WhatsApp Business API ban: risco real para plantonista
Em janeiro de 2026, um cirurgião geral de São Paulo acordou e abriu o WhatsApp. Tela escura. Mensagem da Meta: “Seu número foi banido por violar os Termos de Serviço.” Cinco grupos de plantão que ele levou dois anos para entrar. Histórico de conversa: zero. Contato direto do supervisor do pronto-socorro: inacessível.
O número rodava Evolution API fazia seis meses sem nenhum problema. Aí a Meta apertou o cerco em janeiro e ele foi pra lista negra junto com dezenas de outros números no Brasil.
Isso pode acontecer com você. O post explica por que acontece — e o que fazer antes de chegar nesse ponto.
O que está acontecendo com o WhatsApp em 2026
A Meta passou 2024 e 2025 mapeando uso irregular da plataforma. Em janeiro de 2026, acionou uma onda de banimentos em massa que atingiu profissionais e empresas usando APIs não oficiais (também chamadas de “informal APIs”) para automatizar comunicação.
APIs não oficiais são ferramentas que funcionam simulando o WhatsApp Web: a mesma conexão que você usa quando abre web.whatsapp.com no computador. O conjunto mais popular é o Baileys (biblioteca Node.js), sobre o qual a Evolution API é construída. Também estão na lista WWebJS e derivados não oficiais de plataformas como Z-API.
A Meta detecta esse comportamento comparando fingerprint de sessão com padrão de browser humano. Quando a sessão parece robótica — resposta em milissegundos, volume acima do threshold, padrão de connect/disconnect diferente de humano — o número entra na fila de revisão automática.
A plataforma SocialHub reportou, em relatório de março de 2026, que cerca de 12% das contas empresariais rodando APIs não oficiais haviam sido suspensas em algum momento no trimestre anterior. Não é evento raro. É política em escalonamento contínuo.
Para plantonista, a perda é mais cortante do que pra empresa de e-commerce. Você não perde atendimento de cliente. Você perde acesso imediato aos grupos onde alguém vai postar uma vaga de UTI às 23h15 de sexta-feira. A janela para responder “pego” é de menos de dois minutos. Com número banido, você não vê nada.
E olha — a própria comunidade da Evolution API documenta esse padrão no repositório open-source: relatos de bloqueio de instância por comportamento detectado pelo servidor da Meta são recorrentes. Não é bug eventual. É risco estrutural de usar protocolo não autorizado.
Por que a Evolution API é o alvo principal
A Evolution usa Baileys para acessar o protocolo WebSocket do WhatsApp diretamente. É open-source, tem comunidade ativa, funciona bem. E, do ponto de vista da Meta, é acesso não autorizado ao sistema. Os termos de uso do WhatsApp proíbem explicitamente engenharia reversa do protocolo — que é exatamente o que Baileys faz.
Três comportamentos que acionam ban com maior frequência, segundo relatos compilados pela comunidade:
1. Resposta em menos de 200ms. Humano leva entre 800ms e 3 segundos para digitar e enviar. Bot responde em menos de 200ms. O algoritmo mede isso por amostragem. Evolution sem delay artificial configurado parece bot — porque é.
2. Volume acima do threshold por hora. Plataformas especializadas estimam que enviar mais de 50 mensagens por minuto aumenta o risco de flag em até 40%. Para captação de plantão, você raramente chega perto disso. Mas se o mesmo número serve também para confirmação de consulta e lembrete de paciente, o volume pode cruzar o limite.
3. Denúncias por membros do grupo. Três denúncias de “spam” pelo mesmo número em 72 horas já é suficiente para acionar revisão automática. Em grupos grandes com médicos de diferentes hospitais, é cilada depender de goodwill de todo mundo.
Tem um risco extra que plantonista costuma ignorar: o ângulo da Lei 13.709/2018 (LGPD). Em novembro de 2025, a ANPD concluiu sua análise sobre o compartilhamento de dados entre WhatsApp e Meta, impondo auditoria independente e Plano de Compliance. Isso significa que o órgão está com atenção redobrada no ecossistema WhatsApp.
