Quase todos já ouvimos o conselho: "verifique se o site tem o cadeado antes de inserir os seus dados". É um bom hábito, mas hoje em dia praticamente todos os sites — incluindo os fraudulentos — têm esse cadeado. Perceber o que o HTTPS realmente garante, e o que fica de fora, é essencial para navegar com segurança.
O que é o HTTPS, na prática
HTTPS é a versão segura do protocolo usado para transferir dados entre o seu navegador e o site que está a visitar. A letra "S" significa "secure" e refere-se a uma camada de encriptação que embaralha a informação enquanto ela viaja pela internet.
Isto tem um efeito muito concreto: impede que alguém que esteja a intercetar a sua ligação — por exemplo, numa rede Wi-Fi pública partilhada — consiga ler ou alterar os dados que estão a ser trocados, como palavras-passe, números de cartão ou mensagens.
O que o cadeado realmente certifica
O ícone de cadeado, exibido pelo navegador, confirma apenas duas coisas:
- A ligação entre o seu dispositivo e o servidor está encriptada.
- O certificado digital que ativa essa encriptação é válido e foi emitido por uma entidade reconhecida pelo navegador.
É só isso. O cadeado não diz nada sobre quem está por trás do site, sobre se a empresa existe de facto, se os produtos anunciados serão entregues, ou se as informações apresentadas são verdadeiras.
Por que os certificados deixaram de ser um sinal de confiança forte
Durante muito tempo, obter um certificado HTTPS exigia alguma verificação e tinha custo, o que funcionava como um filtro informal. Isso mudou. Hoje existem serviços gratuitos e automatizados que emitem certificados HTTPS básicos em minutos, sem verificar quem é o dono do site nem qual é a finalidade dele.
Isto significa que um site criado hoje para imitar uma loja, um banco ou um serviço de entregas pode ter HTTPS e cadeado perfeitamente válidos — a encriptação não impede ninguém de construir uma página enganosa. Ela apenas protege a comunicação com essa página, seja ela honesta ou não.
O que o HTTPS NÃO garante
- Não garante identidade real: qualquer pessoa, em qualquer lugar, pode registar um domínio parecido com o de uma marca conhecida e ativar HTTPS nele.
- Não garante que a empresa é legítima: lojas falsas, esquemas de investimento fraudulentos e páginas de phishing frequentemente usam HTTPS.
- Não garante entrega do produto ou serviço: a encriptação protege os dados em trânsito, não a honestidade da transação.
- Não garante que o conteúdo é verdadeiro: notícias falsas, avaliações fabricadas ou promessas exageradas podem estar em páginas com cadeado.
- Não protege contra sites clonados: uma cópia perfeita de um site real, com HTTPS próprio, pode enganar visitantes desatentos.
Certificados de Validação Estendida: um caso à parte
Alguns sites usam certificados de validação mais rigorosa, em que a entidade emissora confirma a identidade jurídica da empresa. No entanto, esse tipo de indicação visual tornou-se menos comum e menos destacada nos navegadores modernos, precisamente porque poucos utilizadores sabiam interpretá-la corretamente. Na prática, não conte com isso como principal linha de defesa.
Como avaliar um site além do cadeado
Como o cadeado sozinho não chega, vale a pena combinar outros sinais antes de confiar num site, especialmente para compras ou dados sensíveis:
- Confira se o endereço (domínio) corresponde exatamente ao da marca — desconfie de pequenas variações, hífens extras ou terminações incomuns.
- Procure informações claras de contacto: endereço físico, telefone, dados fiscais da empresa.
- Pesquise o nome do site junto com termos como "reclamação" ou "opinião" para ver o que outras pessoas relatam.
- Desconfie de preços muito abaixo do mercado, prazos de entrega vagos ou pressão para decidir rapidamente.
- Verifique a política de devolução, os termos de uso e a política de privacidade — sites recém-criados para golpes costumam ter esses textos genéricos, incompletos ou copiados.
- Use um serviço de verificação de reputação de sites antes de finalizar uma compra em uma loja desconhecida.
Um sinal necessário, mas não suficiente
Vale reforçar: a ausência de HTTPS ainda é um sinal de alerta real — se um site pede dados de pagamento e não tem cadeado, evite-o. Mas a presença de HTTPS deve ser entendida apenas como o mínimo esperado hoje em dia, não como uma prova de idoneidade.
Pense no cadeado como o cinto de segurança do carro: importante e necessário, mas não impede que o motorista esteja a dirigir para o lugar errado. Combine essa verificação técnica com atenção ao contexto, à reputação e ao bom senso — essa é a combinação que realmente protege.