Home » Blog Jurídico » Golpe do PIX: fui enganado e transferi dinheiro, o banco é obrigado a devolver?

O PIX transformou a vida financeira do Brasil. Rápido, gratuito e disponível a qualquer hora, o sistema de pagamentos instantâneos do Banco Central foi adotado por cerca de 80% da população brasileira. Mas essa mesma velocidade que encanta o usuário encanta também o golpista. A pergunta que chega com frequência ao escritório é direta: caí no golpe do PIX, transferi o dinheiro — o banco é obrigado a devolver? A resposta, como quase tudo no direito, depende das circunstâncias. Mas há boas notícias: a legislação e a jurisprudência evoluíram muito a seu favor.

Smartphone com tela de PIX e dinheiro ao fundo representando golpe do PIX banco obrigado a devolver

O que é o golpe do PIX e por que ele cresce

O golpe do PIX não é um fenômeno único. Ele se apresenta em múltiplos formatos: o falso gerente bancário que liga pedindo confirmação de dados, o estelionatário que finge ser funcionário do banco e convence a vítima a instalar um aplicativo de acesso remoto, o link fraudulento enviado por WhatsApp, a falsa central de atendimento que solicita uma “transferência de segurança”. Em todos esses casos, a técnica central é a engenharia social — a manipulação psicológica que explora confiança, urgência e medo para fazer a vítima agir sem refletir.

O crescimento é alarmante. Como o sistema disponibiliza transações 24 horas por dia, liquidadas em segundos, o PIX acabou virando uma janela de oportunidade para golpistas que precisavam mover valores rapidamente e sem rastreamento. A boa notícia é que o arcabouço jurídico para responsabilizar as instituições financeiras também amadureceu na mesma velocidade.

A Súmula 479 do STJ: o fundamento que muda o jogo

Antes de falar sobre o Mecanismo Especial de Devolução, é preciso entender o alicerce jurídico que sustenta qualquer pretensão da vítima contra o banco. O Superior Tribunal de Justiça consolidou há anos um entendimento que, na prática, inverte o ônus da prova em favor do consumidor. A Súmula 479 do STJ estabelece que “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”

Isso significa que o banco não pode simplesmente dizer que “o cliente transferiu voluntariamente” e lavar as mãos. A responsabilidade da instituição bancária, prestadora de serviços ao consumidor, é objetiva e funda-se na teoria do risco da atividade, em que a aferição do elemento subjetivo — dolo ou culpa — é dispensado, muito embora admita excludente de responsabilidade se comprovada a culpa exclusiva do consumidor. Há também a âncora do artigo 14 do Código de Defesa do Consumidor, que define como defeituoso o serviço que não fornece a segurança que o consumidor dele pode esperar.

Em outubro de 2025, a Terceira Turma do STJ foi ainda mais longe. A Terceira Turma do Superior Tribunal de Justiça, por unanimidade, decidiu que os bancos e as instituições de pagamento são responsáveis por indenizar clientes que sofrerem prejuízos decorrentes de golpes de engenharia social, quando houver falhas na proteção de dados ou na identificação de transações suspeitas. O relator, Ministro Ricardo Villas Bôas Cueva, foi preciso ao apontar que a validação de operações suspeitas, que não correspondem ao perfil do consumidor, caracteriza defeito na prestação do serviço, o que leva à responsabilização objetiva do banco.

Quando o banco efetivamente responde pelo golpe do PIX

A responsabilidade do banco não é automática para qualquer situação. Ela se configura quando há uma falha identificável na prestação do serviço. A jurisprudência brasileira vem desenhando com clareza os contornos dessa responsabilidade, e há situações em que ela é praticamente inequívoca.

Transações incompatíveis com o perfil do cliente

Nas fraudes e golpes de engenharia social, várias operações de alto valor são realizadas em rápida sucessão. Essas transações se destacam devido a esse comportamento incomum, e os bancos têm o dever de identificá-las. Para exemplificar: imagine uma correntista que recebe R$ 2.500 por mês e faz, em média, três transferências mensais de valores pequenos. De repente, em um único dia, surgem seis PIX consecutivos totalizando R$ 18.000. Um correntista que fazia pouquíssimas movimentações por mês contrastou com 14 transações efetuadas em um único dia, totalmente destoantes de seu perfil de cliente — e o STJ reconheceu a falha do banco nessa situação. Se o sistema antifraude não disparou nenhum alerta, não bloqueou preventivamente nem solicitou confirmação reforçada, a instituição falhou no seu dever de segurança.

Falha no acionamento do MED após notificação

Devidamente comunicada a instituição bancária a respeito do golpe praticado por terceiro, seu correntista, deveria tomar as providências para minimizar os danos e apurar os fatos. O banco que recebe a reclamação, não aciona o Mecanismo Especial de Devolução ou age com lentidão, responde pela omissão. Há precedentes condenando instituições pela simples inércia após o relato da fraude.

Abertura irregular de conta por onde o dinheiro passou

Quando o banco réu não demonstrou a regularidade da abertura da conta corrente utilizada pelo fraudador para aplicação do golpe, fica configurada a assunção de risco do prestador de serviço bancário para utilização da plataforma PIX, resultando em falha na prestação dos serviços e responsabilidade objetiva da instituição financeira. Ou seja: o banco que recebeu o dinheiro do golpista também pode ser réu na ação, se a conta usada como destino foi aberta com falha nos procedimentos de verificação.

Golpe de acesso remoto: STJ afasta culpa concorrente

Um dos argumentos favoritos das instituições financeiras é a chamada “culpa concorrente” — alegar que o consumidor contribuiu para o prejuízo por descuido. O STJ fechou a porta para esse argumento em novembro de 2025: a Terceira Turma do Superior Tribunal de Justiça decidiu, por unanimidade, que não é possível considerar culpa concorrente, para fins de distribuição proporcional dos prejuízos, quando o consumidor é vítima de golpe devido a falha no sistema de segurança bancária. O fundamento é cristalino: “O acesso de terceiros a aplicativos e senhas pessoais não ocorre por falta de cautela dos correntistas, mas em virtude de fraude contra eles cometida.”

Quando o banco pode não responder

A honestidade intelectual exige reconhecer que não é toda situação que gera responsabilidade do banco. Quando o próprio consumidor realizou voluntariamente as transferências após contato direto com o fraudador em rede social e utilizando sua senha pessoal, sem evidência de falha nos sistemas de segurança das instituições financeiras, a tendência jurisprudencial é afastar a responsabilidade da instituição. Da mesma forma, se o banco adotou todos os protocolos exigidos pelo Banco Central e mesmo assim o golpe ocorreu exclusivamente por conduta da vítima, o dever de indenizar pode ser afastado. Para o STJ, mesmo que a conta seja usada para fraudes, se o banco seguir as regras do Banco Central para abrir e manter a conta, não há que se falar em falha no serviço. Cada caso precisa ser analisado individualmente, considerando o conjunto de evidências disponíveis.

Martelo judicial e extrato bancário simbolizando responsabilidade do banco em fraude PIX ressarcimento

O Mecanismo Especial de Devolução (MED 2.0): a via administrativa

Paralelamente à via judicial, existe o caminho administrativo criado pelo próprio Banco Central. O Mecanismo Especial de Devolução, ou MED, é um recurso do PIX desenvolvido para possibilitar e facilitar a devolução de dinheiro em caso de fraudes e falhas operacionais. Em maio de 2026, o Banco Central ativou oficialmente o MED 2.0, sua segunda versão, com aprimoramentos significativos.

Como o MED 2.0 funciona na prática

A limitação crítica da versão anterior era que o sistema só conseguia acompanhar o dinheiro até a primeira conta que recebia os recursos fraudulentos. Dessa maneira, se o golpista pulverizasse o valor rapidamente, transferindo-o para outra conta logo em seguida, o rastro se perdia e as chances de recuperação caíam drasticamente. O MED 2.0 resolve esse problema. O sistema passou a identificar os caminhos do dinheiro, mesmo quando o valor é transferido para outras contas após o PIX original. Com isso, as instituições financeiras envolvidas compartilham essas informações, permitindo bloqueios e devoluções em cadeia, inclusive de forma parcial.

O fluxo básico funciona assim: a vítima aciona o banco, que tem até 30 minutos para comunicar a instituição do recebedor. O MED 2.0 possibilita a devolução dos valores em até 11 dias após a contestação, desde que ainda exista saldo disponível nas contas envolvidas. Se a devolução for apenas parcial por falta de saldo, o banco do fraudador deverá realizar múltiplos bloqueios ou devoluções parciais sempre que forem creditados recursos nessa conta, até que se alcance o valor total da devolução ou 90 dias contados a partir da transação original.

