Golpe de phishing: como recuperar o dinheiro e responsabilizar os envolvidos
- Dra. Isadora G. Hamenschlager

- há 2 minutos
- 12 min de leitura
Uma mensagem informa que determinada compra foi aprovada no cartão. Outra avisa que a conta bancária será bloqueada por uma suposta tentativa de acesso. Em alguns casos, a vítima recebe uma ligação de alguém que conhece seu nome, o banco onde mantém conta e até informações sobre contratos ou movimentações recentes. A abordagem parece legítima, o risco parece imediato e a orientação transmitida pelo falso atendente soa como uma medida necessária para proteger o dinheiro.
É justamente nesse ambiente de confiança e urgência que ocorre o chamado golpe de phishing.
O termo phishing identifica uma forma de fraude baseada na manipulação da vítima. Em vez de depender exclusivamente da invasão direta dos sistemas bancários, o criminoso cria uma comunicação falsa suficientemente convincente para induzir a pessoa a clicar em um link, acessar uma página fraudulenta, informar dados, instalar um aplicativo ou realizar alguma operação. A vítima acredita que está seguindo um procedimento de segurança, quando, na realidade, está entregando aos fraudadores os meios necessários para acessar sua conta ou movimentar seu patrimônio.
Essa dinâmica explica por que o phishing não pode ser tratado apenas como falta de atenção. A fraude é construída para enganar. Os criminosos reproduzem a identidade visual dos bancos, utilizam linguagem semelhante à dos canais oficiais, simulam números telefônicos, enviam e-mails aparentemente autênticos e, não raras vezes, dispõem de informações pessoais que tornam a história ainda mais verossímil.
Quando a vítima percebe o que aconteceu, o dinheiro pode já ter sido transferido, um empréstimo pode ter sido contratado e diversas operações podem ter sido realizadas em poucos minutos. A partir desse momento, surgem duas perguntas centrais: é possível recuperar os valores e o banco pode ser responsabilizado?
A resposta exige cautela. A responsabilidade da instituição financeira não é automática em todo e qualquer golpe, mas também não pode ser afastada apenas porque a vítima clicou em um link falso do banco, instalou um aplicativo ou acreditou estar conversando com um funcionário. O ponto juridicamente relevante é compreender como a fraude ocorreu, quais operações foram realizadas, se elas eram compatíveis com o perfil do cliente e se os mecanismos de segurança funcionaram como deveriam.
Como funciona o phishing bancário
O phishing bancário normalmente começa com uma comunicação que desperta medo, preocupação ou senso de urgência. Pode ser um golpe por e-mail, um golpe por mensagem de WhatsApp ou SMS, uma ligação de uma falsa central, um anúncio patrocinado que leva a um site semelhante ao do banco ou uma notificação informando a necessidade de atualização cadastral.
A vítima recebe uma narrativa cuidadosamente elaborada. O fraudador afirma que existe uma compra suspeita, que um empréstimo está sendo contratado, que o cartão foi clonado ou que a conta está sob ataque. Em seguida, oferece uma suposta solução. É nesse momento que solicita informações, orienta a instalação de um programa ou determina que o dinheiro seja enviado para uma alegada “conta segura”.
Essa estratégia é denominada engenharia social porque atua principalmente sobre o comportamento humano. O criminoso explora a confiança na instituição, o receio de perder dinheiro e a necessidade de resolver rapidamente o problema. O objetivo é impedir que a vítima pare, reflita e confirme a informação por outro canal.
Em algumas modalidades, o link recebido direciona a pessoa para uma página visualmente idêntica ao ambiente bancário verdadeiro. Ao inserir agência, conta, CPF, senha ou dados do cartão, essas informações são capturadas pelos fraudadores. Em outras situações, o link provoca a instalação de um malware no celular, permitindo acesso remoto ao aparelho, visualização da tela ou captura de comandos e credenciais.
É o que ocorre em determinadas versões do golpe conhecido como “mão fantasma” ou “acesso remoto”. A vítima imagina estar instalando uma ferramenta destinada a proteger a conta, mas acaba permitindo que terceiros controlem o aparelho e realizem operações bancárias.
Sob a perspectiva criminal, essas condutas podem caracterizar fraude eletrônica, prevista no art. 171, § 2º-A, do Código Penal. A norma alcança fraudes praticadas mediante informações fornecidas pela vítima ou por terceiro induzido a erro por redes sociais, contatos telefônicos, correio eletrônico fraudulento, aplicações de internet ou meios semelhantes. A Lei nº 15.397/2026 também inseriu no art. 171, § 2º, VII, a figura da cessão de “conta laranja”, criminalizando a conduta de quem cede, gratuitamente ou mediante pagamento, conta bancária destinada ao trânsito de recursos provenientes de atividade criminosa ou utilizados para financiá-la (BRASIL, 1940; BRASIL, 2026).
A responsabilização criminal dos fraudadores, contudo, não resolve sozinha o prejuízo patrimonial da vítima. Para recuperar o dinheiro, cancelar empréstimos ou impedir cobranças, normalmente é necessário examinar a responsabilidade civil dos participantes da operação, inclusive das instituições financeiras e de pagamento.
O banco responde pelo golpe de phishing?
A relação entre o cliente e a instituição financeira é regida pelo Código de Defesa do Consumidor, conforme orientação consolidada na Súmula nº 297 do Superior Tribunal de Justiça. Isso significa que os serviços bancários devem observar os deveres de qualidade, informação e, sobretudo, segurança.
O art. 14 do Código de Defesa do Consumidor estabelece a responsabilidade objetiva do fornecedor pelos danos decorrentes de defeitos na prestação do serviço. Em termos práticos, não é necessário provar que determinado funcionário agiu com intenção ou negligência. É preciso demonstrar que o serviço não ofereceu a segurança legitimamente esperada, que houve prejuízo e que existe relação entre a falha e o dano.
A instituição poderá afastar sua responsabilidade se provar que o defeito não existiu ou que o prejuízo decorreu exclusivamente da conduta do consumidor ou de terceiro, conforme o art. 14, § 3º, do CDC. Essa exclusão, porém, exige prova concreta. Não basta apresentar uma resposta padronizada afirmando que a operação foi realizada com senha ou dispositivo autenticado.
A Súmula nº 479 do Superior Tribunal de Justiça estabelece que as instituições financeiras respondem objetivamente pelos danos decorrentes de fraudes e delitos praticados por terceiros quando esses acontecimentos integram o risco das operações bancárias. É a aplicação do chamado fortuito interno: fraudes relacionadas ao funcionamento e à segurança do serviço não são acontecimentos completamente estranhos à atividade, mas riscos que devem ser administrados por quem oferece e explora economicamente o serviço financeiro.
Isso não significa que o banco será condenado em todos os casos de fraude bancária por phishing. O que a jurisprudência exige é uma análise das circunstâncias concretas. Deve-se investigar se a instituição possuía condições de identificar a anormalidade, se houve alteração de aparelho ou localização, se as transações destoavam do histórico do cliente e se ocorreram empréstimos, aumentos de limites e transferências sucessivas em curto espaço de tempo.
A importância das operações fora do perfil do cliente
A análise do perfil de movimentação do consumidor ocupa posição central nos processos envolvendo fraudes bancárias.
Uma conta que normalmente registra pagamentos modestos e poucas transferências não deveria receber o mesmo tratamento quando, repentinamente, passa a apresentar empréstimos elevados, aumento de limite e sucessivas remessas para pessoas desconhecidas. Ainda que cada operação tenha sido formalmente autenticada, o conjunto pode revelar uma situação evidente de anormalidade.
No julgamento do Recurso Especial nº 2.052.228/DF, a Terceira Turma do Superior Tribunal de Justiça reconheceu a responsabilidade objetiva de uma instituição financeira que permitiu a contratação fraudulenta de empréstimo e a movimentação dos valores. O Tribunal afirmou que os bancos devem desenvolver mecanismos capazes de identificar e impedir operações incompatíveis com o histórico da conta. A ausência de procedimentos de verificação diante de transações aparentemente ilegais pode caracterizar defeito na prestação do serviço.
O mesmo raciocínio foi aprofundado no Recurso Especial nº 2.222.059/SP, julgado em 2025. Nesse precedente, o STJ reconheceu que bancos e instituições de pagamento podem ser responsabilizados por prejuízos decorrentes do golpe da falsa central quando houver falha na proteção de dados ou na identificação de movimentações suspeitas. A análise antifraude, segundo o Tribunal, deve considerar o valor, o horário, o local e o intervalo das transações, a sequência das operações, o meio utilizado e a contratação de empréstimos atípicos imediatamente antes de pagamentos ou transferências incomuns.
Essa orientação é relevante porque impede que a discussão seja reduzida à pergunta sobre quem digitou a senha. A autenticação formal não elimina o dever de segurança. Se o banco oferece contratação de crédito e movimentação instantânea por meios digitais, deve igualmente manter sistemas capazes de reconhecer padrões de fraude e reagir a comportamentos incompatíveis com a rotina do cliente.
A tecnologia utilizada para facilitar as operações não pode servir apenas à velocidade da contratação e da transferência. Ela também deve ser empregada para proteger o consumidor. Quanto maior a facilidade disponibilizada pela instituição, maior deve ser a eficiência dos mecanismos de prevenção.
Clicar em um link falso não significa, por si só, culpa exclusiva da vítima
Um dos argumentos mais utilizados pelas instituições financeiras é o de que o consumidor teria contribuído para a fraude ao clicar em um link, fornecer algum dado ou instalar determinado aplicativo. Essa circunstância pode ser examinada, mas não conduz automaticamente à exclusão da responsabilidade bancária.
O phishing é justamente uma fraude destinada a provocar erro. A vítima não age com a intenção de entregar seu patrimônio ao criminoso; ela acredita estar adotando providências para proteger a conta. Quando o fraudador utiliza informações verdadeiras, simula atendimento oficial e conduz a conversa de maneira profissional, a capacidade de identificar o golpe pode ser significativamente reduzida.
No Recurso Especial nº 2.220.333/DF, a consumidora foi induzida por um falso funcionário a instalar um aplicativo em seu celular. A partir disso, o criminoso contratou empréstimo e realizou operações incompatíveis com o perfil da conta. O tribunal de origem reconheceu culpa concorrente e dividiu o prejuízo entre a cliente e o banco, mas o STJ reformou a decisão.
Para o Superior Tribunal de Justiça, a culpa concorrente pressupõe que a vítima tenha assumido e ampliado conscientemente o risco de sofrer o dano. Quando a pessoa instala um programa malicioso acreditando estar atendendo a uma orientação legítima do banco, não se pode presumir que tenha aceitado o risco de perder seu dinheiro. Reconhecida a falha dos mecanismos de segurança, a instituição foi responsabilizada integralmente .
Naturalmente, cada situação possui suas particularidades. Pode haver casos em que as provas demonstrem uma conduta completamente dissociada da prestação bancária ou em que a instituição comprove ter bloqueado operações suspeitas e adotado medidas adequadas. O que não se admite é transformar toda vítima de engenharia social em responsável exclusiva pela sofisticação do golpe.
O conhecimento de dados bancários pode indicar falha na proteção das informações
Outro elemento que precisa ser investigado é o nível de informação que o criminoso possuía.
Dados como nome, CPF e telefone podem ser obtidos em diferentes fontes e, isoladamente, não demonstram que houve vazamento dentro da instituição financeira.
A situação assume outra relevância quando o fraudador conhece detalhes de financiamento, saldo devedor, número de contrato, parcelas, vencimentos, movimentações recentes ou contatos realizados com o banco.
No Recurso Especial nº 2.077.278/SP, o STJ analisou um golpe no qual os criminosos possuíam informações específicas sobre a operação bancária da consumidora. A vítima havia procurado a instituição para quitar um financiamento e, posteriormente, foi abordada por uma falsa funcionária que lhe enviou um boleto fraudulento. O Tribunal reconheceu a responsabilidade do banco porque os dados utilizados estavam diretamente relacionados aos serviços e operações bancárias da cliente.
