Blog
Você está aqui: / / / Golpes bancários e LGPD: banco falhou, banco paga?

Golpes bancários e LGPD: banco falhou, banco paga?

Golpes bancários e LGPD: banco falhou, banco paga?

Os golpes bancários digitais cresceram junto com a expansão dos aplicativos financeiros, Pix, bancos digitais, carteiras de pagamento, empréstimos online e autenticação por celular. Hoje, muitas fraudes não acontecem mais dentro da agência bancária, mas dentro do ambiente digital: aplicativos, centrais falsas, links fraudulentos, ligações de supostos atendentes, clonagem de chip, invasão de conta e uso indevido de dados pessoais.

A tese jurídica que ganhou força em 2025 e 2026 é direta: quando o banco falha no dever de segurança, o banco deve indenizar.

Essa tese se apoia em três pilares:

  1. Código de Defesa do Consumidor, pela responsabilidade objetiva do fornecedor;
  2. LGPD, pela falha no tratamento e proteção dos dados pessoais;
  3. Responsabilidade bancária, pelo dever de prevenir fraudes e identificar operações suspeitas.

Em outubro de 2025, a Terceira Turma do STJ decidiu que bancos e instituições de pagamento devem indenizar clientes vítimas do golpe da falsa central quando houver falhas na proteção de dados ou na identificação de transações suspeitas. O Tribunal destacou que sistemas antifraude devem identificar operações fora do perfil habitual do cliente.

Em novembro de 2025, o STJ também afastou a tese de culpa concorrente do consumidor quando o golpe decorre de falha no sistema de segurança bancária. No caso, o Tribunal determinou indenização integral, entendendo que a culpa concorrente só seria cabível se o cliente tivesse assumido conscientemente o risco do dano.

Neste artigo, você vai entender quando o banco pode ser responsabilizado por golpe digital, como a LGPD fortalece ações bancárias, quais golpes têm maior potencial de indenização, quais provas reunir e o que fazer imediatamente após uma fraude.

Por que golpes bancários com LGPD viraram o tema mais quente de 2025 e 2026?

Porque os golpes atuais quase nunca dependem apenas de uma ligação aleatória.

Na maioria dos casos, o fraudador sabe dados reais da vítima:

  • nome completo;
  • CPF;
  • banco utilizado;
  • agência ou conta;
  • últimos dígitos do cartão;
  • telefone;
  • e-mail;
  • endereço;
  • dados de empréstimo;
  • dados de benefício previdenciário;
  • transações recentes;
  • perfil de consumo;
  • limite disponível;
  • informações de cadastro.

Esses dados tornam o golpe mais convincente. A vítima não fala com um criminoso genérico. Ela fala com alguém que parece saber detalhes internos da sua vida bancária.

É aqui que entra a LGPD.

Se dados pessoais foram tratados sem segurança adequada, expostos, acessados indevidamente ou usados para viabilizar fraude, a discussão deixa de ser apenas “o cliente caiu no golpe” e passa a ser: como o criminoso teve acesso a informações que deveriam estar protegidas?

A LGPD exige medidas técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados, situações ilícitas ou acidentais de destruição, perda, alteração, comunicação ou difusão. Já o CDC considera defeituoso o serviço que não fornece a segurança que o consumidor dele pode esperar. Em ambiente bancário digital, segurança não é detalhe: é parte central do serviço.

A tese central: banco falhou, banco paga

A tese “banco falhou, banco paga” não significa que toda fraude será automaticamente indenizada. O que ela significa é que o banco pode responder quando houver defeito na prestação do serviço.

Esse defeito pode aparecer de várias formas:

Falha do banco Exemplo prático
Não identificar transações atípicas Várias transferências altas em sequência, fora do padrão do cliente
Não bloquear operação suspeita Pix para terceiro desconhecido em valor incomum
Falha na autenticação Criminoso consegue acessar conta com dados vazados
Falha na proteção de dados Golpista usa informações sigilosas do cliente
Falha de monitoramento Operações incompatíveis com histórico são aprovadas
Falha de resposta Banco demora a bloquear conta ou recuperar valores
Falha de canal de atendimento Cliente não consegue comunicar fraude rapidamente
Falha de informação Banco não alerta adequadamente sobre risco conhecido
Falha de cadastro Empréstimo ou conta aberta com dados de terceiro
Falha de segurança sistêmica Aplicativo ou plataforma permite fraude previsível

A responsabilidade bancária se fortalece quando a fraude não foi um evento isolado e imprevisível, mas resultado de vulnerabilidade do sistema, ausência de monitoramento, validação inadequada ou uso de dados que deveriam estar protegidos.

O tripé jurídico: CDC + LGPD + responsabilidade bancária

1. Código de Defesa do Consumidor

A relação entre cliente e banco é relação de consumo. O banco presta serviço financeiro e o cliente é consumidor.

O CDC prevê responsabilidade objetiva do fornecedor por defeitos na prestação do serviço. Isso significa que o consumidor não precisa provar “culpa” do banco no sentido tradicional. Ele precisa demonstrar o defeito do serviço, o dano e o nexo entre a falha e o prejuízo.

Em fraudes bancárias, esse defeito pode estar na ausência de mecanismos eficazes de segurança, no não bloqueio de operação suspeita ou na autorização de transações completamente incompatíveis com o perfil do cliente.

2. LGPD

A LGPD entra quando há uso, exposição ou tratamento inadequado de dados pessoais.

Nos golpes bancários, ela pode ser relevante quando:

  • criminosos usam dados sigilosos do cliente;
  • dados cadastrais foram vazados;
  • dados bancários foram expostos;
  • informações de contrato ou benefício foram usadas no golpe;
  • houve falha na autenticação;
  • a instituição não consegue explicar como os dados foram acessados;
  • dados foram compartilhados com terceiros sem segurança adequada;
  • a vítima não recebeu resposta clara sobre o tratamento de seus dados.

A LGPD não substitui o CDC. Ela reforça o dever de segurança, transparência e responsabilização.

3. Responsabilidade bancária e fortuito interno

O STJ possui entendimento consolidado de que instituições financeiras respondem objetivamente por danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

Em termos simples: golpes e fraudes previsíveis dentro da atividade bancária digital fazem parte do risco do negócio. O banco lucra com escala, automação e digitalização. Por isso, deve investir em segurança proporcional ao risco que cria.

O que o STJ decidiu sobre o golpe da falsa central?

O golpe da falsa central ocorre quando o criminoso liga ou envia mensagem se passando pelo banco. Ele informa uma suposta compra suspeita, tentativa de invasão, bloqueio de cartão ou fraude em andamento. Em seguida, induz a vítima a realizar transferências, instalar aplicativo, entregar cartão, digitar senha, fornecer token ou validar transações.

Em outubro de 2025, o STJ decidiu que bancos e instituições de pagamento devem indenizar clientes quando houver falhas que viabilizam o golpe da falsa central. A decisão analisou casos em que consumidores sofreram prejuízos expressivos após operações atípicas e suspeitas.

O ponto mais importante é este: o STJ não tratou o golpe apenas como erro do consumidor. O Tribunal considerou que bancos e instituições de pagamento devem ter sistemas capazes de detectar transações incompatíveis com o perfil do cliente.

Isso muda a lógica do processo.

Antes, muitos bancos alegavam:

“O cliente digitou senha, autorizou a transação ou instalou o aplicativo. Logo, a culpa é dele.”

Agora, a tese de defesa perde força quando as operações eram claramente suspeitas, fora do padrão ou viabilizadas por dados que o fraudador não deveria ter.

O banco pode alegar culpa do consumidor?

Pode alegar, mas essa tese não resolve tudo.

Em novembro de 2025, o STJ decidiu que, se houve falha no sistema de segurança bancária, o banco não pode usar a tese de culpa concorrente para dividir o prejuízo com o consumidor. O caso envolvia um golpe em que a vítima foi induzida a instalar aplicativo falso, e o Tribunal concluiu que a indenização deveria ser integral porque a culpa concorrente exige que a vítima tenha assumido conscientemente o risco.

Isso é muito relevante.

Em golpes digitais, a vítima geralmente não assume o risco. Ela é enganada por uma engenharia social sofisticada. Muitas vezes, o criminoso usa dados reais, linguagem bancária, número parecido com o do banco e informações que dão aparência de legitimidade.

A pergunta jurídica correta não é apenas:

“A vítima clicou ou autorizou?”

A pergunta deve ser mais ampla:

“O banco tinha condições de identificar a fraude, bloquear a operação, detectar comportamento atípico ou proteger os dados usados no golpe?”

LGPD: quando o vazamento de dados fortalece a ação contra o banco?

A LGPD fortalece a ação quando o golpe foi facilitado por informações pessoais ou bancárias que deveriam estar protegidas.

Exemplos:

  • o golpista sabia que a vítima tinha conta naquele banco;
  • sabia detalhes do cartão;
  • sabia dados de contrato;
  • sabia valor de empréstimo;
  • sabia dados de benefício previdenciário;
  • sabia agência, conta ou movimentações;
  • sabia que havia transação recente;
  • sabia informações internas de atendimento;
  • sabia dados que não estavam publicamente disponíveis.

Em abril de 2026, foi noticiada decisão envolvendo vazamento de dados que teria propiciado fraude, com condenação de banco a indenizar vítima de golpe do falso funcionário. A publicação repercutiu caso em que dados da vítima foram usados para dar credibilidade à abordagem criminosa.

A lógica é simples: se o criminoso convence a vítima porque possui dados que deveriam estar sob proteção do banco, há indício de falha na segurança da informação.

O simples vazamento de dados gera indenização automática?

Nem sempre.

O STJ já decidiu que o vazamento de dados pessoais comuns, por si só, pode não gerar dano moral presumido. Em muitos casos, é necessário comprovar dano efetivo.

Mas quando o vazamento se conecta a uma fraude bancária concreta, a situação muda.

A tese fica mais forte quando há:

  • transferência fraudulenta;
  • Pix indevido;
  • empréstimo não contratado;
  • negativação;
  • abertura de conta falsa;
  • compra indevida;
  • golpe da falsa central;
  • uso de dados sigilosos;
  • prejuízo financeiro;
  • perda de tempo útil;
  • bloqueio de conta;
  • exposição de dados sensíveis;
  • risco à segurança da vítima.

Ou seja: o vazamento de dados pode ser o primeiro elo da cadeia. A fraude é o dano concreto. O banco pode ser responsabilizado quando há nexo entre a falha de segurança e o prejuízo.

Principais golpes bancários com alto potencial de ação

1. Golpe da falsa central de atendimento

É um dos golpes mais fortes para ações judiciais em 2025 e 2026.

O criminoso se passa por funcionário do banco e diz que houve movimentação suspeita. A vítima, assustada, segue orientações falsas.

Sinais comuns:

  • ligação de suposta central antifraude;
  • mensagem informando compra suspeita;
  • pedido para transferir dinheiro para “conta segura”;
  • solicitação de senha, token ou código;
  • pedido para instalar aplicativo;
  • orientação para cancelar transação;
  • coleta de cartão por falso motoboy;
  • uso de dados reais do cliente.

Fundamentos jurídicos

  • falha na identificação de transações suspeitas;
  • falha de segurança bancária;
  • uso de dados pessoais do cliente;
  • defeito na prestação do serviço;
  • responsabilidade objetiva pelo fortuito interno.

Pedidos possíveis

  • devolução integral dos valores;
  • cancelamento de empréstimos;
  • exclusão de cobranças;
  • dano moral;
  • tutela de urgência, se houver cobrança ou negativação.

2. Golpe do Pix e transferência não autorizada

O Pix trouxe velocidade, mas também elevou o impacto das fraudes. Em poucos segundos, valores podem sair da conta e passar por várias contas de destino.

O banco pode ser responsabilizado quando:

  • a transferência era completamente fora do padrão;
  • houve várias operações em sequência;
  • o valor era incompatível com o histórico do cliente;
  • a conta de destino tinha indícios de fraude;
  • o banco não acionou mecanismos de bloqueio;
  • o cliente comunicou rapidamente e não houve resposta adequada;
  • não houve uso eficiente do Mecanismo Especial de Devolução, quando cabível;
  • houve falha na autenticação.

Pedidos possíveis

  • devolução dos valores;
  • bloqueio de cobrança;
  • indenização por dano moral;
  • obrigação de apresentar logs;
  • identificação das contas de destino;
  • exclusão de eventual dívida.

3. Phishing com roubo de credenciais bancárias

Phishing é o golpe do link falso. A vítima recebe e-mail, SMS, mensagem ou anúncio que imita banco, loja, Receita Federal, Correios, plataforma de pagamento ou órgão público.

O golpe pode levar a:

  • roubo de login e senha;
  • captura de token;
  • instalação de aplicativo falso;
  • acesso indevido à conta;
  • contratação de empréstimo;
  • Pix fraudulento;
  • compras com cartão;
  • alteração de dados cadastrais.

O banco pode responder quando o sistema permitiu operações incompatíveis, autenticação frágil ou ausência de bloqueio de comportamento suspeito.

4. SIM swap ou clonagem de chip

No SIM swap, o criminoso transfere o número de telefone da vítima para outro chip. Com isso, pode receber SMS, códigos de autenticação e recuperar acessos.

Pode haver responsabilidade de:

  • operadora de telefonia;
  • banco;
  • instituição de pagamento;
  • plataforma digital;
  • todos, conforme participação na falha.

A tese contra o banco fica mais forte quando, mesmo após troca repentina de dispositivo, localização ou chip, o sistema permite operações de alto risco sem verificação reforçada.

5. Empréstimo consignado fraudulento

Muito comum contra aposentados, pensionistas e servidores.

O consumidor descobre desconto no benefício ou salário referente a empréstimo que nunca contratou.

A fraude pode envolver:

  • uso indevido de CPF;
  • assinatura falsa;
  • biometria contestada;
  • dados previdenciários vazados;
  • ligação de falso correspondente bancário;
  • depósito de valor não solicitado;
  • contratação digital sem validação adequada.

Pedidos possíveis

  • cancelamento do contrato;
  • suspensão dos descontos;
  • devolução em dobro, quando cabível;
  • dano moral;
  • exibição do contrato;
  • apresentação da gravação, biometria, IP e logs.

6. Golpe do falso funcionário ou falso gerente

O fraudador se apresenta como funcionário do banco e usa dados reais da vítima para ganhar confiança.

Pode dizer:

  • “sua conta foi invadida”;
  • “há empréstimo sendo contratado”;
  • “precisamos validar seus dados”;
  • “transfira para uma conta protegida”;
  • “um funcionário vai retirar seu cartão”;
  • “baixe este aplicativo de segurança”.

Quanto mais informações internas o golpista possui, mais forte pode ser a tese de falha de proteção de dados.

7. Sequestro relâmpago com transações bancárias

Em situações de ameaça ou coerção, criminosos obrigam a vítima a fazer Pix, transferências, empréstimos ou compras.

A responsabilidade do banco pode ser discutida quando:

  • houve transações em sequência;
  • valores ultrapassaram padrão normal;
  • empréstimos foram liberados durante a ocorrência;
  • limites foram aumentados sem cautela;
  • o banco não bloqueou comportamento extremo;
  • operações foram realizadas em local ou horário atípico.

É um tema mais sensível e depende muito das provas, do boletim de ocorrência e da dinâmica dos fatos.

Quais valores podem ser pedidos?

Não existe valor automático. O pedido depende do prejuízo, da gravidade, do perfil da vítima, da conduta do banco e do impacto da fraude.

Em ações desse tipo, os pedidos costumam incluir:

Pedido Quando aparece
Restituição do valor transferido Pix, TED, boleto ou compra fraudulenta
Cancelamento de empréstimo Crédito contratado por fraudador
Suspensão de cobrança Dívida contestada
Retirada de negativação Nome inscrito por fraude
Dano moral Angústia, insegurança, violação de confiança, negativação ou fraude grave
Dano material Prejuízos financeiros comprovados
Repetição de indébito Cobrança indevida paga
Obrigação de exibir documentos Logs, IPs, contratos, gravações, biometria
Tutela de urgência Suspensão imediata de desconto ou cobrança

Valores de dano moral variam bastante. Em muitos casos, indenizações ficam em faixas como R$ 5 mil, R$ 10 mil, R$ 20 mil ou mais, mas isso não deve ser prometido como resultado garantido. O valor depende do tribunal e da prova do caso.

Banco digital e instituição de pagamento também respondem?

Sim.

A tese não vale apenas para bancos tradicionais. Também pode atingir:

  • bancos digitais;
  • fintechs;
  • instituições de pagamento;
  • carteiras digitais;
  • plataformas de crédito;
  • intermediadores de pagamento;
  • empresas de cartão;
  • correspondentes bancários, conforme o caso.

O STJ, ao tratar do golpe da falsa central, mencionou bancos e instituições de pagamento, reforçando que o dever de segurança acompanha a atividade financeira, independentemente do modelo de negócio.

O banco deve monitorar transações suspeitas?

Sim.

O serviço bancário digital precisa contar com mecanismos de segurança capazes de identificar operações fora do padrão.

Sinais de transação suspeita:

  • valor muito acima do padrão;
  • várias transferências em sequência;
  • Pix para destinatário nunca utilizado;
  • empréstimo contratado e transferido logo em seguida;
  • acesso por dispositivo novo;
  • acesso por localização incomum;
  • troca recente de senha;
  • aumento repentino de limite;
  • operação em horário atípico;
  • padrão incompatível com idade, renda ou histórico do cliente.

O STJ destacou que operações atípicas e alheias ao perfil do correntista podem revelar defeito na prestação do serviço.

O que fazer imediatamente após cair em golpe bancário?

1. Avise o banco imediatamente

Entre em contato pelo canal oficial do banco. Informe:

  • data e horário;
  • valores;
  • destinatários;
  • tipo de golpe;
  • números de protocolo;
  • pedido de bloqueio;
  • contestação das operações;
  • solicitação de devolução;
  • pedido de bloqueio de cartão, conta ou acesso.

Guarde todos os protocolos.

2. Registre boletim de ocorrência

O boletim é essencial.

Inclua:

  • narrativa do golpe;
  • valores;
  • contas de destino;
  • nomes ou chaves Pix;
  • telefones usados pelos criminosos;
  • prints;
  • links;
  • horários;
  • protocolos do banco.

3. Guarde prints e provas digitais

Não apague conversas.

Guarde:

  • mensagens de WhatsApp;
  • SMS;
  • e-mails;
  • ligações registradas;
  • número que ligou;
  • prints de tela;
  • comprovantes de Pix;
  • extratos;
  • faturas;
  • notificações do aplicativo;
  • protocolos de atendimento;
  • resposta do banco.

4. Conteste formalmente as transações

Envie reclamação por escrito ao banco.

Peça:

  • bloqueio das operações;
  • devolução dos valores;
  • investigação interna;
  • logs de acesso;
  • IPs;
  • dispositivos usados;
  • geolocalização, quando existente;
  • gravações de atendimento;
  • contratos de empréstimo;
  • documentos de autenticação;
  • relatório de segurança.

5. Reclame no Banco Central e consumidor.gov.br

Registrar reclamação administrativa ajuda a demonstrar tentativa de solução.

Também é útil para provar que o banco teve ciência do problema e não resolveu adequadamente.

Quais documentos reunir para ação contra o banco?

Documento Finalidade
Boletim de ocorrência Registra a fraude
Extrato bancário Comprova saída de valores
Comprovantes de Pix ou transferências Mostram destino e horário
Protocolos com o banco Prova tentativa de solução
Prints de mensagens Demonstra engenharia social
Número de telefone dos golpistas Ajuda a identificar golpe
E-mails ou links falsos Prova phishing
Faturas de cartão Comprova compras indevidas
Contrato de empréstimo contestado Prova fraude contratual
Comprovante de negativação Demonstra dano
Reclamação administrativa Reforça resistência do banco
Relato cronológico Organiza os fatos
Provas de perfil bancário Mostra transações fora do padrão
Comunicação de vazamento Reforça tese LGPD

Como provar que a operação era fora do padrão?

Compare o golpe com seu histórico normal.

Exemplos:

  • cliente nunca fazia Pix alto e, em um dia, foram feitos vários;
  • aposentado contratou empréstimo digital e transferiu tudo em minutos;
  • conta usada só para salário fez transações sucessivas para desconhecidos;
  • cartão foi usado em compras incompatíveis;
  • limite foi elevado e consumido imediatamente;
  • acesso ocorreu de dispositivo nunca usado;
  • transferências ocorreram em localidade incompatível.

A tese é mostrar que o banco tinha elementos técnicos para bloquear, alertar, segurar ou confirmar a operação por canal seguro.

O que o banco normalmente alega na defesa?

Bancos costumam alegar:

Defesa do banco Como rebater
Culpa exclusiva da vítima Demonstrar engenharia social, dados usados e falha antifraude
Senha pessoal foi usada Senha não elimina dever de monitoramento
Transação foi autenticada Autenticação pode ser insuficiente diante de operação atípica
Golpe foi praticado por terceiro Fraude previsível pode ser fortuito interno
Cliente demorou a avisar Mostrar horário, protocolos e resposta do banco
Não houve falha sistêmica Pedir logs, IPs, dispositivos e auditoria
Operação foi regular Demonstrar incompatibilidade com perfil
Banco não vazou dados Pedir comprovação de segurança e origem dos dados usados
Cliente instalou aplicativo STJ já afastou culpa concorrente quando houve falha bancária

O ponto central é deslocar a discussão de “a vítima foi enganada” para “o sistema bancário permitiu que o golpe fosse concluído”.

LGPD: quais dados pedir ao banco?

Com base na LGPD e no dever de informação, o consumidor pode pedir:

  • confirmação de tratamento de seus dados;
  • dados cadastrais armazenados;
  • histórico de acessos;
  • dispositivos autorizados;
  • logs de autenticação;
  • IPs utilizados;
  • alterações cadastrais;
  • compartilhamento com terceiros;
  • registros de atendimento;
  • informações sobre incidente de segurança;
  • medidas adotadas para proteger a conta;
  • justificativa para aprovação das transações.

A resposta incompleta ou evasiva pode reforçar a tese de falta de transparência.

Quando cabe liminar?

A liminar pode ser importante quando há urgência.

Exemplos:

  • empréstimo fraudulento gerando desconto mensal;
  • nome negativado;
  • cobrança de cartão fraudulento;
  • conta bloqueada indevidamente;
  • banco se recusa a suspender dívida;
  • salário ou benefício está sendo consumido;
  • ameaça de inscrição em cadastro negativo;
  • idoso ou pessoa vulnerável perdeu renda essencial.

Pedidos liminares comuns:

  • suspensão de cobrança;
  • suspensão de desconto;
  • retirada de negativação;
  • bloqueio de contrato fraudulento;
  • restabelecimento de acesso;
  • preservação de logs;
  • exibição urgente de documentos;
  • bloqueio de valores em contas de destino, quando viável.

Pessoa jurídica vítima de golpe bancário: banco também pode pagar?

Sim, mas a análise pode ser diferente.

Empresas também podem sofrer:

  • Pix fraudulento;
  • boleto falso;
  • invasão de e-mail corporativo;
  • golpe do fornecedor;
  • alteração de dados bancários em nota fiscal;
  • fraude em conta PJ;
  • acesso indevido por funcionário ou terceiro;
  • sequestro de credenciais;
  • contratação fraudulenta de crédito;
  • engenharia social contra setor financeiro.

A PJ pode pedir:

  • restituição de valores;
  • dano material;
  • lucros cessantes;
  • dano reputacional, quando comprovado;
  • exibição de logs;
  • responsabilização de banco, fornecedor ou plataforma.

Quando a fraude envolve dados pessoais de sócios, funcionários ou clientes, a LGPD também pode entrar no caso.

Empresas também podem responder por golpes contra clientes

Se uma empresa sofre vazamento de base de clientes e esses dados são usados em golpes, ela pode ser responsabilizada.

Exemplo:

Uma clínica, escola, e-commerce, imobiliária, fintech ou empresa de serviços tem base vazada. Depois, clientes recebem mensagens falsas com dados reais e sofrem prejuízo.

A empresa pode responder se:

  • não adotou medidas adequadas de segurança;
  • demorou a comunicar o incidente;
  • não orientou os titulares;
  • não investigou o vazamento;
  • compartilhou dados com fornecedor inseguro;
  • não tinha controle de acesso;
  • não possuía política mínima de proteção de dados.

Quando o consumidor tem mais chance de ganhar?

A ação tende a ser mais forte quando há:

  • transações fora do padrão;
  • uso de dados bancários específicos pelo golpista;
  • vítima idosa ou hipervulnerável;
  • empréstimo liberado e imediatamente transferido;
  • falha na autenticação;
  • Pix para contas suspeitas;
  • várias operações em curto período;
  • comunicação rápida ao banco;
  • negativa injustificada de ressarcimento;
  • ausência de resposta técnica do banco;
  • golpe da falsa central;
  • indício de vazamento de dados;
  • negativação indevida;
  • prejuízo financeiro comprovado.

Quando a ação pode ser mais difícil?

A ação pode ser mais difícil quando:

  • não há prova mínima do golpe;
  • o cliente demorou muito para comunicar;
  • não há transação atípica;
  • valores eram compatíveis com o perfil;
  • não há indício de falha bancária;
  • a vítima entregou dados de forma consciente em contexto sem aparência bancária;
  • não há dano concreto;
  • não há boletim de ocorrência;
  • as provas digitais foram apagadas;
  • a narrativa é confusa ou contraditória.

Mesmo assim, cada caso deve ser analisado individualmente.

Modelo de notificação ao banco

Prezados, comunico formalmente que fui vítima de fraude bancária em [data], envolvendo [descrever transações]. Solicito a contestação imediata das operações, bloqueio preventivo de valores, investigação interna, preservação dos logs de acesso, identificação de IPs, dispositivos utilizados, geolocalização disponível, gravações de atendimento, contratos eventualmente firmados e relatório das medidas antifraude adotadas. Solicito também resposta formal sobre eventual tratamento, compartilhamento ou incidente envolvendo meus dados pessoais, nos termos da LGPD.

Checklist da vítima de golpe bancário

Medida Feito?
Avisar banco imediatamente
Guardar protocolo
Registrar boletim de ocorrência
Salvar prints e mensagens
Baixar extratos e comprovantes
Reclamar no Banco Central
Reclamar no consumidor.gov.br
Pedir logs e documentos ao banco
Contestar empréstimos ou compras
Verificar negativação
Avaliar ação judicial

Perguntas frequentes sobre golpes bancários, LGPD e indenização

1. Banco deve indenizar vítima de golpe bancário?

Pode dever, quando houver falha de segurança, transações atípicas não bloqueadas, vazamento de dados, autenticação frágil ou defeito na prestação do serviço.

2. O que o STJ decidiu sobre golpe da falsa central?

Em outubro de 2025, o STJ decidiu que bancos e instituições de pagamento devem indenizar clientes quando falhas de segurança viabilizam golpe da falsa central.

3. O banco pode dizer que a culpa foi minha?

Pode alegar, mas essa tese pode ser afastada se houver falha bancária. Em novembro de 2025, o STJ decidiu que falha no sistema de segurança afasta culpa concorrente do consumidor.

4. Digitei minha senha. Ainda posso pedir indenização?

Pode ser possível. O uso de senha não elimina automaticamente a responsabilidade do banco se as operações eram suspeitas, fora do padrão ou viabilizadas por falha de segurança.

5. Caí no golpe da falsa central. O que fazer?

Avise o banco imediatamente, registre boletim de ocorrência, guarde prints, protocolos, extratos e comprovantes, e conteste formalmente as operações.

6. Pix fraudulento pode ser ressarcido?

Pode ser possível, especialmente se a transação era atípica, houve falha de segurança ou o banco não agiu adequadamente após a comunicação da fraude.

7. Empréstimo feito por golpista pode ser cancelado?

Sim, se ficar demonstrado que a contratação foi fraudulenta ou que o banco falhou na validação da identidade.

8. Vazamento de dados fortalece a ação?

Sim, principalmente quando o golpista usou dados específicos que deram credibilidade ao golpe.

9. LGPD se aplica a banco?

Sim. Bancos tratam grande volume de dados pessoais e devem cumprir deveres de segurança, transparência e proteção.

10. Posso pedir dano moral?

Pode, especialmente quando há fraude, prejuízo financeiro, negativação, exposição de dados, angústia relevante ou violação da confiança.

11. Posso pedir devolução do dinheiro?

Sim. A restituição dos valores é um dos pedidos mais comuns em ações de fraude bancária.

12. Pessoa jurídica pode processar banco por golpe?

Pode, se houver prejuízo financeiro e falha na prestação do serviço, especialmente em fraudes envolvendo conta PJ, boleto falso ou Pix indevido.

13. Banco digital também responde?

Sim. Bancos digitais e instituições de pagamento também têm dever de segurança.

14. O que provar na ação?

Prove o golpe, as transações, a comunicação ao banco, o prejuízo, a atipicidade das operações e eventual uso indevido de dados pessoais.

15. Posso pedir logs de acesso?

Sim. Logs, IPs, dispositivos, geolocalização e registros de autenticação podem ser essenciais.

16. Reclamar no Banco Central ajuda?

Ajuda a demonstrar tentativa administrativa e resistência do banco, mas não substitui ação judicial quando há dano.

17. Cabe liminar?

Pode caber para suspender cobrança, desconto de empréstimo, negativação ou exigir preservação de provas.

18. O banco responde por golpe feito por terceiro?

Pode responder quando a fraude é fortuito interno da atividade bancária e decorre de falha de segurança.

19. Quanto posso receber?

Depende do caso. Pode envolver devolução integral dos valores, cancelamento de dívida e dano moral, mas o valor varia conforme provas e gravidade.

20. Quando procurar advogado?

Quando houver perda financeira, empréstimo fraudulento, Pix indevido, negativação, golpe da falsa central, uso de dados pessoais ou recusa do banco em ressarcir.

Conclusão

Golpes bancários digitais não podem ser analisados apenas pela ótica da “vítima caiu no golpe”. Em 2025 e 2026, a discussão jurídica avançou para uma visão mais completa: bancos e instituições de pagamento têm dever de segurança, dever de proteger dados pessoais e dever de identificar operações suspeitas.

Quando o banco valida transações fora do padrão, permite empréstimos fraudulentos, não detecta movimentações incompatíveis, falha na autenticação ou permite que dados pessoais sejam usados por criminosos, pode haver responsabilidade.

A tese mais forte une CDC, LGPD e responsabilidade bancária: se a fraude foi viabilizada por defeito do serviço, falha de segurança ou uso indevido de dados pessoais, o banco pode ter que devolver o dinheiro e indenizar o consumidor.

Foi vítima de golpe da falsa central, Pix fraudulento, empréstimo não contratado ou fraude com seus dados bancários? Guarde boletim de ocorrência, extratos, comprovantes, prints e protocolos. Uma análise jurídica pode indicar se cabe devolução integral dos valores, cancelamento da dívida, liminar e indenização por danos morais.

/por
Talvez você goste dos artigos
Dívida de cartão de crédito: por que a repactuação pode ser o ponto-chave para revisar juros e proteger o patrimônioDívida de cartão de crédito: por que a repactuação pode ser o ponto-chave para revisar juros e proteger o patrimônio
Estatuto dos Direitos do Paciente: guia completo da Lei 15.378/2026Estatuto dos Direitos do Paciente: guia completo da Lei 15.378/2026
Cancelamento de conta bancária sem prévio aviso — prática abusiva, implicações e o que o consumidor pode fazerCancelamento de conta bancária sem prévio aviso — prática abusiva, implicações e o que o consumidor pode fazer
Portabilidade de plano de saúde: cuidados com doença preexistente, falso coletivo e revisão de reajustes abusivosPortabilidade de plano de saúde: cuidados com doença preexistente, falso coletivo e revisão de reajustes abusivos
Deepfake jurídico, fraude documental e a nova fronteira da responsabilidade civil na era da prova sintéticaDeepfake jurídico, fraude documental e a nova fronteira da responsabilidade civil na era da prova sintética
Reajuste abusivo de plano de saúde: quando o aumento pode ser contestado?Reajuste abusivo de plano de saúde: quando o aumento pode ser contestado?
A fraude bancária contra pessoa jurídica exige uma leitura mais sofisticada do que aquela aplicada aos pequenos incidentes de consumo. Em contas empresariais, uma operação fraudulenta pode comprometer capital de giro, folha de pagamento, fornecedores, tributos, contratos, fluxo de caixa e continuidade da atividade econômica. Por isso, quando uma empresa sofre golpe financeiro, a discussão jurídica não deve se limitar à existência de senha, token, biometria ou acesso ao internet banking. A questão central é saber se a instituição financeira entregou segurança compatível com o risco da operação empresarial e se reagiu adequadamente aos sinais de anormalidade antes, durante e depois da fraude. A jurisprudência brasileira já fornece bases relevantes para essa análise, especialmente a partir da Súmula 479 do Superior Tribunal de Justiça, segundo a qual as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros em operações bancárias. A fraude bancária PJ como risco da atividade financeira A atividade bancária moderna é estruturada sobre confiança digital. Instituições financeiras oferecem contas empresariais, Pix, internet banking, cartões corporativos, crédito, pagamentos em lote, gestão de recebíveis, APIs, validações remotas e múltiplos canais de operação. Esse ambiente amplia eficiência, mas também aumenta a superfície de risco. Fraudes contra empresas frequentemente envolvem falso gerente, falsa central bancária, acesso remoto, engenharia social contra funcionários, boletos adulterados, contas de passagem, alteração de favorecidos, Pix em sequência, empréstimos não reconhecidos e transferências incompatíveis com a rotina da pessoa jurídica. Esses eventos não podem ser tratados, em todos os casos, como fatos externos à atividade bancária. Quando a fraude se realiza dentro dos canais disponibilizados pelo banco, mediante operações que deveriam ser monitoradas e com sinais objetivos de atipicidade, o debate se desloca para o defeito do serviço. A responsabilidade objetiva não impõe condenação automática. Mas exige que a instituição demonstre a adequação de seus mecanismos de segurança, a regularidade dos controles, a compatibilidade das transações com o perfil empresarial e a efetividade da resposta após a comunicação do golpe. O perfil transacional da empresa como critério jurídico Um ponto decisivo nas fraudes PJ é o perfil transacional. Empresas possuem rotinas financeiras identificáveis: fornecedores recorrentes, horários habituais de pagamento, valores médios, limites operacionais, contas destinatárias frequentes, padrões de folha, tributos e recebíveis. Quando a conta empresarial sofre movimentações absolutamente incompatíveis com esse histórico, a instituição financeira não pode tratar o evento como operação ordinária. O STJ já reconheceu, em precedente envolvendo fraude bancária, que instituições financeiras têm o dever de identificar e impedir transações que destoem do perfil do cliente. A decisão destacou a necessidade de aprimoramento dos mecanismos de proteção em ambiente de contratação digital. Esse raciocínio é especialmente relevante para contas PJ. Se uma empresa que normalmente realiza pagamentos a fornecedores conhecidos passa a transferir valores expressivos para contas recém-cadastradas, em sequência, em horário incomum ou para destinatários sem relação comercial aparente, a operação deve acionar controles reforçados. A ausência desses controles pode configurar falha na prestação do serviço. A insuficiência da defesa baseada em senha ou autenticação formal Em litígios bancários, a defesa costuma sustentar que a operação foi validada por senha pessoal, token, dispositivo autorizado, biometria ou ambiente autenticado. Essa alegação é relevante, mas não necessariamente conclusiva. Golpes sofisticados não dependem apenas da quebra técnica de senha. Muitas fraudes ocorrem por engenharia social, indução psicológica, acesso remoto, falsos contatos bancários e uso de informações internas ou sensíveis. Em outras palavras, a transação pode ter aparência formal de autenticação e, ainda assim, ser fruto de fraude. Por isso, a autenticação deve ser analisada em conjunto com o comportamento da operação. A pergunta jurídica não é apenas se houve validação formal. É preciso saber se o banco poderia identificar que aquela validação estava sendo utilizada em contexto anormal. Essa distinção é decisiva em golpes como falsa central, falso gerente e mão fantasma. A instituição financeira pode não ter criado o golpe, mas pode ter falhado ao permitir que operações incompatíveis com o perfil empresarial fossem concluídas sem contenção efetiva. Conta de passagem e abertura negligente de contas Outro eixo relevante nas fraudes PJ é a conta destinatária. Muitos golpes utilizam contas de passagem: contas abertas ou mantidas para receber rapidamente valores desviados e dispersá-los em seguida. O problema jurídico não está apenas no banco de origem, mas também na instituição que permite a abertura, manutenção e movimentação de conta com indícios de fraude. Em um sistema financeiro baseado em identificação, monitoramento e prevenção de ilícitos, não é aceitável que contas sejam utilizadas como meros instrumentos de escoamento de valores sem que haja controles proporcionais. A tese de responsabilidade pode envolver falha cadastral, deficiência de verificação de identidade, ausência de monitoramento de conta recém-aberta, movimentação incompatível com renda ou perfil declarado, dispersão rápida de recursos e omissão após comunicação do evento fraudulento. Nas fraudes empresariais, esse ponto é sensível porque a recuperação do valor depende da velocidade de reação. Se a instituição destinatária não bloqueia, não preserva valores, não responde adequadamente ou não coopera na rastreabilidade, o dano pode se tornar irreversível. Pix, MED e a responsabilidade no tempo da resposta O Pix acelerou o sistema de pagamentos brasileiro. A mesma eficiência que beneficia a economia também exige mecanismos rigorosos de resposta em caso de fraude. O Banco Central informa que o Mecanismo Especial de Devolução é ferramenta exclusiva do Pix destinada a facilitar devoluções em casos de fraude, aumentando as possibilidades de a vítima reaver os recursos. O pedido deve ser registrado na instituição da vítima em até 80 dias da data do Pix. Em 2025, o Banco Central anunciou aprimoramentos no MED para permitir a identificação de possíveis caminhos dos recursos, compartilhamento dessas informações com participantes envolvidos e possibilidade de devolução em até 11 dias após a contestação, com o objetivo de aumentar a identificação de contas usadas para fraudes e desestimular novas ocorrências. Essas informações reforçam uma tese importante: no pós-golpe, a inércia não é neutra. O banco deve demonstrar quais medidas adotou, quando adotou, qual foi o resultado, se acionou o MED, se comunicou a instituição destinatária e se preservou registros suficientes para rastrear a operação. A responsabilidade bancária não se examina apenas no instante da transferência. O comportamento posterior à comunicação da fraude pode agravar ou mitigar o dano. A falha no pós-golpe como categoria autônoma de análise A experiência prática mostra que muitas empresas, ao perceberem a fraude, comunicam imediatamente o banco, abrem protocolo, solicitam bloqueio, registram ocorrência e pedem rastreamento. Ainda assim, recebem respostas genéricas, demora excessiva, negativas padronizadas ou orientação para regularizar saldo devedor. Esse comportamento merece tratamento jurídico próprio. A falha no pós-golpe pode ocorrer quando a instituição: não registra adequadamente a contestação; não aciona mecanismos disponíveis de bloqueio ou devolução; não comunica a instituição destinatária; não preserva logs e registros técnicos; não apresenta relatório de análise antifraude; não explica a compatibilidade da operação com o perfil da empresa; não informa as medidas adotadas; não responde de forma fundamentada; conduz a vítima à contratação de crédito antes da apuração. Essa última hipótese é particularmente grave. Em fraudes PJ, é comum que a empresa contrate empréstimos para recompor caixa, cobrir cheque especial, pagar folha ou evitar inadimplemento com fornecedores. Quando isso ocorre antes da apuração, a fraude inicial pode gerar uma dívida nova, com juros, encargos e impacto prolongado sobre a atividade empresarial. Se o banco tinha ciência da contestação e, ainda assim, tratou o saldo como dívida ordinária, há espaço para discutir abusividade, agravamento do dano e inexistência de reconhecimento voluntário da obrigação. Dados pessoais, dados empresariais e fraude qualificada Fraudes empresariais sofisticadas geralmente envolvem dados. O fraudador conhece o banco utilizado, nomes de sócios ou funcionários, e-mails internos, padrões de pagamento, fornecedores, rotina financeira ou informações cadastrais. Esse uso de dados cria aparência de legitimidade e aumenta a eficácia do golpe. A LGPD não protege apenas dados de consumidores individuais em sentido simplificado. Ela disciplina o tratamento de dados pessoais, inclusive quando vinculados a representantes, sócios, administradores, empregados e contatos empresariais. A lei foi concebida para proteger direitos fundamentais de liberdade e privacidade no tratamento de dados em meios físicos e digitais. Além disso, a ANPD prevê comunicação de incidentes de segurança quando houver risco ou dano relevante, especialmente em hipóteses envolvendo dados financeiros, autenticação em sistemas, sigilo ou tratamento em larga escala. Nas fraudes PJ, isso significa que a discussão probatória deve incluir perguntas sobre origem e uso de dados: quais informações o fraudador possuía, quem tinha acesso a elas, se houve compartilhamento com terceiros, se houve incidente de segurança, quais logs foram preservados e quais medidas de prevenção foram adotadas. Não se trata de presumir vazamento em todo caso. Trata-se de exigir apuração técnica quando a fraude foi viabilizada por informações que aumentaram artificialmente a confiança da vítima. Ônus da prova e exibição de documentos técnicos A empresa vítima de fraude geralmente não tem acesso aos elementos mais importantes da prova. Logs de acesso, IP, geolocalização, dispositivo utilizado, método de autenticação, score de risco, histórico transacional, análise antifraude, dados de abertura da conta destinatária e comunicação entre instituições ficam sob controle dos bancos. Por isso, a estratégia processual deve valorizar a exibição de documentos e a inversão dinâmica do ônus da prova. Em uma ação bem estruturada, não basta pedir a restituição dos valores. É necessário requerer que a instituição apresente: relatório completo da contestação; logs de acesso; IP e dispositivo utilizado; método de autenticação; eventual biometria ou aceite eletrônico; histórico de limites e alterações cadastrais; perfil transacional da empresa; alertas gerados ou não gerados pelo sistema antifraude; comunicações internas sobre a fraude; prova de acionamento do MED, quando houver Pix; dados da conta destinatária, quando possível; procedimentos de KYC e abertura da conta recebedora; provas das medidas adotadas após a comunicação. A ausência desses elementos deve ser valorada contra quem tinha melhores condições técnicas de produzi-los. Dano material, lucros cessantes e dano moral empresarial Nas fraudes contra pessoa jurídica, o dano material corresponde aos valores desviados, débitos indevidos, encargos, empréstimos assumidos para recomposição do caixa e custos diretamente vinculados ao evento. Também pode haver discussão sobre lucros cessantes, desde que demonstrado impacto concreto na operação: perda de contratos, interrupção de atividade, atraso em entregas, inadimplemento perante fornecedores ou impossibilidade de cumprir obrigações comerciais. Quanto ao dano moral da pessoa jurídica, a análise deve ser criteriosa. Não se trata de abalo psíquico, mas de lesão à honra objetiva, imagem comercial, credibilidade, reputação ou funcionamento institucional. Em fraudes bancárias relevantes, especialmente quando há negativação, bloqueio de crédito, inadimplemento perante terceiros ou repercussão na atividade, a tese pode ser juridicamente consistente. Conclusão A fraude bancária contra pessoa jurídica não pode ser reduzida a uma discussão sobre senha. O fenômeno é mais complexo: envolve engenharia social, dados empresariais, canais digitais, contas de passagem, pagamentos instantâneos, falhas de monitoramento e resposta institucional muitas vezes insuficiente. A Súmula 479 do STJ, o art. 14 do Código de Defesa do Consumidor, o dever de segurança, a teoria do risco da atividade e os mecanismos regulatórios do sistema financeiro permitem construir uma tese sólida de responsabilidade quando a fraude revela defeito na prestação do serviço. O ponto mais sensível, contudo, está no pós-golpe. Uma instituição financeira que, comunicada da fraude, não bloqueia, não rastreia, não aciona mecanismos disponíveis, não preserva evidências, não apresenta resposta técnica e ainda conduz a empresa à contratação de crédito pode não apenas falhar em conter o dano, mas agravá-lo. A empresa vítima de fraude deve agir rapidamente, mas com estratégia: documentar a comunicação, preservar provas, exigir relatório técnico, consultar os mecanismos disponíveis, contestar formalmente o débito e evitar transformar uma fraude pendente de apuração em dívida reconhecida. No contencioso bancário contemporâneo, a pergunta decisiva não será apenas se a fraude ocorreu. Será se o banco tinha condições de preveni-la, identificá-la, contê-la ou, ao menos, responder a ela com a diligência esperada de quem explora profissionalmente o risco da atividade financeira.Responsabilidade bancária em fraude contra pessoa jurídica: fortuito interno, falha no pós-golpe e o dever de segurança nas operações empresariais
Revisão da aposentadoria: quando é possível e como fazerRevisão da aposentadoria: quando é possível e como fazer