Qual o prazo para acionar o MED?

Aqui a agilidade é determinante. O pedido deve ser feito em até 80 dias após a transação, mas a eficácia aumenta se for realizado nos primeiros minutos. Quanto mais rápido a vítima acionar seu banco, maior a probabilidade de o dinheiro ainda estar na conta do golpista. Em tais casos, quanto mais rápido a vítima acionar a instituição financeira, maiores são as chances de reaver a quantia que foi transferida. Vale ressaltar que o MED só deve ser acionado em caso de fraude, suspeita de fraude ou erro operacional das instituições financeiras — erros de digitação do próprio usuário não se enquadram nessa modalidade.

Desde outubro de 2025, o botão de contestação do PIX é um novo recurso digital disponível dentro dos aplicativos das instituições financeiras, podendo ser acionado pelo usuário que sofreu fraude, golpe ou foi coagido a realizar uma transferência via PIX. Isso tornou o processo mais rápido e acessível, sem necessidade de ligação para a central de atendimento.

O prazo para acionar o banco na Justiça

Se o MED não resolver ou o banco negar o ressarcimento, a via judicial permanece aberta. A ação de indenização por danos decorrentes de serviço defeituoso é regida pelo artigo 27 do Código de Defesa do Consumidor, que prevê prescrição de cinco anos, contados da data em que a vítima tomou ciência do dano. Após esse prazo, a via administrativa do MED se encerra, mas a ação judicial permanece aberta por 5 anos (CDC, art. 27). O recado prático é que o encerramento do prazo do MED não extingue o direito de buscar a reparação judicial.

Como registrar o boletim de ocorrência e por que ele é indispensável

O boletim de ocorrência não é mera formalidade burocrática. Ele é a pedra angular de qualquer estratégia jurídica de recuperação. O BO formaliza a notícia do crime, identifica a vítima, descreve a fraude, registra valores, contas, chaves PIX, telefones, links, perfis, e-mails, protocolos bancários e demais dados relevantes para investigação e para futuras medidas administrativas ou judiciais.

O BO online tem a mesma validade legal que o presencial. Para a maioria dos golpes de PIX, o BO online é suficiente e mais prático. A maioria dos estados disponibiliza delegacias virtuais — em São Paulo, o acesso se dá pelo portal da Delegacia Eletrônica da Polícia Civil. No enquadramento do crime, os golpes de PIX se enquadram, em geral, em estelionato (art. 171 do Código Penal) — o mais comum para golpes financeiros — ou fraude eletrônica quando o golpe foi por internet ou aplicativo.

Ao preencher o boletim, detalhe tudo: hora exata da transferência, valor, chave PIX ou dados da conta de destino, prints de conversas, comprovantes da transação e números de protocolo do atendimento bancário. A comunicação ao banco deve ser imediata e não substitui o boletim de ocorrência — as duas medidas devem ser adotadas em seguida. Com o BO em mãos, a vítima tem o documento que embasará tanto o acionamento do MED quanto eventual ação judicial.

Um caso concreto para ilustrar

Em abril de 2026, a 7ª Câmara de Direito Privado do Tribunal de Justiça do Rio de Janeiro julgou um caso emblemático. O Banco do Brasil e o Bradesco foram condenados por não detectar transações atípicas. No caso, uma idosa foi induzida por criminosos a instalar um aplicativo, resultando em transferências que totalizaram R$ 12.600. Além da devolução do montante retirado das contas, a Justiça determinou o pagamento de R$ 10.000 a título de danos morais. A condenação foi unânime e reforça um padrão que a jurisprudência vem consolidando: o banco que não detecta movimentação atípica e não age após ser notificado assume o prejuízo.

O raciocínio das cortes é consistente: é dever da instituição financeira verificar a regularidade e a idoneidade das transações realizadas pelos consumidores, desenvolvendo mecanismos capazes de dificultar a prática de delitos. Esse dever não é opcional — decorre diretamente do artigo 14 do CDC e da Súmula 479 do STJ.

