Fraudes em Compras Online: quem é o responsável — o vendedor ou o site?

Panorama: por que fraudes em compras online acontecem e quem responde

O comércio eletrônico cresceu aceleradamente e, com ele, as fraudes em diferentes fases da jornada: cadastro, navegação, pagamento, logística e pós-venda. Em linhas gerais, a responsabilidade pela proteção do consumidor é compartilhada entre o vendedor (quem oferta e entrega o produto/serviço) e o site/plataforma (marketplace, gateway, PSP, provedor de meios de pagamento), observando princípios como dever de informação, segurança, qualidade e transparência. Em relações de consumo, a regra é de responsabilidade objetiva do fornecedor por defeitos do serviço e falhas de informação, com hipóteses de excludentes quando demonstradas de forma robusta (p.ex., culpa exclusiva do consumidor ou fato de terceiro inevitável).

Tipos de fraude mais comuns no e-commerce

Fraude de pagamento (cartão, PIX, boleto)

• Cartão não presente (CNP): uso indevido de dados de cartão por terceiros, gerando chargeback.
• Cartão verdadeiro, dono enganado: golpe de engenharia social; tecnicamente a transação foi autorizada, mas o consentimento foi viciado.
• PIX adulterado: QR code/“copia e cola” com chave alterada, spoofing de tela ou interceptação de comunicação fora do site.
• Boleto fraudado: emissão/segunda via com código de barras trocado para outra conta.

Fraude de identidade e account takeover (ATO)

• Criação de contas com dados roubados, abuso de cupons e milhas.
• Invasão de conta por senha vazada ou phishing; alteração de endereço para desviar entregas.

Fraude logística e friendly fraud

• Triangulação: fraudador compra do vendedor legítimo e entrega a terceiros; depois há estorno e prejuízo ao lojista.
• Golpe do “produto não recebido” (INR) e “produto diferente”; requer boa prova de entrega e política de devolução clara.

Fraude de marketplace e anúncio enganoso

• Loja falsa ou anúncio isca dentro de plataforma; pharming e typosquatting de domínios semelhantes.
• Uso indevido de marca, preços irrisórios sem entrega, dropshipping opaco.

Deveres do site/plataforma

Segurança da informação e prevenção

• Implementar 3DS 2.x ou autenticação forte quando aplicável; tokenização e análise de risco em tempo real.
• Controles antifraude (device fingerprint, reputação de IP, velocity checks, behavioral analytics).
• Proteções contra phishing e redirecionamentos maliciosos; monitoramento de domínios parecidos.
• Gestão de SDKs e scripts no checkout; subresource integrity e Content Security Policy.

Transparência e informação

• Exibir com clareza identidade do vendedor, preço total, frete, prazos e política de devolução.
• Oferecer canais seguros de comunicação; evitar redirecionamentos para conversas externas (mensagerias) sem garantias.

Gestão de terceiros

• Contratos de operador/serviço com obrigações de segurança, notificação de incidentes e auditoria.
• Onboarding de vendedores com KYC, análise documental e verificação bancária para evitar lojas de fachada.

Deveres do vendedor (loja parceira ou própria)

Qualidade e entrega

• Manter estoque real, descrição fiel, prazos e rastreamento.
• Prova de entrega robusta: coleta de assinatura digital, foto no local, geolocalização e eventos logísticos assinados.

Antifraude na ponta do lojista

• Revisão manual para pedidos de alto risco, blacklist/whitelist, confirmações ativas quando compatível com experiência.
• Evitar envio a endereços divergentes sem validação; monitorar alterações de cadastro.

Quem responde em cada cenário

Provas e documentação

Para o consumidor

• Protocolo de atendimento, prints do pedido, pagamento e rastreio, e-mails e conversas.
• Boletim de ocorrência quando houver fraude evidente (phishing, clonagem), extratos e comunicação ao banco.

Para o site e vendedor

• Logs imutáveis de checkout (IP, user-agent, device ID, fingerprint), autorização 3DS, trilha antifraude e timeline.
• Comprovantes logísticos assinados, fotos e geolocalização; cadeia de custódia para contestação.