Gutemberg Amorim Sociedade Individual de Advocacia

CNPJ nº 53.659.853/0001-04

OAB GO/33.567

Contato

  • contato@gutembergamorim.com.br
  • (62) 62 8159-3736
    (62) 98175-1315
  • Rua 3, 1022, Ed. West Office, Setor Oeste, Goiânia - GO, 74.115-050.
    Ver no mapa

Acesso rápido

Sobre nós
Guias e E-Books
Áreas de Atuação
Blog
Diagnósticos Jurídicos
Atendimento
FAQ
Política de Privacidade

Redes Sociais

LGPD: meus dados foram vazados — o que fazer e como pedir indenizaçãoLGPD: meus dados foram vazados — o que fazer e como pedir indenizaçãoTEMA 3 DATA BROKERS: VENDA ILEGAL DE DADOS Serasa, SPC, birôs de crédito e o mercado paralelo de dados pessoais O Problema e Sua Escala no Brasil Data brokers são empresas que coletam, enriquecem e vendem dados pessoais de consumidores — muitas vezes sem qualquer base legal na LGPD. No Brasil, o caso mais emblemático é o Serasa Experian, que através dos produtos "Lista Online" e "Prospecção de Clientes" comercializava dados financeiros detalhados de mais de 150 milhões de brasileiros sem consentimento específico. A decisão do TJDFT suspendeu essa prática. O STJ (set/2025) consolidou que disponibilizar dados a terceiros sem consentimento = dano moral presumido. Isso cria uma tese sólida para ações individuais em todo o Brasil. Prática Violação LGPD Status Jurídico Venda de dados para prospecção comercial Art. 7 — ausência de base legal ILEGAL — TJDFT suspendeu Serasa Envio de SMS/WhatsApp marketing sem consentimento Art. 7, I — sem consentimento válido Ilegal — tribunais condenando Ligações telemarketing com dados comprados de terceiros Arts. 7 e 14 — sem base legal Ilegal — condenações crescentes Enriquecimento de cadastro sem informar o titular Art. 6, VI — princípio da transparência Ilegal Compartilhamento de dados entre empresas do mesmo grupo Art. 11 — dados sensíveis exigem mais Zona cinza — risco alto Precedente fundamental (STJ, 5/set/2025, REsp 2.130.874/SP): "A disponibilização indevida de informações pessoais em banco de dados gera dano moral presumido." Não é preciso provar que o consumidor foi prejudicado — a violação em si já é o dano.Data brokers: venda ilegal de dados pessoais, Serasa, SPC e o mercado paralelo...
// CODIGO PARA IDENTIFICACAO DE LINK DO DIAGNOSTICO - Sao 2 partes do codigo esse aqui e no Widget