Chegou recentemente à CpC um caso de burla bancária que, à primeira vista, levanta mais perguntas do que respostas. Uma conta bancária de um banco nacional recebeu duas entradas de dinheiro distintas: uma transferência por IBAN no valor de 1200 euros e uma transferência por MB Way de 1800 euros. Do ponto de vista técnico, estas operações são legítimas. O dinheiro entrou efetivamente na conta e ficou disponível à ordem do titular.

Pouco depois, alguém acedeu à mesma conta e realizou duas saídas de dinheiro, autenticadas com código da aplicação bancária. Isto significa que, para os sistemas do banco, as operações foram autorizadas pelo utilizador legítimo. Um detalhe é essencial: os valores retirados são inferiores aos montantes que tinham entrado.

A primeira pergunta analisada na CpC foi direta: onde está aqui o lucro do criminoso?

A resposta é clara. A conta que recebeu os 1200 e os 1800 euros não é o destino final do dinheiro. É apenas uma conta intermédia, usada como veículo temporário. Serve para fazer passar dinheiro de origem ilícita e ganhar tempo.

O dinheiro que entra raramente pertence ao titular da conta. Em muitos casos, vem de outras contas já roubadas ou de vítimas enganadas noutros esquemas. Quando essas vítimas descobrem o roubo, os bancos tentam reverter as transferências, num processo conhecido como “claw back”.

O problema é o timing. Antes de qualquer reversão, alguém já entrou na conta intermédia e retirou parte do dinheiro, usando a aplicação bancária. Esse dinheiro já desapareceu. Foi transferido, levantado ou convertido. Esse é o lucro do esquema.

Quando os bancos anulam as transferências iniciais, o dinheiro é retirado administrativamente da conta intermédia. Como parte do saldo já foi gasto, a conta pode ficar negativa. Quem fica com o prejuízo é o titular da conta usada como intermediária, não o burlão.

Em termos simples, o esquema funciona assim:
entra dinheiro roubado de terceiros,
uma parte é rapidamente desviada,
o resto é revertido pelos bancos,
e a vítima final fica com o prejuízo financeiro e, muitas vezes, com problemas legais.

Este é um esquema clássico de conta-mula com acesso indevido à app bancária. O lucro é o dinheiro que sai primeiro. O prejuízo fica para quem continua ligado à conta quando tudo é rastreado.

O erro mais comum é olhar apenas para as transferências. A burla começa antes. A conta já estava comprometida quando o dinheiro entrou. Nessa altura, o burlão já tinha acesso funcional à aplicação bancária e conseguia autorizar operações com os códigos da própria app.

Este acesso não resulta de falhas técnicas dos bancos, mas sim de engenharia social. Phishing por SMS ou email, chamadas falsas a fingir ser do banco, pedidos de códigos MB Way ou instalação de aplicações falsas que dão controlo do telemóvel. A falha é humana, não tecnológica.

O facto de os valores retirados serem inferiores aos que entraram não é um acaso. É uma técnica deliberada para evitar alertas automáticos, bloqueios de conta e deteção imediata. Não interessa maximizar o valor numa única operação. Interessa maximizar o tempo de operação sem levantar suspeitas.

O ponto mais grave surge depois. Do ponto de vista do banco, tudo foi autenticado corretamente. Houve código, houve confirmação. O ónus da prova recai sobre o titular da conta, que tem de demonstrar que foi enganado. Estas burlas não roubam apenas dinheiro: transferem o risco legal para a vítima.

Em síntese, a burla não está nas transferências em si. Está no controlo prévio da aplicação bancária, no uso de dinheiro de terceiros como matéria-prima e na retirada faseada de valores para gerar lucro mantendo a conta operacional. É um velho esquema, adaptado às apps modernas.

O que deve a vítima fazer de imediato:

1. Contactar o banco de imediato e pedir o bloqueio da app, dos acessos digitais e de todos os dispositivos associados.
2. Pedir a listagem de toda a informação sobre os dispositivos móveis onde a App bancária foi usada nas últimas semanas.
3. Solicitar a substituição de cartões, credenciais e códigos de autenticação.
4. Exigir que o reporte de fraude fique registado por escrito.
5. Apresentar queixa-crime junto da Polícia Judiciária (piquete e pessoalmente).
6. Reunir e preservar toda a prova: extratos, SMS, emails, números usados, anúncios, capturas de ecrã e cronologia dos factos.
7. Não apagar mensagens, chamadas ou conversas relacionadas com o caso.
8. Alterar passwords de email e de todos os serviços associados à conta.
9. Nunca partilhar códigos, mesmo quando alguém afirma ser “do banco”.
10. Instalar um antivírus no seu telemóvel (se ainda não o fez).