O caminho prático: o que fazer logo após o golpe

Vítima de golpe do PIX, a sequência de ações importa tanto quanto o fundamento jurídico. Primeiro, acione imediatamente o canal oficial do banco — pelo aplicativo, usando o botão de contestação do PIX, ou pelo telefone da central de atendimento — e exija o protocolo de atendimento por escrito. Segundo, registre o boletim de ocorrência o mais rápido possível, preferencialmente ainda no mesmo dia, pela delegacia virtual do seu estado. Terceiro, reúna e preserve todas as evidências: prints de conversas, comprovantes da transferência, histórico de ligações, e-mails, qualquer comunicação com o golpista. Se o banco negar o ressarcimento ou demorar além do prazo legal para responder, avalie orientação jurídica. O prazo do MED é de 80 dias da transação, mas o direito à ação judicial dura cinco anos — tempo suficiente para construir uma tese sólida com o suporte de um advogado que conheça a fundo o direito bancário e do consumidor.

Crimes cibernéticos têm se sofisticado a ponto de enganar pessoas altamente precavidas. Se você quiser entender como o direito penal trata outras modalidades de perseguição e assédio digitais, vale conhecer também o que a lei diz sobre o crime de stalking e perseguição digital — condutas que frequentemente acompanham fraudes eletrônicas. E se o golpe envolver coação ou ameaça presencial, o conhecimento sobre como o poder investigativo das autoridades funciona na prática pode ser igualmente relevante para sua defesa.

A conclusão que o direito impõe

O golpe do PIX banco obrigado a devolver não é apenas um slogan popular — é uma realidade jurídica construída por anos de consolidação da Súmula 479 do STJ, pelo artigo 14 do CDC e agora reforçada pela Resolução BCB nº 493/2025, que instituiu o MED 2.0. A questão central em qualquer caso é demonstrar que houve falha identificável na prestação do serviço: transação atípica não bloqueada, dados bancários expostos, conta fraudulenta aberta sem due diligence, omissão após notificação. Quando essa falha existe, o banco responde — independentemente de o cliente ter, de alguma forma, colaborado para o sucesso do golpe. A vítima do estelionato digital não pode ser punida duas vezes: primeiro pelo golpista, depois pelo banco que falhou em protegê-la. Se você passou por essa situação, procure orientação jurídica especializada para avaliar as circunstâncias do seu caso e os caminhos disponíveis.

Perguntas frequentes

Quanto tempo tenho para pedir a devolução do dinheiro pelo MED após cair no golpe do PIX?

O prazo para acionar o Mecanismo Especial de Devolução (MED 2.0) é de até 80 dias contados a partir da data da transação original, conforme a Resolução BCB nº 493/2025. Quanto mais rápido o pedido for feito, maiores são as chances de recuperação, já que o dinheiro pode ainda estar na conta do golpista. Se o prazo do MED se esgotar, a ação judicial pode ser ajuizada em até 5 anos.

O banco é obrigado a devolver o dinheiro do golpe do PIX mesmo que eu tenha feito a transferência voluntariamente?

Depende das circunstâncias. Pela Súmula 479 do STJ e pelo artigo 14 do CDC, o banco responde objetivamente quando há falha identificável no serviço, como não detectar transações atípicas, falhar na proteção de dados ou não agir após ser notificado. Apenas a culpa exclusiva do consumidor, sem qualquer falha bancária comprovada, pode afastar a responsabilidade da instituição.

O boletim de ocorrência online tem o mesmo valor que o presencial para processar o banco no golpe do PIX?

Sim. O boletim de ocorrência registrado pela delegacia virtual do estado tem a mesma validade legal que o presencial. Para golpes de PIX, o BO online é suficiente e mais ágil. Ele é essencial para embasar o acionamento do MED junto ao banco e qualquer ação judicial futura, funcionando como prova formal da fraude sofrida.

O banco que recebeu o PIX do golpista também pode ser responsabilizado pelo meu prejuízo?

Sim, em determinadas situações. Se o banco do recebedor (onde estava a conta do golpista) não verificou adequadamente a identidade do titular na abertura da conta ou não monitorou movimentações suspeitas, ele pode ser responsabilizado solidariamente. O STJ já reconheceu esse entendimento em casos de fraude via PIX com contas abertas irregularmente.

Qual o prazo para entrar na Justiça contra o banco se ele negar a devolução do dinheiro do golpe do PIX?

O prazo prescricional para ação de indenização por serviço defeituoso prestado por banco é de 5 anos, contados da data em que a vítima tomou ciência do dano, conforme o artigo 27 do Código de Defesa do Consumidor. A negativa do banco pelo MED não elimina esse direito — o caminho judicial permanece aberto independentemente do resultado administrativo.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima