O golpista liga de um número que se identifica como a central oficial do banco. Sabe o nome completo da vítima, o tipo de conta, o saldo aproximado. Fala com a segurança de quem tem um roteiro bem ensaiado. Inventa uma operação suspeita e, sob o pretexto de proteger o cliente, conduz — ao longo de horas — uma sequência de transações que drena toda a poupança, contrata dois empréstimos e esgota o limite do cartão de crédito. Tudo sem um segundo de alerta do sistema antifraude do banco.
Esse é, em síntese, o padrão do chamado golpe de engenharia social bancária — uma modalidade que se sofisticou rapidamente nos últimos anos e que, por envolver “participação” aparente do próprio titular da conta, é frequentemente tratada pelos bancos como se fosse responsabilidade exclusiva do consumidor. Em recente decisão, a 1ª Câmara Cível do Tribunal de Justiça de Pernambuco contradisse essa narrativa e deferiu tutela de urgência em agravo de instrumento patrocinado por este escritório, suspendendo a exigibilidade de dívidas que ultrapassavam R$ 240.000,00.
O caso concreto
O cliente foi contatado em 27 de novembro de 2025 por um número telefônico que se identificava, inclusive no visor do aparelho, como pertencente ao canal oficial do banco — técnica conhecida como spoofing de número. O interlocutor, apresentando-se como funcionário da central de segurança, demonstrou conhecimento dos dados bancários sigilosos do cliente, o que gerou a confiança necessária para o prosseguimento do diálogo.
Sob o pretexto de realizar um “procedimento de segurança” para rastrear operações supostamente suspeitas, o fraudador induziu o cliente, ao longo de várias horas, a realizar uma sequência de operações financeiras:
- Contratação de dois empréstimos que totalizaram R$ 233.000,00;
- Utilização integral do limite do cartão de crédito, no montante de R$ 9.900,00;
- Realização de múltiplas transferências PIX que esgotaram o saldo em conta e os valores recém liberados dos empréstimos.
Todas essas operações — incomuns em volume, frequência e destinatários — foram processadas sem que o sistema antifraude da instituição financeira tenha emitido qualquer alerta, exigido qualquer validação adicional ou bloqueado preventivamente qualquer uma das transações.
Em primeiro grau, o pedido de tutela de urgência foi indeferido sob o fundamento de que o próprio autor reconhecera ter executado as operações, invocando-se o princípio do pacta sunt servanda. Contra essa decisão, interpusemos agravo de instrumento.
A tese central: responsabilidade objetiva por fortuito interno
A decisão reformadora partiu de uma premissa que o juízo de origem havia desconsiderado: a relação entre o cliente e o banco é de consumo e, portanto, regida pelo Código de Defesa do Consumidor. Nos termos do art. 14 do CDC, o fornecedor responde objetivamente pelos defeitos relativos à prestação do serviço, independentemente da existência de culpa.
Esse regime é reforçado, no caso específico de fraudes bancárias, pela Súmula 479 do Superior Tribunal de Justiça, que consagra a responsabilidade objetiva das instituições financeiras por fortuito interno — conceito que abrange, precisamente, fraudes e delitos praticados por terceiros no âmbito das operações bancárias.
As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
— Súmula 479, Superior Tribunal de Justiça
A distinção entre fortuito interno e externo é o coração da tese. Fortuito externo é o evento imprevisível e inevitável, estranho à atividade do fornecedor — e afasta a responsabilidade. Fortuito interno é o evento que, embora imprevisível ponto a ponto, integra o risco típico da atividade econômica explorada — e não afasta a responsabilidade. Fraude em operação bancária, por definição, é fortuito interno: é o risco contra o qual o banco cobra, precisamente, pela prestação do serviço de segurança.
O ponto cego: o dever de monitorar o perfil de consumo
Um dos aspectos mais relevantes da decisão comentada é o reconhecimento expresso do dever de monitoramento ativo do perfil de consumo do cliente. O Tribunal consignou que a liberação de múltiplos empréstimos e transferências de valores vultosos em curto intervalo de tempo, sem qualquer bloqueio preventivo ou validação adicional, configura indício robusto de falha na prestação do serviço.
Esse entendimento alinha-se à jurisprudência do Superior Tribunal de Justiça que reconhece o dever de adotar mecanismos que obstem operações totalmente atípicas em relação ao padrão de consumo — obrigação cujo descumprimento enseja responsabilidade do prestador de serviços, “que responderá pelo risco da atividade”.
A tecnologia de detecção de transações atípicas é, hoje, um padrão de mercado. Todas as grandes instituições financeiras brasileiras operam sistemas de machine learning que analisam, em tempo real dezenas de variáveis de cada transação — horário, localização, valor, frequência, destinatário, dispositivo utilizado, perfil histórico do cliente. Quando a combinação dessas variáveis destoa drasticamente do padrão, o sistema deve, no mínimo, exigir autenticação reforçada ou contatar o cliente por canal alternativo. Quando nada disso ocorre, há falha de serviço.
Por que o argumento do pacta sunt servanda não se sustenta
O fundamento do juízo de origem — de que o reconhecimento das operações afastaria o direito ao provimento liminar — revela, com o devido respeito, equívoco conceitual. O pacta sunt servanda pressupõe um contrato válido; e o contrato pressupõe, no mínimo, consentimento livre e esclarecido.
Quando a vontade do contratante é capturada por engenharia social sofisticada, operada por terceiros criminosos com informações que só poderiam ter sido obtidas mediante falha do dever de sigilo e segurança, o próprio consentimento está viciado. Discutir pacta sunt servanda nesse contexto é supor existente um contrato cuja base — a manifestação livre de vontade — não se formou.
O Tribunal acolheu integralmente essa construção, afirmando que, em casos de fraude bancária por engenharia social, “a análise em cognição sumária deve considerar as circunstâncias que envolveram o ato” — e não se limitar à constatação formal de que os cliques foram dados pelo cliente.
O perigo de dano: superendividamento em curso
O segundo requisito da tutela de urgência — o perigo de dano — era, no caso, flagrante. A manutenção da exigibilidade dos débitos significava:
- Cobrança mensal das parcelas dos dois empréstimos, com encargos contratuais crescentes;
- Fatura do cartão de crédito no valor integral do limite, com risco de rotativo e juros capitalizados;
- Comprometimento direto da subsistência do agravante, considerando o montante envolvido;
- Risco iminente de inscrição do nome em cadastros de inadimplentes, com repercussão econômica e social imediata.
Em contraste, a medida pleiteada — a suspensão da exigibilidade até o julgamento da demanda — é plenamente reversível. Se, ao final, a ação for julgada improcedente, o banco poderá retomar as cobranças com todos os encargos. A reversibilidade da medida, associada à irreversibilidade potencial do dano caso a medida não seja concedida, inclina decisivamente a balança em favor do provimento liminar.
SE VOCÊ FOI VÍTIMA DE GOLPE BANCÁRIO
Três providências devem ser tomadas nas primeiras 24 horas: (1) registrar boletim de ocorrência descrevendo detalhadamente o golpe, incluindo os números de telefone utilizados pelos fraudadores; (2) notificar formalmente o banco, por canal oficial e com protocolo, contestando cada operação identificada como fraudulenta; (3) preservar todas as evidências — capturas de tela, áudios de ligação, histórico de transações. Esses três elementos compõem o arcabouço probatório de qualquer ação judicial posterior.
O que esperar em casos similares
A decisão aqui comentada não é isolada — ela integra uma tendência jurisprudencial consolidada nos tribunais pátrios de responsabilização objetiva dos bancos em fraudes bancárias por engenharia social, sempre que verificada a falha no dever de monitoramento de transações atípicas. O que varia, entre um caso e outro, é a robustez da prova de que a operação destoava do perfil do cliente e do resultado prático da ação do banco.
Na prática, três elementos fortalecem decisivamente a posição da vítima em ação desta natureza: a demonstração do perfil histórico de consumo e sua disparidade em relação às operações fraudulentas; a prova da ausência de qualquer mecanismo de alerta ou validação adicional por parte da instituição; e a demonstração da origem externa do golpe, especialmente quando houver spoofing de número ou uso de dados sigilosos obtidos fora do conhecimento do cliente.
Para a instituição financeira, o caminho contrário também vale. Banco que comprove ter acionado alertas, solicitado autenticações adicionais e, ainda assim, recebido a autorização explícita do cliente, tem argumento de defesa consistente. O problema, como se viu no caso comentado, é quando nada disso aconteceu.
Considerações finais
A fraude bancária por engenharia social não é mais um evento extraordinário — é um risco rotineiro da atividade financeira brasileira, amplamente conhecido dos operadores do setor e objeto de sistemas de prevenção cuja falha não pode ser transferida ao consumidor. A decisão comentada reafirma o posicionamento correto: cabe ao banco suportar o risco inerente à atividade que explora lucrativamente.
Para o cliente, a lição operacional é clara: mesmo quando a operação foi materialmente executada pela própria vítima, a existência de engenharia social sofisticada, aliada à ausência de mecanismos de alerta do banco, abre caminho para a tutela de urgência e, em sede de sentença, para a declaração de nulidade das operações fraudulentas com restituição integral dos valores.