Entenda em que situações o banco responde por golpes e fraudes e quando o prejuízo recai sobre o consumidor, segundo o STJ e o CDC.
O telefone toca e, do outro lado, alguém se identifica como funcionário do setor antifraude do banco. A pessoa conhece dados que, em tese, só a instituição teria, fala com a desenvoltura de quem está mesmo dentro da agência e avisa que há uma operação suspeita em andamento na conta. Em poucos minutos a vítima instala um aplicativo, confirma códigos recebidos por mensagem e, quando se dá conta, já existem transferências feitas, um empréstimo contratado em seu nome e o saldo zerado. A pergunta que chega ao escritório é quase sempre a mesma: o banco devolve esse dinheiro?
A resposta não está em saber se houve golpe, porque golpe houve. Está em definir se houve falha na prestação do serviço bancário. É essa distinção, e não a engenhosidade do criminoso, que decide quem suporta o prejuízo. Reunimos a seguir o que o Superior Tribunal de Justiça já firmou sobre o tema, separando as situações em que a instituição responde daquelas em que a perda recai sobre o próprio consumidor, com as providências que ampliam a chance de recuperação.
A regra de partida é a responsabilidade objetiva
A relação entre o correntista e o banco é de consumo. O Código de Defesa do Consumidor incide sobre as instituições financeiras de forma plena, conforme a Súmula 297 do STJ, o que atrai o regime do artigo 14 do CDC: o fornecedor de serviços responde pelos defeitos na prestação independentemente de culpa. O cliente não precisa provar que o banco agiu mal, basta demonstrar o defeito do serviço e o dano dele decorrente.
Esse ponto de partida ganhou contornos próprios na atividade bancária com a Súmula 479 do STJ, que prevê que as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. O fundamento é a teoria do risco do empreendimento: quem lucra com a oferta de contas digitais, transferências instantâneas e crédito automatizado assume, como custo da própria atividade, o risco de que essa estrutura seja explorada por criminosos. A fraude de terceiro, nesse desenho, não é um acontecimento estranho ao negócio, e sim um risco inerente a ele. (STJ, Súmula 479)
A responsabilidade objetiva, contudo, não é absoluta. O próprio artigo 14, parágrafo 3º, do CDC admite duas excludentes que rompem o nexo causal: a inexistência de defeito no serviço e a culpa exclusiva do consumidor ou de terceiro. Toda a controvérsia sobre golpes bancários se concentra exatamente na aplicação dessas excludentes, e é aí que a análise técnica se torna decisiva.
Fortuito interno e fortuito externo: a fronteira da responsabilidade
A jurisprudência separa as fraudes em duas categorias, e a classificação define o resultado. Fortuito interno é o evento que se insere nos riscos próprios da atividade bancária, como a abertura de conta com documentos falsos, a clonagem de cartão, a transação não reconhecida pelo titular ou a falha dos sistemas de segurança em barrar movimentações que destoam do comportamento habitual. Nessas hipóteses o banco responde. Fortuito externo é o evento cuja causa é estranha ao serviço, como a decisão do consumidor de transferir valores, fora do ambiente bancário, a um terceiro com quem manteve negociação privada. Aqui, em regra, a instituição não responde.
A fronteira entre as duas categorias raramente é nítida, e é justamente nessa zona que se concentra a litigiosidade atual. O quadro a seguir sintetiza os critérios que os tribunais vêm utilizando para enquadrar cada situação.
| Critério | Fortuito interno (banco responde) | Fortuito externo (em regra, não responde) |
| Origem da fraude | Risco próprio da operação bancária | Causa estranha ao serviço do banco |
| Exemplos | Conta aberta com documento falso Transação fora do perfil não bloqueada Empréstimo contratado por terceiro | Cartão e senha entregues ao golpista Transferência voluntária após negociação privada |
| Conduta do cliente | Não concorreu de forma determinante | Foi causa direta e exclusiva do dano |
| Base legal | Art. 14, caput, CDC; Súmula 479/STJ | Art. 14, parágrafo 3º, II, CDC |
O dever de vigiar operações fora do perfil do cliente
O ponto que mais tem evoluído na jurisprudência é o dever de monitoramento. Em 2023, ao julgar o REsp 2.052.228/DF, a Terceira Turma do STJ, sob relatoria da ministra Nancy Andrighi, reconheceu a responsabilidade objetiva do banco que permitiu a contratação de empréstimo por estelionatário, em meio a movimentações totalmente atípicas e alheias ao padrão de consumo da conta. A Corte assentou que cabe à instituição verificar a regularidade e a idoneidade das transações e desenvolver mecanismos capazes de dificultar fraudes de terceiros, independentemente de qualquer ato do cliente. (STJ, notícia do julgamento)
A consolidação veio em outubro de 2025, no julgamento conjunto dos Recursos Especiais 2.222.059/SP e 2.229.519, relatados pelo ministro Ricardo Villas Bôas Cueva, ambos tratando do golpe da falsa central de atendimento. Em um dos casos, o correntista, que mantinha a conta como reserva de valores, com movimentações mensais de até cerca de R$ 4 mil, viu serem realizadas catorze transações em um único dia, somando prejuízo da ordem de R$ 143 mil, incluindo um empréstimo contratado e o pagamento de boleto na função crédito. O relator afirmou que a validação de operações suspeitas, alheias ao perfil de consumo do correntista, revela defeito na prestação do serviço, e que os sistemas antifraude devem considerar fatores como valor, horário, local, intervalo entre transações e sequência das operações. (STJ, notícia do julgamento)
A mesma linha levou o Tribunal, em julgamento noticiado em novembro de 2025, a afastar a tese de culpa concorrente em caso de golpe do acesso remoto, conhecido como golpe da mão fantasma. Tendo havido falha do sistema de segurança que não barrou operações incompatíveis com o histórico da conta, o STJ determinou a reparação integral do prejuízo, reservando a divisão de responsabilidade apenas para as situações em que o cliente assume conscientemente algum risco. (STJ, notícia do julgamento)
Quando o prejuízo recai sobre o consumidor
O mesmo Tribunal que ampliou o dever de vigilância também fixou os seus limites. A responsabilidade objetiva não transforma o banco em segurador universal de toda e qualquer fraude. Quando a perda decorre, de forma direta e exclusiva, de um comportamento do próprio cliente que se coloca fora do raio de controle da instituição, configura-se o fortuito externo e o dever de indenizar é afastado.
