Golpe do empréstimo com deepfake: quando a fraude com IA revela falha de segurança bancária
O avanço da inteligência artificial mudou o padrão das fraudes financeiras. Hoje, o golpe não depende apenas de um link falso ou de uma ligação mal feita. Em muitos casos, ele chega com voz clonada, imagem simulada, discurso convincente e aparência de legitimidade suficiente para induzir o consumidor a agir contra o próprio patrimônio. A fraude se torna mais sofisticada porque explora confiança, urgência e familiaridade — exatamente os elementos centrais da engenharia social.
As fontes institucionais já reconhecem esse cenário. O Serpro afirmou, em 2025, que fraudes baseadas em IA vêm crescendo e incluem deepfakes vocais, capazes de simular vozes reais para golpes financeiros, além de campanhas altamente persuasivas geradas por IA. Em outro material do mesmo ano, a entidade destacou que janeiro de 2025 registrou 1,242 milhão de tentativas de fraude no Brasil, segundo a Serasa Experian, o maior número da série histórica mencionada na publicação.
Nesse contexto, o chamado golpe do empréstimo com deepfake se tornou uma das formas mais graves de fraude digital. A vítima é levada a acreditar que fala com gerente do banco, central de segurança, funcionário da instituição ou até familiar, e acaba autorizando procedimentos, instalando aplicativos, validando operações ou permitindo a contratação de empréstimos que jamais quis fazer. O impacto costuma ser devastador: em poucos minutos, economias de uma vida podem desaparecer, com contratação de crédito, transferências e pagamentos fraudulentos em sequência.
O que é o golpe do empréstimo com deepfake
Esse golpe ocorre quando criminosos usam técnicas de engenharia social avançada, potencializadas por IA, para convencer a vítima de que está interagindo com alguém confiável. A fraude pode envolver voz sintética, imagem manipulada, falsa videochamada, mensagens muito bem contextualizadas ou imitação de linguagem institucional.
O objetivo costuma ser um destes: obter acesso remoto ao celular, induzir a vítima a confirmar operações, capturar credenciais, criar ambiente de falsa urgência ou viabilizar a contratação de um empréstimo em nome do consumidor. Em casos mais graves, a fraude não se limita ao saque ou à transferência. Ela cria uma nova dívida, elevando exponencialmente o prejuízo.
A descrição institucional desse tipo de ameaça já aparece em fontes públicas. O Serpro mencionou expressamente os deepfakes vocais como ferramenta para golpes financeiros e ressaltou que a IA aumenta a sofisticação e a dificuldade de detecção das fraudes. A Febraban Tech também tratou do uso de deepfakes e vishing como parte do atual ambiente de fraudes financeiras sofisticadas.
Por que esse golpe é juridicamente mais grave do que parece
Muita gente ainda enxerga esses casos como simples “descuido do cliente”. Essa leitura é pobre e juridicamente insuficiente.
Em primeiro lugar, porque a fraude moderna não se apoia apenas em ingenuidade. Ela se vale de dados, contexto, linguagem técnica, simulação de autoridade e pressão psicológica. Em segundo, porque o sistema bancário foi desenhado para lidar exatamente com operações de risco elevado, autenticações, bloqueios, limites, análise comportamental e detecção de anomalias. Em outras palavras: se a instituição lucra com a digitalização, ela também assume o dever de segurança compatível com esse ambiente.
O STJ tem reforçado esse raciocínio. Em 2023, a corte afirmou que, ao facilitar a contratação de serviços pela internet, os bancos assumem a obrigação de aprimorar mecanismos de proteção contra a ação dos criminosos. Em 2024, reiterou que é dever da instituição verificar a regularidade e a idoneidade das transações, desenvolvendo mecanismos capazes de dificultar delitos. E em 2025, no julgamento sobre o golpe da falsa central, afirmou que a validação de operações suspeitas, atípicas e alheias ao perfil do correntista evidencia defeito na prestação do serviço.
A tese central: falha na segurança bancária e dever de custódia de dados
A tese jurídica mais forte nesses casos é a seguinte: quando a fraude só se concretiza porque o sistema bancário falhou em detectar operações atípicas, não protegeu adequadamente os dados do cliente ou validou movimentações incompatíveis com seu perfil, há defeito na prestação do serviço e responsabilidade da instituição.
