Codigo Alpha – Alpha code

Entenda a lei com clareza – Understand the Law with Clarity

Codigo Alpha – Alpha code

Entenda a lei com clareza – Understand the Law with Clarity

Direito digitalDireito do consumidor

Golpes com Milhas e Pontos de Fidelidade: Quem Responde e Como Garantir Reembolso

Código Alpha

Panorama: por que milhas e pontos são alvo de golpes

Programas de fidelidade e clubes de milhas concentram valor econômico conversível em passagens, hospedagem, produtos e até dinheiro. Esse ecossistema envolve bancos emissores, bandeiras, varejistas, intermediários (sites de emissão, cashback, redes de benefícios) e as próprias plataformas de milhas. A amplitude de integrações — APIs, carteiras, parceiros e marketplaces — amplia a superfície de ataque e explica o aumento de fraudes como sequestro de conta, transferências não reconhecidas, emissões indevidas de bilhetes e venda ilícita de pontos.

Mensagem-chave: No Brasil, relações entre consumidor e programas de fidelidade são regidas por princípios de informação, segurança, boa-fé e responsabilidade objetiva do fornecedor por falhas que integram seu risco do empreendimento (o chamado fortuito interno).

Tipologias de golpes mais comuns

Golpe Como ocorre Sinais de alerta
Account Takeover (sequestro de conta) Criminosos obtêm login/senha por phishing ou vazamentos e trocam o e-mail/telefone. Login desconhecido, alteração de dados, SMS de código sem solicitação.
Transferência indevida de pontos Transferem para outra conta ou emitem bilhetes para terceiros. Extratos com “transfer” fora do padrão, emissão em madrugada/feriado.
Golpe do intermediário Falsa agência ou “consultor” capta dados e emite bilhetes com acesso indevido. Pedidos de senha/código por WhatsApp, perfis sem CNPJ/endereço.
SIM swap e 2FA quebrado Tomam seu número, recebem códigos e autenticam operações. Perda súbita de sinal, chamadas e SMS que não chegam.
Phishing temático E-mails e páginas clonadas sobre bônus/urgência de expiração. Domínios estranhos, erros de português, urgência atípica.

Dever de segurança e o conceito de fortuito interno

Plataformas de milhas, bancos e parceiros devem adotar controles proporcionais ao risco: autenticação forte (MFA), detecção de anomalias, device binding, confirmação ativa de transferências, travas de valor e quarentena para operações atípicas. Quando a fraude decorre de fragilidade de sistema, falha no monitoramento ou de integração com parceiros, trata-se de fortuito interno — risco da própria atividade — e, via de regra, recai a responsabilidade objetiva sobre o fornecedor para reparar o dano, independentemente de culpa.

Mesmo quando há alguma participação do consumidor (ex.: clique em phishing), a jurisprudência costuma avaliar a cadeia de proteção implementada: se a plataforma não usava camadas robustas (geolocalização, biometria, confirmação fora de banda), a responsabilidade tende a ser reconhecida porque o risco previsível do setor exige barreiras adicionais.

Quem responde? Cadeia de fornecimento e solidariedade

Em emissões e transferências de milhas há uma cadeia de consumo (banco emissor do cartão, programa de fidelidade, gateway, companhia aérea, marketplace de passagens). Todos que participaram da oferta e execução do serviço podem responder de forma solidária perante o consumidor, que pode exigir a solução de qualquer um deles. Depois, os fornecedores ajustam a responsabilidade internamente (regresso).

Fluxo resumido de responsabilização

  • Falha sistêmica da plataforma de milhas ou do parceiro → responsabilidade objetiva pelo risco da atividade.
  • Cobrança indevida (ex.: anuidade/transfer fee não reconhecida) → restituição imediata e, em casos de má-fé, repetição em dobro.
  • Marketplace que intermedeia emissão/transferência → responde solidariamente com o fornecedor que finalizou a operação.

Provas e atuação prática do consumidor

  • Documente: extratos de pontos, e-mails de confirmação, logs do app, números de protocolos, prints da alteração de dados.
  • Notifique imediatamente a plataforma e o parceiro (banco/companhia aérea), peça bloqueio da conta e estorno de emissões/transferências.
  • Boletim de ocorrência e comunicação à operadora de telefonia (se houver indícios de SIM swap).
  • Registre reclamação em canais públicos e no órgão de defesa do consumidor local para acelerar mediação.
  • Persistindo o problema, avalie o Juizado Especial, juntando provas de falha de segurança e dano (material e, se for o caso, moral).

Prevenção: controles que reduzem a exposição

  • Ative MFA com biometria ou chave de segurança; evite apenas SMS.
  • Bloqueie transferências/emissões por padrão e libere caso a caso (ou defina limites diários e lista de confiança).
  • Monitore logins e dispositivos; remova aparelhos antigos e troque senhas após viagens ou incidentes.
  • Desconfie de bônus “imperdíveis” que exijam urgência e fornecimento de código; confirme domínios oficiais.
  • Mantenha o e-mail principal com MFA forte e alertas de novas sessões.

Políticas contratuais: validade e limites

Cláusulas que isolem completamente a responsabilidade (“uso por sua conta e risco”, “não nos responsabilizamos por terceiros”) são analisadas com restrição, especialmente diante de assimetria técnica e da necessidade de segurança por desenho nas plataformas. Regras sobre expiração de pontos, prazo de contestação e impedimentos de transferência devem ser claras e equilibradas; do contrário, podem ser consideradas abusivas. Também não é aceitável impor obstáculos artificiais para registro de contestação (ex.: atendimento exclusivamente telefônico com “fila infinita”, quando a contratação e a emissão são digitais).

Métricas e gráficos para gestão de risco (exemplo)

Para relatórios internos (síndicos de milhas corporativas, compliance de bancos/parceiros), recomenda-se acompanhar:

  • Taxa de ATO (contas sequestradas) por 10 mil contas ativas.
  • Tempo médio de detecção e de bloqueio após operação atípica.
  • Percentual de operações revertidas em até 48h.
  • Adesão a MFA forte (% de usuários com biometria/chave de segurança).
  • Incidentes com parceiros por integração/loja específica.

Esses indicadores podem ser plotados mensalmente para visualizar picos de fraude em campanhas de bônus e ajustar controles (ex.: quarentena temporária em transferências após mudança de e-mail ou aparelho).

Como estruturar a reclamação do consumidor (modelo enxuto)

Assunto: Transferência/emissão não reconhecida – pedido de bloqueio e estorno

“Sou titular da conta XYZ. Em data, às hora, houve transferência/emissão não reconhecida de xx.000 pontos. Solicito bloqueio preventivo, reversão da operação, restauração dos pontos e investigação, com envio dos logs (IP, dispositivo, geolocalização). Protocolos: nº…. Registrei BO e mantenho meus dispositivos com MFA. Aguardo solução em até 10 dias.”

Conclusão

Milhas e pontos são ativo digital de alto valor e, portanto, alvo prioritário de fraudadores. Cabe às empresas do ecossistema — bancos, programas de fidelidade, companhias aéreas e marketplaces — garantir arquitetura de segurança robusta, monitoramento preditivo e resposta rápida quando incidentes ocorrerem. Ao consumidor, compete adotar higiene digital, ativar MFA forte, desconfiar de urgências e documentar toda a comunicação. Em caso de golpe, a responsabilidade costuma recair sobre quem controla o risco e lucra com a operação, com dever de restituir e corrigir processos. Transparência, prevenção em múltiplas camadas e atendimento resolutivo são os pilares para reduzir perdas e preservar a confiança no sistema.

Guia rápido

  • Golpes mais comuns: sequestro de contas, transferências indevidas, emissões falsas de bilhetes e fraudes via WhatsApp.
  • Responsabilidade: bancos e programas de milhas respondem objetivamente por falhas de segurança (fortuito interno).
  • Consumidor: deve notificar imediatamente e guardar comprovantes, e-mails e protocolos.
  • Prova: extratos de pontos, logs de acesso, boletim de ocorrência e prints de alterações.
  • Reembolso: em fraudes comprovadas, a empresa deve restituir milhas e indenizar prejuízos.
  • Prazo: contestar até 90 dias, conforme regras internas ou prazos de consumo.
  • Vazamentos: falha de proteção de dados gera responsabilidade solidária (art. 42, LGPD).
  • Boas práticas: usar autenticação em dois fatores (MFA) e nunca compartilhar códigos.
  • Atendimento: empresas devem ter canal ágil e não podem impor obstáculos artificiais.
  • Recursos legais: CDC, LGPD e jurisprudência do STJ amparam o consumidor em fraudes digitais.

FAQ

1) Fui vítima de golpe com milhas. Quem é responsável?

Programas de fidelidade, bancos e parceiros respondem solidariamente, pois fazem parte da mesma cadeia de consumo. O risco é considerado fortuito interno.

2) O programa pode negar devolução alegando culpa do cliente?

Somente se provar que houve negligência grave e que os sistemas de segurança eram suficientes. Em regra, o fornecedor deve reembolsar.

3) Como devo agir ao perceber movimentações estranhas?

Bloqueie a conta, comunique imediatamente o programa e o banco, registre boletim de ocorrência e preserve provas (prints e protocolos).

4) E se a fraude ocorreu por um parceiro ou intermediário?

A responsabilidade é solidária entre todos os fornecedores, inclusive marketplaces e companhias aéreas.

5) O que é fortuito interno?

É o risco inerente à atividade empresarial. Falhas de sistema, vazamentos e brechas de segurança não afastam a obrigação de indenizar.

