Artigo
25/09/2025

Golpe da falsa central: STJ delimita a responsabilidade dos bancos

STJ define que bancos não respondem automaticamente por fraudes de engenharia social no golpe da falsa central.

Avatar Thiago do Amaral Santos

Registros selecionados

Imagem de capa do artigo

Entre as fraudes que exploram engenharia social destaca-se o golpe da falsa central de atendimento: criminosos se passam por funcionários de instituições financeiras, usam informações pessoais detalhadas e criam cenários de urgência para induzir a vítima a instalar aplicativos falsos ou fornecer dados sensíveis.

O Superior Tribunal de Justiça (STJ) analisou recentemente essa modalidade de fraude no Recurso Especial nº 2.215.907/SP, fixando critérios objetivos sobre a responsabilidade bancária.

O caso analisado

O correntista, induzido por estelionatários, ligou para um número não oficial, conversou com suposta funcionária e instalou um aplicativo em seu celular. Isso deu acesso a dados que permitiram a realização de um empréstimo fraudulento e transferências via Pix. A comunicação ao banco ocorreu somente no dia seguinte, quando a fraude já estava consumada.

O cliente buscou em juízo a devolução dos valores e indenização por danos morais.

A decisão do STJ

A 3ª Turma, por unanimidade, negou provimento ao recurso e afastou a responsabilidade do banco. O relator, Min. Ricardo Villas Bôas Cueva, afirmou que o caso configura fortuito externo; um ato de terceiro, imprevisível e inevitável para a instituição, aliado ao comportamento voluntário do cliente.

O Tribunal também rejeitou a aplicação automática da Súmula 479/STJ e destacou que impor ao banco responsabilidade por qualquer fraude equivaleria a transformá-lo em “segurador universal”, algo que o sistema jurídico não prevê.

Fundamentação legal

  1. Código de Defesa do Consumidor (CDC)
    • Regra: fornecedores respondem objetivamente por falhas no serviço (art. 14, caput).
    • Exceção: não há responsabilidade se o dano resultar de culpa exclusiva do consumidor ou de terceiros (art. 14, §3º, II).

    ➡ O golpe foi praticado por terceiros e viabilizado pelo comportamento do correntista (instalação de app e fornecimento de dados), rompendo o nexo causal.

  2. Código Civil (CC)
    • Art. 393: caso fortuito/força maior exclui responsabilidade quando estranho à atividade.
    • Art. 403: só há indenização por efeitos diretos da conduta.
    • Art. 927, par. único: o risco da atividade não abrange eventos externos.

    ➡ O banco assume riscos da sua atividade (fortuito interno), mas não responde por fraudes criadas fora do seu sistema (fortuito externo).

  3. Lei Geral de Proteção de Dados (LGPD)
    • Arts. 44 e 45: responsabilidade quando há falha de segurança ou vazamento de dados. No precedente REsp 2.176.783/DF, o STJ aplicou a LGPD para responsabilizar banco em caso de vazamento interno.

    ➡ No golpe da falsa central, não houve vazamento: o consumidor forneceu dados voluntariamente.

Fortuito interno x fortuito externo

O julgamento reforçou a distinção:

  • Fortuito interno: integra o risco da atividade bancária (falhas de sistema, vazamentos, bloqueio ineficiente após aviso). O banco responde.
  • Fortuito externo: decorre de fatores externos e da conduta da vítima (como golpes de engenharia social). O banco não responde.

Assim, a Súmula 479/STJ aplica-se apenas ao fortuito interno, não a casos como o da falsa central.

O papel da engenharia social

As fraudes atuais não dependem apenas de tecnologia, mas de manipulação psicológica. O criminoso explora a confiança e o medo do consumidor para obter dados e viabilizar a fraude.

O STJ reconhece que esse tipo de golpe não pode ser tratado como risco natural da atividade bancária, pois depende da colaboração involuntária da vítima. O dever do banco é prevenir falhas técnicas; o dever do consumidor é não compartilhar dados e comunicar a instituição rapidamente.

Impactos práticos para Bancos, IPs e Fintechs:

  • Fortalecer canais oficiais e sistemas de autenticação.
  • Documentar protocolos de segurança e atendimento, pois o momento da comunicação é decisivo.
  • Investir em campanhas educativas para clientes, especialmente contra engenharia social.

Conclusão

O REsp 2.215.907/SP consolida uma diretriz clara: fraudes de engenharia social, como o golpe da falsa central, configuram fortuito externo. Não há responsabilidade automática dos bancos quando não existe falha de serviço, vazamento de dados ou comunicação em tempo hábil.