Isso se conecta com duas ideias centrais.
A primeira é o dever de segurança, previsto no regime do CDC e reiterado pelo STJ em sucessivos julgados sobre fraude bancária digital. A segunda é a lógica do fortuito interno, já consolidada na Súmula 479 do STJ: instituições financeiras respondem objetivamente pelos danos gerados por fraudes e delitos praticados por terceiros quando isso integra o risco da atividade bancária.
No caso do deepfake, a tese não depende de provar que o banco “criou” a fraude com IA. O ponto é outro: se houve empréstimo indevido, desbloqueio irregular, validação de múltiplas operações suspeitas, ausência de bloqueio preventivo ou omissão diante de movimentação totalmente fora do padrão, a instituição pode responder porque não entregou a segurança que o consumidor legitimamente espera.
O banco responde automaticamente em todo golpe com engenharia social?
Não. E esse ponto precisa ser tratado com seriedade.
A jurisprudência recente do STJ vem numa linha favorável ao consumidor quando há falha efetiva de segurança, mas isso não significa responsabilização automática em toda hipótese de engenharia social. O que a corte tem destacado é que a responsabilidade surge quando o golpe é viabilizado por deficiência na proteção de dados, na autenticação, no monitoramento de comportamento transacional ou na validação de operações incompatíveis com o perfil da conta.
Isso importa porque o debate jurídico não pode ser simplificado em “o cliente caiu no golpe, então o banco nunca responde” ou “houve golpe, então o banco sempre responde”. O foco está na cadeia causal: quais controles existiam, que alertas foram ignorados, se a transação destoava do histórico do cliente, se houve contratação de empréstimo fora de padrão, se houve uso anômalo do aplicativo, se a instituição reagiu rapidamente ou permaneceu inerte.
Em 2025, por exemplo, o STJ decidiu que bancos e instituições de pagamento devem indenizar clientes por falhas que viabilizam o golpe da falsa central, destacando o dever de identificar movimentações financeiras fora do padrão do cliente. No mesmo ano, também afirmou que não cabe culpa concorrente quando a vítima sofre golpe devido a falha do sistema de segurança bancária, especialmente quando houve contratação de empréstimo e transações totalmente incompatíveis com o perfil da conta.
Transações atípicas são o centro da responsabilidade
Esse é um dos pontos mais fortes para ações envolvendo empréstimo com deepfake.
O STJ já afirmou que somente as instituições financeiras detêm os meios adequados para recusar transações atípicas, justamente porque elas podem comparar valores, frequência e objeto com o histórico do consumidor. Também registrou que a simples adesão a meios modernos de operação bancária não pode significar aumento indevido do risco para o usuário.
Na prática, isso significa que, se o cliente nunca contratou crédito daquela forma, nunca movimentou aqueles valores, nunca realizou aquela sequência de operações ou nunca utilizou aquele canal para transações semelhantes, a validação automática dessas condutas pode revelar falha de serviço. Esse raciocínio ganha ainda mais força quando o golpe envolve empréstimo liberado e imediatamente pulverizado em pagamentos ou transferências estranhas ao padrão da vítima.
Por isso, o núcleo técnico da demanda costuma estar menos na existência abstrata do deepfake e mais no comportamento do sistema bancário diante do anormal.
Engenharia social com IA não exclui o dever do banco de evoluir a segurança
O STJ tem sido explícito: o surgimento de novas formas de relacionamento digital reafirma os riscos inerentes à atividade bancária e exige aperfeiçoamento contínuo dos mecanismos de segurança. Essa linguagem é especialmente importante para o cenário atual de fraude com IA.
Isso quer dizer que o argumento “a fraude ficou sofisticada demais” não serve, por si só, como escudo automático para a instituição. Ao contrário: quanto mais o ambiente de fraude evolui, maior tende a ser o dever de atualização tecnológica, monitoramento comportamental, autenticação robusta e trava de operações sensíveis.
As próprias fontes públicas sobre segurança digital caminham nessa direção. O Serpro destacou a necessidade urgente de soluções proativas para combater fraudes e indicou que sistemas baseados em IA podem identificar anomalias em tempo real. Se o setor reconhece institucionalmente o novo patamar de sofisticação das fraudes, isso reforça a expectativa de que mecanismos bancários acompanhem esse risco.