Boas práticas de prevenção para sites e marketplaces

Arquitetura de pagamento e autenticação

• 3DS adaptativo (fricção zero em baixo risco; step-up em alto risco).
• MFA para login e mudanças sensíveis (endereço, senha, cartões).
• Tokenização e cofres PCI; nunca armazenar PAN em claro.

Antifraude e inteligência

• Modelos preditivos que combinem regras, machine learning e feedback de chargebacks.
• Lista negativa de endereços e dispositivos; link analysis para redes de fraude.
• Revisão manual com playbooks objetivos para evitar vieses e lentidão.

UX segura (sem dark patterns)

• Confirmação clara do recebedor no PIX; “pague somente dentro do site”; deep links verificados.
• Alertas sobre riscos de contato externo; mascaramento de e-mail e telefone.

Gráfico ilustrativo: tentativas de fraude vs. taxa de detecção

Visual simplificado para comunicar ao time executivo como controles melhores aumentam a taxa de detecção e reduzem perdas.

Como o consumidor pode se proteger

Práticas básicas

• Conferir URL, cadeado do navegador e evitar links recebidos por mensagerias.
• Ativar dupla autenticação no site e no e-mail; usar senhas fortes e únicas.
• Preferir meios tokenizados (carteiras digitais) e evitar salvar cartões quando não necessário.

Em caso de fraude

• Contatar imediatamente o emissor do pagamento e o site; registrar protocolos e evidências.
• Solicitar bloqueio/estorno e abrir disputa; registrar reclamação no órgão de defesa do consumidor quando cabível.

Excludentes de responsabilidade: quando podem valer

As excludentes exigem prova qualificada do fornecedor. Exemplos: consumidor realizou pagamento fora do ambiente seguro do site após insistência e alertas claros; adulterou deliberadamente aplicativos ou ignorou recomendações de segurança; ou se verificou caso fortuito externo inevitável, mesmo com controles adequados. Ainda assim, o site deve demonstrar diligência e tratamento adequado do incidente.

Checklist operacional imediato

• Mapeie a jornada de risco: cadastro, login, pagamento, alterações críticas, expedição e entrega.
• Implemente políticas de senha, MFA e alertas de atividades suspeitas.
• Ative 3DS adaptativo e PIX dinâmico com validação de recebedor.
• Fortaleça provas logísticas (POD, fotos, geolocalização).
• Audite vendedores e contas bancárias; KYC/KYB contínuo.
• Crie playbook de resposta: quem decide hold, quando cancelar, como comunicar e como preservar evidências.

Conclusão

Fraudes em compras online não são um acidente inevitável da internet: são eventos previsíveis e mitigáveis com engenharia, processos e contratos bem desenhados. O site e o vendedor devem agir como coprodutores da segurança, oferecendo meios de pagamento protegidos, autenticação forte, antifraude inteligente e comunicação clara. Ao consumidor cabe adotar práticas básicas de cibersegurança e exigir seus direitos. Sistemas com prevenção ativa, detecção em tempo real e remediação ágil reduzem perdas, fortalecem a confiança e tornam o e-commerce mais eficiente para todos os envolvidos.

• Tipos de fraude mais comuns: clonagem de cartão, boletos falsos, PIX adulterado, falsos anúncios, conta invadida e triangulação de vendas.
• Responsabilidade do site: garantir ambiente seguro, verificar vendedores, aplicar autenticação forte e prevenir redirecionamentos suspeitos.
• Responsabilidade do vendedor: conferir dados antes de envio, manter prova de entrega, rastrear produtos e agir rapidamente em disputas.
• Direitos do consumidor: estorno em caso de fraude comprovada, direito à informação clara e proteção contra práticas abusivas (CDC e LGPD).
• Excludentes possíveis: culpa exclusiva do consumidor (pagamento fora do site), fato de terceiro inevitável ou caso fortuito comprovado.

• Para consumidores: verificar URL, evitar links externos, usar cartões virtuais e registrar provas (prints, e-mails, protocolos).
• Para empresas: treinar equipes, auditar gateways e parceiros, criar plano de resposta a incidentes e política antifraude clara.
• Documentos úteis: logs de pagamento, registros de IP, comprovante de entrega, comunicação com cliente e relatórios antifraude.
• Indicadores de controle: taxa de chargeback abaixo de 0,5%, resposta a alertas em até 15 minutos, auditoria trimestral e revisão manual de pedidos de risco.

• Base legal: Código de Defesa do Consumidor (Lei 8.078/90), Marco Civil da Internet (Lei 12.965/14), LGPD (Lei 13.709/18) e Resoluções do Bacen sobre segurança de meios de pagamento.
• Resumo: fraudes online exigem cooperação entre site, vendedor e consumidor. A responsabilidade é solidária quando há falha na segurança, informação ou prevenção.

Quem responde quando ocorre uma compra com cartão clonado (CNP) no meu pedido?

Em relações de consumo, a regra é de responsabilidade objetiva do fornecedor pelo defeito do serviço (segurança do checkout e informação adequada). O site/marketplace tende a responder quando a transação foi aceita no seu ambiente sem controles razoáveis; o vendedor pode responder solidariamente quando integra a cadeia de fornecimento. Há atenuantes se houver autenticação forte e diligência comprovada.

Se eu paguei PIX para um QR code falso recebido por mensagem, o site pode ser responsabilizado?

O site responde quando induz o consumidor a sair do ambiente seguro ou apresenta QR/links sem validação. Se o golpe ocorreu fora do site, apesar de alertas claros e UX segura, pode haver culpa exclusiva do consumidor, reduzindo a responsabilidade. Provas de comunicação e desenho seguro do fluxo são decisivas.

Boletos adulterados: quem arca com o prejuízo?

Se a plataforma disponibiliza segunda via/boletos sem registro e sem verificação do beneficiário, tende a responder. Quando o boleto foi alterado por terceiro fora do sistema, com orientações claras do site e mecanismos de verificação, a responsabilidade pode ser afastada, dependendo das provas.

“Produto não recebido” (INR): o vendedor é sempre obrigado a estornar?

Não. Quando o vendedor consegue prova robusta de entrega (foto, geolocalização, assinatura digital, eventos logísticos), a tendência é afastar o estorno automático. Na ausência de prova, a responsabilidade recai sobre quem detém o controle da logística e falhou em garantir a entrega.

Conta invadida (account takeover): é culpa do usuário ou do site?

Depende. O site/marketplace deve possuir MFA, alertas de login, confirmação para mudanças críticas e monitoração de risco. Sem isso, a responsabilidade tende a ser do provedor. Se o usuário reutilizou senha vazada e ignorou alertas, pode haver culpa concorrente.

Marketplace com loja fraudulenta: a plataforma pode dizer que é só “intermediadora”?

Em consumo, a intermediação não afasta o dever de segurança e informação. O marketplace deve fazer KYC/KYB do vendedor, monitorar denúncias e retirar anúncios enganosos. A responsabilidade costuma ser solidária pelo risco do empreendimento.

Falha do gateway ou do antifraude terceirizado transfere a responsabilidade?

Não para o consumidor. Internamente, o site pode buscar direito de regresso contra o parceiro. Para o usuário final, prevalece a regra de solidariedade na cadeia de fornecimento quando o dano decorre de defeito do serviço ou informação inadequada.

O que comprova que o site agiu com diligência na prevenção de fraudes?

Registros de autenticação forte (3DS/SCA), logs de risco (IP, device, velocity), políticas de tokenização, verificação de recebedor no PIX, monitoramento de domínios falsos, avisos claros ao consumidor e playbooks de resposta a incidentes documentados.

Como o consumidor deve proceder ao identificar fraude?

Salvar prints, e-mails, protocolos, boletim de ocorrência quando cabível e contatar imediatamente emissor do pagamento e site. Pedir bloqueio/estorno e abrir disputa. Persistindo o problema, recorrer a órgãos de defesa do consumidor e, se necessário, ao Judiciário.

Quais práticas ajudam a reduzir disputas e perdas para todos?

Para plataformas: MFA, 3DS adaptativo, PIX dinâmico validado, KYC/KYB de vendedores, prova de entrega robusta e UX sem dark patterns. Para vendedores: revisão de pedidos de alto risco, verificação de endereço e armazenamento seguro de evidências. Para consumidores: checar URL, usar carteiras/tokenização e evitar pagamentos fora do site.