Golpe da falsa central de atendimento: O banco é obrigado a devolver o dinheiro?
Entenda quando o banco deve responder e o entendimento recente do STJ.
Últimas Postagens:
O golpe da falsa central de atendimento se tornou uma das fraudes bancárias mais comuns no Brasil. O criminoso liga para a vítima (ou faz com que a vítima ligue para ele), finge ser funcionário do banco, utiliza informações pessoais do correntista para ganhar credibilidade e, por meio de técnicas de engenharia social, induz a vítima a realizar transferências, fornecer senhas ou instalar aplicativos que dão acesso remoto ao celular.
Quem sofre esse golpe quer saber uma coisa: o banco é obrigado a devolver o dinheiro? A resposta, como veremos, não é simples. O STJ proferiu, no segundo semestre de 2025, duas decisões que apontam em direções opostas, e o resultado depende diretamente das circunstâncias do caso concreto.
Neste artigo, explicamos com transparência quando o banco responde, quando não responde, e o que você pode fazer para aumentar suas chances de recuperar os valores.
Entenda: O STJ firmou dois entendimentos distintos para o golpe da falsa central de atendimento, ambos em 2025. Se o banco falhou em detectar transações atípicas (valores, horários e padrões incompatíveis com o perfil do cliente), ele responde objetivamente e deve devolver o dinheiro (REsp 2.222.059/SP e REsp 2.229.519/SP).
Porém, se o cliente forneceu dados voluntariamente e só comunicou a fraude ao banco após a conclusão do golpe, o STJ entende que houve fortuito externo, e o banco não responde (REsp 2.215.907/SP).
Como funciona o golpe da falsa central?
O golpe segue, em regra, um roteiro em quatro etapas.
Na primeira etapa, os criminosos coletam dados da vítima. Essas informações podem vir de vazamentos de dados, compra de bases ilegais, redes sociais ou até de sistemas internos comprometidos. Quanto mais dados o golpista tem (nome completo, CPF, agência, últimos dígitos da conta, últimas compras), mais convincente ele se torna.
Na segunda etapa, ocorre o contato. O golpista liga para a vítima (às vezes utilizando tecnologia de spoofing que faz o número do banco aparecer no identificador de chamadas) ou envia SMS/mensagem alertando sobre uma “compra suspeita” ou “tentativa de invasão”, induzindo a vítima a ligar para um número falso.
Na terceira etapa, a manipulação. O suposto “atendente” confirma dados pessoais da vítima (o que gera confiança), informa que a conta foi comprometida e orienta o cliente a “proteger” seus recursos. As instruções podem incluir: transferir valores para uma “conta segura”, fornecer senhas e códigos de verificação, instalar aplicativos de acesso remoto no celular, ou entregar o cartão físico a um “motoboy do banco”.
Na quarta etapa, a concretização da fraude. Com acesso à conta, os criminosos realizam transferências via PIX, contratam empréstimos em nome da vítima e esvaziam os recursos disponíveis.
Qual é a base legal para responsabilizar o banco?
A responsabilidade das instituições financeiras por fraudes praticadas por terceiros tem fundamento em três pilares normativos.
O primeiro é o Código de Defesa do Consumidor (Lei n. 8.078/90). O art. 14 estabelece que o fornecedor de serviços responde, independentemente de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação do serviço. A relação entre correntista e banco é uma relação de consumo (Súmula 297 do STJ), e o serviço bancário é defeituoso quando não oferece a segurança que o consumidor pode legitimamente esperar.
O segundo é a Súmula 479 do STJ, que sintetiza a jurisprudência consolidada: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.” A responsabilidade é objetiva, o que significa que não é necessário provar culpa do banco: basta demonstrar o defeito do serviço e o dano sofrido.
O terceiro pilar, para as instituições de pagamento (fintechs, carteiras digitais, plataformas de crédito), é o art. 7o da Lei n. 12.865/2013, que impõe o dever legal de garantir a segurança no processamento das transações dos usuários. O STJ reconheceu expressamente, nos REsp 2.222.059/SP e REsp 2.229.519/SP, que esse dever se aplica igualmente às instituições de pagamento digitais.
Converse com o nosso time de especialistas no assunto.
O que o STJ decidiu: duas decisões, dois resultados
Aqui está o ponto mais importante deste artigo. O mesmo ministro relator (Ricardo Villas Bôas Cueva, da 3a Turma do STJ) proferiu, em um intervalo de pouco mais de um mês, duas decisões com resultados opostos sobre o golpe da falsa central. A diferença entre elas está nos fatos, e compreender essa diferença é o que determina se o seu caso tem viabilidade ou não.
A primeira decisão foi no REsp 2.215.907/SP (3a Turma, julgado em 01/09/2025). Nesse caso, a vítima recebeu mensagem alertando sobre transação suspeita, ligou por conta própria para o número indicado na mensagem (que não era o número oficial do banco), conversou com uma suposta funcionária, instalou um aplicativo de acesso remoto e forneceu dados pessoais. O golpe foi consumado, e o cliente só comunicou o banco no dia seguinte.
O STJ negou o recurso do consumidor, entendendo que a fraude configurou fortuito externo: um ato de terceiro que não guarda relação com a atividade bancária e que foi viabilizado pela conduta do próprio cliente, que voluntariamente cedeu seus dados e instalou o aplicativo. A ausência de comunicação tempestiva ao banco foi considerada circunstância agravante.
