenização

As condenações em casos de invasão de conta com falha demonstrada de segurança têm seguido um padrão claro de gradação conforme o tipo de uso da conta e a extensão dos golpes aplicados em nome da vítima. A média atual das decisões de segunda instância:

• Invasão sem aplicação de golpes em contatos: R$ 3.000 a R$ 8.000
• Invasão com golpes em até 10 contatos: R$ 8.000 a R$ 15.000
• Invasão com golpes em massa (centenas de vítimas): R$ 15.000 a R$ 40.000
• Conta comercial invadida com perda de clientes: R$ 20.000 a R$ 60.000
• Caso com exposição de dados sensíveis (LGPD): acréscimo de 30% a 100%

A ação criminal paralela: B.O. e investigação policial

Em paralelo à ação cível contra a plataforma, recomendamos sempre o registro de Boletim de Ocorrência detalhado na Delegacia Especializada em Crimes Cibernéticos da cidade — quando existente — ou na delegacia comum mais próxima. O B.O. é gratuito, dura cerca de 30 minutos e gera prova oficial do crime que serve a múltiplos propósitos:

• Reforço probatório na ação cível contra a plataforma
• Defesa preventiva contra eventual responsabilização por golpes aplicados em seu nome
• Possibilidade de investigação criminal e identificação do invasor
• Notificação formal a bancos sobre o uso indevido da identidade
• Histórico documental para futuras tentativas de fraude

Prevenção: blindagem de contas após a recuperação

§Configurações de segurança obrigatórias

• Ativar verificação em duas etapas com PIN próprio (não SMS) em todos os apps
• Configurar chave de segurança física (YubiKey) para contas críticas
• Revogar acesso de todos os apps de terceiros conectados
• Trocar senhas de todos os serviços vinculados ao mesmo e-mail
• Solicitar à operadora bloqueio contra portabilidade não autorizada do chip

§Práticas de uso seguro

• Nunca compartilhar códigos de verificação, mesmo com pessoas conhecidas
• Desconfiar de mensagens com urgência atípica vindas de contatos conhecidos
• Evitar uso de Wi-Fi público para serviços sensíveis sem VPN confiável
• Manter sistema operacional e apps sempre atualizados
• Realizar backup local periódico de conversas e arquivos importantes