O cartão virtual é menos seguro que o cartão físico?

Não. O cartão virtual ainda é muito mais seguro para compras online, pois não expõe os dados do seu cartão principal. O problema é que os fraudadores mudaram o foco: em vez de tentar roubar o número do seu cartão físico, eles tentam invadir seu aplicativo bancário para gerar dezenas de cartões virtuais em seu nome.

Como os golpistas conseguem descobrir o número de um cartão virtual?

Eles útilizam ataques de 'Força Bruta' ou 'BIN Stuffing'. Através de softwares automatizados, os criminosos testam milhares de combinações matemáticas baseadas nos seis primeiros dígitos do banco (BIN) até encontrarem um número ativo, data de validade e código de segurança corretos.

O que o e-commerce pode fazer para evitar chargebacks de cartões virtuais fraudados?

A melhor defesa atual é a implementação do protocolo 3D Secure 2.0 (3DS2) de forma inteligente. Ao usar o 3DS2, a responsabilidade financeira da fraude (liability) é transferida do lojista para o banco emissor. Além disso, sistemas antifraude baseados em análise de comportamento do usuário ajudam a barrar compras atípicas.

O que é o golpe da 'Mão Fantasma' e como ele afeta os cartões virtuais?

É um ataque onde a vítima instala inadvertidamente um malware no celular (clicando em links falsos via SMS ou e-mail). Esse vírus permite que o golpista acesse o celular da vítima remotamente enquanto ela dorme. Com o aplicativo do banco já autenticado, o criminoso gera diversos cartões virtuais e faz compras antes que a vítima acorde.

Fraude com cartão virtual: quando a conveniência cria novos vetores de ataque

Prometemos ao mercado que o cartão virtual seria a bala de prata contra a fraude no e-commerce. O discurso era perfeito: você entra no aplicativo do seu banco, aperta um botão, gera um número temporário, faz a compra na sua loja favorita e pronto. O número expira ou é bloqueado logo em seguida. Os fraudadores, que antes viviam de roubar bancos de dados para clonar cartões físicos, ficariam de mãos abanando. Certo?

Errado. Agora em 2026, os números mostram uma realidade brutal e muito mais complexa. O crime cibernético no Brasil opera com a agilidade de uma startup de tecnologia do Vale do Silício. Quando os grandes emissores — como Nubank, Itaú, Bradesco e Mercado Pago — fecharam a porta do cartão físico clonado, as quadrilhas não desistiram. Elas pivotaram.

Observamos uma migração massiva de ataques focados específicamente nas vulnerabilidades do ecossistema de cartões virtuais. A mesma conveniência desenhada para proteger o usuário final abriu portas que as áreas de risco das instituições financeiras não anteciparam com a devida gravidade.

A falsa sensação de invulnerabilidade

Para entender o tamanho do problema, precisamos olhar para a mecânica da coisa. Existem básicamente dois tipos de cartões virtuais no Brasil hoje: o de uso único (temporário) e o recorrente. O primeiro foi desenhado para compras avulsas. O segundo, para você cadastrar na Netflix, no Spotify ou na Uber e esquecer lá.

A premissa de segurança sempre foi a efemeridade e a segmentação. Se o banco de dados da Uber vazar, apenas o cartão virtual associado àquele serviço é comprometido. Você o deleta no aplicativo do banco e a vida segue, sem precisar cancelar o seu cartão físico principal e esperar semanas por um novo pedaço de plástico pelo correio.

O erro de cálculo da indústria foi subestimar a capacidade de automação dos criminosos. Os fraudadores perceberam que não precisavam mais roubar dados de cartões existentes. Eles poderiam simplesmente fabricar os próprios ataques ou usar a infraestrutura do banco contra o cliente.

Os três principais vetores de ataque em 2026

Acompanhando as mesas de operações antifraude das principais adquirentes e emissores do país, identificamos que a fraude com cartão virtual não é um monólito. Ela se divide em táticas altamente especializadas.