6) Posso exigir devolução em dobro?

Sim, se houver cobrança indevida ou recusa injustificada em reembolsar, conforme o art. 42, parágrafo único, do Código de Defesa do Consumidor.

7) Há prazo para contestar a perda de milhas?

O ideal é agir imediatamente. Formalmente, o CDC garante prazos de 90 dias para serviços e até 5 anos para perdas financeiras.

8) Fraudes de milhas são consideradas crimes?

Sim. Podem configurar furto qualificado, estelionato digital ou invasão de dispositivo (arts. 155 e 171 do Código Penal, art. 154-A do Marco Civil).

9) O que fazer se a empresa se recusar a devolver os pontos?

Registre reclamação no Procon, SENACON ou Consumidor.gov, e, se necessário, acione o Juizado Especial com provas do golpe.

10) Como posso evitar novos golpes?

Use autenticação de múltiplos fatores, monitore logins, não clique em links suspeitos e verifique o domínio antes de informar senhas.

Base jurídica e fundamentos normativos

A responsabilidade das empresas em casos de golpes com milhas e pontos está prevista no
Código de Defesa do Consumidor (Lei nº 8.078/1990), que estabelece a responsabilidade objetiva
do fornecedor (art. 14) por falhas na prestação do serviço. Também se aplica o conceito de fortuito interno,
pelo qual o risco da atividade comercial não exime o fornecedor de reparar danos.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) impõe dever de segurança e prevenção a vazamentos,
prevendo sanções e reparação em caso de uso indevido de informações pessoais.
Já o Marco Civil da Internet (Lei nº 12.965/2014) garante dever de guarda e integridade de registros de acesso,
servindo como base probatória em investigações.

A jurisprudência consolidada do STJ reforça a responsabilidade solidária entre bancos, operadoras de cartões,
programas de fidelidade e parceiros intermediários quando há falha no sistema de segurança ou atendimento inadequado ao consumidor.

Resumo técnico: toda empresa que integra o sistema de milhas assume o dever de proteger dados, monitorar acessos e responder objetivamente por fraudes previsíveis no ambiente digital.

Considerações finais

Os golpes com milhas e pontos de fidelidade estão cada vez mais sofisticados, exigindo das empresas protocolos robustos de segurança,
monitoramento constante e canais eficientes de suporte. Do lado do consumidor, é essencial adotar cuidados preventivos,
manter registros e agir rapidamente em caso de suspeita.
A legislação brasileira é clara: quem oferece o serviço responde pelo risco da atividade e deve garantir a restituição e indenização adequadas.

Aviso: Este conteúdo é de caráter informativo e não substitui a consulta com um profissional especializado.
Cada caso concreto pode envolver detalhes técnicos, contratuais e probatórios distintos.

Mais sobre este tema

Mais sobre este tema

Obrigado por ler — este conteúdo foi pensado em você

Antes de mais nada, obrigado por dedicar seu tempo a este artigo. O Código Alpha existe para facilitar sua vida com conteúdos claros, úteis e responsáveis. Nosso objetivo é transformar temas complexos em informação prática, para que você tome decisões com mais segurança no dia a dia.

Nosso compromisso com você

Publicamos com foco em clareza, utilidade e respeito ao leitor. Linguagem acessível, exemplos reais e atualização constante. Quando houver mudanças relevantes, nossa missão é atualizar rapidamente.

Como garantimos qualidade

Seguimos pauta, pesquisa em fontes confiáveis, redação humanizada, revisão e melhoria contínua. Em temas sensíveis, reforçamos que o conteúdo é informativo e não substitui atendimento profissional.

Navegue com profundidade

Este artigo é um ponto de partida. Use os conteúdos relacionados ao final da página para se aprofundar com curadoria.

Mensagem-chave

Você é a razão de existir do Código Alpha. Informação útil e responsável — sempre.

Fale com a gente — dúvidas, correções e sugestões

Se ficou alguma dúvida ou tem sugestões, fale conosco pela página Contato. Seu retorno nos ajuda a manter o conteúdo preciso e útil.

Como sua participação ajuda

  • Sugestões de temas para aprofundarmos;
  • Exemplos práticos (sem dados sensíveis);
  • Correções/updates quando regras mudarem.

Responsabilidade

Os conteúdos são informativos e não substituem consulta com profissionais habilitados para o seu caso específico.

Acessibilidade

Estamos melhorando o site para mais pessoas. Se notar barreiras de acesso, descreva o problema e o dispositivo que usa.

Boas práticas

  • Use os subtítulos para ir direto ao ponto;
  • Aproveite o Veja também ao final para aprofundar;
  • Confira a data em temas que mudam com frequência.

Mensagem-chave

Conte conosco — e conte sua experiência para nós. Quando você participa, toda a comunidade ganha.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *