Antes do agente, antes do Forgem, antes de IA boa virar acessível, eu rodava 10 contas WhatsApp em disparo. Proxy rotativo brasileiro, contingência montada, fluxo de reposição de número quando uma conta caía. Não era agente conversando — era envio em massa pra lista, com 10 números rotacionando pra distribuir volume. Era 2020, 2021. Era a rataria que dava resultado pra quem entendia.
Aprendi naquela época o que Meta detecta. Caiu conta, eu repunha. Caiu de novo, eu ajustava o padrão. Caiu pela terceira vez, eu sabia exatamente o que tinha gatilhado. Eram quatro vetores principais — IP, volume, padrão e fingerprint. Quem entende esses quatro consegue rodar quase qualquer coisa em volume. Quem não entende cai na semana 1.
Hoje, mais de 4 anos depois, eu opero outro extremo. Agente de IA respondendo lead, não disparando. Conta única conectada via WAHA, lead que chega no meu WhatsApp e o agente responde. Zero banimento em todo esse tempo. Não porque virei santo — porque conheço a outra ponta. Sei o que Meta caça, então sei evitar.
Esse texto é sobre os dois lados. O que eu fazia (e tu não deveria fazer mais) e o que eu faço hoje (e por isso não banem).
O que Meta realmente detecta
Pra entender por que cai conta, tu precisa entender o que Meta enxerga. Não é mensagem em si — é padrão.
IP de origem. Meta sabe se a sessão tá rodando de um celular real, de um servidor cloud, ou de um data center conhecido. AWS, DigitalOcean, Google Cloud, Hetzner — qualquer IP de data center público é flag automático. Quando rodava 10 contas em disparo, eu usava proxy residencial brasileiro pra cada número. Não era opcional. Sessão rodando direto em VPS cloud cai em 48h, no máximo.
Volume desproporcional ao histórico. Conta nova mandando 200 mensagens no primeiro dia é flag duro. Conta com 6 meses de uso mandando 200 mensagens em um dia é normal. Meta tem memória do número — frequência média, tipo de uso, taxa de resposta dos destinatários. Volume sobe gradual, ou cai.
Padrão idêntico de mensagem. Mandar a mesma copy pra 500 pessoas com pequena variação no nome é gatilho. Meta compara hashes parciais de mensagens enviadas, detecta similaridade alta entre conversas distintas. Variação real (estrutura diferente, ordem de frases diferente, abertura diferente) reduz score. Mensagem template é morte certa.
Fingerprint do device. Cada sessão WhatsApp tem um identificador de dispositivo — versão de SO, versão do app, IMEI/UUID, padrão de teclado. Quando tu roda WAHA ou Baileys, esse fingerprint é gerado. Se ficar muito padronizado entre contas que tu tá rodando, Meta agrupa: "essas 10 contas são do mesmo operador, todas se comportando igual = automação". Cluster banido.
Tem mais — taxa de "bloquear" dos destinatários, denúncias diretas, padrão de horário de envio (3h da manhã com 30 mensagens é dead giveaway). Mas esses quatro de cima são os principais.
O que eu fazia errado (e tu não deveria fazer)
Na época, com as 10 contas, eu rodava esse esquema:
- Proxy residencial rotativo por país (Brasil, principalmente). Cada conta tinha IP de cidade diferente
- Warmup de 7-10 dias por número novo — conversas reais, troca com contatos próprios, ativação gradual
- Distribuição de volume — em vez de 1 conta mandar 500, eram 10 contas mandando 50, em horários diferentes
- Variação real de copy — usava ferramenta de spinning, mas variação superficial; depois evoluí pra variação estrutural mesmo
- Reposição de número — quando caía, eu já tinha 3 esperando warmup. Não parava operação.
Funcionava. Por meses funcionou. Mas três coisas mudaram entre 2021 e 2026:
- Meta melhorou muito a detecção. Modelo de fraude do WhatsApp em 2026 não é o de 2021. O que escapava antes hoje não escapa. Conta caía em semana 8, hoje cai em semana 2.
- Proxy residencial bom ficou caro. R$ 0,30/GB virou R$ 2-4/GB pra pool brasileiro. Operação que era barata ficou cara.
- WhatsApp Business API oficial ficou viável. Em 2026, R$ 0,80 por conversa pela API Oficial é menos que o custo total de manter contingência cinza. Conta certa, sem risco.
Hoje, disparo em massa via não-oficial é economicamente pior que API Oficial pra qualquer volume sério. E legalmente é zona crescentemente cinza — LGPD pra cima de cold outreach sem consentimento, Procon começando a olhar, Anatel rondando. Não vale a pena.
O que eu faço hoje (e por isso não banem)
Quando eu construí o Forgem, parti de premissa oposta: o agente não dispara, ele responde. Lead que chega no meu WhatsApp porque ele mandou mensagem primeiro. Esse é o uso pra qual Meta foi desenhado, e por isso não dá problema.
Mas mesmo respondendo, eu mantenho os mesmos cuidados que aprendi disparando, porque o WAHA não tem proteção mágica:
IP residencial brasileiro. Meu WAHA não roda em DC. Roda em VPS com IP brasileiro de provedor que não tá no radar Meta. Custo mensal: ~R$ 30. Diferença em durabilidade da sessão: meses.
Velocidade de resposta humana. O agente não responde em 200ms. Tem delay simulando digitação (4-8 segundos pra resposta longa, 1-2s pra curta), indicador "digitando..." piscando antes da mensagem aparecer. Lead nem percebe — Meta também não estranha.
Conta com warmup orgânico. O número que uso pro Forgem teve 6 meses de uso humano antes de conectar no WAHA. Conversas reais com contatos próprios, áudio, foto, vídeo. Reputação de número estabelecida. Quando eu conectei no agente, Meta já tinha um histórico de uso "normal" associado.
Variação real entre conversas. Agente IA por natureza varia o que responde — não tem template repetido. Hash de mensagem nunca bate. Isso aqui é vantagem técnica que disparo nunca teve.
Não envio cold outbound, ponto. Forgem responde. Quem precisa enviar primeiro tem que ir pra API Oficial e template aprovado.
Resultado: nenhum banimento em 4 anos operando profissionalmente. Não é sorte. É consequência de saber exatamente o que Meta caça.
O checklist técnico que evita 95% dos banimentos
Pra quem vai rodar WAHA, Evolution ou Z-API em produção, esse é o checklist concreto:
1. Nunca rode sessão direto em IP de DC. Tem que ter proxy residencial ou VPS de provedor brasileiro pequeno (Locaweb, UOL Cloud, Hostgator). AWS, DO, GCP, Vultr, Hetzner — não.
2. Warmup mínimo 14 dias pra número novo. Antes de conectar no WAHA, usa o número como humano: conversa com contatos reais, manda áudio, foto, vídeo, recebe ligação. Meta classifica número novo nas primeiras semanas de uso — pega esse período pra mostrar comportamento normal.
3. Volume de resposta nunca acima de 200 mensagens/dia no primeiro mês. Mesmo respondendo (não disparando), volume excessivo é flag. Cresce gradual.
4. Tempo de resposta entre 2-15 segundos. Resposta em milissegundo = bot. Resposta em milhares de milissegundos é humano. Configura delay artificial proporcional ao tamanho da resposta.
5. Indicador "digitando..." sempre ligado. WAHA suporta. Liga. Mostra atividade real na sessão, reduz suspeita.
6. Não use o número pra mais nada simultaneamente. Se o número tá conectado no WAHA, não conecta WhatsApp Web em outro lugar, não usa WhatsApp Business app paralelo. Multi-device cria fingerprint inconsistente.
7. Backup de sessão e estratégia de reposição. Mesmo fazendo tudo certo, eventualmente algo cai. Tenha plano B — segundo número fazendo warmup em paralelo, processo de migração de sessão pronto pra rodar em 24h.
8. Não use GreenAPI nem proxies cloud baratos. GreenAPI tá no radar de Meta. Proxy de R$ 0,30/GB de pool global é DC mascarado, Meta detecta. Investe em pool residencial bom (BrightData, Smartproxy, ou direto provedor BR).
9. Padrão de horário humano. Agente respondendo às 3h da manhã com volume alto vira flag. Mesmo que tecnicamente possa, considere janela de operação (7h-23h) com handoff fora desse horário.
10. Monitora taxa de bloqueio. Se mais de 2% dos destinatários bloquearam tua conta, tá fora do padrão. Reduz volume, melhora qualidade da conversa, ajusta abertura.
Quem segue isso roda anos sem cair. Quem ignora 2 ou 3 itens dessa lista cai em meses.
Por que disparo não é mais o caminho (mesmo se tu sabe evadir)
Posso ensinar tudo isso porque hoje não faço mais. Disparo em massa via não-oficial em 2026, mesmo bem operado, perde pra:
API Oficial pra cold outreach. R$ 0,80 por conversa, template aprovado pela Meta, zero risco de banimento, métrica clara, integração com CRM nativa. Pra quem precisa enviar primeiro mensagem, é o único caminho profissional. Setup demora, mas roda.
Inbound respondendo bem. Investe em ads → lead chega no teu WhatsApp → agente IA responde bem. Volume crescendo orgânico, qualidade alta, custo previsível, zero risco regulatório.
Marketing colateral em vez de outbound puro. Conteúdo, SEO, SEO em IA (ChatGPT, Perplexity, Claude), indicação, parceria. Atrai lead pra ti em vez de tu invadir o WhatsApp dele.
Disparo não-oficial sobrevive em três nichos hoje: operação grey muito barata onde margem é alta (apostas, certos tipo de e-commerce), aplicações regionais onde fiscalização é fraca (interior, mercados menos digitalizados) e operações de transição (gente migrando pra oficial mas ainda não fez). Pra qualquer outro caso, custo/risco/retorno não fecha.
Onde tu deveria estar
Se tu lê esse artigo porque tua conta foi banida, primeira coisa: tira da cabeça que recupera fácil. Em 2026, conta banida fica banida na maioria dos casos. Apela na primeira tentativa, com explicação técnica clara do uso (não fala "uso comercial" — fala "negócio pequeno familiar"), mas planeja como se a conta tivesse ido embora.
Pra próximas contas, decide qual lado tu vai operar:
- Outbound em volume? Vai pra API Oficial. Custo R$ 0,80/conversa, ROI calculado, conformidade total. Forgem não cobre esse caso bem hoje.
- Inbound respondendo lead? WAHA bem operado roda anos. Cria conta no Forgem, monta agente, conecta WhatsApp seguindo o checklist acima.
Se tu quer falar especificamente sobre o teu caso — número que caiu, configuração técnica, dúvida sobre warmup — me chama no WhatsApp. Respondo eu mesmo.
Mês que vem volto com um experimento concreto: rodei agente IA em conta nova WAHA, 60 dias, com cada item do checklist acima documentado. Métricas reais — mensagens enviadas, taxa de resposta, taxa de bloqueio, latência. Sem screenshot fake — dashboard real do meu D1. Se quer ser notificado, assina o RSS.