Blog
Você está aqui: / / / Deepfake jurídico, fraude documental e a nova fronteira da responsabilidade ...

Deepfake jurídico, fraude documental e a nova fronteira da responsabilidade civil na era da prova sintética

Deepfake jurídico, fraude documental e a nova fronteira da responsabilidade civil na era da prova sintética

A inteligência artificial generativa inaugurou uma nova camada de complexidade para o Direito. Se, em um primeiro momento, a preocupação jurídica estava centrada na automação de textos, na tomada de decisões algorítmicas e no tratamento massivo de dados, agora o problema se desloca para uma zona ainda mais sensível: a produção artificial de realidade.

A deepfake não é apenas uma imagem falsa, uma voz manipulada ou um vídeo adulterado. Em contexto jurídico, ela pode se converter em prova aparente, identidade fabricada, manifestação de vontade simulada, autorização inexistente, contratação fraudulenta ou elemento persuasivo capaz de contaminar a percepção de instituições, empresas, bancos, órgãos públicos e do próprio Poder Judiciário.

A discussão, portanto, já não se limita à falsidade documental em sentido clássico. O novo desafio está na falsificação de presença, de voz, de consentimento e de comportamento.

A fraude deixou de falsificar apenas documentos: agora falsifica contexto

Durante décadas, a fraude documental esteve associada a assinaturas imitadas, documentos ideologicamente falsos, adulteração de contratos, falsificação de procurações, boletos e comprovantes. O Direito desenvolveu respostas relativamente estáveis para esse universo: perícia grafotécnica, impugnação documental, incidente de falsidade, ônus da prova, cadeia de custódia e responsabilização civil ou criminal.

A deepfake altera esse cenário porque desloca a falsidade do documento para o ambiente inteiro de confiança.

Uma voz pode simular uma ordem empresarial. Um vídeo pode reproduzir a imagem de um sócio autorizando uma transação. Uma reunião virtual pode ser manipulada para induzir o interlocutor a acreditar que está diante de pessoa real. Uma mensagem de áudio pode conter comando financeiro aparentemente legítimo. Uma imagem pode ser usada para reforçar uma identidade artificial em procedimento de validação.

Esse fenômeno exige uma mudança de abordagem: o debate jurídico não pode se limitar a perguntar se determinado arquivo é autêntico; deve investigar se o procedimento que o aceitou era tecnicamente seguro.

Deepfake e responsabilidade civil: o problema da confiança induzida

A deepfake opera sobre confiança. Ela não precisa vencer todos os sistemas de segurança; basta explorar uma brecha cognitiva, procedimental ou institucional.

Em operações empresariais, por exemplo, o risco não está apenas no arquivo falso em si, mas na possibilidade de que esse arquivo seja integrado a uma cadeia de autorização: um e-mail que parece legítimo, uma voz que aparenta ser do administrador, uma imagem que simula presença, um documento que confirma uma instrução e uma transação executada logo em seguida.

Nesses casos, a responsabilidade civil deve ser analisada a partir de alguns eixos:

primeiro, se a fraude era previsível no contexto da atividade exercida;

segundo, se a parte que aceitou a manifestação de vontade adotou mecanismos proporcionais de verificação;

terceiro, se havia sinais objetivos de anormalidade;

quarto, se houve falha de segurança ou de governança;

quinto, se a resposta posterior ao evento foi adequada para conter o dano.

A deepfake não pode ser tratada como evento absolutamente imprevisível em setores que lidam com autenticação digital, dados sensíveis, operações financeiras, contratos eletrônicos e validação remota de identidade. A previsibilidade tecnológica do risco altera o padrão de diligência esperado.

A prova sintética e o ônus da verificação

A prova digital tradicional já exigia cuidados com autoria, integridade, metadados, cadeia de custódia e contexto de produção. A prova sintética exige algo a mais: verificação da origem e da autenticidade do próprio fenômeno representado.

Em outras palavras, não basta saber se o arquivo foi enviado por determinado canal. É necessário saber se o conteúdo representa um fato real ou uma simulação artificial.

Essa distinção terá impacto direto em litígios bancários, societários, trabalhistas, contratuais e sucessórios. A tendência é que aumentem discussões envolvendo:

autorizações financeiras por voz;

vídeos de suposta anuência contratual;

validações biométricas contestadas;

reuniões virtuais manipuladas;

contratos celebrados com identidade artificial;

mensagens de áudio usadas para simular comando empresarial;

fraudes com imagem de advogados, sócios, gestores ou familiares.

Nesse contexto, a parte que se beneficia da prova digital ou que executa uma ordem com base nela deve demonstrar a robustez do procedimento de autenticação. A simples aparência de legitimidade não pode bastar quando a tecnologia já permite simulações altamente convincentes.

Deepfake, dados pessoais e dever de segurança

A deepfake raramente nasce do nada. Para simular voz, imagem, comportamento ou identidade, o fraudador costuma utilizar dados pessoais previamente disponíveis, coletados, vazados ou extraídos de ambientes digitais.

Por isso, a discussão se aproxima da Lei Geral de Proteção de Dados. A LGPD protege direitos fundamentais de liberdade e privacidade e disciplina operações de tratamento de dados pessoais em meios físicos e digitais por pessoas naturais ou jurídicas, públicas ou privadas.

Quando a fraude utiliza informações sensíveis, dados financeiros, dados de autenticação, imagem, voz ou documentos pessoais, a questão jurídica deve envolver também o dever de segurança, transparência e prestação de contas do agente de tratamento.

A Autoridade Nacional de Proteção de Dados já consolidou orientação de que incidentes de segurança com dados pessoais que possam gerar risco ou dano relevante devem ser comunicados à ANPD e ao titular, especialmente quando envolvem dados sensíveis, financeiros, de autenticação, protegidos por sigilo ou tratados em larga escala.

Essa premissa é relevante para fraudes sofisticadas. Não se deve afirmar automaticamente que toda deepfake decorre de vazamento imputável a uma instituição específica. Mas, diante de uso preciso de dados pessoais, imagem, voz ou informações financeiras, a apuração técnica passa a ser indispensável.

O dever de governança contra a falsificação de identidade

Empresas, instituições financeiras, escritórios, plataformas digitais e prestadores de serviços que utilizam canais remotos de contratação ou validação precisam reavaliar seus protocolos.

A autenticação baseada apenas em aparência, voz, imagem, documento digitalizado ou confirmação por canal vulnerável tende a se tornar insuficiente diante da evolução da fraude sintética. A diligência esperada passa a exigir camadas de verificação, segregação de funções, confirmação por canais independentes, trilhas de auditoria, logs preservados, controle de acesso, análise de comportamento e resposta rápida a incidentes.

No ambiente empresarial, essa mudança é particularmente importante. Um pagamento relevante autorizado por áudio ou vídeo deve ser visto com cautela. Uma alteração cadastral solicitada por suposto gestor deve ser confirmada por canal independente. Uma procuração digital ou instrução de transferência deve ser confrontada com política interna de poderes, limites e confirmação.

A deepfake impõe uma nova gramática de governança: quanto maior o risco da operação, maior deve ser a densidade do procedimento de validação.

O impacto processual: o juiz diante da aparência perfeita

A deepfake também desafia a atividade jurisdicional. O processo civil brasileiro já convive com documentos digitais, capturas de tela, registros eletrônicos, gravações e contratos assinados digitalmente. O problema é que, agora, a prova pode ser formalmente convincente e materialmente falsa.

Isso exigirá maior sofisticação na produção probatória. Em litígios envolvendo deepfake, podem ser relevantes:

perícia técnica em áudio, vídeo ou imagem;

exibição de logs e metadados;

preservação da cadeia de custódia digital;

identificação do dispositivo de origem;

verificação de IP, geolocalização e padrões de acesso;

análise de integridade do arquivo;

confronto com histórico comportamental;

exibição de políticas de autenticação;

demonstração dos controles antifraude adotados.

O ponto central é que a prova sintética não pode ser enfrentada apenas com intuição. A aparência de realidade tornou-se insuficiente como critério de convencimento.

