Meu WhatsApp foi clonado. A Meta (dona do WhatsApp) pode ser responsabilizada?

Sim. A relação entre usuário e plataforma é de consumo, e a responsabilidade da Meta é objetiva por falha de segurança (art. 14 do CDC). O STJ já decidiu que ataques hackers não excluem a responsabilidade das plataformas quando há falha na prevenção, nos mecanismos de recuperação ou na resposta após notificação do usuário.

É possível recuperar uma conta hackeada por liminar?

Sim. Através de tutela de urgência (art. 300 do CPC), o juiz pode determinar a recuperação imediata da conta sob pena de multa diária (astreintes). Tribunais têm determinado a restauração do acesso em prazos de 24 a 72 horas, com multas entre R$ 500 e R$ 1.000 por dia de descumprimento.

Quem responde pelo golpe: a plataforma ou a operadora de celular?

Pode ser ambas, solidariamente. Se o golpe começou por SIM swap (troca indevida do chip na operadora), a operadora responde objetivamente pela falha. Se houve falha de segurança da plataforma em prevenir a invasão ou em restaurar o acesso, a Meta também responde. A ação pode ser direcionada contra uma ou ambas.

Quanto posso receber de indenização se minha conta foi hackeada?

A jurisprudência tem fixado dano moral entre R$ 4.000 e R$ 10.000, podendo ser superior para perfis comerciais ou profissionais. Além disso, cabe dano material quando terceiros foram lesados por golpes aplicados em nome da vítima, e lucros cessantes para quem comprove perda de faturamento durante o período sem acesso à conta.

WhatsApp ou Instagram hackeado: como recuperar a conta e quando a plataforma deve indenizar

O problema: contas invadidas por terceiros

Você recebe uma mensagem estranha de um contato pedindo dinheiro via Pix. Ou percebe que seu Instagram está publicando stories que você não fez — anúncios de investimento, pedidos de transferência, links suspeitos. Ao tentar acessar a conta, a senha não funciona mais. O e-mail de recuperação foi alterado. A verificação em duas etapas foi desativada por alguém que não é você.

O cenário é cada vez mais comum. As técnicas usadas pelos invasores variam: engenharia social (o clássico golpe do código SMS, em que a vítima é induzida a informar o código de verificação do WhatsApp), SIM swap (transferência fraudulenta da linha telefônica na operadora), phishing (páginas falsas que imitam o login do Instagram ou WhatsApp Web), malware e, em muitos casos, simples vazamento de credenciais de bancos de dados comprometidos.

Os números refletem a gravidade do problema. Dados do TJSP indicam um crescimento superior a 600% nas ações judiciais envolvendo redes sociais entre 2023 e 2024. A maior parte desses casos envolve contas hackeadas, perfis clonados e golpes aplicados em nome da vítima.

Este artigo trata especificamente da invasão de conta por terceiros — situação diferente da desativação pela própria plataforma, que abordamos no artigo Instagram desativou sua conta sem motivo. Aqui, o problema não é uma decisão da Meta, mas a falha da plataforma em impedir que um invasor tome o controle da sua conta — e, depois, em oferecer meios eficazes para que você a recupere.

A legislação brasileira protege a vítima. A plataforma pode — e, em muitos casos, deve — responder pelos danos causados pela invasão. A seguir, explicamos como.

A relação é de consumo — responsabilidade objetiva

O ponto de partida é jurídico, mas tem consequências práticas decisivas. A relação entre o usuário e a Meta (controladora do WhatsApp e do Instagram) é uma relação de consumo, regida pelo Código de Defesa do Consumidor.

Embora o WhatsApp e o Instagram sejam apresentados como serviços “gratuitos”, o modelo de negócio se sustenta pela monetização dos dados pessoais do usuário e pela exibição de publicidade direcionada. Há remuneração indireta — e isso é suficiente para caracterizar a relação de consumo, conforme o art. 3º, § 2º do CDC e o entendimento consolidado do STJ.

A consequência principal: aplica-se o art. 14 do CDC, que estabelece a responsabilidade objetiva do fornecedor de serviços por defeitos na prestação. A Meta não precisa ter agido com culpa para responder — basta que haja um defeito no serviço e um dano ao consumidor.

