O avanço da tecnologia bancária trouxe comodidade, mas abriu três grandes armadilhas para o consumidor brasileiro. A Justiça, atenta a essa evolução, vem consolidando a responsabilidade das instituições financeiras em três cenários bem definidos.

A primeira face é a cegueira ao perfil do cliente. Se você jamais fez um Pix de alto valor e, de repente, sua conta é esvaziada de madrugada, em operações sucessivas e frenéticas, o sistema de segurança falhou ao não bloquear a atipicidade.

A segunda é o uso de dados sigilosos: quando o golpista liga sabendo exatamente quanto você tem no banco, qual seu limite e suas últimas transações, a falha é da instituição que permitiu que essas informações circulassem.

A terceira é a invasão direta, pela qual o banco responde em razão da fragilidade de seus aplicativos e sistemas diante de ataques cibernéticos. 

Foi exatamente sobre a primeira dessas faces — potencializada pela segunda — que o Superior Tribunal de Justiça se debruçou em decisão emblemática de outubro de 2025. No julgamento do REsp 2.222.059/SP, de relatoria do Ministro Ricardo Villas Bôas Cueva, a Terceira Turma analisou o chamado “golpe da falsa central de atendimento”: criminosos,
munidos de dados pessoais da vítima, passaram-se por atendentes da instituição e a induziram a “procedimentos de segurança” que, na verdade, validavam a fraude.

O resultado foram catorze operações em menos de uma hora — transferências, empréstimo e boleto na função crédito —, num prejuízo superior a cento e quarenta mil reais, tudo em conta que o correntista utilizava como poupança, com movimentações mensais
modestas.

O entendimento firmado é claro: a segurança das transações é dever intrínseco das instituições financeiras. O serviço é defeituoso, nos termos do artigo 14 do Código de Defesa do Consumidor, quando não oferece a segurança que dele legitimamente se espera — e o que se espera, na era dos algoritmos e do big data, é que o banco conheça o seu cliente.

Movimentações que destoam completamente do histórico de valores, horários e destinatários devem ser detectadas e bloqueadas preventivamente. A omissão configura fortuito interno, na linha da Súmula 479 do STJ, atraindo a responsabilidade objetiva. E mais: o mesmo padrão de segurança foi estendido às instituições de pagamento e fintechs, que não podem oferecer conveniência sem oferecer proteção.

Se o fraudador dispõe de dados sigilosos para dar aparência de legitimidade ao golpe, houve quebra de confiança e de segurança que a instituição deve reparar. O consumidor lesado tem direito à restituição integral dos valores e, em muitos casos, à reparação por danos morais.

Em todos esses cenários, o Judiciário reafirma o mesmo princípio: o risco do negócio digital não pode ser transferido ao cidadão. A segurança não é um favor — é dever contratual de quem lucra com a guarda do dinheiro alheio. A tecnologia deve servir para proteger, e não apenas para lucrar.


*Renato Gonçalves da Silva
Advogado — OAB/SP 80.357


© Renato Gonçalves da Silva — Todos os direitos reservados nos termos da Lei nº 9.610/1998