Artigo
22/07/2025

Golpes com boletos e sites falsos: STJ afasta responsabilidade dos bancos

STJ decide que bancos não respondem por fraudes em sites falsos criados por terceiros sem falha de serviço.

Avatar Thiago do Amaral Santos

Registros selecionados

Imagem de capa do artigo

Uma cliente buscava antecipar o pagamento de parcelas de seu financiamento com o Banco Hyundai. Para isso, pesquisou no Google o site da instituição, mas acabou acessando uma página falsa: um site mimetizado, ou seja, uma cópia visual do site verdadeiro, usada por golpistas para enganar os usuários. No ambiente falso, a cliente iniciou contato por WhatsApp com um suposto gerente, informou seus dados e recebeu um boleto para pagamento. Pagou R$ 26 mil, acreditando estar quitando sua dívida. Mas o valor foi enviado para a conta de um fraudador, aberta em outra instituição: o Banco Original. A cliente acionou o Judiciário e alegou que ambos os bancos eram responsáveis: o primeiro, por permitir o uso indevido de sua marca em sites falsos; o segundo, por permitir que criminosos abrissem conta e movimentassem valores de origem ilícita.

O que é site mimetizado?

Site mimetizado é uma página falsa que copia visualmente o site de uma empresa legítima. Usa logotipo, identidade visual e até domínios parecidos. Ao buscarmos no Google ou em outros mecanismos de busca, podemos ser direcionados a esse tipo de site falso, principalmente se clicarmos em links patrocinados ou não verificarmos a autenticidade do endereço.

Ausência de nexo causal e de falha de serviço

A Terceira Turma do STJ, por maioria, negou provimento ao recurso da cliente, firmando entendimento de que não houve falha na prestação dos serviços por parte dos bancos envolvidos. A relatora, Ministra Nancy Andrighi, destacou que:

  • O site falso foi criado por terceiro, sem qualquer participação ou vínculo com o Banco Hyundai.
  • A cliente não utilizou os canais oficiais da instituição, que estavam disponíveis no próprio contrato de financiamento.
  • A própria cliente forneceu voluntariamente dados bancários e documentos ao fraudador, como boletos e informações do contrato.
  • Não houve comprovação de vazamento de dados por parte do banco.
  • O Banco Original não foi comunicado da fraude antes da liquidação do boleto; ou seja, quando foi acionado, o valor já havia sido transferido e não havia mais operação a ser bloqueada.

Com base nessas constatações, o STJ concluiu que faltava o nexo de causalidade necessário para que as instituições fossem responsabilizadas.

Conclusão

A decisão do STJ consolida um importante parâmetro para o mercado financeiro: a responsabilidade civil dos bancos por fraudes praticadas por terceiros não é automática. Para que haja obrigação de indenizar, é necessário comprovar que o banco atuou de forma negligente ou omissa, contribuindo diretamente para o dano. Quando a fraude ocorre fora da esfera de controle do banco - como nos casos de sites falsos criados por terceiros, sem vínculo com a instituição -, o risco é classificado como fortuito externo, não sendo absorvido pela atividade bancária. Nessa hipótese, afasta-se a responsabilidade objetiva do banco.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que é um site mimetizado?
Um site mimetizado é uma página falsa na internet que realiza uma cópia visual do site de uma empresa legítima. fraudadores utilizam o logotipo, a identidade visual e até mesmo endereços de domínio (URLs) parecidos com os originais para enganar os usuários.Esses sites falsos podem aparecer em resultados de mecanismos de busca, como o Google, especialmente em links patrocinados, enganando pessoas que não verificam a autenticidade do endereço acessado.
A responsabilidade de um banco é automática em casos de fraudes praticadas por terceiros?
Não, a responsabilidade civil de um banco por fraudes realizadas por terceiros não é automática.Para que a instituição financeira seja obrigada a indenizar um cliente, é necessário que se comprove uma falha na prestação do serviço, como uma atuação negligente ou omissa que tenha contribuído diretamente para o prejuízo do consumidor. Se a fraude ocorre por um meio fora do controle do banco, a responsabilidade pode ser afastada.
Qual foi o entendimento do STJ sobre a responsabilidade de um banco em fraudes ocorridas em sites falsos criados por terceiros?
Em uma decisão da Terceira Turma, o Superior Tribunal de Justiça (STJ) firmou o entendimento de que não há falha na prestação de serviço ou responsabilidade do banco quando a fraude ocorre em um site falso criado por um terceiro, sem qualquer vínculo com a instituição financeira.Nesses casos, o tribunal considerou que o evento se classifica como fortuito externo, ou seja, um risco que não é inerente à atividade bancária. A responsabilidade do banco é afastada por faltar o nexo de causalidade, que é a ligação direta entre a conduta da instituição e o dano sofrido pelo cliente.
O que é 'fortuito externo' no contexto de fraudes bancárias?
No contexto de fraudes bancárias, o conceito de fortuito externo se refere a um evento danoso que ocorre fora da esfera de controle e da atividade da instituição financeira.Um exemplo é uma fraude que acontece por meio de um site falso, criado e mantido por um golpista sem qualquer ligação com o banco. Quando o risco é classificado como fortuito externo, ele não é considerado parte da atividade bancária, o que afasta a responsabilidade objetiva do banco pelo prejuízo causado ao consumidor.
Quais foram os argumentos utilizados pelo STJ para isentar bancos de responsabilidade em um caso de fraude via site falso?
Em um caso julgado pela Terceira Turma, o Superior Tribunal de Justiça (STJ) isentou as instituições financeiras de responsabilidade com base na ausência de nexo de causalidade. A relatora, Ministra Nancy Andrighi, destacou os seguintes pontos para a decisão:O site falso foi criado por um fraudador, sem qualquer participação ou vínculo com o banco cuja marca foi utilizada.A cliente não utilizou os canais oficiais de comunicação da instituição, que estavam disponíveis em seu contrato.A própria vítima forneceu voluntariamente seus dados bancários, documentos e informações do contrato ao golpista.Não houve qualquer comprovação de que ocorreu um vazamento de dados por parte do banco.O banco que recebeu o valor do boleto fraudulento não foi comunicado sobre a fraude a tempo de bloquear a transação, pois o valor já havia sido transferido quando foi acionado.Com base nessas constatações, concluiu-se que não houve falha na prestação dos serviços bancários que justificasse a responsabilização das instituições.

Autor

Foto de perfil de Thiago do Amaral Santos

Thiago do Amaral Santos

Sócio BTLaw | Professor FGV e Insper | Fintech, Meios de Pagamento, Bancos Digitais

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

Golpe da falsa central: STJ delimita a responsabilidade dos bancos

Artigo

Golpe do Motoboy: divergências no STJ e o novo entendimento do REsp 2.155.065

Artigo

Fraudes Bancárias Eletrônicas: Como se proteger na era digital