Conclusão

A deepfake inaugura uma nova fase da responsabilidade civil digital. A falsificação deixa de se concentrar no documento e passa a atingir a própria percepção de identidade, presença e consentimento.

No campo jurídico, isso exigirá respostas mais sofisticadas: governança preventiva, protocolos robustos de validação, tratamento adequado de dados pessoais, preservação técnica de evidências e redistribuição adequada do ônus probatório.

A pergunta decisiva não será apenas se o fraudador agiu com tecnologia avançada. Será necessário investigar se a instituição, empresa ou plataforma que aceitou aquela manifestação artificial tinha condições de detectar sinais de risco, adotar cautelas proporcionais e evitar que uma simulação digital produzisse efeitos jurídicos reais.

A deepfake não elimina a responsabilidade de terceiros. Ao contrário, eleva o padrão de diligência de todos que operam em ambientes de confiança digital.

/por
Talvez você goste dos artigos
diagnóstico jurídico gratuitoDiagnóstico Jurídico Gratuito Online: Descubra em Minutos se Você Tem Direito — e o Que Fazer Agora
Falso coletivo em plano de saúde: entenda os riscos, os reajustes abusivos e o cancelamento do contratoFalso coletivo em plano de saúde: entenda os riscos, os reajustes abusivos e o cancelamento do contrato
Pós-golpe financeiro: por que correntistas, aposentados e empresas não devem assumir empréstimos antes da apuração da fraudePós-golpe financeiro: por que correntistas, aposentados e empresas não devem assumir empréstimos antes da apuração da fraude
Plano de saúde aumentou muito: o que fazer e quando o reajuste pode ser abusivo?Plano de saúde aumentou muito: o que fazer e quando o reajuste pode ser abusivo?
Cheque especial cancelado ou reduzido sem aviso: o que isso gera, como provar os prejuízos e quando pedir o restabelecimento do créditoCheque especial cancelado ou reduzido sem aviso: o que isso gera, como provar os prejuízos e quando pedir o restabelecimento do crédito
A importância da consultoria jurídica especializada em Direito Bancário para pessoa física e pessoa jurídicaA importância da consultoria jurídica especializada em Direito Bancário para pessoa física e pessoa jurídica
Golpe da falsa central bancária: como funciona, quais falhas podem existir e quando o banco pode ser responsabilizadoGolpe da falsa central bancária: como funciona, quais falhas podem existir e quando o banco pode ser responsabilizado
Dívida de cartão de crédito: por que a repactuação pode ser o ponto-chave para revisar juros e proteger o patrimônioDívida de cartão de crédito: por que a repactuação pode ser o ponto-chave para revisar juros e proteger o patrimônio

Gutemberg Amorim Sociedade Individual de Advocacia

CNPJ nº 53.659.853/0001-04

OAB GO/33.567

Contato

  • contato@gutembergamorim.com.br
  • (62) 62 8159-3736
    (62) 98175-1315
  • Rua 3, 1022, Ed. West Office, Setor Oeste, Goiânia - GO, 74.115-050.
    Ver no mapa

Acesso rápido

Sobre nós
Guias e E-Books
Áreas de Atuação
Blog
Diagnósticos Jurídicos
Atendimento
FAQ
Política de Privacidade

Redes Sociais

Responsabilidade bancária em fraude contra pessoa jurídica: fortuito interno,...A fraude bancária contra pessoa jurídica exige uma leitura mais sofisticada do que aquela aplicada aos pequenos incidentes de consumo. Em contas empresariais, uma operação fraudulenta pode comprometer capital de giro, folha de pagamento, fornecedores, tributos, contratos, fluxo de caixa e continuidade da atividade econômica. Por isso, quando uma empresa sofre golpe financeiro, a discussão jurídica não deve se limitar à existência de senha, token, biometria ou acesso ao internet banking. A questão central é saber se a instituição financeira entregou segurança compatível com o risco da operação empresarial e se reagiu adequadamente aos sinais de anormalidade antes, durante e depois da fraude. A jurisprudência brasileira já fornece bases relevantes para essa análise, especialmente a partir da Súmula 479 do Superior Tribunal de Justiça, segundo a qual as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros em operações bancárias. A fraude bancária PJ como risco da atividade financeira A atividade bancária moderna é estruturada sobre confiança digital. Instituições financeiras oferecem contas empresariais, Pix, internet banking, cartões corporativos, crédito, pagamentos em lote, gestão de recebíveis, APIs, validações remotas e múltiplos canais de operação. Esse ambiente amplia eficiência, mas também aumenta a superfície de risco. Fraudes contra empresas frequentemente envolvem falso gerente, falsa central bancária, acesso remoto, engenharia social contra funcionários, boletos adulterados, contas de passagem, alteração de favorecidos, Pix em sequência, empréstimos não reconhecidos e transferências incompatíveis com a rotina da pessoa jurídica. Esses eventos não podem ser tratados, em todos os casos, como fatos externos à atividade bancária. Quando a fraude se realiza dentro dos canais disponibilizados pelo banco, mediante operações que deveriam ser monitoradas e com sinais objetivos de atipicidade, o debate se desloca para o defeito do serviço. A responsabilidade objetiva não impõe condenação automática. Mas exige que a instituição demonstre a adequação de seus mecanismos de segurança, a regularidade dos controles, a compatibilidade das transações com o perfil empresarial e a efetividade da resposta após a comunicação do golpe. O perfil transacional da empresa como critério jurídico Um ponto decisivo nas fraudes PJ é o perfil transacional. Empresas possuem rotinas financeiras identificáveis: fornecedores recorrentes, horários habituais de pagamento, valores médios, limites operacionais, contas destinatárias frequentes, padrões de folha, tributos e recebíveis. Quando a conta empresarial sofre movimentações absolutamente incompatíveis com esse histórico, a instituição financeira não pode tratar o evento como operação ordinária. O STJ já reconheceu, em precedente envolvendo fraude bancária, que instituições financeiras têm o dever de identificar e impedir transações que destoem do perfil do cliente. A decisão destacou a necessidade de aprimoramento dos mecanismos de proteção em ambiente de contratação digital. Esse raciocínio é especialmente relevante para contas PJ. Se uma empresa que normalmente realiza pagamentos a fornecedores conhecidos passa a transferir valores expressivos para contas recém-cadastradas, em sequência, em horário incomum ou para destinatários sem relação comercial aparente, a operação deve acionar controles reforçados. A ausência desses controles pode configurar falha na prestação do serviço. A insuficiência da defesa baseada em senha ou autenticação formal Em litígios bancários, a defesa costuma sustentar que a operação foi validada por senha pessoal, token, dispositivo autorizado, biometria ou ambiente autenticado. Essa alegação é relevante, mas não necessariamente conclusiva. Golpes sofisticados não dependem apenas da quebra técnica de senha. Muitas fraudes ocorrem por engenharia social, indução psicológica, acesso remoto, falsos contatos bancários e uso de informações internas ou sensíveis. Em outras palavras, a transação pode ter aparência formal de autenticação e, ainda assim, ser fruto de fraude. Por isso, a autenticação deve ser analisada em conjunto com o comportamento da operação. A pergunta jurídica não é apenas se houve validação formal. É preciso saber se o banco poderia identificar que aquela validação estava sendo utilizada em contexto anormal. Essa distinção é decisiva em golpes como falsa central, falso gerente e mão fantasma. A instituição financeira pode não ter criado o golpe, mas pode ter falhado ao permitir que operações incompatíveis com o perfil empresarial fossem concluídas sem contenção efetiva. Conta de passagem e abertura negligente de contas Outro eixo relevante nas fraudes PJ é a conta destinatária. Muitos golpes utilizam contas de passagem: contas abertas ou mantidas para receber rapidamente valores desviados e dispersá-los em seguida. O problema jurídico não está apenas no banco de origem, mas também na instituição que permite a abertura, manutenção e movimentação de conta com indícios de fraude. Em um sistema financeiro baseado em identificação, monitoramento e prevenção de ilícitos, não é aceitável que contas sejam utilizadas como meros instrumentos de escoamento de valores sem que haja controles proporcionais. A tese de responsabilidade pode envolver falha cadastral, deficiência de verificação de identidade, ausência de monitoramento de conta recém-aberta, movimentação incompatível com renda ou perfil declarado, dispersão rápida de recursos e omissão após comunicação do evento fraudulento. Nas fraudes empresariais, esse ponto é sensível porque a recuperação do valor depende da velocidade de reação. Se a instituição destinatária não bloqueia, não preserva valores, não responde adequadamente ou não coopera na rastreabilidade, o dano pode se tornar irreversível. Pix, MED e a responsabilidade no tempo da resposta O Pix acelerou o sistema de pagamentos brasileiro. A mesma eficiência que beneficia a economia também exige mecanismos rigorosos de resposta em caso de fraude. O Banco Central informa que o Mecanismo Especial de Devolução é ferramenta exclusiva do Pix destinada a facilitar devoluções em casos de fraude, aumentando as possibilidades de a vítima reaver os recursos. O pedido deve ser registrado na instituição da vítima em até 80 dias da data do Pix. Em 2025, o Banco Central anunciou aprimoramentos no MED para permitir a identificação de possíveis caminhos dos recursos, compartilhamento dessas informações com participantes envolvidos e possibilidade de devolução em até 11 dias após a contestação, com o objetivo de aumentar a identificação de contas usadas para fraudes e desestimular novas ocorrências. Essas informações reforçam uma tese importante: no pós-golpe, a inércia não é neutra. O banco deve demonstrar quais medidas adotou, quando adotou, qual foi o resultado, se acionou o MED, se comunicou a instituição destinatária e se preservou registros suficientes para rastrear a operação. A responsabilidade bancária não se examina apenas no instante da transferência. O comportamento posterior à comunicação da fraude pode agravar ou mitigar o dano. A falha no pós-golpe como categoria autônoma de análise A experiência prática mostra que muitas empresas, ao perceberem a fraude, comunicam imediatamente o banco, abrem protocolo, solicitam bloqueio, registram ocorrência e pedem rastreamento. Ainda assim, recebem respostas genéricas, demora excessiva, negativas padronizadas ou orientação para regularizar saldo devedor. Esse comportamento merece tratamento jurídico próprio. A falha no pós-golpe pode ocorrer quando a instituição: não registra adequadamente a contestação; não aciona mecanismos disponíveis de bloqueio ou devolução; não comunica a instituição destinatária; não preserva logs e registros técnicos; não apresenta relatório de análise antifraude; não explica a compatibilidade da operação com o perfil da empresa; não informa as medidas adotadas; não responde de forma fundamentada; conduz a vítima à contratação de crédito antes da apuração. Essa última hipótese é particularmente grave. Em fraudes PJ, é comum que a empresa contrate empréstimos para recompor caixa, cobrir cheque especial, pagar folha ou evitar inadimplemento com fornecedores. Quando isso ocorre antes da apuração, a fraude inicial pode gerar uma dívida nova, com juros, encargos e impacto prolongado sobre a atividade empresarial. Se o banco tinha ciência da contestação e, ainda assim, tratou o saldo como dívida ordinária, há espaço para discutir abusividade, agravamento do dano e inexistência de reconhecimento voluntário da obrigação. Dados pessoais, dados empresariais e fraude qualificada Fraudes empresariais sofisticadas geralmente envolvem dados. O fraudador conhece o banco utilizado, nomes de sócios ou funcionários, e-mails internos, padrões de pagamento, fornecedores, rotina financeira ou informações cadastrais. Esse uso de dados cria aparência de legitimidade e aumenta a eficácia do golpe. A LGPD não protege apenas dados de consumidores individuais em sentido simplificado. Ela disciplina o tratamento de dados pessoais, inclusive quando vinculados a representantes, sócios, administradores, empregados e contatos