E qual é o defeito? Não é o hack em si — nenhuma plataforma pode garantir invulnerabilidade absoluta. O defeito está na falha em adotar medidas de segurança adequadas para prevenir a invasão, na ausência de canais eficazes de recuperação da conta e na demora em agir após a notificação do usuário.

O STJ, em julgamento de dezembro de 2024, firmou entendimento de que ataques hackers não excluem a responsabilidade das plataformas quando estas falham em prevenir a invasão ou em restaurar o acesso do usuário em tempo razoável. O ataque de terceiro não configura fortuito externo quando a própria atividade da plataforma cria o ambiente em que esses ataques se tornam previsíveis e evitáveis com investimento adequado em segurança.

Quem já tentou recuperar uma conta hackeada no Instagram ou WhatsApp pelos canais oficiais sabe o quanto o processo é frustrante: formulários genéricos, respostas automatizadas, ausência de contato humano e prazos indeterminados. Essa precariedade do suporte é, por si só, um defeito na prestação do serviço.

A responsabilidade da plataforma digital é objetiva, nos termos do art. 14 do CDC. O fato de a invasão ter sido perpetrada por terceiro não exclui a responsabilidade quando demonstrada falha nos mecanismos de segurança ou na prestação de suporte adequado ao consumidor.

Marco Civil da Internet e o Tema 987 do STF

Além do CDC, a proteção do usuário se apoia no Marco Civil da Internet (Lei 12.965/2014). Os arts. 7º e 8º asseguram ao usuário o direito a informações claras sobre as políticas de segurança, o dever do provedor de aplicação de manter a integridade dos dados e a nulidade de cláusulas contratuais que violem esses direitos.

Em junho de 2025, o Supremo Tribunal Federal julgou o Tema 987 (Recursos Extraordinários 1037396 e 1057258), declarando a inconstitucionalidade parcial do art. 19 do Marco Civil. Antes dessa decisão, as plataformas só respondiam judicialmente por conteúdo ou decisões de moderação após ordem judicial específica. Agora, a responsabilidade pode surgir após notificação extrajudicial.

Na prática, isso significa que basta o usuário notificar formalmente a Meta — por e-mail, formulário ou qualquer meio documentável — sobre a invasão da conta para que a empresa passe a responder por eventuais danos decorrentes da inércia. A plataforma não pode mais se esconder atrás da exigência de ordem judicial para justificar a demora na recuperação da conta.

O STF também reconheceu o dever de diligência proativo das plataformas: não basta reagir após a notificação — a empresa deve adotar medidas preventivas para evitar a ocorrência de danos previsíveis. No contexto de contas hackeadas, isso inclui mecanismos robustos de autenticação, detecção de acessos anômalos e canais de suporte que funcionem de fato.

Some-se a isso a LGPD (Lei 13.709/2018). Os arts. 42 a 44 estabelecem que o agente de tratamento de dados responde pelos danos causados por violação de segurança. A invasão de uma conta implica acesso não autorizado a dados pessoais — mensagens, fotos, contatos, histórico de conversas — e a plataforma, como controladora desses dados, pode ser responsabilizada pela falha que permitiu esse acesso.

O que fazer imediatamente após a invasão

A velocidade da reação importa. Quanto mais rápido você agir, maiores as chances de recuperar a conta e menores os danos causados pelo invasor. Siga estes passos:

Para o WhatsApp

Tente reinstalar o WhatsApp no seu celular e registrar novamente o número. Se a linha ainda está no seu chip, você receberá o código SMS e poderá retomar o controle.
Ative a verificação em duas etapas imediatamente após recuperar o acesso (Configurações > Conta > Verificação em duas etapas).
Se a linha foi transferida (SIM swap), entre em contato com a operadora para bloquear o chip fraudulento e solicitar a reemissão do seu.
Envie e-mail para support@whatsapp.com com o assunto “Conta hackeada / roubada” e seu número no formato internacional (+55 21 9XXXX-XXXX). Inclua a descrição do ocorrido e solicite a desativação temporária da conta.

Para o Instagram

Acesse o formulário de recuperação pelo aplicativo ou pelo site (instagram.com/hacked).
Verifique o e-mail de segurança: o Instagram envia uma notificação para o e-mail original quando o endereço vinculado à conta é alterado. Clique em “reverter essa alteração” se disponível.
Solicite o procedimento de selfie com código: o Instagram pode enviar um código numérico e pedir que você envie uma foto (selfie) segurando um papel com esse código manuscrito, para confirmar sua identidade.

Medidas gerais para ambas as plataformas

Avise seus contatos imediatamente — por outro canal (ligação, SMS, outra rede social) — de que sua conta foi invadida. As mensagens enviadas pelo invasor pedindo Pix, empréstimos ou dados podem gerar responsabilidade se terceiros forem lesados.
Registre boletim de ocorrência. Pode ser feito na delegacia de crimes cibernéticos (Delegacia de Repressão aos Crimes de Informática — DRCI) ou pela delegacia online do seu estado.
Preserve todas as provas: capturas de tela das mensagens do invasor, e-mails recebidos, data e hora em que percebeu a invasão, protocolos de atendimento do suporte da plataforma e da operadora.

Esses registros serão fundamentais caso seja necessário ingressar com ação judicial.

Responsabilidade da operadora de celular (SIM swap)

Uma parcela significativa dos golpes de WhatsApp começa não na plataforma, mas na operadora de telefonia. O SIM swap consiste na transferência fraudulenta da linha telefônica da vítima para um chip em poder do criminoso. Com o controle da linha, o invasor recebe o código SMS de verificação do WhatsApp e assume a conta.

A transferência só acontece porque houve falha no procedimento de segurança da operadora. A troca de chip exige verificação de identidade — e quando essa verificação falha, seja por fraude interna (funcionário conivente) ou por insuficiência dos controles, a operadora responde objetivamente.

O STJ tem entendimento consolidado de que a operadora de telefonia responde pelos danos causados por falha que permitiu a clonagem ou transferência indevida da linha. A Súmula 479 do STJ, embora originalmente voltada a instituições financeiras, tem sido aplicada por analogia: prestadores de serviço respondem pelo fortuito interno — eventos danosos que decorrem da própria atividade e são previsíveis e evitáveis.

Na prática, isso significa que a vítima pode ajuizar ação contra a operadora, contra a Meta (WhatsApp), ou contra ambas solidariamente. A estratégia processual depende do caso concreto: se o golpe começou pelo SIM swap, a operadora é réu principal; se a falha principal foi da plataforma em prevenir o acesso não autorizado ou em oferecer suporte, a Meta é o alvo.

Em muitos casos, a responsabilidade é compartilhada: a operadora falhou em permitir a troca do chip, e a plataforma falhou em não detectar a anomalia (login em dispositivo diferente, em localização diferente, em intervalo de tempo incompatível) e em não oferecer mecanismo eficaz de recuperação.

Quais danos podem ser indenizados

Dano moral

A invasão de uma conta de WhatsApp ou Instagram não é mero aborrecimento. O invasor tem acesso a mensagens privadas, fotos, vídeos, contatos e, no caso do WhatsApp, ao histórico de conversas íntimas, profissionais e familiares. A exposição desses dados, somada ao uso da identidade da vítima para aplicar golpes em terceiros, configura violação da honra, da imagem e da privacidade.

A jurisprudência dos tribunais estaduais — TJRJ, TJSP, TJDFT e TJMA — tem fixado indenizações por dano moral entre R$ 4.000 e R$ 10.000 para casos de contas hackeadas em que a plataforma ou a operadora demorou a restabelecer o acesso ou não adotou medidas adequadas de segurança.

O dano moral, nesses casos, é reconhecido in re ipsa — ou seja, decorre do próprio fato da invasão e da inércia da plataforma, sem necessidade de prova específica do sofrimento. A demora na recuperação da conta, por si só, agrava o dano.

Dano material

Se o invasor aplicou golpes financeiros usando a conta da vítima — pedindo Pix, vendendo produtos falsos, solicitando empréstimos — e a vítima for acionada por terceiros lesados para reembolso, o prejuízo financeiro pode ser cobrado da plataforma e da operadora responsáveis pela falha de segurança.

