Imagine a seguinte situação: você recebe uma ligação ou mensagem de WhatsApp de alguém que se identifica como funcionário do seu banco. A pessoa demonstra conhecer detalhes da sua conta, fala com segurança, usa termos técnicos e, em determinado momento, pede que você confirme uma transferência via Pix “para reverter uma tentativa de fraude” ou “validar seu cadastro”. Minutos depois, o dinheiro desaparece da conta — e o “funcionário do banco” nunca existiu. Esse roteiro, conhecido popularmente como golpe do falso funcionário ou golpe do Pix, tem se tornado uma das fraudes mais recorrentes no sistema financeiro brasileiro, atingindo pessoas de todas as idades e perfis.
Diferente de outras fraudes que dependem de falhas em sistemas, esse tipo de golpe explora, sobretudo, a confiança do consumidor e a velocidade do Pix, que torna as transferências praticamente irreversíveis em poucos segundos. O resultado é um cenário em que a vítima, muitas vezes, só percebe o prejuízo quando já é tarde demais. Mas o que diz a lei sobre essas situações? Quem responde pelo prejuízo: o golpista, o banco ou o próprio consumidor? E o que fazer, na prática, ao perceber que caiu em uma fraude desse tipo?
O que diz a legislação sobre fraudes bancárias digitais
O ordenamento jurídico brasileiro oferece diversos instrumentos de proteção ao consumidor vítima de fraudes bancárias. O primeiro e mais importante é o Código de Defesa do Consumidor (Lei nº 8.078/1990), que estabelece a responsabilidade objetiva das instituições financeiras pelos serviços que prestam. Isso significa que, em regra, o banco responde pelos riscos da própria atividade — inclusive falhas de segurança que facilitem fraudes — independentemente de culpa direta, conforme o artigo 14 do CDC.
Além disso, o Código Civil (Lei nº 10.406/2002) prevê, em seu artigo 186, que aquele que, por ação ou omissão voluntária, causar dano a outrem é obrigado a repará-lo. Esse dispositivo fundamenta tanto a responsabilidade do criminoso que aplicou o golpe quanto, em determinadas circunstâncias, a responsabilidade subsidiária da instituição financeira que não adotou medidas de segurança adequadas.
No campo penal, a Lei nº 14.155/2021 alterou o Código Penal para tornar mais rigorosa a punição de crimes de estelionato cometidos por meios eletrônicos ou informáticos, como é o caso das fraudes envolvendo Pix, clonagem de cartões e invasão de dispositivos. A pena para o estelionato eletrônico pode variar de 4 a 8 anos de reclusão, além de multa, podendo ser aumentada se a vítima for idosa ou vulnerável.
Já o Banco Central, por meio da Resolução BCB nº 1, instituiu o Mecanismo Especial de Devolução (MED), um procedimento que permite ao usuário lesado solicitar ao seu banco o bloqueio e a eventual devolução de valores transferidos por fraude, mesmo que já estejam na conta do destinatário. Trata-se de um instrumento criado especificamente para dar celeridade à recuperação de valores em casos de fraude envolvendo o Pix.
De quem é a responsabilidade: banco, consumidor ou golpista?
Essa é, sem dúvida, a pergunta mais delicada — e a resposta não é única, dependendo das circunstâncias de cada caso. É importante começar afirmando o óbvio: o responsável principal pelo dano é sempre o autor da fraude, que comete crime e deve responder integralmente pelo prejuízo causado, tanto na esfera criminal quanto na civil. O problema, na prática, é que localizar e responsabilizar o criminoso costuma ser extremamente difícil, especialmente quando a fraude é praticada por grupos organizados que atuam de forma anônima e dispersam os valores rapidamente entre diversas contas.
É nesse contexto que entra a discussão sobre a responsabilidade das instituições financeiras. Os tribunais brasileiros, incluindo o Superior Tribunal de Justiça, têm reconhecido em diversos julgados que bancos podem ser responsabilizados quando falham em adotar mecanismos de segurança razoáveis, quando não identificam padrões evidentes de fraude (como transferências de valores muito superiores ao perfil histórico do cliente, em horários atípicos, para contas recém-criadas) ou quando demoram a agir após o aviso da vítima.
Por outro lado, a jurisprudência também reconhece que, quando o consumidor entrega voluntariamente senhas, códigos de acesso, dados do cartão ou realiza ele mesmo a transferência fraudulenta — por mais que tenha sido induzido a erro por um golpista — a análise do caso concreto pode levar à repartição de responsabilidades, ou até à ausência de dever de indenizar por parte do banco, especialmente se a instituição conseguir demonstrar que cumpriu seus deveres de informação e segurança e que a operação foi autorizada pelo próprio titular, ainda que mediante engodo.
Esse equilíbrio é importante: de um lado, protege o consumidor de instituições que não investem o suficiente em segurança; de outro, evita que o sistema financeiro se torne inviável caso toda e qualquer fraude, independentemente das circunstâncias, seja automaticamente repassada ao banco. Cada caso deve ser analisado à luz das provas, do histórico da conta, da conduta da instituição após o aviso da fraude e do comportamento do próprio consumidor.
O que fazer imediatamente após perceber a fraude
A rapidez na reação é determinante para aumentar as chances de recuperação dos valores. Algumas medidas devem ser tomadas o mais rápido possível:
1. Contate o banco imediatamente — por telefone, aplicativo ou agência — relatando a fraude e solicitando o bloqueio da conta de destino e o acionamento do Mecanismo Especial de Devolução (MED). Quanto mais rápido o pedido for feito, maior a chance de os valores ainda estarem disponíveis na conta de destino.
2. Registre um Boletim de Ocorrência — preferencialmente especificando que se trata de estelionato cometido por meio eletrônico (Pix, transferência bancária, cartão). O registro formal é fundamental tanto para a investigação criminal quanto para eventual ação judicial de reparação de danos.
3. Reúna provas — prints de conversas, mensagens, números de telefone utilizados, comprovantes de transferência, extratos bancários e qualquer comunicação com o banco. Esses elementos serão essenciais para demonstrar tanto a fraude quanto a forma como ela ocorreu.
4. Solicite o protocolo formal de todas as solicitações feitas ao banco, incluindo data, horário e nome do atendente. Isso evita que a instituição alegue, posteriormente, que não foi notificada em tempo.
5. Avalie a via judicial — caso o banco não restitua os valores administrativamente e existam indícios de falha na prestação do serviço, é possível buscar reparação por meio de ação judicial, inclusive nos Juizados Especiais Civis para causas de menor valor, sem necessidade de advogado para valores até 20 salários mínimos, embora a assistência de um profissional aumente significativamente as chances de êxito, sobretudo na produção de provas técnicas.
Prevenção: o melhor remédio ainda é evitar o golpe
Por mais que existam mecanismos legais de proteção, a melhor defesa continua sendo a prevenção. Alguns cuidados simples reduzem drasticamente o risco de se tornar vítima:
Nenhum banco solicita senhas, códigos de segurança, dados completos do cartão ou que o cliente realize transferências para “proteger” a própria conta — esse é, invariavelmente, um sinal de fraude. Desconfie de contatos que criam urgência excessiva, como ameaças de bloqueio imediato da conta ou supostas movimentações suspeitas que exigem ação “agora mesmo”. Em caso de dúvida, encerre o contato e ligue diretamente para o número oficial do banco, impresso no cartão ou disponível no site institucional — nunca para números fornecidos durante a própria ligação suspeita. Mantenha aplicativos bancários atualizados, evite redes Wi-Fi públicas para acessos financeiros e ative, sempre que possível, notificações de movimentação em tempo real.
Conclusão
As fraudes bancárias digitais, especialmente as relacionadas ao Pix, representam um desafio crescente tanto para consumidores quanto para instituições financeiras. A legislação brasileira oferece um arcabouço razoavelmente sólido de proteção — do Código de Defesa do Consumidor ao Mecanismo Especial de Devolução do Banco Central, passando pelo agravamento das penas para o estelionato eletrônico — mas a efetividade dessas ferramentas depende, em grande parte, da rapidez e da forma como a vítima reage ao identificar o golpe.
Para o consumidor, o caminho passa por agir imediatamente, documentar tudo e buscar orientação jurídica adequada quando a via administrativa não for suficiente. Para as instituições financeiras, o desafio é continuar investindo em segurança e em respostas rápidas, equilibrando a proteção do cliente com a sustentabilidade do sistema. Em qualquer caso, a análise individualizada de cada situação é o que determinará, ao final, a quem caberá a responsabilidade pelo prejuízo — e é exatamente por isso que a orientação jurídica especializada faz toda a diferença nesses casos.
Roberto Victalino é Mestre em Direito Político e Econômico pela Universidade Mackenzie; Pós-graduado em Direito Constitucional e do Trabalho; Especialista em Direito Eleitoral e Imobiliário; Professor Universitário; Advogado e Consultor Jurídico.