1. Ataques de Força Bruta e Testes de BIN

Todo cartão de crédito tem um BIN (Bank Identification Number), que são os primeiros seis a oito dígitos do cartão. Eles identificam o banco emissor e a categoria do cartão (Gold, Platinum, Black). O que muitos não sabem é que alguns bancos brasileiros, na pressa de escalar suas operações digitais, criaram padrões extremamente previsíveis para a geração de cartões virtuais.

Os fraudadores usam scripts rodando em servidores na nuvem (frequentemente instâncias alugadas na AWS ou Azure com identidades falsas) para realizar o chamado "BIN Stuffing". Eles pegam um BIN conhecido de cartões virtuais de um grande banco e rodam um software que gera milhares de combinações matemáticas usando o Algoritmo de Luhn (a fórmula que valida se um número de cartão é matemáticamente possível).

Com uma lista de milhares de números gerados, eles testam pequenas compras de R$ 1,00 ou R$ 5,00 em ONGs, plataformas de doação ou sites com gateways de pagamento mal configurados. Quando uma transação é aprovada, o fraudador sabe que encontrou um cartão virtual ativo, com data de validade e CVV corretos. A partir daí, o cartão é vendido em grupos de Telegram ou usado para compras de alto valor.

2. Sequestro de Conta (ATO) e a "Mão Fantasma"

Este é o pesadelo atual dos diretores de segurança (CISOs) dos bancos brasileiros. O Account Takeover (ATO) evoluiu. No passado, o golpista precisava da sua senha. Hoje, ele usa malwares sofisticados de acesso remoto (RAT - Remote Access Trojan), conhecidos popularmente como golpes da "Mão Fantasma".

A vítima clica em um link falso — geralmente um SMS dizendo que há uma encomenda retida nos Correios ou uma notificação falsa do Gov.br. Um aplicativo invisível é instalado no Android. O malware não rouba senhas; ele simplesmente espera a vítima desbloquear o celular e abrir o aplicativo do banco. Quando a vítima dorme, o golpista assume o controle remoto do aparelho com a sessão do banco já autenticada.

Aqui entra a falha fatal da conveniência: a maioria dos aplicativos bancários permite a geração de múltiplos cartões virtuais sem pedir autenticação biométrica adicional para cada novo cartão. O golpista gera 30, 40, até 50 cartões virtuais em questão de minutos. Ele usa esses cartões simultaneamente em dezenas de lojas diferentes para comprar gift cards, criptomoedas ou produtos de alta liquidez. Quando o banco percebe o padrão anômalo, o estrago já está feito e o limite do cliente foi drenado.

3. A fraude na esteira de tokenização das Wallets

Apple Pay, Google Wallet e Samsung Pay trouxeram a verdadeira tokenização de rede (Network Tokenization) para o varejo físico e digital. A segurança da Apple e do Google é quase impenetrável. Mas a ponte entre o banco e a carteira digital tem buracos.

O processo de colocar um cartão dentro de uma carteira digital chama-se provisionamento. Existem dois caminhos: o Green Path (onde o banco aprova silenciosamente porque tem certeza de que é o cliente) e o Yellow Path (onde o banco exige um desafio, como um código via SMS).

Quadrilhas de engenharia social ligam para as vítimas fingindo ser da central de segurança do banco. Com uma lábia impecável, convencem o cliente a ler o código de 6 dígitos que acabou de chegar por SMS. Esse código não é para cancelar uma compra falsa, como o golpista afirma. É o código do Yellow Path. Em segundos, o cartão virtual da vítima é provisionado no iPhone do fraudador do outro lado do país. A partir desse momento, o criminoso pode fazer compras por aproximação em maquininhas físicas usando um cartão que nasceu virtual.

O impacto direto no e-commerce brasileiro

Na prática, quem paga a conta dessa festa? O varejo.

No mercado de pagamentos, a regra de responsabilidade (liability) em transações com cartão não presente (Card-Not-Present - CNP) é dura: se houver uma fraude e o verdadeiro dono do cartão contestar a compra, o banco estorna o dinheiro do cliente e debita o valor do lojista. É o temido chargeback.

