Caiu no golpe? Tempo é dinheiro. Acione o MED (Mecanismo Especial de Devolução) do seu banco imediatamente, antes de 80 dias da transação. Quanto antes você acionar, maiores as chances de recuperar o dinheiro. Ao mesmo tempo, registre um Boletim de Ocorrência. Depois, venha para os passos deste artigo para entender se o banco tem obrigação de indenizar.
O golpe da falsa central de atendimento é, atualmente, o principal tipo de fraude bancária no Brasil. O criminoso liga para a vítima usando um número que parece ser o número oficial do banco, identificado pelo nome da instituição no identificador de chamadas. A partir daí, convence o consumidor a realizar transferências via PIX, informar senhas, ou instalar aplicativos maliciosos no celular. As perdas somam centenas de milhões de reais por ano, e a principal dúvida das vítimas é: o banco tem que devolver?
A resposta depende do caso, mas o cenário jurídico mudou significativamente após decisões recentes do Superior Tribunal de Justiça. Este guia do Portal Defenda-se explica como funciona o golpe, o que diz a Súmula 479 do STJ, as decisões de 2025, e o passo a passo para exigir seus direitos, do MED do PIX à ação judicial.
Sumário
- Como funciona o golpe da falsa central
- O que diz a Súmula 479 do STJ
- As decisões do STJ em 2025: o que mudou
- Fortuito interno vs. externo: quando o banco responde
- O que fazer imediatamente após o golpe
- Escalando: quando o MED não devolveu e o banco não indeniza
- Como se proteger do golpe da falsa central
- MED do PIX: como funciona e o que mudou em 2026
Como funciona o golpe da falsa central
Os criminosos evoluíram suas técnicas e hoje operam com um nível de sofisticação que dificulta o reconhecimento mesmo por consumidores atentos. O golpe segue um roteiro padrão, mas com variações que podem enganar qualquer pessoa.
A ligação que parece oficial
O criminoso liga usando tecnologia de falsificação de identificador de chamada (spoofing). O número que aparece na tela é o mesmo do SAC oficial do banco. A ligação pode acontecer em qualquer horário e, em muitos casos, o criminoso já possui dados pessoais da vítima (nome completo, CPF, valor aproximado na conta), obtidos por meio de vazamentos de dados.
O motivo urgente que gera pânico
O criminoso informa que há uma “transação suspeita”, uma “tentativa de fraude na conta” ou um “empréstimo indevido” em nome da vítima. O tom é de urgência: “se você não confirmar agora, vamos bloquear sua conta” ou “precisamos verificar sua identidade imediatamente”. O objetivo é gerar medo e impedir que a vítima pense com clareza.
A solicitação de dados ou transferência
A vítima é orientada a informar senhas, tokens de segurança, ou a realizar transferências via PIX para “uma conta segura” ou para “reverter a transação fraudulenta”. Em alguns casos, o criminoso pede que a vítima instale um aplicativo de acesso remoto (como AnyDesk ou TeamViewer), que permite ao criminoso controlar o celular da vítima e fazer transferências sem que ela perceba.
O dinheiro some e o golpe é descoberto
Após a transferência, a vítima percebe que foi enganada. O dinheiro foi parar em contas de terceiros (laranjas) e geralmente é rapidamente movido para outras contas ou sacado. A partir desse momento, começa a corrida contra o tempo para tentar reaver os valores.
O que diz a Súmula 479 do STJ
A Súmula 479 do Superior Tribunal de Justiça é o principal fundamento jurídico para responsabilizar bancos em casos de fraude digital. Ela foi editada em 2015 e permanece como um dos pilares da proteção do consumidor bancário no Brasil.
“As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
Na prática: quando a fraude ocorre dentro do sistema do banco (por exemplo, o criminoso usou dados cadastrais que o banco deveria proteger, ou abriu uma conta falsa que o banco não verificou adequadamente), o banco responde de forma objetiva, ou seja, não precisa provar culpa do banco, basta provar que a fraude ocorreu dentro da esfera de operação da instituição.
A diferença crucial está entre fortuito interno (fraude dentro do sistema do banco, pelo qual o banco responde) e fortuito externo (fraude fora do sistema, caso em que o banco pode não responder). A questão central de cada caso é classificar a fraude como interna ou externa, e é exatamente aí que as decisões recentes do STJ trouxeram mudanças importantes.