Além disso, se a vítima transferiu valores ao invasor antes de perceber o golpe (por exemplo, pagou um “resgate” para recuperar a conta), esses valores integram o dano material.

Lucros cessantes

Para quem utiliza o WhatsApp ou Instagram profissionalmente, a perda de acesso pode significar a interrupção total da atividade econômica. Lojistas que vendem pelo WhatsApp Business, influenciadores que dependem do engajamento no Instagram, profissionais que captam clientes pelas redes — todos podem pleitear lucros cessantes, correspondentes ao faturamento perdido durante o período sem acesso.

A prova se faz por extratos bancários, relatórios de vendas, contratos de publicidade, comparativo de faturamento entre períodos e depoimentos de clientes e parceiros comerciais.

Tutela de urgência: recuperar antes da sentença

Esperar meses por uma sentença definitiva enquanto o invasor continua usando a conta — aplicando golpes em nome da vítima, acessando mensagens privadas, danificando a reputação do perfil — é inaceitável. Por isso, o art. 300 do CPC permite a concessão de tutela de urgência para determinar a recuperação imediata da conta.

O juiz analisa dois requisitos: a probabilidade do direito (a invasão da conta e a falha da plataforma em recuperá-la são fatos demonstráveis com documentação) e o perigo de dano (a cada dia, o invasor pode causar novos prejuízos à vítima e a terceiros).

Os tribunais têm deferido liminares determinando a recuperação de contas hackeadas em prazos de 24 a 72 horas, sob pena de multa diária (astreintes) entre R$ 500 e R$ 1.000 por dia de descumprimento. Em casos envolvendo perfis comerciais ou quando o invasor está ativamente aplicando golpes em nome da vítima, a urgência é ainda mais evidente e os juízes tendem a conceder a tutela de forma mais rápida.

A liminar pode incluir, além da recuperação da conta, a determinação de exclusão de conteúdo publicado pelo invasor e o fornecimento de dados de acesso (logs de IP, dispositivos utilizados) para instruir eventual inquérito policial.

Provas essenciais para a ação judicial

A prova digital é volátil: mensagens podem ser apagadas, perfis podem ser deletados, dados de acesso podem ser sobrescritos. Preserve as provas imediatamente. O conjunto probatório ideal inclui:

Boletim de ocorrência: registrado na delegacia especializada em crimes cibernéticos ou na delegacia online. É a prova de que a vítima comunicou o fato às autoridades.
Capturas de tela da conta invadida: perfil com nome ou foto alterados, stories publicados pelo invasor pedindo Pix ou divulgando golpes, mensagens enviadas pelo invasor a contatos da vítima.
E-mails de notificação: alertas enviados pela plataforma sobre login em novo dispositivo, alteração de senha ou e-mail, desativação da verificação em duas etapas.
Protocolos de atendimento: registros de contato com o suporte da plataforma e da operadora, incluindo datas, números de protocolo e respostas (ou a ausência delas).
Extratos financeiros: se houve prejuízo material — transferências feitas pelo invasor, valores transferidos por terceiros enganados ou receita perdida durante o período sem acesso.
Comprovação de uso profissional: para quem utiliza a conta comercialmente, documentos que demonstrem faturamento vinculado à plataforma, contratos, histórico de vendas e relatórios de engajamento.

Guarde tudo em formato digital seguro (capturas de tela com data e hora visíveis, PDFs de e-mails com cabeçalho completo). Quanto mais organizada a documentação, mais forte será a posição processual.

Prazo para agir

O prazo prescricional para ações indenizatórias fundadas no CDC é de cinco anos (art. 27), contados da data em que o usuário tomou ciência da invasão. Mas não espere: quanto mais tempo passa, mais difícil é a recuperação da conta, a preservação de provas digitais e a demonstração de lucros cessantes.

Além disso, a conta pode ser deletada permanentemente pela plataforma após um período de inatividade do titular legítimo — e, uma vez deletada, a recuperação se torna significativamente mais complexa.