A digitalização dos serviços bancários expôs os usuários a uma nova geração de golpes bancários sustentados em engenharia social, em que o criminoso não ataca a infraestrutura tecnológica do banco, mas manipula psicologicamente a vítima para que ela mesma compartilhe o acesso à conta. A resposta jurídica a esse fenômeno consolidou-se em decisão unânime da Terceira Turma do Superior Tribunal de Justiça no Recurso Especial nº 2.220.333/DF, julgado em 2025, que redefiniu a aplicação da culpa concorrente em fraudes bancárias digitais e reforçou a responsabilidade objetiva das instituições financeiras.

Este artigo examina a decisão, os fundamentos que a sustentam, as consequências práticas para consumidores e instituições financeiras e as medidas imediatas recomendadas às vítimas desse tipo de fraude.

O caso da “mão fantasma” e a trajetória até o STJ

O caso submetido ao STJ envolveu uma correntista do BRB Banco de Brasília vítima do chamado golpe da mão fantasma — modalidade em que o criminoso, passando-se por funcionário do banco, convence a vítima a instalar um aplicativo de acesso remoto no celular sob o pretexto de resolver um problema de segurança na conta. Obtido o controle do dispositivo, o fraudador contratou um empréstimo de quarenta e cinco mil reais e realizou diversas movimentações financeiras incompatíveis com o perfil de consumo da correntista.

Em primeira instância, o juízo reconheceu a responsabilidade objetiva da instituição financeira e condenou o banco à restituição integral do prejuízo material, acrescida de indenização por danos morais. O Tribunal de Justiça do Distrito Federal e dos Territórios reformou parcialmente a decisão: reconheceu a culpa concorrente da correntista sob o argumento de que a instalação do aplicativo fraudulento teria contribuído para o evento danoso, reduziu a condenação material à metade e afastou o dano moral. Contra essa decisão foi interposto o recurso especial que chegou ao STJ.

Responsabilidade objetiva bancária e a Súmula 479 do STJ

O primeiro pilar da decisão é a reafirmação da responsabilidade objetiva das instituições financeiras prevista no artigo 14 do Código de Defesa do Consumidor e consolidada pela Súmula 479 do STJ, segundo a qual as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Fraudes digitais são, nessa categorização, risco inerente à atividade bancária, e não eventos alheios à esfera de responsabilidade do fornecedor.

Conforme a própria notícia institucional publicada pelo Superior Tribunal de Justiça em 13 de novembro de 2025, a responsabilidade objetiva só pode ser afastada mediante prova da inexistência de defeito na prestação do serviço ou da ocorrência de culpa exclusiva do consumidor ou de terceiros, nos termos do parágrafo 3º do artigo 14 do CDC. Não há, no regime da responsabilidade objetiva, espaço para a discussão da culpa do fornecedor — a análise se desloca para a existência do defeito e do nexo causal com o dano.

O Ministro Ricardo Villas Bôas Cueva, relator, destacou que o dever de segurança bancária vai além da mera instalação inicial de mecanismos antifraude: compreende o aprimoramento contínuo desses sistemas diante da evolução incessante das táticas criminosas. Os sistemas de monitoramento das instituições devem ser capazes de identificar transações atípicas — por valor, horário, sequência, localização ou meio utilizado — especialmente quando configuram sequência de operações manifestamente incompatíveis com o perfil de consumo habitual do cliente. A contratação de empréstimo de valor expressivo imediatamente antes de múltiplas transferências, como ocorreu no caso concreto, é exemplo paradigmático de padrão que deveria acionar bloqueios automáticos.

A falha em detectar e barrar operações ostensivamente suspeitas configura defeito na prestação do serviço, elemento suficiente para deflagrar a responsabilidade objetiva independentemente de qualquer análise sobre conduta da vítima. A tecnologia e os dados necessários para esse monitoramento estão à disposição exclusiva das instituições financeiras, que detêm o histórico transacional completo do cliente e os meios técnicos para identificar anomalias.

A nova interpretação da culpa concorrente e a Teoria do Risco Concorrente

O aspecto mais inovador da decisão é a interpretação restritiva da culpa concorrente em fraudes por engenharia social. Os artigos 944 e 945 do Código Civil autorizam a redução proporcional da indenização quando há concorrência de culpa da vítima para o evento danoso, e o Enunciado 380 da I Jornada de Direito Civil do Conselho da Justiça Federal admite a aplicação desse regime mesmo em regimes de responsabilidade objetiva. O STJ, contudo, estabeleceu critério rigoroso para sua incidência em golpes bancários.