As decisões do STJ em 2025: o que mudou
Em outubro de 2025, o STJ proferiu uma decisão que impactou diretamente o entendimento sobre o golpe da falsa central de atendimento. A Terceira Turma do tribunal decidiu que bancos e instituições de pagamento devem indenizar clientes que foram vítimas do golpe, reconhecendo a responsabilidade das instituições por falhas na segurança do sistema.
A Terceira Turma do STJ reconheceu falha de segurança do banco e restabeleceu condenação por danos morais e materiais em favor de consumidor vítima do golpe da falsa central. O tribunal entendeu que o banco não adotou medidas suficientes para verificar a identidade do cliente e prevenir a fraude.
O ministro relator destacou que o uso de spoofing de telefone (falsificação do identificador de chamadas para exibir o número oficial do banco) configura falha de segurança que o banco deveria prever e impedir com tecnologia disponível. A responsabilidade é objetiva (Súmula 479).
Em decisão unânime, o STJ estabeleceu que bancos e instituições de pagamento que permitem a abertura de contas falsas ou não verificam adequadamente a identidade de quem realiza transferências são responsáveis pelos danos causados, devendo restituir os valores e pagar indenização por danos morais.
Existem decisões do STJ em que o tribunal entendeu que o consumidor contribuiu de forma significativa para o golpe (por exemplo, informou a senha de acesso à conta bancária, instalou aplicativo de controle remoto ou realizou transferência por conta própria sem nenhuma interferência direta do banco no processo). Nesses casos, o STJ pode reduzir o valor da indenização ou até isentar o banco, aplicando o princípio da culpa concorrente. Cada caso é analisado individualmente.
Fortuito interno vs. externo: quando o banco responde
A classificação do golpe como fortuito interno ou externo é o elemento decisivo para determinar se o banco tem obrigação de indenizar. A tabela abaixo resume os cenários mais comuns e como os tribunais têm se posicionado.
| Cenário | Classificação | Banco responde? |
|---|---|---|
| Conta falsa aberta no banco sem verificação adequada | Fortuito interno | Sim, falha na verificação cadastral |
| Spoofing do número do banco + engenharia social | Fortuito interno | Sim, falha de segurança (STJ 2025) |
| Consumidor informou senha bancária ao criminoso | Culpa concorrente | Parcialmente, valor pode ser reduzido |
| Consumidor instalou AnyDesk e deu acesso ao celular | Fortuito externo | Provavelmente não, atitude deliberada |
| PIX feito pelo criminoso com dados obtidos em vazamento | Fortuito interno | Sim, falha na proteção de dados |
| Cartão clonado em maquininha fisica | Fortuito interno | Sim – Súmula 479 |
O que fazer imediatamente após o golpe
Os primeiros minutos e horas após a descoberta do golpe são os mais importantes. A rapidez na ação determina as chances de recuperar o dinheiro. Siga os passos abaixo na ordem exata.
Contate o banco imediatamente
Ligue para o número oficial do banco (não use o número que ligou para você). Informe a fraude, bloqueie cartões, senhas e chaves PIX. Solicite o bloqueio de todas as contas em seu CPF. O banco deve fornecer o protocolo do atendimento.
Registre um Boletim de Ocorrência
Registre o B.O. eletrônico ou presencial na delegacia mais próxima. Inclua todas as informações: número que ligou, horário, valor transferido, conta de destino (se souber), descrição do que aconteceu. O B.O. é essencial para qualquer ação judicial futura e para a contestação no banco.
Reúna todas as evidências
Salve o histórico de chamadas (provedor de telefonia pode fornecer), prints de mensagens recebidas, comprovantes de transferência, protocolos de atendimento no banco, e o número do B.O. Se o golpe envolveu instalação de aplicativo, faça print da tela mostrando o app instalado.
Registre alerta no Serasa/SPC
Se dados pessoais foram vazados, registre um alerta de bloqueio no Serasa e no SPC para impedir a abertura de contas ou contratação de serviços em seu nome. O alerta é gratuito e pode ser feito online.
Prazo do MED do PIX: 80 dias. O Mecanismo Especial de Devolução tem prazo de 80 dias corridos a partir da data da transação fraudulenta. Após 80 dias, o banco pode se recusar a acionar o mecanismo. Mesmo após esse prazo, o consumidor pode buscar a restituição pela via judicial, mas o MED é a via mais rápida e gratuita para tentativa de recuperação.
Escalando: quando o MED não devolveu e o banco não indeniza
Se o dinheiro não foi recuperado pelo MED (porque já havia sido movido pelos criminosos) e o banco se recusou a indenizar, existem caminhos adicionais. A escalada deve seguir uma ordem para fortalecer futuras ações judiciais.
