A mensagem chega pelo WhatsApp: parece a foto do seu filho, o tom é de urgência, o número é desconhecido mas a história é crível. Poucos minutos depois, o PIX foi feito. Quando você percebe, o dinheiro já saiu da conta — e, na maioria dos casos, já passou por duas ou três contas diferentes. O que fazer agora? E mais importante: quem deve arcar com o prejuízo?

Essa cena se repete aos milhões no Brasil. Segundo o Fórum Brasileiro de Segurança Pública, aproximadamente 24 milhões de brasileiros foram vítimas de golpes financeiros envolvendo PIX ou boletos entre julho de 2024 e junho de 2025. O prejuízo acumulado chega perto de R$ 29 bilhões. E o número cresce: só no primeiro semestre de 2025, os ataques de malware a contas bancárias subiram 220% em comparação ao semestre anterior, de acordo com o relatório BioCatch de Tendências de Fraudes Bancárias.

A boa notícia é que, na maioria dessas situações, a vítima não precisa suportar sozinha o prejuízo. A jurisprudência do Superior Tribunal de Justiça consolidou, há mais de uma década, que fraudes praticadas por terceiros em operações bancárias são, em regra, de responsabilidade da instituição financeira. O que muda — e é aí que a atuação de um advogado especializado faz diferença — são os detalhes técnicos de cada caso.

A base jurídica: Súmula 479 do STJ e o conceito de fortuito interno

O ponto de partida para entender quando o banco responde é a Súmula 479 do Superior Tribunal de Justiça, aprovada em 2012 pela Segunda Seção:

"As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

A súmula tem força vinculante porque foi construída a partir dos Recursos Especiais nº 1.197.929/PR e 1.199.782/PR, julgados sob o rito dos recursos repetitivos (Tema 466). Isso significa que tribunais de todo o país devem segui-la, sob pena de reforma das decisões em instâncias superiores.

Três conceitos precisam ser compreendidos para aplicar essa súmula:

Responsabilidade objetiva significa que o banco responde independentemente de culpa. A vítima não precisa provar que o banco agiu com negligência — basta comprovar o dano e o nexo com a atividade bancária. O fundamento está no artigo 14 do Código de Defesa do Consumidor e na Súmula 297/STJ, que reconhece o CDC como aplicável às relações bancárias.

Fortuito interno é o evento imprevisível que, embora praticado por terceiro, está ligado ao risco inerente da atividade bancária. Uma fraude online, um clone de cartão, uma transferência PIX feita por golpista que obteve seus dados — tudo isso é fortuito interno porque decorre do próprio negócio que o banco exerce.

Fortuito externo, diferentemente, é o evento totalmente alheio ao risco da atividade, como uma calamidade natural. Em casos de fortuito externo, o banco pode afastar sua responsabilidade.

A distinção é decisiva. Bancos frequentemente tentam, em contestações, enquadrar golpes como "culpa exclusiva da vítima" ou "fortuito externo". A jurisprudência, porém, vem rechaçando essa tese na maioria dos casos típicos de fraude digital.

Quando o banco tenta se esquivar — e por que geralmente não consegue

Três argumentos aparecem com frequência em contestações de bancos. Vale entender cada um para saber quando e como rebatê-lo.

"A transação foi autorizada com senha e biometria"

É o argumento mais comum. A tese é que, se o cliente usou senha pessoal ou validou com selfie/biometria, a operação foi legítima.

O STJ tem consistentemente rejeitado esse raciocínio em casos de transações atípicas. A Súmula 479 trata justamente de fraudes — que, por definição, envolvem o uso indevido de credenciais obtidas por engano, coação, phishing ou clonagem. A mera validação técnica não "limpa" a fraude.

Mais que isso: o banco tem o dever de monitoramento antifraude. Quando uma transferência foge ao perfil de consumo do cliente — valor atípico, horário incomum, destinatário sem histórico, realização em sequência com outras transferências suspeitas — a instituição deveria ter acionado travas de segurança. Falhar nisso configura defeito na prestação do serviço, o que desloca a responsabilidade para o banco independentemente de ter havido senha correta.

"A culpa é exclusiva da vítima, que passou os dados"

Para afastar a responsabilidade pelo artigo 14, § 3º, do CDC, o banco precisa provar culpa exclusiva do consumidor ou de terceiro. A palavra-chave é "exclusiva".

Quando o golpista explora fragilidades do sistema bancário — como a facilidade de abrir contas laranjas com documentos falsos, a ausência de análise de risco em transferências atípicas ou falhas no cadastro de chaves PIX — há culpa concorrente da instituição, e a responsabilidade não é afastada. A linha da jurisprudência é que, em golpes sofisticados, o sistema falha antes da vítima: se o banco tivesse monitoramento adequado, o dinheiro não teria saído, ou teria sido bloqueado nos minutos seguintes.

"O golpe aconteceu fora do ambiente bancário"

Esse argumento surge em situações como o chamado "golpe da falsa central", em que o criminoso liga para a vítima fingindo ser funcionário do banco. A tese é que a abordagem se deu fora da relação bancária.

O entendimento majoritário é o oposto: se o golpista utilizou dados do cliente que só poderiam circular no ambiente bancário, há forte indício de vazamento de dados ou falha na proteção de informações sensíveis. Nessas hipóteses, voltamos ao fortuito interno — os dados que viabilizaram o golpe saíram de algum lugar, e esse lugar é, quase sempre, o próprio ecossistema das instituições financeiras.

Foi vítima de um golpe recente?

As primeiras 48 horas são decisivas para a recuperação dos valores. Nossa equipe pode avaliar seu caso e orientar sobre os passos imediatos.

Falar com um advogado

O Mecanismo Especial de Devolução (MED): o que é, prazos e como acionar

Paralelamente à via judicial, o Banco Central criou, pela Resolução BCB nº 103/2021, o Mecanismo Especial de Devolução (MED). É uma ferramenta administrativa que permite recuperar valores enviados por PIX em casos de fraude ou falha operacional.

Em agosto de 2025, a Resolução BCB nº 493/2025 modernizou o mecanismo — o chamado MED 2.0 — ampliando o rastreamento do dinheiro por até cinco transferências subsequentes e estabelecendo procedimentos mais claros para bloqueio e devolução.

Prazos essenciais:

  • 80 dias corridos após o PIX: prazo máximo para registrar a contestação junto ao banco do pagador.
  • Até 7 dias: prazo para análise entre as instituições envolvidas.
  • 24 horas após o deferimento: prazo para a instituição recebedora devolver os valores bloqueados.
  • 30 dias: prazo que o recebedor tem para contestar a devolução, após o bloqueio.

Como acionar:

Desde outubro de 2025, o chamado "botão de contestação" está disponível no aplicativo dos bancos. A contestação pode ser feita diretamente pelo autoatendimento, sem precisar passar por central telefônica. Em casos de fraude ou golpe, é o caminho mais rápido.

Importante registrar: o MED é independente da via judicial. Nada impede que a vítima acione o MED administrativamente e, em paralelo, ajuíze ação contra o banco para cobrar indenização por danos morais ou para reaver valores que o MED não conseguiu recuperar. Tampouco o indeferimento do MED pelo banco impede o ajuizamento posterior.

O que fazer nas primeiras 24 horas: o passo a passo prático

A janela de ação imediata é decisiva. Cada hora que passa reduz as chances de bloqueio dos valores.