A Lei Geral de Proteção de Dados reforça esse dever de segurança. Seus arts. 42, 44 e 46 estabelecem a responsabilidade pelos danos decorrentes do tratamento irregular e determinam a adoção de medidas técnicas e administrativas capazes de proteger os dados pessoais contra acessos não autorizados e situações ilícitas. O tratamento é considerado irregular quando não fornece a segurança que o titular legitimamente pode esperar.
Além disso, o art. 1º da Lei Complementar nº 105/2001 impõe às instituições financeiras o dever de sigilo sobre suas operações ativas, passivas e serviços prestados. Quando informações bancárias sigilosas chegam aos criminosos e são utilizadas para tornar a abordagem convincente, torna-se necessário investigar a origem desse acesso e a eventual falha na proteção dos dados.
O que a vítima deve fazer depois de perceber o golpe
Depois da fraude, a rapidez é essencial, mas ela deve estar acompanhada de organização. A primeira providência é interromper a comunicação com o criminoso e entrar em contato com o banco exclusivamente por um canal oficial. A instituição deve ser informada de forma clara sobre quais operações são contestadas, quais empréstimos não foram reconhecidos, quais valores foram transferidos e em que momento a fraude foi percebida.
A vítima deve solicitar o bloqueio dos acessos, a alteração das credenciais, o cancelamento dos cartões e a abertura formal de uma contestação. Também é necessário verificar se houve mudança de telefone, e-mail, dispositivo autorizado ou limite de movimentação.
Nos casos de Pix, deve ser solicitado imediatamente o acionamento do Mecanismo Especial de Devolução, o MED. Segundo o Banco Central, o pedido pode ser registrado perante a instituição financeira em até 80 dias da transação quando houver fraude, golpe ou crime. Esse prazo não deve ser interpretado como autorização para aguardar.
Quanto mais rapidamente o banco for comunicado, maiores serão as possibilidades de localizar e bloquear os valores antes que sejam transferidos para outras contas.
O MED não garante a restituição integral. Sua eficácia depende da existência de recursos nas contas envolvidas e da conclusão da análise pelas instituições participantes. Ainda assim, a medida deve ser solicitada porque pode permitir a recuperação total ou parcial dos valores e também produzir registros importantes para uma futura ação judicial.
O boletim de ocorrência é igualmente relevante, mas não substitui a reclamação ao banco. Da mesma forma, uma reclamação administrativa no Procon, no Consumidor.gov.br ou perante o Banco Central pode contribuir para documentar a resistência da instituição, embora não impeça o ajuizamento de ação quando houver necessidade de providências urgentes.
A prova é determinante para recuperar o dinheiro
A ação judicial não deve ser construída apenas sobre a afirmação de que houve um golpe. É necessário reconstruir o episódio com o máximo de precisão possível.
As mensagens, os e-mails, o número utilizado pelo fraudador, o endereço do link, os comprovantes, os extratos, os protocolos e as respostas do banco precisam ser preservados. Também é importante guardar registros do aparelho, alertas de acesso, notificações de alteração cadastral e informações sobre aplicativos instalados.
A vítima não deve apagar as conversas nem formatar imediatamente o celular, especialmente quando houver suspeita de malware ou acesso remoto. Dependendo da complexidade da fraude, o aparelho pode conter elementos úteis para uma perícia ou para a elaboração de ata notarial, nos termos do art. 384 do Código de Processo Civil.
Os extratos anteriores ao golpe também são fundamentais. Eles permitem comparar as transações fraudulentas com o comportamento habitual da conta. Essa comparação pode demonstrar que os valores, os destinatários, os horários e a frequência das operações eram completamente estranhos ao padrão do consumidor.
A instituição financeira, por sua vez, concentra os registros técnicos de autenticação, endereço IP, geolocalização, dispositivo, reconhecimento biométrico, análise de risco e alertas internos. Por esse motivo, pode ser requerida a inversão do ônus da prova, com fundamento no art. 6º, VIII, do Código de Defesa do Consumidor, além da exibição desses registros, conforme os arts. 396 a 400 do Código de Processo Civil.
Quais providências podem ser adotadas judicialmente
Quando a solução administrativa não é suficiente, a vítima pode buscar a declaração de inexistência dos empréstimos e das dívidas fraudulentas, a restituição dos valores transferidos, a suspensão de cobranças, a interrupção de descontos e a retirada de eventual negativação.
Em situações urgentes, o art. 300 do Código de Processo Civil permite a concessão de tutela provisória quando houver probabilidade do direito e perigo de dano. Essa medida pode ser utilizada, por exemplo, para suspender parcelas de empréstimos contratados pelos criminosos, impedir a inscrição do nome da vítima em cadastros restritivos ou interromper descontos que comprometam sua renda.
A reparação também pode abranger danos morais, mas sua configuração dependerá dos efeitos concretos da fraude. A mera existência de um golpe não transforma automaticamente todo prejuízo patrimonial em dano moral. Entretanto, situações que envolvam comprometimento relevante da renda, negativação, bloqueio prolongado da conta, privação de recursos essenciais ou resistência injustificada da instituição podem justificar a indenização.
Além do banco da vítima, a análise pode alcançar instituições de pagamento, titulares das contas destinatárias e bancos que mantiveram contas utilizadas pelos criminosos.
Contudo, a responsabilidade da instituição que apenas recebeu os valores não é automática. O Superior Tribunal de Justiça entende que deve ser demonstrada a falta de diligência na abertura, identificação, manutenção ou fiscalização da conta utilizada na fraude. Quando o banco comprova que observou as exigências regulatórias e identificou adequadamente seu cliente, a simples utilização posterior da conta por estelionatários pode não ser suficiente para gerar responsabilidade (BRASIL, 2025c).
Essa distinção é importante para que a ação seja estrategicamente direcionada. Incluir indiscriminadamente todos os envolvidos pode tornar o processo mais complexo sem aumentar as possibilidades de êxito. A definição dos responsáveis deve resultar da análise da cadeia da fraude e das falhas efetivamente identificadas.
É possível recuperar o valor perdido?
Existem casos em que o dinheiro é bloqueado pelo MED, devolvido administrativamente ou recuperado por decisão judicial. Também existem situações em que empréstimos são anulados, cobranças são suspensas e as instituições são condenadas a ressarcir integralmente a vítima.
O resultado, entretanto, depende da prova. É necessário demonstrar não apenas que o golpe ocorreu, mas de que maneira os sistemas de segurança permitiram sua concretização. Operações incompatíveis com o histórico, contratação repentina de crédito, alteração de limites, acesso por dispositivo desconhecido e uso de dados bancários sigilosos podem fortalecer a pretensão.
Por isso, a resposta padronizada de que a transação foi realizada mediante senha não deve ser aceita como conclusão definitiva. Senhas, tokens e autenticações são elementos importantes, mas não esgotam o dever de segurança. A instituição precisa demonstrar que analisou o contexto das operações e que seus mecanismos eram adequados para identificar movimentações suspeitas.
A atuação de um advogado para golpe bancário deve começar antes do ajuizamento da ação. É preciso organizar os documentos, examinar o histórico da conta, identificar as operações atípicas, preservar a prova digital e avaliar quais medidas podem produzir resultado mais efetivo.
O golpe de phishing causa prejuízo financeiro, insegurança e, muitas vezes, sentimento de culpa. A vítima, porém, não deve presumir que perdeu definitivamente o dinheiro apenas porque foi enganada. O direito brasileiro reconhece o dever de segurança das instituições financeiras e permite a responsabilização quando a fraude é viabilizada por falhas na prestação do serviço.
A recuperação dos valores dependerá das particularidades do caso, mas agir rapidamente e construir uma prova tecnicamente consistente pode fazer diferença entre uma reclamação administrativa rejeitada e uma demanda judicial capaz de demonstrar, com clareza, onde ocorreu a falha. Autora: Isadora Halmenschlager Gorreis
Dartagnan & Stein Sociedade de Advogados
WhatsApp: (51) 99727-1715
_edited.png)



Comentários