O precedente reforça o equilíbrio de responsabilidades: instituições financeiras devem manter sistemas robustos, mas consumidores também precisam agir com cautela. Ao afastar a ideia de que os bancos seriam “seguradores universais” contra qualquer fraude, o STJ fortalece a segurança jurídica e oferece um marco para a prevenção de riscos no ecossistema financeiro digital.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que é o golpe da falsa central de atendimento?
O golpe da falsa central de atendimento é uma modalidade de fraude que utiliza engenharia social. Nele, criminosos se passam por funcionários de instituições financeiras, utilizam informações pessoais detalhadas da vítima e criam um cenário de urgência para convencê-la a instalar aplicativos falsos em seus dispositivos ou a fornecer dados sensíveis, como senhas e tokens.
O que é engenharia social no contexto de fraudes financeiras?
Engenharia social é uma técnica de manipulação psicológica utilizada por criminosos. Em vez de se basear apenas em falhas tecnológicas, a fraude explora a confiança e o medo do consumidor para que ele, de forma involuntária, colabore com o golpe, fornecendo dados sigilosos ou realizando ações que permitam o acesso indevido às suas contas.
Qual foi a decisão do Superior Tribunal de Justiça (STJ) no Recurso Especial nº 2.215.907/SP sobre fraudes bancárias?
No julgamento do Recurso Especial nº 2.215.907/SP, a 3ª Turma do STJ decidiu afastar a responsabilidade de uma instituição financeira em um caso de golpe da falsa central de atendimento. O tribunal entendeu que a situação configurou um fortuito externo, ou seja, um evento imprevisível e inevitável causado por terceiros, com a participação voluntária do cliente, o que rompe o nexo de causalidade e isenta o banco de responsabilidade.
Qual a diferença entre fortuito interno e fortuito externo em casos de fraude bancária?
A distinção entre os dois conceitos é fundamental para definir a responsabilidade da instituição financeira:Fortuito interno está ligado ao risco da atividade bancária. Inclui eventos como falhas de segurança no sistema do banco, vazamentos de dados internos ou a ineficiência no bloqueio de transações após a comunicação da fraude pelo cliente. Nesses casos, a instituição é responsabilizada.Fortuito externo refere-se a eventos que não têm relação direta com a atividade do banco e são causados por fatores externos, como a ação de criminosos aliada à conduta da vítima. Golpes de engenharia social, nos quais o cliente fornece voluntariamente seus dados, são considerados fortuitos externos, e a responsabilidade da instituição costuma ser afastada.
A Súmula 479 do STJ se aplica a todos os tipos de fraude bancária?
Não. A decisão no REsp 2.215.907/SP esclareceu que a Súmula 479/STJ, que trata da responsabilidade das instituições financeiras por fraudes praticadas por terceiros, aplica-se exclusivamente aos casos de fortuito interno. Ela não abrange situações de fortuito externo, como o golpe da falsa central, em que a fraude ocorre fora dos sistemas do banco e com a colaboração involuntária da vítima.
Com base na legislação, por que a responsabilidade do banco pode ser afastada em golpes de engenharia social?
A responsabilidade do banco pode ser afastada com base em diferentes fundamentos legais:1. Código de Defesa do Consumidor (CDC): O artigo 14, §3º, II, estabelece que o fornecedor não será responsabilizado se provar que o dano foi causado por culpa exclusiva do consumidor ou de terceiros. No golpe da falsa central, a ação do cliente (instalar um aplicativo falso e fornecer dados) é o que viabiliza a fraude.2. Código Civil (CC): O artigo 393 prevê que o caso fortuito ou de força maior exclui a responsabilidade quando o evento é estranho à atividade da empresa. Fraudes criadas fora do sistema bancário são consideradas externas ao risco do negócio.
Qual a implicação da Lei Geral de Proteção de Dados (LGPD) em casos de fraude bancária?
De acordo com os artigos 44 e 45 da LGPD, a responsabilidade de uma empresa ocorre quando há falha de segurança ou vazamento de dados sob sua guarda. Em casos de vazamento interno, o STJ já aplicou a LGPD para responsabilizar um banco (conforme o precedente do REsp 2.176.783/DF). No entanto, em golpes como o da falsa central, não se configura um vazamento de dados pela instituição, pois é o próprio consumidor que, enganado, fornece suas informações aos criminosos.
O que significa a expressão "segurador universal" no contexto da responsabilidade dos bancos?
A expressão "segurador universal" refere-se à ideia de que os bancos seriam responsáveis por indenizar os clientes por absolutamente qualquer tipo de fraude, independentemente da origem ou da participação da vítima. O STJ, no julgamento do REsp 2.215.907/SP, rejeitou essa tese, afirmando que o sistema jurídico não prevê essa responsabilidade irrestrita. Impor tal obrigação seria desconsiderar a conduta do consumidor e os eventos externos que fogem ao controle da instituição financeira.
Quais são os deveres do consumidor e da instituição financeira para prevenir fraudes?
A prevenção de fraudes depende de um equilíbrio de responsabilidades. A instituição financeira tem o dever de fortalecer seus canais oficiais e sistemas de autenticação, documentar seus protocolos de segurança e investir em campanhas educativas. Por sua vez, o consumidor tem o dever de agir com cautela, não compartilhar dados sensíveis e comunicar à instituição sobre qualquer suspeita de fraude o mais rápido possível, pois o momento da comunicação é um fator decisivo na análise da responsabilidade.

Autor

Foto de perfil de Thiago do Amaral Santos

Thiago do Amaral Santos

Sócio BTLaw | Professor FGV e Insper | Fintech, Meios de Pagamento, Bancos Digitais

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

Golpes com boletos e sites falsos: STJ afasta responsabilidade dos bancos

Artigo

Golpe do Motoboy: divergências no STJ e o novo entendimento do REsp 2.155.065

Artigo

Fraudes Bancárias Eletrônicas: Como se proteger na era digital