  1. Contestação imediata no banco. Abra o aplicativo e registre a contestação pelo botão específico. Se não houver, ligue para a central e exija abertura de protocolo de fraude. Anote o número do protocolo.
  2. Boletim de ocorrência. Registre o BO preferencialmente pela Delegacia Virtual do estado ou na delegacia especializada em crimes cibernéticos, se houver. O BO não é formalidade — é peça probatória central em eventual ação.
  3. Preservação de provas. Prints de todas as conversas, chamadas recebidas, mensagens de SMS, e-mails suspeitos. Não apague nada. Se o golpe veio por WhatsApp, exporte a conversa completa (menu do chat → "Exportar conversa").
  4. Comprovantes bancários. Extratos do período, comprovantes PIX, histórico de mensagens do app do banco. Peça por escrito à instituição uma cópia do log da transação, incluindo IP de origem e dispositivo utilizado.
  5. Proteção de chaves PIX e senhas. Troque senhas de banco, e-mail e aplicativos imediatamente. Se usar a mesma senha em vários serviços, troque em todos. Avalie desativar chaves PIX comprometidas e gerar novas.
  6. Assessoria jurídica qualificada. Nas primeiras 48 horas, a orientação técnica pode ser a diferença entre recuperar os valores ou não. Um advogado com atuação em Direito Digital e Bancário sabe como formular a contestação com elementos que aumentam a chance de aceitação pelo MED e, se necessário, já começa a estruturar a ação judicial.

A via judicial: o que esperar

Quando o MED falha — seja por esgotamento de prazo, por o dinheiro já ter saído da conta destinatária, ou por recusa do banco — a via judicial se torna o caminho principal.

A ação típica contra a instituição financeira é de restituição de valores combinada com indenização por danos morais. Os valores materiais são o prejuízo direto. Os danos morais decorrem, segundo entendimento pacificado, da própria angústia, perda de tempo útil (teoria do desvio produtivo) e frustração da legítima expectativa de segurança no serviço bancário.

Quanto à competência, a ação costuma ser proposta no foro do domicílio do consumidor, nos termos do artigo 101 do CDC. A inversão do ônus da prova é praticamente certa — cabe ao banco, não à vítima, provar que não houve falha no serviço.

Os prazos prescricionais mais usados são o de cinco anos (art. 27 do CDC, para reparação por fato do produto ou serviço) e o de três anos (art. 206, § 3º, V, do Código Civil, para pretensão de reparação civil). A escolha entre os dois depende da estratégia e do tipo de pedido formulado.

Uma observação relevante: em muitos casos, vale a pena testar a tutela provisória de urgência para obter, logo no início do processo, o bloqueio dos valores do destinatário final — se ainda houver. Quando a fraude é recente e o dinheiro ainda não foi integralmente dispersado, a rapidez processual é tão importante quanto a correção jurídica.

Quando a vítima pode perder, mesmo com toda a razão técnica

Alguns comportamentos enfraquecem significativamente o caso da vítima. Vale listá-los por honestidade intelectual — não para desencorajar a busca pelos direitos, mas para que a vítima saiba onde reforçar sua documentação.

Realização consciente de transferência. Se houver prova de que a vítima, após ser alertada pelo próprio banco sobre sinais de fraude, insistiu em realizar a transação, o caso se complica. Registros de chats de atendimento, notificações push do app e histórico de avisos ignorados são usados pelos bancos em contestação.

Compartilhamento voluntário e consciente de senhas. Passar senhas a pessoas conhecidas (parentes, amigos) e sofrer apropriação por esses terceiros configura situação diferente de fraude clássica. O STJ diferencia o golpe do mau uso consentido.

Ausência total de documentação. Sem BO, sem prints, sem extratos, sem protocolos, a ação judicial fica frágil. Por isso a insistência na preservação das provas desde o primeiro momento.

Mesmo nessas hipóteses mais difíceis, a análise deve ser caso a caso. Muitas vezes, o que parecia culpa exclusiva da vítima, ao ser destrinchado tecnicamente, revela falhas do banco — como a ausência de monitoramento de operações atípicas ou a facilidade de abertura da conta destinatária.

Perguntas frequentes

O banco sempre é responsável por golpe PIX?

Não. A regra da Súmula 479 é que o banco responde objetivamente por fraudes no âmbito de operações bancárias, mas a responsabilidade pode ser afastada se comprovada a inexistência de defeito no serviço ou a culpa exclusiva da vítima ou de terceiro. Cada caso exige análise técnica individualizada.

Qual o prazo para pedir a devolução pelo MED?

O pagador tem 80 dias corridos, contados da data do PIX, para registrar a contestação no banco. Após esse prazo, o MED não pode mais ser acionado — mas a via judicial segue disponível dentro dos prazos prescricionais.

Posso pedir MED e entrar na justiça ao mesmo tempo?

Sim. O MED é mecanismo administrativo, a ação judicial é independente. Na prática, quando a fraude é de valor alto ou o banco nega o MED, costuma-se combinar as duas estratégias.

Preciso de advogado para acionar o MED?

Não é exigido por lei, mas a orientação técnica aumenta significativamente a chance de sucesso. O modo como a contestação é formulada, a documentação anexada e os argumentos apresentados fazem diferença na análise feita pelo banco.

Tenho direito a danos morais além da devolução do dinheiro?

Na maioria dos casos, sim. A jurisprudência reconhece que a vítima de fraude bancária sofre dano moral indenizável, decorrente da angústia, do tempo perdido em tentativas de solução e da quebra da expectativa de segurança no sistema bancário. Os valores variam conforme o caso concreto e o porte do prejuízo.

E se o golpe tiver sido feito por boleto falso, não por PIX?

Os princípios são os mesmos. A responsabilidade do banco por boletos clonados ou adulterados também está consolidada pela Súmula 479. A diferença prática é que não há mecanismo análogo ao MED para boletos — a recuperação depende basicamente da via judicial.

Conclusão e orientação final

Fraudes digitais no Brasil deixaram de ser exceção. Com 24 milhões de vítimas em doze meses e um prejuízo coletivo de R$ 29 bilhões, o sistema judicial e o regulatório vêm se ajustando para responsabilizar quem tem o dever de proteger — as instituições financeiras. A Súmula 479 do STJ, o Tema 466 e as Resoluções do Banco Central formam um arcabouço que, corretamente invocado, devolve aos consumidores valores que em muitos casos pareceriam irremediavelmente perdidos.

O que separa a vítima que recupera da vítima que não recupera não é a gravidade do golpe — é a qualidade da ação nos dias seguintes. Documentação preservada, contestação bem formulada, prazos respeitados e, quando necessário, atuação judicial técnica.

Se você foi vítima de um golpe digital recentemente, o tempo é o fator mais crítico. Os primeiros dias costumam definir a viabilidade da recuperação.

Precisa analisar um caso concreto?

O escritório Lira Battisti Advogados atua em Direito Digital, incluindo defesa de vítimas de fraudes bancárias. Atendimento presencial em Toledo/PR e virtual em todo o Brasil.

Entrar em contato
Este artigo tem caráter estritamente informativo e não constitui consulta jurídica, em conformidade com o Provimento nº 205/2021 do Conselho Federal da OAB. As considerações aqui apresentadas não substituem a análise técnica individualizada de cada caso concreto, a ser realizada por advogado regularmente inscrito.

Fontes consultadas

  1. Superior Tribunal de Justiça — Súmula 479.
  2. STJ, REsp 1.197.929/PR e REsp 1.199.782/PR (Tema 466 — Recursos Repetitivos).
  3. STJ — Súmula 297 (Código de Defesa do Consumidor aplicável a instituições financeiras).
  4. Código de Defesa do Consumidor (Lei 8.078/1990) — artigos 14, 27 e 101.
  5. Código Civil (Lei 10.406/2002) — art. 206, § 3º, V.
  6. Banco Central do Brasil — Resolução BCB nº 103, de 08/06/2021 (MED original).
  7. Banco Central do Brasil — Resolução BCB nº 493, de 28/08/2025 (MED 2.0).
  8. Fórum Brasileiro de Segurança Pública — dados de fraudes financeiras (julho/2024 a junho/2025).
  9. BioCatch — Relatório de Tendências de Fraudes Bancárias Digitais no Brasil 2025.
  10. FEBRABAN — Estatísticas de reclamações por golpes em 2024/2025.