Se você opera um e-commerce no Brasil hoje, sabe exatamente do que estou falando. Dados de mercado apontam que as tentativas de fraude útilizando cartões virtuais superaram as fraudes com cartões físicos tradicionais em diversas verticais do varejo online. O lojista fica preso em um dilema terrível: se ele aperta demais as regras do seu sistema antifraude, começa a bloquear clientes legítimos que estão usando cartões virtuais recém-criados. Se ele afrouxa as regras, a loja é engolida por chargebacks.

Cartões virtuais recém-criados são naturalmente difíceis de analisar para sistemas de inteligência artificial. Como o cartão acabou de nascer, ele não tem histórico de compras. Para o algoritmo da ClearSale, da Konduto ou da Legiti, uma compra de R$ 4.000 em um iPhone usando um cartão que tem 5 minutos de vida é um alerta vermelho cintilante. O resultado é um aumento expressivo na taxa de falsos positivos (bloquear compras boas), o que corrói o faturamento das empresas.

Como o mercado está respondendo (e o que o regulador exige)

O Banco Central do Brasil não está cego para essa dinâmica. A Resolução Conjunta nº 6, que obriga as instituições financeiras a compartilharem dados sobre indícios de fraudes, foi um passo agressivo para tentar mapear CPFs e contas laranjas usados para liquidar o dinheiro desses golpes.

Do lado tecnológico, a resposta da indústria atende pelo nome de 3D Secure 2.0 (3DS2). Esse protocolo de autenticação cria uma ponte direta de dados entre a loja virtual e o aplicativo do banco emissor no exato momento da compra. O banco consegue analisar mais de 100 pontos de dados silenciosos (como a geolocalização do dispositivo, o fuso horário e o histórico de navegação) antes de aprovar a transação.

Se o banco desconfiar de algo — por exemplo, um cartão virtual que foi gerado há 10 minutos está tentando comprar três TVs em um IP mascarado —, ele aciona um desafio biométrico no celular do cliente original. O pulo do gato: quando uma transação é autenticada via 3DS2, ocorre a inversão de responsabilidade (liability shift). Se for fraude, quem absorve o prejuízo é o banco emissor, não o e-commerce.

No entanto, a adoção do 3DS2 no Brasil ainda esbarra no medo da fricção. Lojistas temem que a etapa extra de verificação faça o cliente abandonar o carrinho. É uma matemática cruel entre converter a venda e assumir o risco da fraude.

O que você precisa fazer agora

Seja você um diretor de pagamentos em um marketplace, um gerente de produto em uma fintech ou um consumidor final, a ingenuidade não é mais uma opção.

Para os emissores e bancos: A torneira da geração de cartões virtuais precisa de travas comportamentais. Permitir a criação de 20 cartões virtuais em sequência na mesma madrugada a partir de um IP diferente do habitual sem exigir um reconhecimento facial (liveness) beira a negligência. O uso de biometria comportamental (analisar o ângulo em que o celular é segurado, a cadência da digitação) é a fronteira imediata para combater a "Mão Fantasma".

Para o e-commerce: A implementação inteligente do 3DS2 não é mais luxo, é sobrevivência. Use rotear a autenticação ativamente: mande para o 3DS2 apenas as transações de alto risco ou aquelas envolvendo cartões virtuais recém-criados, protegendo assim seu caixa sem matar a conversão das vendas seguras. Exija tokens de rede (Network Tokens) no lugar do número do cartão puro (PAN) sempre que possível.

Para o consumidor: O cartão virtual continua sendo infinitamente mais seguro que o plástico tradicional em compras online. Mas ele não é um escudo mágico contra engenharia social ou malwares. Mantenha os limites do seu cartão ajustados para a sua realidade diária. Deixe o limite baixo e só aumente segundos antes de fazer uma compra grande pelo aplicativo.

O jogo da fraude é um movimento perpétuo de gato e rato. Resolvemos o problema da clonagem do plástico magnético com o chip EMV. Resolvemos a interceptação de dados com a tokenização. Agora, precisamos resolver as brechas de conveniência que nós mesmos criamos na jornada do usuário. A tecnologia de pagamentos no Brasil é referência global. Nossa capacidade de blindar esse ecossistema também precisa ser.