A Terceira Turma adotou a Teoria do Risco Concorrente, segundo a qual a redução da indenização somente é cabível quando a vítima tenha conscientemente assumido um risco cuja materialização agravou o dano. A chave analítica é o grau de consciência da vítima sobre a natureza arriscada de sua conduta. Como observou o relator, os serviços bancários não são objetos sabidamente perigosos — ao contrário, a adesão a plataformas digitais de instituições financeiras é justamente motivada pela expectativa legítima de segurança e comodidade.

Não é razoável imputar à vítima de engenharia social, induzida por suposto preposto do banco a realizar conduta que acreditava ser protetiva, a assunção de risco consciente. O acesso dos criminosos ao dispositivo e aos aplicativos bancários não decorre de falta de cautela da correntista, mas da própria fraude que o banco tinha o dever de prevenir. A conduta da vítima, nessa leitura, não é concausa autônoma do dano — é elemento integrante do próprio mecanismo fraudulento que a instituição deveria ter detectado e barrado.

A consequência lógica é o afastamento da distribuição proporcional dos prejuízos: em golpes de engenharia social combinados com falha do sistema de segurança bancária, a instituição financeira responde integralmente pelo dano, sem redução por culpa concorrente da vítima. Essa orientação alinha-se a precedentes recentes da Terceira Turma sobre o golpe da falsa central de atendimento, também relatados pelo Ministro Cueva e divulgados pelo STJ em outubro de 2025, nos quais a Corte estendeu o mesmo entendimento às instituições de pagamento, por força do artigo 7º da Lei nº 12.865/2013.

O voto do Ministro Villas Bôas Cueva

O voto do relator estruturou o raciocínio em três movimentos. Primeiro, a premissa da confiança legítima: a correntista interagia com quem acreditava ser o próprio banco, orientada por pessoa que se apresentava como preposto da instituição, com o propósito declarado de proteger o patrimônio. Instalar aplicativo sob essa orientação fraudulenta não equivale a negligência que justifique redução da indenização.

Segundo, a caracterização do defeito na prestação do serviço. Os bancos prometem ambiente seguro. A falha em detectar e impedir operações atípicas e fora do perfil do cliente — especialmente quando agrupadas em sequência incompatível com o padrão de consumo da correntista — é defeito do serviço bancário, independentemente da conduta do cliente. A instituição dispõe de tecnologia, histórico e dados para identificar anomalias; a falha nessa função é quebra de dever de cuidado.

Terceiro, a inviabilidade da distribuição proporcional do prejuízo. Quando a conduta da vítima resulta de indução fraudulenta que o banco tinha o dever de prevenir, ela não configura concausa autônoma, mas elemento integrante do próprio mecanismo do dano que a instituição deveria ter interrompido. Consequentemente, a reparação deve ser integral.

No plano do dispositivo, o STJ restabeleceu a condenação à restituição integral dos danos materiais fixada em primeira instância. Os danos morais permaneceram afastados por razão processual: a vítima não havia apresentado recurso especial sobre esse capítulo da decisão, o que impedia sua reavaliação pela Corte. O relator também afastou a multa por embargos de declaração protelatórios com fundamento na Súmula 98/STJ, que preserva o direito ao prequestionamento.

Consequências para o consumidor

Para o consumidor vítima de golpe por engenharia social, a decisão consolida o direito à reparação integral do prejuízo material sofrido, afastando a tendência jurisprudencial anterior de repartir a responsabilidade com o cliente mediante reconhecimento de culpa concorrente. Três consequências práticas merecem destaque.

A primeira é o deslocamento do ônus argumentativo. A defesa da instituição financeira deixa de poder se sustentar na mera invocação da “falta de cautela” do cliente ao instalar aplicativo ou fornecer dados. O banco precisa demonstrar, de forma específica, que a vítima assumiu conscientemente risco cuja materialização gerou o dano — critério significativamente mais exigente.

A segunda é o fortalecimento da pretensão indenizatória integral. Valores contratados fraudulentamente, como os empréstimos realizados durante o acesso remoto, devem ser restituídos ao patamar anterior à fraude, com correção monetária e juros, e não podem permanecer em cobrança contra a vítima. A inclusão do nome da vítima em cadastros restritivos de crédito em razão dessas operações é ilegítima e enseja pretensão autônoma de dano moral, quando regularmente deduzida.

A terceira é a articulação com outros instrumentos de defesa. Quando o golpe resulta na contratação fraudulenta de empréstimos consignados ou de contratos com cláusulas abusivas, a pretensão de declaração de inexigibilidade pode ser cumulada com pedido de revisão de eventuais encargos indevidamente cobrados, na forma da ação revisional de contratos bancários.

Consequências para as instituições financeiras

Para as instituições financeiras e de pagamento, a decisão impõe revisão dos programas antifraude em três dimensões. A primeira é tecnológica: sistemas de monitoramento precisam ser calibrados para identificar, com rapidez e precisão, padrões incompatíveis com o perfil transacional do cliente — o que inclui o uso de algoritmos de machine learning aplicados ao histórico individual e à detecção de anomalias contextuais, como valor, horário, local, sequência e combinação de operações.

A segunda é procedimental: protocolos de confirmação adicional devem ser acionados quando a transação apresenta características atípicas, ainda que o cliente tenha formalmente autorizado a operação. A autorização obtida sob manipulação fraudulenta não pode servir de escudo para o banco quando a atipicidade era objetivamente detectável.

A terceira é de compliance: políticas internas e treinamento de atendimento precisam incorporar a nova diretriz jurisprudencial, evitando que a estratégia de defesa se construa sobre a imputação de culpa à vítima — estratégia que, diante do novo critério rigoroso do STJ, tende a ser processualmente ineficaz e pode mesmo agravar a condenação em danos morais pela conduta adotada após o evento fraudulento.

Guia prático — medidas imediatas ao ser vítima de golpe bancário

A vítima de golpe bancário deve adotar providências em duas frentes simultâneas: contenção técnica do evento e preservação do direito à reparação integral. As ações devem ser tomadas no menor prazo possível — idealmente nas primeiras horas após a percepção do golpe.

No plano da contenção técnica, recomenda-se: bloquear imediatamente todos os cartões e acessos bancários pelos canais oficiais da instituição; alterar todas as senhas de aplicativos bancários, internet banking e contas de e-mail associadas; desinstalar qualquer aplicativo suspeito do dispositivo e executar varredura completa com programa antivírus atualizado; registrar boletim de ocorrência na delegacia de polícia (presencialmente ou pelo canal eletrônico do estado, quando disponível) documentando os valores, horários, números de telefone e meios utilizados pelos criminosos; consolidar prints de conversas, registros de ligações e extratos bancários do período.

Ainda no plano da contenção, recomenda-se a consulta ao Registrato do Banco Central para verificar se durante o golpe foram abertas contas ou operações de crédito em nome da vítima em outras instituições e para confirmar quais chaves Pix estão cadastradas em cada banco. O Registrato é sistema oficial de consulta de informações, não de reclamação — reclamações formais sobre a instituição devem ser dirigidas aos canais específicos de atendimento ao consumidor do Banco Central e, se for o caso, ao Procon do estado de residência.

No plano da preservação do direito à reparação, a providência central é a notificação extrajudicial ao banco, instrumento que formaliza a comunicação da fraude, descreve circunstancialmente o ocorrido, exige a imediata suspensão de cobranças relativas a operações contestadas e estabelece prazo razoável para restituição integral dos valores indevidamente debitados ou contratados. A notificação preserva a data de ciência do banco sobre o evento e constitui prova relevante em eventual demanda judicial.

Permanecendo a recusa da instituição em ressarcir ou suspender as cobranças, cabe o ajuizamento de ação judicial com pedidos cumulados de declaração de inexigibilidade dos débitos, restituição dos valores debitados, tutela de urgência para suspensão de eventuais inscrições em cadastros de inadimplência e indenização por danos morais. A jurisprudência atual do STJ, consolidada no julgamento aqui examinado, é francamente favorável à vítima quando demonstrada a falha do sistema bancário em identificar operações atípicas. Em situações nas quais o golpe gerou endividamento global incompatível com a capacidade de pagamento da vítima, pode-se também avaliar o cabimento do procedimento de repactuação previsto na Lei do Superendividamento.

Perguntas frequentes sobre golpes bancários e responsabilidade do banco

O que o STJ decidiu sobre responsabilidade do banco em golpes?

A Terceira Turma do Superior Tribunal de Justiça decidiu, por unanimidade, no Recurso Especial nº 2.220.333/DF, que não cabe a distribuição proporcional dos prejuízos por culpa concorrente quando o consumidor é vítima de golpe de engenharia social combinado com falha do sistema de segurança bancária. A instituição financeira responde integralmente pelos danos materiais quando deixa de detectar operações atípicas e incompatíveis com o perfil de consumo do cliente.

O que é o golpe da mão fantasma?

O golpe da mão fantasma, também chamado golpe do acesso remoto, é a fraude em que o criminoso, passando-se por funcionário do banco, convence a vítima a instalar aplicativo de controle remoto no celular sob o pretexto de resolver falha de segurança. Uma vez instalado o aplicativo, o fraudador obtém controle do dispositivo e realiza operações bancárias em nome da vítima — tipicamente, contratação de empréstimos e transferências para contas de terceiros.

O banco é obrigado a ressarcir vítima de golpe bancário?

Sim, quando identificada falha na prestação do serviço. A responsabilidade da instituição financeira é objetiva, nos termos do artigo 14 do Código de Defesa do Consumidor e da Súmula 479 do STJ. Fraudes praticadas por terceiros constituem fortuito interno da atividade bancária. A responsabilidade só pode ser afastada mediante demonstração de culpa exclusiva da vítima ou de terceiros, hipótese interpretada de forma restritiva após o REsp 2.220.333/DF.

O que é culpa concorrente em golpes bancários e quando se aplica?

Culpa concorrente é o instituto que permite reduzir proporcionalmente a indenização quando a conduta da vítima contribuiu para o evento danoso, nos termos dos artigos 944 e 945 do Código Civil. Em golpes bancários, o STJ passou a exigir que a vítima tenha conscientemente assumido o risco para que a culpa concorrente seja reconhecida. A vítima de engenharia social induzida por falso preposto do banco não assume risco consciente — logo, não há base para redução da indenização.

O que fazer imediatamente ao ser vítima de golpe bancário?

Bloquear imediatamente cartões e acessos pelos canais oficiais do banco; alterar senhas de aplicativos, internet banking e e-mails associados; desinstalar aplicativos suspeitos e executar antivírus; registrar boletim de ocorrência; documentar toda a fraude (prints, registros de ligações, extratos); consultar o Registrato do Banco Central para identificar contas ou operações abertas fraudulentamente; e encaminhar notificação extrajudicial ao banco exigindo a imediata suspensão de cobranças e a restituição integral.

Como recuperar o dinheiro perdido em golpe bancário?

A primeira via é a notificação extrajudicial ao banco, com pedido de restituição integral em prazo razoável. Não havendo solução, cabe ação judicial com pedidos de declaração de inexigibilidade dos débitos fraudulentos, restituição dos valores debitados, tutela de urgência contra inscrições em cadastros restritivos e indenização por danos morais. A jurisprudência atual do STJ é favorável à vítima quando demonstrada a falha do sistema bancário em identificar operações atípicas.

A vítima de golpe bancário pode ter seu nome negativado pela dívida fraudulenta?

Não legitimamente. Débitos decorrentes de empréstimos contratados fraudulentamente durante golpe de engenharia social, com falha do banco em identificar a atipicidade, são inexigíveis. A inscrição da vítima em cadastros restritivos de crédito por essas dívidas enseja pedido de tutela de urgência para exclusão imediata e pretensão autônoma de indenização por danos morais, quando a negativação tiver ocorrido apesar da prévia comunicação da fraude ao banco.

Qual o prazo para buscar ressarcimento em golpe bancário?

A pretensão de reparação civil decorrente de defeito na prestação do serviço bancário submete-se, conforme orientação predominante, ao prazo de cinco anos previsto no artigo 27 do Código de Defesa do Consumidor, contado do conhecimento do dano e de sua autoria. Recomenda-se, contudo, que as providências sejam adotadas no menor prazo possível — tanto para a contenção técnica do evento quanto para a preservação de provas documentais relativas à fraude e à comunicação com o banco.

A análise integrada das consequências dos golpes bancários nas diversas modalidades de relação financeira do consumidor compõe o conjunto de estudos do silo de contratos bancários da Barbieri Advogados, cuja consulta é recomendada para aprofundamento dos temas correlatos.

Daiane Rebelato de Mamam é advogada da Barbieri Advogados, especialista em Direito Civil e Processual Civil. Inscrita na Ordem dos Advogados do Brasil — OAB/RS n.º 81.250.

Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento jurídico. Cada situação possui particularidades que exigem análise individualizada por profissional habilitado. Para assessoria especializada, entre em contato com a Barbieri Advogados.

Daiane Mamam

Daiane Rebelato de Mamam é advogada da Barbieri Advogados, graduada em Direito pela Universidade de Passo Fundo (UPF) e pós-graduada em Direito Civil e Processo Civil pela Fundação Escola Superior do Ministério Público (FMP). Inscrita na OAB/RS sob o nº 81.250.

E-mail: daiane.mamam@barbieriadvogados.com

< Voltar para Blog

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.