Canal de reclamação interno de nível superior ao SAC. Prazo de resposta: até 10 dias corridos. Exija que a Ouvidoria analise o caso à luz da Súmula 479 do STJ e das decisões de 2025 sobre falsa central.
Registre reclamação no site do BCB contra a instituição financeira. O BCB pode determinar que o banco reanalise o caso e, se houver indícios de falha sistêmica, pode aplicar sanções ao banco. Gratuito.
Plataforma federal com prazo de 10 dias para resposta. Mantém registro público que pressiona a instituição. Seus dados são monitorados pelo BCB e por agências reguladoras.
Denúncia por prática abusiva. O PROCON pode notificar o banco e aplicar multas. Em alguns estados, o PROCON tem programas de mediação para fraudes bancárias.
Ação de indenização por danos materiais e morais. Causas até R$ 32.420 sem advogado. Pedido: restituição do valor + danos morais. O STJ tem fixado indenizações entre R$ 3.000 e R$ 20.000 para o golpe da falsa central.
Como se proteger do golpe da falsa central
Prevenção é a melhor defesa contra o golpe da falsa central. Estas medidas reduzem significativamente o risco de cair na fraude e também servem como prova de que você não contribuiu para o golpe, caso precise acionar o banco judicialmente.
Desligue e ligue pelo número oficial (no verso do cartão ou site do banco). Se for urgente mesmo, o banco entrará contato pelos canais oficiais registrados. Nenhuma instituição liga pedindo senha ou PIX.
Nenhum banco pede que você instale AnyDesk, TeamViewer ou qualquer aplicativo de acesso remoto. Se alguém pedir, desligue imediatamente, é golpe com certeza.
Bancos nunca pedem senha de acesso, token de segurança, senha do cartão ou dados da conta por telefone. Se alguém pedir, é golpe.
Estabeleça uma palavra secreta entre familiares próximos. Se alguém ligar pedindo dinheiro “emergencial”, peça a palavra-chave. Se não souber, desligue. Com deepfakes de voz cada vez mais realistas, esse truque salva vidas financeiras.
Verificação em duas etapas (autenticação por aplicativo, não SMS) dificulta o acesso mesmo que o criminoso tenha sua senha. Use Google Authenticator ou similar.
Muitos bancos permitem configurar limites menores para transações fora do horário comercial. Configurar isso protege contra fraudes noturnas, que são as mais comuns.
MED do PIX: como funciona e o que mudou em 2026
O Mecanismo Especial de Devolução (MED) do PIX é a ferramenta mais recente e potente para recuperação de valores transferidos por fraude. Criado pelo Banco Central, o MED permite rastrear e bloquear contas que receberam dinheiro de transações ilícitas. Desde fevereiro de 2026, as regras foram aprimoradas para aumentar as chances de recuperação.
O consumidor deve acionar o banco remetente (onde a fraude ocorreu) e solicitar a contestação da transação via MED. O banco tem até 7 dias para analisar e encaminhar ao banco destinatário. O banco destinatário tem até 7 dias para bloquear as contas que receberam o dinheiro. Se o dinheiro ainda estiver disponível, é devolvido ao consumidor. Prazo máximo para solicitação: 80 dias corridos da transação. O processo é gratuito para o consumidor.
É importante ressaltar que o MED não garante a devolução, ele é uma ferramenta de rastreamento e bloqueio. Se os criminosos já movimentaram o dinheiro para outras contas ou sacaram os valores, o bloqueio pode não alcançar os montantes integrais. Mesmo assim, o MED é sempre o primeiro passo, pois gera registros que podem ser usados em ações judiciais.
Referências e bases legais
- Súmula 479 do STJ – Responsabilidade objetiva de instituições financeiras por fraudes. Disponível em: stj.jus.br.
- STJ – REsp 2.220.259/SP (2025) – Golpe da falsa central de atendimento. Disponível em: stj.jus.br.
- Lei nº 8.078/1990 – Código de Defesa do Consumidor, Arts. 14 e 18. Disponível em: planalto.gov.br.
- Banco Central do Brasil – Regras do MED (Mecanismo Especial de Devolução) atualizadas em 2026. Disponível em: bcb.gov.br.
- CERT.br – Cartilha de Segurança para Internet. Disponível em: cartilha.cert.br.
- Consumidor.gov.br – Plataforma federal de reclamações. Disponível em: consumidor.gov.br.