Foi o que o STJ reconheceu no chamado golpe do motoboy, em que o consumidor entrega voluntariamente cartão e senha a um falso preposto do banco, e na hipótese em que a vítima, induzida por contato em rede social, decide transferir valores via Pix a terceiro com quem negociou por conta própria, sem que se identifique qualquer falha nos sistemas bancários. Nesses cenários, o uso da senha pessoal e a transferência deliberada constituem a causa do dano, rompendo o liame entre o golpe e a operação bancária regular. A linha de corte, portanto, não é a presença do terceiro fraudador, que existe em todos os casos, e sim a existência ou não de defeito imputável ao serviço, somada ao grau de participação determinante da vítima.
O que fazer ao perceber o golpe
A recuperação do valor depende, em larga medida, da velocidade da reação. A primeira providência é comunicar a instituição imediatamente, pelos canais oficiais, e acionar o Mecanismo Especial de Devolução do Pix, o MED, instrumento criado pelo Banco Central para bloquear e devolver valores em casos de fraude. O pedido deve ser registrado em até oitenta dias contados da transação, embora a chance de êxito seja muito maior quando o acionamento ocorre nos primeiros minutos, enquanto o dinheiro ainda está na conta de destino. Após o registro, a instituição recebedora realiza o bloqueio cautelar e analisa o caso, e, confirmada a fraude e havendo saldo, a devolução é processada nos prazos regulatórios.
Vale uma ressalva importante: o MED não obriga o banco a usar recursos próprios para o ressarcimento, pois depende da existência de saldo na conta do recebedor. Por isso, ele não se confunde com a responsabilidade civil da instituição. Ainda que o MED não recupere o valor, porque o criminoso já o sacou, permanece em aberto a discussão sobre a falha no serviço, que se resolve na esfera judicial. Recomenda-se também o registro de boletim de ocorrência, a guarda de todos os comprovantes, prints e protocolos, e a notificação formal do banco, elementos que sustentam a futura ação de reparação.
Perguntas frequentes
O banco é sempre obrigado a devolver o dinheiro de um golpe?
Não. O banco responde quando há falha na prestação do serviço, como a abertura de conta com documento falso, o vazamento de dados ou a não detecção de operações que destoam do perfil do cliente. Em golpes bancários nos quais a instituição falhou nesse dever de segurança, prevalece a responsabilidade objetiva da Súmula 479 do STJ. Quando o prejuízo decorre exclusivamente da conduta voluntária da vítima, sem defeito no serviço, o dever de indenizar é afastado.
Fui eu que fiz o Pix enganado pelo golpista. Ainda assim o banco responde?
Pode responder. O fato de a transferência ter partido do próprio cliente não exclui, por si só, a responsabilidade do banco. Em golpes bancários que envolvem engenharia social, o STJ tem reconhecido o dever de indenizar quando as operações fogem do padrão habitual da conta e o sistema antifraude deixa de bloqueá-las, ou quando há vazamento de dados que viabiliza o golpe. A análise é casuística e depende da prova da falha de segurança.
O que é o MED e qual o prazo para pedir a devolução?
O MED é o Mecanismo Especial de Devolução do Pix, criado pelo Banco Central para bloquear e devolver valores em casos de fraude, golpe ou crime. A solicitação deve ser feita pelos canais do banco em até oitenta dias contados da data do Pix. Em golpes bancários, agir nos primeiros minutos aumenta muito a chance de recuperação, pois o bloqueio só alcança o que ainda restar na conta de destino. O MED não obriga o banco a ressarcir com recursos próprios.
Usei minha senha e a biometria. Isso me prejudica?
Não necessariamente. O uso de senha ou biometria não funciona como autorização que isenta o banco em qualquer golpe bancário. O STJ entende que esses mecanismos, isoladamente, não rompem o nexo de causalidade quando a operação foge completamente do perfil de consumo do cliente e a instituição falha em identificá-la. O que se examina é a existência de defeito no serviço de segurança, e não apenas o registro formal da validação.
Quanto tempo tenho para entrar com ação contra o banco?
A pretensão de reparação por danos decorrentes do defeito do serviço sujeita-se ao prazo do artigo 27 do CDC, de cinco anos, contados do conhecimento do dano e de sua autoria. Mesmo assim, em golpes bancários a recomendação é não aguardar: quanto antes for acionado o MED e formalizada a notificação, melhor a posição probatória. Como cada caso tem particularidades de prazo e de prova, a orientação de um advogado no início faz diferença no resultado.