O impacto: a perda de economias de uma vida em minutos
Poucos temas jurídicos mostram tão claramente a distância entre tempo do golpe e tempo da reconstrução patrimonial.
Em muitos casos, a vítima sofre não apenas uma transferência indevida. Ela vê surgir um empréstimo que nunca contratou, acompanhado de pagamentos, Pix, boletos ou transferências feitas em série. O dano não é só material imediato. Há também superendividamento, bloqueio da vida financeira, comprometimento da renda e abalo emocional severo.
O próprio STJ, ao narrar casos julgados em 2025, mencionou situações de prejuízos de mais de R$ 143 mil, contratação indevida de empréstimo e pagamentos totalmente dissociados do perfil do correntista. Isso mostra que não estamos diante de meros incidentes de baixo valor, mas de eventos capazes de destruir patrimônio acumulado durante décadas.
Quais provas o consumidor deve reunir
Em casos assim, a prova precisa mostrar duas frentes ao mesmo tempo: a fraude sofrida e a anormalidade da operação.
São importantes registros de ligação, prints, gravações, mensagens, histórico do aplicativo, contratos de empréstimo não reconhecidos, extratos, boletins de ocorrência, protocolos com o banco e qualquer evidência de que a operação destoava completamente do padrão do cliente.
Também é estratégico demonstrar o perfil histórico da conta: faixa média de movimentação, ausência de contratações semelhantes, horário incomum, canal atípico, sequência acelerada de operações e dispersão imediata dos valores. Quanto mais evidente a atipicidade, mais forte fica a tese de defeito do serviço.
O que pode ser pedido judicialmente
Dependendo do caso, a resposta judicial pode incluir declaração de inexigibilidade do empréstimo, cancelamento do contrato fraudulento, restituição integral dos valores, repetição de indébito quando cabível, indenização por danos morais e tutela de urgência para impedir negativação ou cobrança.
Se a narrativa probatória mostrar que o banco validou operações incompatíveis com o perfil do consumidor ou deixou de adotar medidas mínimas de contenção, o pedido de responsabilização ganha sustentação forte na jurisprudência recente do STJ e na lógica do risco da atividade.
Conclusão
O chamado golpe do empréstimo com deepfake representa uma nova face da velha fraude bancária: mais personalizada, mais persuasiva e mais destrutiva. A inteligência artificial não elimina a responsabilidade do sistema financeiro. Ao contrário, ela torna ainda mais relevante o dever dos bancos de proteger dados, monitorar comportamento transacional e bloquear operações suspeitas.
A jurisprudência recente do STJ reforça exatamente isso. Quando há falha na identificação de transações atípicas, validação de operações alheias ao perfil do cliente ou defeito na segurança que viabiliza a fraude, a instituição pode ser responsabilizada pelos prejuízos. E, em casos de empréstimo fraudulento, o impacto econômico costuma ser devastador.
Em outras palavras, não basta dizer que o golpe foi sofisticado. Em muitos casos, a pergunta juridicamente correta é outra: como um sistema bancário profissional deixou passar uma operação que claramente não parecia ser do cliente?
FAQ
1. O que é o golpe do empréstimo com deepfake?
É a fraude em que criminosos usam IA, voz clonada, imagem simulada ou falsa identidade para convencer a vítima a permitir a contratação de empréstimo ou outras operações financeiras indevidas.
2. O banco responde por empréstimo feito em golpe com engenharia social?
Pode responder, especialmente quando houver falha na proteção de dados, na autenticação ou na identificação de transações suspeitas e incompatíveis com o perfil do cliente, conforme decisões recentes do STJ.
3. O que são transações atípicas no entendimento do STJ?
São operações que destoam do histórico de valores, frequência, canal, finalidade ou padrão de consumo do correntista. O STJ já afirmou que os bancos devem identificar e impedir esse tipo de movimentação.
4. Toda fraude por deepfake gera responsabilidade automática do banco?
Não necessariamente. O ponto central é demonstrar falha de segurança, omissão na detecção de anomalias ou validação de operações estranhas ao perfil do consumidor.
5. Quais direitos a vítima pode buscar?
Dependendo do caso, pode pedir cancelamento do empréstimo fraudulento, restituição dos valores, afastamento de cobranças e indenização por danos morais e materiais.
