Golpe da “Falsa Central de Atendimento”: o STJ consolida a responsabilidade das instituições financeiras

Por Rafael Soares Gonçalves — Advogado (OAB/MG nº 147.056)

Rafael Gonçalves Advogados | Junho de 2026

A nova face do crime financeiro

O Brasil é, há anos, um dos países mais afetados por fraudes bancárias digitais no mundo. Entre as modalidades que mais cresceram na última década, o chamado “golpe da falsa central de atendimento” se destaca pela sofisticação cirúrgica com que explora a confiança do consumidor e as lacunas dos sistemas de segurança das instituições financeiras. Não raro, as vítimas são pessoas com perfil técnico elevado — médicos, engenheiros, professores —, o que evidencia que a vulnerabilidade não é produto de descuido, mas da engenharia do golpe em si.

Durante muito tempo, quem perdia dinheiro nesses esquemas se deparava com uma muralha administrativa: o banco negava qualquer ressarcimento, invocando a tese de que as transações foram realizadas com credenciais válidas e, portanto, a responsabilidade seria do próprio cliente. Essa posição, que causou e ainda causa imenso prejuízo aos consumidores, acaba de receber uma resposta definitiva do Superior Tribunal de Justiça.

Como funciona o golpe

O roteiro do golpe da falsa central segue um padrão altamente eficiente. O criminoso contata a vítima por telefone, e a chamada aparece no celular como originada de um número legítimo — o da gerente, da central de atendimento ou de algum ramal do banco. Esse procedimento, chamado de spoofing, é o primeiro e decisivo elemento de credibilidade.

Identificado como funcionário da instituição, o golpista constrói um cenário de urgência: a conta da vítima estaria sendo invadida, débitos não autorizados estariam sendo efetuados, e é preciso agir imediatamente. A conversa migra para aplicativos de mensagens, onde um perfil falso — com nome, logotipo e identidade visual do banco — assume o controle da comunicação. Em seguida, o consumidor é induzido a instalar um “antivírus” ou a clicar em um link que, na verdade, implanta um malware de controle remoto no dispositivo. A partir daí, os criminosos operam o aparelho à distância, realizam transferências em série e, em questão de minutos, esvaziam a conta.

A tese bancária e seus limites

Diante de situações como essa, a defesa padrão das instituições financeiras sempre repousou em um argumento aparentemente sólido: as transações foram efetuadas com o uso de credenciais válidas (senha, biometria) e por meio de dispositivo reconhecido pelo sistema — logo, não haveria falha do banco, e a responsabilidade seria do consumidor que teria sido “descuidado” ao entregar seus dados.

Esse argumento, porém, sempre esbarrou em um problema lógico fundamental: ele não responde à pergunta errada. A questão não é se a senha estava correta. A questão é se o banco, ao detectar dez transferências em sequência para destinatários nunca antes utilizados, em questão de minutos, com esgotamento do saldo e acionamento do limite do cheque especial, tomou alguma medida. Se não tomou, é porque o serviço era defeituoso — independentemente de como as credenciais foram obtidas.

A decisão do STJ: outubro de 2025

Em outubro de 2025, a Terceira Turma do Superior Tribunal de Justiça proferiu decisão unânime que representa um marco na proteção do consumidor bancário. Ao apreciar os Recursos Especiais nº 2.222.059 e nº 2.229.519, sob relatoria do Ministro Ricardo Villas Bôas Cueva, o colegiado consolidou o entendimento de que bancos e instituições de pagamento são responsáveis por indenizar clientes que sofrerem prejuízos decorrentes de golpes de engenharia social “quando houver falhas na proteção de dados ou na identificação de transações suspeitas”.

A decisão é particularmente relevante porque não se limitou a reafirmar a responsabilidade objetiva das instituições. Ela avançou para definir, com clareza, o que se espera dos sistemas de segurança bancários e o que configura defeito na prestação do serviço.

Os fundamentos: responsabilidade objetiva e fortuito interno

A base jurídica do julgamento está no art. 14 do Código de Defesa do Consumidor e na Súmula 479 do STJ, que consagra a responsabilidade objetiva das instituições financeiras pelos danos gerados por fraudes e delitos praticados por terceiros no âmbito das operações bancárias. Esses eventos se enquadram como fortuito interno — risco inerente, previsível e inseparável da atividade bancária —, o que impede que o banco transfira ao consumidor o ônus de uma exposição que é, em essência, do próprio negócio.

A responsabilidade só poderia ser afastada, reafirmou o STJ, mediante prova da inexistência de defeito ou de culpa exclusiva do consumidor. E essa prova não pode ser substituída pela simples constatação de que as credenciais utilizadas eram autênticas.