empresariais. A lei foi concebida para proteger direitos fundamentais de liberdade e privacidade no tratamento de dados em meios físicos e digitais. Além disso, a ANPD prevê comunicação de incidentes de segurança quando houver risco ou dano relevante, especialmente em hipóteses envolvendo dados financeiros, autenticação em sistemas, sigilo ou tratamento em larga escala. Nas fraudes PJ, isso significa que a discussão probatória deve incluir perguntas sobre origem e uso de dados: quais informações o fraudador possuía, quem tinha acesso a elas, se houve compartilhamento com terceiros, se houve incidente de segurança, quais logs foram preservados e quais medidas de prevenção foram adotadas. Não se trata de presumir vazamento em todo caso. Trata-se de exigir apuração técnica quando a fraude foi viabilizada por informações que aumentaram artificialmente a confiança da vítima. Ônus da prova e exibição de documentos técnicos A empresa vítima de fraude geralmente não tem acesso aos elementos mais importantes da prova. Logs de acesso, IP, geolocalização, dispositivo utilizado, método de autenticação, score de risco, histórico transacional, análise antifraude, dados de abertura da conta destinatária e comunicação entre instituições ficam sob controle dos bancos. Por isso, a estratégia processual deve valorizar a exibição de documentos e a inversão dinâmica do ônus da prova. Em uma ação bem estruturada, não basta pedir a restituição dos valores. É necessário requerer que a instituição apresente: relatório completo da contestação; logs de acesso; IP e dispositivo utilizado; método de autenticação; eventual biometria ou aceite eletrônico; histórico de limites e alterações cadastrais; perfil transacional da empresa; alertas gerados ou não gerados pelo sistema antifraude; comunicações internas sobre a fraude; prova de acionamento do MED, quando houver Pix; dados da conta destinatária, quando possível; procedimentos de KYC e abertura da conta recebedora; provas das medidas adotadas após a comunicação. A ausência desses elementos deve ser valorada contra quem tinha melhores condições técnicas de produzi-los. Dano material, lucros cessantes e dano moral empresarial Nas fraudes contra pessoa jurídica, o dano material corresponde aos valores desviados, débitos indevidos, encargos, empréstimos assumidos para recomposição do caixa e custos diretamente vinculados ao evento. Também pode haver discussão sobre lucros cessantes, desde que demonstrado impacto concreto na operação: perda de contratos, interrupção de atividade, atraso em entregas, inadimplemento perante fornecedores ou impossibilidade de cumprir obrigações comerciais. Quanto ao dano moral da pessoa jurídica, a análise deve ser criteriosa. Não se trata de abalo psíquico, mas de lesão à honra objetiva, imagem comercial, credibilidade, reputação ou funcionamento institucional. Em fraudes bancárias relevantes, especialmente quando há negativação, bloqueio de crédito, inadimplemento perante terceiros ou repercussão na atividade, a tese pode ser juridicamente consistente. Conclusão A fraude bancária contra pessoa jurídica não pode ser reduzida a uma discussão sobre senha. O fenômeno é mais complexo: envolve engenharia social, dados empresariais, canais digitais, contas de passagem, pagamentos instantâneos, falhas de monitoramento e resposta institucional muitas vezes insuficiente. A Súmula 479 do STJ, o art. 14 do Código de Defesa do Consumidor, o dever de segurança, a teoria do risco da atividade e os mecanismos regulatórios do sistema financeiro permitem construir uma tese sólida de responsabilidade quando a fraude revela defeito na prestação do serviço. O ponto mais sensível, contudo, está no pós-golpe. Uma instituição financeira que, comunicada da fraude, não bloqueia, não rastreia, não aciona mecanismos disponíveis, não preserva evidências, não apresenta resposta técnica e ainda conduz a empresa à contratação de crédito pode não apenas falhar em conter o dano, mas agravá-lo. A empresa vítima de fraude deve agir rapidamente, mas com estratégia: documentar a comunicação, preservar provas, exigir relatório técnico, consultar os mecanismos disponíveis, contestar formalmente o débito e evitar transformar uma fraude pendente de apuração em dívida reconhecida. No contencioso bancário contemporâneo, a pergunta decisiva não será apenas se a fraude ocorreu. Será se o banco tinha condições de preveni-la, identificá-la, contê-la ou, ao menos, responder a ela com a diligência esperada de quem explora profissionalmente o risco da atividade financeira.
// CODIGO PARA IDENTIFICACAO DE LINK DO DIAGNOSTICO - Sao 2 partes do codigo esse aqui e no Widget