A segunda decisão foi nos REsp 2.222.059/SP e REsp 2.229.519/SP (3a Turma, julgados em 07/10/2025). Nesses casos, a vítima também foi alvo do golpe da falsa central, mas o quadro fático era diferente: o correntista utilizava a conta como uma espécie de poupança, com movimentações mensais de até R$ 4 mil. No dia do golpe, foram realizadas 14 transações em um único dia, totalizando R$ 143 mil, incluindo a contratação de empréstimo atípico seguida de transferências via PIX para contas de terceiros.
O STJ, por unanimidade, deu provimento ao recurso do consumidor. O Ministro Cueva destacou que os sistemas de proteção contra fraudes das instituições financeiras devem ser capazes de detectar operações que se afastem do perfil habitual do cliente, levando em consideração: o valor das transações, o horário e o local, o intervalo entre uma e outra, a sequência e o meio utilizado, e a contratação de empréstimos atípicos imediatamente antes de pagamentos suspeitos.
Quando o banco certamente responde:
Com base na jurisprudência atual, o banco responde nas seguintes situações:
• Quando houve transações claramente incompatíveis com o perfil do cliente e o banco não bloqueou nem solicitou confirmação. É o caso do correntista que movimentava R$ 4 mil por mês e teve 14 operações de R$ 143 mil em um dia. O sistema antifraude deveria ter disparado alertas e bloqueado as transações.
• Quando houve contratação de empréstimo seguida imediatamente de transferências para contas de terceiros. Esse padrão é um dos indicadores mais comuns de fraude, e o sistema bancário tem (ou deveria ter) mecanismos para identificá-lo.
• Quando houve vazamento de dados pessoais e bancários do cliente por falha do banco. Se o golpista tinha acesso a dados que só poderiam ter vindo do sistema da instituição, a falha é do banco.
• Quando a vítima é pessoa idosa ou em situação de vulnerabilidade. Embora o STJ não tenha firmado tese específica sobre esse ponto, os tribunais estaduais (incluindo o TJDFT e o TJMT em decisões recentes de 2026) têm reconhecido um dever reforçado de proteção.
O que fazer imediatamente após perceber o golpe?
A rapidez na comunicação ao banco é um dos fatores que o STJ considera na análise da responsabilidade. Quanto antes o banco for informado, maior a chance de bloqueio das transações e maior a força do argumento de que a instituição falhou ao não agir.
O primeiro passo é ligar imediatamente para o banco pelo número que consta no verso do cartão ou no aplicativo oficial (nunca pelo número que o golpista forneceu) e solicitar o bloqueio de todas as transações, cartões e acessos. Anotar o protocolo de atendimento é fundamental.
O segundo passo é registrar boletim de ocorrência. Isso pode ser feito presencialmente ou pela delegacia eletrônica do seu estado. O BO é prova essencial para qualquer medida judicial.
O terceiro passo é utilizar o Mecanismo Especial de Devolução (MED) do PIX, se as transferências foram feitas via PIX. O MED permite que o banco do recebedor bloqueie os valores por até 72 horas. Para acioná-lo, é necessário comunicar a fraude ao banco dentro do prazo de 80 dias.
O quarto passo é registrar reclamação no Banco Central pelo sistema Registrato (registrato.bcb.gov.br), que permite verificar todas as contas, empréstimos e chaves PIX vinculados ao seu CPF.
O quinto passo é registrar reclamação formal no banco, por escrito, detalhando cronologicamente todos os fatos. A resposta (ou a falta de resposta) do banco será utilizada como prova em eventual ação judicial.
Procure um advogado especializado para analisar o caso e as provas, e na Justiça garantir a devolução do dinheiro perdido.
Conclusão:
O golpe da falsa central de atendimento é uma fraude que explora a confiança e o medo do consumidor. A resposta para “o banco é obrigado a devolver?” depende de um fator decisivo: se o banco falhou em detectar e bloquear transações incompatíveis com o perfil do cliente, ele responde.
Se o golpe foi inteiramente viabilizado pela conduta do próprio consumidor, sem que o banco tenha tido oportunidade de intervir, a responsabilidade pode ser afastada.
Se você foi vítima do golpe da falsa central, aja rapidamente: comunique o banco, registre o boletim de ocorrência, acione o MED do PIX e procure orientação jurídica especializada.
Tabela resumo: quando o banco responde e quando não responde
| Situação | O banco responde? | Fundamento |
|---|---|---|
| Banco não detectou transações atípicas (valores, horários, padrões incompatíveis com o perfil do cliente) | Sim | Fortuito interno, falha na prestação do serviço. Súmula 479/STJ. REsp 2.222.059/SP e REsp 2.229.519/SP (3a Turma, 07/10/2025) |
| Banco detectou e alertou, mas não bloqueou operações suspeitas | Sim | Dever de segurança não se esgota no alerta; exige bloqueio ou confirmação reforçada |
| Cliente forneceu senha, instalou app de acesso remoto e só comunicou ao banco no dia seguinte | Não, em regra | Fortuito externo, culpa exclusiva do consumidor. REsp 2.215.907/SP (3a Turma, 01/09/2025) |
Sofia Ribeiro
Autora - OAB: 71615-DF