APIs não oficiais hospedadas em cloud de terceiro (fora do seu controle) passam dados dos seus grupos por servidores de empresa que você não auditou. O Guia de Legítimo Interesse da ANPD (2024) é claro: tratamento de dados pessoais em servidores de terceiros exige base legal verificável e medidas técnicas de segurança documentadas. Médico que mistura grupos de plantão com atendimento de paciente no mesmo número está cruzando dado operacional com dado de saúde — que é dado sensível na LGPD. Receita pra problema.
Se você usa Evolution self-hosted no seu próprio VPS, os dados passam apenas pelo servidor que você controla. Menor risco de LGPD. Mais controle. Mas o risco de ban ainda existe se o comportamento da instância for detectável.
Para entender melhor a diferença entre self-hosted e serviço externo no contexto de captação de plantão, o post sobre Evolution API para monitorar grupos de plantão cobre o setup técnico completo. Para o ângulo de compliance LGPD, o checklist LGPD para consultório médico solo tem o mínimo que você precisa colocar em ordem.
Passo a passo para rodar Evolution sem banir o número
Antes de qualquer passo: isso não é “como burlar os termos com segurança”. É “se você vai usar Evolution para captação de plantão, existe jeito de rodar que minimiza muito o risco de banimento”. Diferença real. Sem garantia de zero risco — mas risco controlado.
Passo 1: Número dedicado. Nunca o pessoal.
Não conecte Evolution no número que você usa com família, pacientes e grupos de amigos. Compra um chip novo dedicado exclusivamente à automação de plantão. Custa R$10. Se banir, você perde o número dedicado — não o número com seu histórico inteiro.
Esse número dedicado entra nos grupos de plantão como membro legítimo. Você pede pro supervisor incluir o número novo. A partir daí, a Evolution lê as mensagens dos grupos que você tem direito de estar. Consentimento intrínseco. Sua mensagem, seu grupo.
Passo 2: Configure delay artificial nas respostas automáticas.
Todo webhook que responde automaticamente precisa de delay simulado de 1.5 a 4 segundos antes do envio. Em Node.js:
// delay aleatório entre 1.5s e 4s antes de responder
await new Promise(r => setTimeout(r, 1500 + Math.random() * 2500));
await evolutionApi.sendMessage(chatId, response);Simples. Barato. Cobre o fingerprint de latência robótica que o algoritmo procura.
Passo 3: Rate limit estrito no webhook.
Máximo de 30 mensagens por hora via resposta automática. Para captação de plantão, você fica bem abaixo disso — é uma resposta por vaga por grupo, não broadcast. Mas se a instância faz outras funções, o rate limit é obrigatório antes de tudo.
Passo 4: Self-hosted no seu próprio VPS. Não cloud de terceiro.
Risco duplo em serviço de nuvem de Evolution de terceiro: ban por contaminação de IP (outros usuários do mesmo serviço violando termos e levando todo o bloco de IPs junto) e risco LGPD por dado passando em servidor que você não auditou.
VPS Hostinger básico (2 vCPU, 4GB RAM) roda Evolution tranquilo por R$30-50/mês. Dá pra compartilhar a instância entre duas ou três automações distintas. Vale o custo pra ter controle total.
Passo 5: Monitore o score de qualidade do número uma vez por mês.
O WhatsApp Business Manager expõe score de qualidade do número mesmo em uso não oficial, via análise de reclamações. Se o score cair pra “Baixa”, é aviso antes do ban. Cria alarme no calendário: primeiro do mês, checa o número.
Quem trata automação de WhatsApp como commodity — instala e esquece — é quem acorda com tela preta. Não cola deixar rodar sem monitorar.
Se o número foi banido: o que fazer
Já deu ruim. Número sumiu. O que resta?
Não crie número novo na mesma instância imediatamente. Criar novo número no mesmo servidor que foi banido pode contaminar o novo. A Meta rastreia fingerprint de device e servidor, não só de número. Desliga a instância, aguarda 48-72h, e sobe nova instância limpa antes de conectar número novo.
Tente o recurso oficial. Em wa.me/appeal você pode contestar o banimento. Para primeira ocorrência com histórico limpo anterior, a taxa de reversão é aproximadamente 30%. Não garante nada. Custa zero tentar e vale muito se reverter.
Reconstrua com número dedicado novo e as proteções acima. A maioria dos plantonistas que perdeu número por ban retornou operacional em 2 a 4 semanas. É aprendizado caro, mas reversível.
O que não tem como reverter é o tempo que você ficou fora dos grupos. Cada semana sem visibilidade nos grupos é plantão que alguém levou no seu lugar.
FAQ
A Evolution API é ilegal no Brasil?
Não no sentido penal. É contra os Termos de Serviço da Meta, o que significa que a plataforma pode suspender seu número. Não há penalidade criminal por usar Evolution. O risco é operacional: perda de acesso ao WhatsApp. Para análise jurídica específica à sua situação, consulte advogado especializado em direito digital.
WhatsApp Business API oficial funciona para grupos de plantão?
Não da forma que plantonista precisa. A API oficial da Meta (Cloud API) foi desenhada para atendimento receptivo empresa-paciente. Ela não permite entrar em grupos do WhatsApp como membro nem enviar mensagem em grupo. Para monitorar grupos de plantão, não existe solução aprovada pela Meta. O post sobre automação de captação sem ban discute esse dilema em detalhe.
Qual a diferença entre ban temporário e permanente?
Ban temporário (24-48h) geralmente vem com aviso por email e é aplicado em primeira infração. Ban permanente não tem aviso — a tela simplesmente apaga. Se o número sumiu sem nenhum email anterior, provavelmente é permanente. O recurso via wa.me/appeal vale a pena em ambos os casos.
Médico que usa automação de captação pode ter problema com o CFM?
A Resolução CFM 2.336/2023 regula publicidade médica — conteúdo direcionado a paciente ou público geral. Monitorar grupos de plantão entre profissionais de saúde está fora desse escopo. Não viola CFM. Consulte advogado para análise jurídica específica.
Sou desenvolvedor, não médico. Este conteúdo é informativo e baseado em fontes públicas — para decisões clínicas, jurídicas ou técnicas específicas à sua situação, consulte profissional habilitado. Última atualização: 2026-05-22. Fontes citadas no corpo do post.
Disclaimer jurídico: Automação de WhatsApp envolve Termos de Serviço de plataforma privada da Meta, sujeitos a alteração a qualquer momento. Para análise de conformidade com sua operação específica, consulte advogado especializado em direito digital.
Por que escrevemos sobre isso
Construí o Plantão Agent em 2024 com Evolution num número que eu controlava, monitorando grupos de hospital dos meus clientes. Funcionava. Aí li o relatório da ANPD de 2024 e vi que o modelo processava mensagens de terceiros sem consentimento. Pivotei pra self-hosted: cada médico com a própria Evolution no próprio número.
O risco de ban ficou. Em fevereiro de 2026 vi um plantonista perder número que usava faz dois anos sem problema. Nenhuma mudança da parte dele — a Meta mudou o quanto tolerava. O médico não sabia que precisava monitorar saúde do número.
Esse post é o que eu deveria ter publicado antes. Automação de WhatsApp pra plantão funciona. Mas só com número dedicado, delay configurado e monitoramento rodando.
Fontes citadas
- Ministério da Saúde — Lei Geral de Proteção de Dados (LGPD) 13.709/2018 · acessado em 2026-05-22
- ANPD — Análise sobre compartilhamento de dados WhatsApp/Meta (nov/2025) · acessado em 2026-05-22
- ANPD — Guia Orientativo: Legítimo Interesse (2024) · acessado em 2026-05-22
- Evolution API — Repositório oficial (open-source, Baileys protocol) · acessado em 2026-05-22
- CFM — Resolução 2.336/2023 (Publicidade Médica) · acessado em 2026-05-22