Artigos | Postado no dia: 18 novembro, 2025
A responsabilidade dos bancos diante de fraudes: quando as falhas de segurança não podem ser transferidas ao consumidor
Você sabia que, mesmo quando o golpista engana o cliente, o banco continua responsável se houve falha na segurança?
O Superior Tribunal de Justiça decidiu que o consumidor não pode ser penalizado por fragilidades no sistema bancário — inclusive nos golpes por acesso remoto (“mão fantasma”).
Se você foi vítima de fraude, empréstimos desconhecidos, PIX não reconhecidos ou transações atípicas aprovadas pelo banco, essa decisão pode mudar tudo no seu caso.
A responsabilidade civil das instituições financeiras diante das fraudes bancárias: por que as falhas de segurança não podem ser transferidas ao consumidor
A crescente digitalização das operações bancárias trouxe ao cotidiano do consumidor facilidades tecnológicas, rapidez nas transações e autonomia financeira. Entretanto, esse cenário também ampliou as oportunidades para a prática de fraudes sofisticadas, cada vez mais difíceis de detectar pelos usuários comuns. Entre essas práticas, destaca-se o chamado “golpe da mão fantasma”, ou golpe do acesso remoto, que tem vitimado milhares de correntistas no Brasil.
Diante dessa realidade, o Superior Tribunal de Justiça — Tribunal responsável por uniformizar a interpretação do direito infraconstitucional — consolidou entendimentos fundamentais para a proteção do consumidor. No julgamento do Recurso Especial nº 2.220.333/DF, relatado pelo Ministro Ricardo Villas Bôas Cueva e decidido pela Terceira Turma em 08/10/2025, ficou estabelecido que as falhas de segurança do banco não podem, em hipótese alguma, ser utilizadas para reduzir a indenização devida ao consumidor vítima de fraude, afastando a tese de culpa concorrente da vítima quando não houver risco consciente ou comportamento voluntário que tenha potencializado o dano.
A decisão reafirma um ponto central do sistema de responsabilidade civil: o dever das instituições financeiras de garantir a segurança das operações bancárias, prevenindo fraudes e protegendo o patrimônio de seus clientes. Esse dever decorre do Código de Defesa do Consumidor, da jurisprudência consolidada do STJ e da própria natureza da atividade bancária — uma atividade de risco.
O caso julgado pelo STJ envolveu uma consumidora que foi vítima de golpe de engenharia social. Induzida por fraudadores que se passavam por funcionários do banco, ela instalou em seu telefone celular um aplicativo que dava aos golpistas acesso remoto, permitindo que eles contratassem empréstimos e realizassem diversas transações em seu nome. O banco, por sua vez, validou operações totalmente atípicas, de valores elevados e que fugiam completamente ao perfil de consumo da cliente. Ainda assim, o Tribunal de Justiça do Distrito Federal havia reconhecido “culpa concorrente” da consumidora, reduzindo a indenização pela metade.
A Terceira Turma do STJ reformou o acórdão local, entendendo que não há risco consciente assumido pela vítima e que a responsabilidade do banco é integral, pois houve defeito claro na prestação do serviço. Conforme decidido, não é possível exigir do consumidor comum o conhecimento técnico ou a capacidade de distinguir entre aplicativos verdadeiros e falsos, tampouco responsabilizá-lo por ter sido enganado por criminosos altamente especializados.
Essa decisão está em plena sintonia com diversos precedentes recentes do STJ. No REsp 2.052.228/DF, relatado pela Ministra Nancy Andrighi, por exemplo, reconheceu-se que o dever de segurança engloba a proteção da integridade patrimonial do consumidor, impondo às instituições financeiras o dever de identificar e impedir movimentações fora do padrão de consumo, bem como transações atípicas, desproporcionais e indicativas de fraude. Da mesma forma, no AgInt no REsp 2.056.005/SE, relatado pelo Ministro Humberto Martins, o Tribunal entendeu que a criação de chaves PIX, a contratação de empréstimos e transferências vultosas em curtíssimo lapso temporal impõem ao banco a obrigação de acionar mecanismos de prevenção a golpes, sob pena de responsabilização.
O fundamento geral de todos esses julgados é a responsabilidade objetiva das instituições financeiras, consagrada na Súmula 479 do STJ:
“As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
O fortuito interno abrange justamente as fraudes perpetradas mediante vulneração do sistema bancário, seja por falhas tecnológicas, seja pela insuficiência dos mecanismos de detecção de operações suspeitas. Trata-se de risco inerente à atividade bancária, motivo pelo qual não se admite que o ônus dessa vulnerabilidade recaia sobre o consumidor — parte vulnerável reconhecida pelo próprio CDC.
No julgamento do REsp 2.220.333/DF, a Terceira Turma enfrentou especificamente a questão da culpa concorrente. O Tribunal destacou que a possibilidade de redução proporcional da indenização, prevista nos arts. 944 e 945 do Código Civil, deve ser interpretada de forma restritiva, somente se aplicando quando houver comportamento da vítima apto a caracterizar a assunção consciente do risco, ou quando a conduta do consumidor tiver contribuído decisivamente para o resultado danoso.
A doutrina citada pelo Ministro Relator — notadamente Flávio Tartuce e Cavalieri Filho — reforça que a teoria do risco concorrente só se aplica quando o comportamento da vítima for voluntário e revelador de que ela aceitou conscientemente os riscos da atividade, como ocorre em esportes radicais, manipulação de produtos perigosos, não comparecimento a recall, entre outros casos classificados como “responsabilidade pressuposta”. Nessas hipóteses, a vítima tem plena ciência de que sua conduta pode resultar em dano.