O ponto mais relevante: o dever de detectar operações atípicas

O aspecto mais importante — e inovador — do julgado diz respeito à definição do que se espera dos sistemas antifraude das instituições. O relator deixou claro que cabe aos bancos desenvolver, manter e aprimorar continuamente mecanismos eficazes de prevenção a fraudes, que sejam capazes de detectar operações que se afastem do padrão habitual do cliente.

Os fatores que esses sistemas devem considerar incluem: o valor e o horário das transações, o intervalo entre uma e outra, a sequência e o meio utilizado, o histórico do correntista e, especialmente, a contratação de crédito atípica imediatamente antes de pagamentos suspeitos.

A conclusão é direta e impactante: validar operações suspeitas e completamente alheias ao perfil do correntista evidencia o defeito na prestação do serviço. Um cliente que jamais realizou mais de uma ou duas transferências por mês e, subitamente, executa dez PIX em menos de trinta minutos para destinatários desconhecidos — esgotando saldo e limite de crédito — produz um padrão de alerta que qualquer sistema minimamente eficiente deveria captar. A inércia diante desse cenário não é neutra: é a prova do defeito.

A culpa exclusiva da vítima não prospera

Uma das contribuições mais práticas do julgamento é a rejeição fundamentada da tese de culpa exclusiva do consumidor em casos de engenharia social sofisticada. O argumento do banco — de que o cliente “deu” suas credenciais a terceiros — ignora a natureza do golpe.

Nos esquemas modernos de falsa central, o consumidor não age por negligência simples. Ele age sob indução qualificada: acredita estar falando com seu próprio banco, num contexto construído com precisão para eliminar a desconfiança. Há falsificação da identidade da ligação, uso da identidade visual oficial da instituição, detalhe das informações da conta para criar credibilidade, e, em muitos casos, implantação de malware que subtrai ao correntista qualquer controle sobre o próprio dispositivo.

Nesse cenário, exigir culpa exclusiva do consumidor seria responsabilizá-lo pela sofisticação do crime — e não pela sua conduta. O STJ, ao afastar essa tese, reconhece que há um limite natural de vigilância que se pode exigir de um não especialista diante de um ataque profissionalmente orquestrado.

Instituições de pagamento: a decisão também as alcança

Um ponto que merece destaque especial é o alcance da decisão às instituições de pagamento — fintechs, carteiras digitais e intermediadores financeiros —, que também têm o dever legal de garantir a segurança no processamento das transações de seus usuários, nos termos do art. 7º da Lei 12.865/2013. O STJ expressamente estendeu o entendimento a esse universo, que representa parcela crescente das movimentações financeiras dos brasileiros.

O que muda na prática para o consumidor

Para quem foi — ou vier a ser — vítima desse tipo de fraude, o julgamento do STJ traz reflexos concretos e imediatos. Não é o consumidor quem precisa provar a falha do banco: a inversão do ônus da prova, prevista no art. 6º, VIII, do CDC, é um instrumento essencial, justamente porque os registros dos sistemas antifraude e os logs das transações estão sob controle exclusivo da instituição financeira.

Diante de uma negativa administrativa — que costuma invocar, com variações, o argumento das “credenciais válidas” —, o consumidor tem respaldo jurídico consolidado para buscar o ressarcimento na via judicial. Nesse processo, é fundamental documentar cada etapa: registrar boletim de ocorrência imediatamente, formalizar a contestação junto ao banco, reunir os comprovantes das transações não autorizadas e o histórico que demonstre o caráter atípico das operações em relação ao seu perfil de uso.

Conclusão

O julgamento da Terceira Turma do STJ sobre o golpe da falsa central de atendimento não inovou no vácuo. Ele consolidou e aprofundou um entendimento que já estava em construção na jurisprudência dos tribunais estaduais e representou um recado claro ao setor financeiro: a verificação de credenciais não substitui a obrigação de monitorar padrões.

Para os consumidores, a mensagem é de reforço: a sofisticação do golpe não é argumento para o desamparo jurídico — é, ao contrário, mais um elemento que evidencia a falha do serviço. Quem aufere os bônus de uma atividade de alto risco deve, necessariamente, investir na proteção efetiva de quem confia a ela o seu patrimônio.

Para as instituições financeiras, por sua vez, o julgado é um convite — e uma exigência — ao aprimoramento contínuo dos sistemas de detecção de fraudes. O direito já respondeu. Agora é a vez da tecnologia acompanhar.

Rafael Soares Gonçalves é advogado (OAB/MG 147.056), sócio do escritório Rafael Gonçalves Advogados, com atuação em Direito do Empresarial e Penal Econômico. Piumhi/MG.

Contato: contato@rafaelgoncalvesadvogados.com | rafaelgoncalvesadvogados.com

Compartilhe este artigo

Precisa de orientação jurídica?

Fale agora com um especialista.

Iniciar atendimento!