Bancos e instituições de pagamento agora respondem por golpes da falsa central: STJ reforça dever de segurança digital

Por: Ingryd Morais

A Terceira Turma do Superior Tribunal de Justiça consolidou, em recente e paradigmático julgado (REsp nº 2.222.059/SP, rel. Min. Ricardo Villas Bôas Cueva, julgado em 7/10/2025), a responsabilidade objetiva de bancos e instituições de pagamento pelos prejuízos sofridos por consumidores vítimas do chamado golpe da falsa central de atendimento - modalidade de fraude cada vez mais sofisticada, amparada em técnicas de engenharia social e vazamento de dados pessoais.

O precedente marca uma evolução importante na jurisprudência da Corte, ao estender às instituições de pagamento digitais (como fintechs e plataformas de crédito) o mesmo dever de segurança já imposto às instituições bancárias tradicionais, nos termos da Súmula 479/STJ e do artigo 14 do Código de Defesa do Consumidor.

O caso: uma sequência de transações atípicas ignoradas pelo sistema

O processo teve origem em ação movida por um correntista do Nu Pagamentos S.A., que relatou ter sofrido prejuízos de mais de R$ 140 mil após seguir instruções de supostos atendentes do banco. 

Em um único dia, foram realizadas 14 operações,  entre pagamentos, contratação de empréstimo e quitação de boleto no crédito, todas destoando completamente do padrão habitual da conta, utilizada como uma espécie de poupança.

O juízo de primeiro grau reconheceu a falha na prestação do serviço e condenou a instituição ao ressarcimento integral dos valores, mas o Tribunal de Justiça de São Paulo reformou a sentença sob o argumento de que não há obrigação legal de monitorar todas as movimentações financeiras.

Ao julgar o recurso especial, contudo, o STJ restab eleceu a condenação, reconhecendo que a ausência de mecanismos de bloqueio de transações atípicas constitui defeito do serviço bancário.

Serviço defeituoso e fortuito interno: a aplicação do CDC ao ambiente digital

O voto condutor do ministro Ricardo Villas Bôas Cueva reafirmou que, à luz da Súmula 479, as instituições financeiras respondem objetivamente pelos danos oriundos de fortuito interno, isto é, pelas fraudes e delitos cometidos por terceiros no âmbito das operações bancárias. Essa lógica, fundada no risco da atividade, aplica-se igualmente às instituições de pagamento, nos termos do artigo 7º da Lei nº 12.865/2013 e da Súmula 297/STJ.

O relator destacou que, nos termos do §1º do artigo 14 do CDC, o serviço é considerado defeituoso quando não oferece a segurança que dele razoavelmente se espera. 

Em outras palavras, se o sistema falha ao detectar comportamentos anômalos, a responsabilidade é da instituição, e não do consumidor enganado.

O dever de aprimoramento constante e a inteligência antifraude

Um dos trechos mais relevantes do acórdão afirma que cabe às instituições financeiras e de pagamento “criar mecanismos capazes de identificar e coibir a prática de fraudes e mantê-los em constante aprimoramento”, em razão do elevado grau de risco da atividade.

Entre os parâmetros indicados para a detecção de comportamentos suspeitos, o ministro elenca:

• transações fora do perfil de consumo;

• horários e locais destoantes;

• intervalos curtos entre múltiplas operações;

• contratação de empréstimos imediatamente antes de pagamentos atípicos;

• meios de pagamento incomuns ou sequências repetitivas.

  
  

A decisão reconhece, portanto, que a tecnologia que ampliou o alcance dos serviços bancários deve também ser a principal barreira contra fraudes, impondo às instituições um dever proativo de vigilância e prevenção; não apenas reativo, após o dano já consumado.

Precedentes e contexto social: o combate à “epidemia digital”

O voto menciona dados alarmantes: segundo o DataSenado, 24% dos brasileiros já foram vítimas de golpes digitais, com mais de 40 milhões de perdas financeiras registradas. Também cita a pesquisa Radar Febraban (2025), que identificou aumento expressivo nas tentativas de fraude em todas as faixas etárias e classes sociais.

Essa contextualização reforça a percepção de que o golpe da falsa central não é fato isolado, mas fenômeno sistêmico, que exige medidas estruturais de proteção e compliance digital.

O STJ ainda revisita precedentes sobre o golpe do motoboy e outras modalidades de fraude digital, reafirmando que a validação de operações atípicas, sem mecanismos de alerta ou bloqueio, caracteriza defeito do serviço e gera o dever de indenizar (REsp 2.179.133/SP, REsp 1.995.458/SP e AgInt no REsp 2.056.005/SE).

A convergência entre o CDC e a Lei Geral de Proteção de Dados

Embora o acórdão tenha afastado a discussão probatória sobre eventual vazamento de dados (Súmula 7/STJ), o relator reconheceu que, comprovada a falha na guarda ou no tratamento de informações pessoais, a instituição responde integralmente pelos danos patrimoniais e morais, em harmonia com os artigos 42, 44 e 46 da LGPD.

Essa leitura reforça a integração normativa entre o CDC e a LGPD, consolidando o entendimento de que a proteção de dados é um desdobramento do direito básico à segurança nas relações de consumo.

Conclusão: um novo paradigma de responsabilidade financeira

O julgamento do REsp nº 2.222.059/SP consolida uma virada jurisprudencial em matéria de responsabilidade civil bancária: as instituições financeiras e de pagamento devem responder pelos danos resultantes de fraudes quando houver falha na identificação de operações atípicas ou ausência de mecanismos adequados de prevenção.

O precedente sinaliza ao mercado financeiro, especialmente às fintechs, que a inovação tecnológica deve caminhar junto com o aprimoramento da segurança digital. Não basta oferecer conveniência; é indispensável garantir confiança.

O consumidor, por sua vez, passa a contar com um respaldo mais sólido diante do crescimento exponencial dos golpes de engenharia social. O STJ, ao reafirmar o dever de segurança como núcleo essencial do serviço bancário, restabelece o equilíbrio entre tecnologia, risco e responsabilidade, pilares indispensáveis para a preservação da boa-fé e da estabilidade nas relações de consumo digitais. Leia o acórdão no REsp nº 2.222.059/SP,