Não é esse, evidentemente, o cenário das fraudes bancárias por acesso remoto.
No golpe da mão fantasma, o consumidor é induzido ao erro por técnicas avançadas de engenharia social. Criminosos simulam atendimentos oficiais, utilizam logotipos, textos e procedimentos que se assemelham ao atendimento bancário real. O golpe não se concretiza por descuido ou imprudência da vítima, mas pela sofisticação da atuação criminosa. Portanto, não há como se falar em risco consciente ou em assunção voluntária de perigo.
O STJ foi taxativo ao afirmar:
“Não é razoável entender que a vítima de um golpe, ao instalar programa de captação dissimulada de dados pessoais em seu dispositivo, sob a orientação de pessoa que dizia ser preposta do banco, assumiu o risco consciente de vir a sofrer danos.”
(Superior Tribunal de Justiça, REsp 2.220.333/DF, Rel. Min. Ricardo Villas Bôas Cueva)
Ao reconhecer que a falha de segurança do banco impede a incidência da culpa concorrente, o Tribunal reafirma que o sistema bancário deve adotar mecanismos robustos de verificação das transações. A falha em identificar operações atípicas — como empréstimos sucessivos, transferências de valores elevados, criação repentina de chaves PIX e movimentações fora do padrão — constitui defeito na prestação do serviço. Sendo assim, o banco deve reparar integralmente os danos materiais, sem qualquer abatimento.
A notícia publicada pelo próprio STJ ressalta exatamente esse ponto, informando que a Corte rejeitou a tese de que a instalação do aplicativo fraudulento teria configurado comportamento imprudente da vítima. Segundo a notícia, o Relator enfatizou que o consumidor comum não tem meios técnicos para identificar programas maliciosos, muito menos para desconfiar de atendimentos que simulam com perfeição o suporte bancário oficial. Assim, a fraude, embora praticada por terceiro, se insere no conceito de fortuito interno, atraindo a responsabilidade objetiva da instituição financeira.
Essa interpretação é coerente com a evolução jurisprudencial brasileira, especialmente com as decisões que tratam do “golpe do motoboy”, também analisado pelo STJ. Em julgados como o REsp 2.179.133/SP e o AREsp 2.843.388/RJ, foi reiterado que o banco tem o dever de prevenir operações suspeitas e agir de forma proativa, bloqueando transações destoantes do perfil do correntista. O dever de segurança inclui sistemas de monitoramento inteligente capazes de alertar sobre comportamentos financeiros atípicos.
Quando o banco não adota medidas preventivas adequadas, configura-se o chamado defeito do serviço, previsto no art. 14 do Código de Defesa do Consumidor. Nesses casos, o fornecedor responde independentemente de culpa. Para afastar essa responsabilidade, seria necessário comprovar culpa exclusiva do consumidor ou de terceiro. Porém, para o STJ, as fraudes por engenharia social não caracterizam culpa exclusiva da vítima, tampouco afastam o nexo causal.
Outro ponto relevante da decisão diz respeito à função social da atividade bancária. Conforme destacado em diversos julgamentos, como no REsp 1.737.412/SE, o serviço bancário tem impacto coletivo e deve ser prestado com qualidade, segurança, durabilidade e eficiência. A ausência dessas características não prejudica apenas um consumidor, mas compromete a confiança de toda a sociedade no sistema financeiro. Assim, o descuido voluntário do banco em adotar sistemas de proteção adequados representa uma violação aos deveres anexos da boa-fé objetiva e à própria função social da atividade empresarial.
A decisão do REsp 2.220.333/DF tem relevância prática imediata. Em primeiro lugar, impede que instituições financeiras utilizem a tese de culpa concorrente para reduzir indenizações em casos de golpes virtuais. Em segundo lugar, reafirma que a contratação de empréstimos por aplicativo, sem validação segura, é uma prática que exige cautela redobrada do banco, que deve oferecer mecanismos eficazes de verificação. Em terceiro lugar, reforça que transações atípicas, vultosas ou discrepantes do histórico do consumidor devem ser automaticamente analisadas e, se necessário, bloqueadas.
Para o consumidor, a decisão representa garantia fundamental de proteção patrimonial. Pessoas idosas, com menor familiaridade tecnológica, imigrantes digitais e indivíduos com pouco conhecimento técnico são especialmente vulneráveis aos golpes. Por isso, o STJ tem aplicado de maneira rígida o Estatuto do Idoso e reconhecido a hipervulnerabilidade desses consumidores, ampliando o rigor exigido dos bancos em relação às medidas de segurança.
Do ponto de vista da responsabilidade civil, a decisão reafirma princípios basilares: reparação integral do dano, proteção da vítima, solidariedade social e prevenção de riscos. Além disso, reforça o papel pedagógico da responsabilidade civil, que busca incentivar mudanças de comportamento nos fornecedores de serviços. A condenação integral funciona como estímulo para que os bancos invistam continuamente em segurança digital e na melhoria de seus sistemas de prevenção a fraudes.
Em síntese, quando há falha de segurança, a instituição financeira é integralmente responsável pelos prejuízos suportados pelo consumidor. A fraude perpetrada por terceiros não constitui fator externo, mas parte integrante do risco da atividade bancária. A vulnerabilidade do consumidor, a hipervulnerabilidade dos idosos e a crescente sofisticação dos golpes reforçam a necessidade de proteção jurídica rígida.
O entendimento consolidado pelo STJ reafirma que o consumidor não pode, em hipótese alguma, arcar com os efeitos das fragilidades do sistema bancário. A responsabilidade civil das instituições financeiras é objetiva, integral e fundada no dever de segurança, na função social da atividade, na boa-fé objetiva e no risco inerente ao empreendimento.
