Créditos: Conjur
Há um paradoxo que se repete com surpreendente regularidade nos processos envolvendo golpes de engenharia social contra correntistas de instituições financeiras. O banco produz laudo técnico. O banco junta o laudo aos autos. O banco aponta o laudo como prova de que seu sistema de segurança funcionou corretamente. E é exatamente nesse laudo, produzido, assinado e oferecido pela própria instituição, que o advogado atento encontra a evidência mais contundente da falha sistêmica que a defesa pretendia negar.
Este artigo examina essa inversão probatória, seus fundamentos técnicos e jurídicos, e o que ela significa para a construção da tese do fortuito interno em casos de golpe de falsa central de atendimento com contratação de crédito e desvio via Pix.
Laudo como peça da defesa e seus limites
Instituições financeiras costumam responder às ações de responsabilidade civil por fraude apresentando laudos técnicos produzidos por suas próprias equipes de segurança ou por terceiros contratados. Esses documentos geralmente descrevem os mecanismos de autenticação utilizados na operação contestada, biometria facial, reconhecimento de voz, múltiplos fatores de verificação, e concluem pela regularidade técnica da transação.
A estratégia defensiva é compreensível: se o sistema autenticou corretamente, a responsabilidade migra para o comportamento do correntista. O argumento implícito é que a instituição fez o que tecnicamente lhe cabia.
O problema está nos detalhes que esses laudos invariavelmente registram, e que seus próprios autores, com frequência, não percebem que estão documentando.
O que os logs revelam: cronologia que muda tudo
Em casos recentes de golpe de falsa central de atendimento, os laudos bancários têm apresentado um padrão cronológico que merece atenção analítica cuidadosa. A sequência típica, extraída dos registros de sistema, é a seguinte:
T₀: Início do contato fraudulento (ligação telefônica ou WhatsApp pelo golpista)
T₁: Contratação de crédito via aplicativo (empréstimo concluído)
T₂: Pix de saída para conta de terceiro (dano consumado e irreversível)
T₃: Registro de mecanismo de bloqueio ativado pelo sistema bancário
O ponto crítico está no intervalo entre T₂ e T₃. Em casos documentados, esse intervalo tem variado de 4 a 15 minutos. O mecanismo de segurança que o banco apresenta como prova de eficiência, o bloqueio de sessão, o LOGIN_FAIL_BLOCK_USER, o alerta de comportamento atípico, foi ativado depois que o Pix já havia sido processado de forma irreversível.
Em outras palavras: o banco produziu um documento que demonstra, com precisão de minutos e segundos, que sua proteção chegou tarde demais.
Inversão argumentativa: de prova de defesa a prova de falha
A dimensão jurídica dessa constatação técnica é considerável. Para que a tese do fortuito externo prospere e afaste a responsabilidade objetiva da instituição financeira nos termos da Súmula 479 do STJ, a defesa precisa demonstrar que o evento danoso foi causado por fator externo, imprevisível e inevitável, sobre o qual a instituição não tinha controle nem capacidade de prevenção.
O laudo bancário destrói esse argumento por dentro.
Ao documentar que o sistema possuía um mecanismo de detecção de comportamento atípico, e que esse mecanismo foi ativado em T₃, o laudo prova que a instituição tinha capacidade técnica de identificar a anomalia. A questão que se impõe, então, não é mais “o banco poderia ter detectado?”, cuja resposta está no próprio laudo, e é afirmativa. A questão passa a ser: por que o sistema detectou quatro minutos depois do dano e não quatro minutos antes?
Essa pergunta não tem resposta técnica satisfatória no laudo. E a ausência dessa resposta é, ela própria, evidência da falha.
A lógica jurídica é precisa: se o mecanismo existia e foi ativado tarde, a falha não está na ausência de tecnologia, está na ausência de uma política de prevenção que utilizasse a tecnologia disponível em tempo hábil. Trata-se, portanto, de risco inerente à atividade bancária, integrante do fortuito interno, nos termos do REsp 2.222.059/SP (3ª Turma).
REsp 2.222.059/SP e o vetor do golpe de falsa central
O precedente específico para esse tipo de fraude foi consolidado pela 3ª Turma do STJ no REsp 2.222.059/SP, de relatoria do ministro Ricardo Villas Bôas Cueva (2025/0240118-6). O caso envolvia exatamente o vetor que se tornou mais frequente nos juizados e varas cíveis: golpe da falsa central de atendimento, com 14 operações realizadas no mesmo dia em menos de uma hora, incluindo contratação de empréstimo e esvaziamento completo da conta, em perfil de correntista que utilizava a conta como poupança, com pouquíssimas movimentações mensais.
O acórdão é preciso ao estabelecer que os sistemas de proteção antifraude devem considerar, de forma conjugada: as transações que fogem ao perfil do cliente; o horário e local das operações; o intervalo de tempo entre uma e outra transação; a sequência das operações realizadas; e o meio utilizado para a sua realização. A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista configura, por si só, defeito na prestação do serviço.
A Turma reformou o acórdão do TJ-SP, que havia afastado a responsabilidade sob o argumento de que “não há normativa legal que exija dos bancos o monitoramento de todas as transações de seus clientes”. O STJ rejeitou esse fundamento por destoar da orientação consolidada na Corte: o dever de criar e aprimorar continuamente mecanismos de identificação de fraudes decorre do elevado grau de risco inerente à atividade bancária, não de norma regulamentar específica.
O que distingue o REsp 2.222.059/SP dos precedentes favoráveis às instituições financeiras é o vetor fático. Os acórdãos que afastam a responsabilidade, em sua maioria, envolvem a instalação de aplicativo de acesso remoto no dispositivo da vítima, fator que efetivamente transfere parcela relevante do controle para fora do sistema bancário, ou hipóteses em que ficou comprovada a culpa exclusiva do consumidor e a inexistência de defeito na prestação do serviço. Quando esses vetores estão ausentes e as operações apresentam padrão objetivamente atípico, o distinguishing é tecnicamente preciso e argumentativamente defensável.
Contradição interna: laudo técnico e carta institucional
Há um segundo elemento probatório que, combinado ao laudo, forma uma estrutura argumentativa de difícil refutação. Em vários casos, a mesma instituição que apresenta laudo técnico negando a irregularidade da operação emite, em momento posterior, frequentemente após a instauração do processo judicial, comunicação formal reconhecendo que o evento constitui golpe ou fraude.
Essa contradição interna entre o laudo técnico e a comunicação institucional posterior não é acidente. É o resultado de dois departamentos operando com objetivos distintos: o departamento jurídico, que produz o laudo orientado à defesa processual, e o departamento de atendimento ou ouvidoria, que reconhece o golpe por escrito ao responder à reclamação do cliente.
Do ponto de vista probatório, a comunicação institucional que reconhece o golpe, ainda que com ressalva sobre o ressarcimento, destrói a narrativa construída pelo laudo técnico. Se a própria instituição reconheceu internamente que se tratava de fraude e optou por não ressarcir por razão comercial ou ausência de saldo na conta beneficiária, a contestação judicial que sustenta a validade do contrato perde toda a coerência.
O artigo 187 do Código Civil e o artigo 39, I, do CDC encontram, nesse cenário, aplicação precisa: manter a cobrança de débito oriundo de fraude reconhecida pela própria instituição, impondo a negativação do correntista, configura abuso de direito e prática abusiva vedada pelo ordenamento consumerista.
Argumento da biometria: o mais perigoso e o mais desconstruível
A autenticação biométrica é, sem dúvida, o argumento técnico mais robusto que a defesa bancária possui nesse tipo de caso. Sete registros de biometria facial. Três confirmações por reconhecimento de voz. A vítima, tecnicamente, “autorizou” cada etapa da operação.
A desconstrução desse argumento exige uma distinção conceitual que os laudos bancários sistematicamente ignoram: autenticação técnica não é consentimento jurídico.
A biometria verifica que o ato físico de autenticação foi realizado pelo titular do dispositivo. Ela não verifica, e tecnicamente não pode verificar, se esse ato foi praticado com autonomia volitiva ou sob coação psicológica. O dolo de terceiro, nos termos dos artigos 145, 148 e 171, II, do Código Civil, vicia o consentimento independentemente de o ato externo ter ocorrido de forma tecnicamente regular.
O golpe de falsa central explora especificamente esse hiato: cria urgência artificial, impõe pressão psicológica contínua durante a videochamada, e conduz o correntista, frequentemente pessoa em situação de vulnerabilidade econômica documentada, a executar os atos de autenticação sem compreender o que está autorizando. O registro biométrico existe. A vontade livre, não.
Quando há relato de acesso remoto pelo golpista ao dispositivo da vítima, dado que, quando presente, deve ser destacado na narrativa fática, o argumento da biometria perde ainda mais sustentação: o ato de autenticação pode ter sido fisicamente realizado pelo próprio fraudador usando o dispositivo da vítima.
Quesitos periciais como instrumento estratégico
A perícia judicial é, nos casos em que há contestação da falha sistêmica, o ato processual mais determinante do julgamento. O advogado que formula quesitos periciais estratégicos transforma a tese jurídica em fato técnico, e fato técnico é incomparavelmente mais difícil de ignorar em uma sentença do que argumento jurídico.
Quatro categorias de quesitos merecem atenção especial:
Sobre o timing dos mecanismos de segurança: o sistema possuía capacidade técnica de detectar comportamento atípico antes da conclusão das transações? Em caso afirmativo, por que o mecanismo foi ativado após a conclusão do Pix?
Sobre a possibilidade de detecção de acesso remoto: o sistema bancário tinha condições técnicas de identificar, no momento da contratação, que o dispositivo estava sendo operado remotamente ou que havia uma chamada de vídeo em andamento?
Sobre a atipicidade do padrão transacional: a sequência de contratação de crédito seguida de Pix imediato de valor integral para conta sem histórico de relacionamento era estatisticamente atípica para o perfil do correntista? Existia política de retenção ou alerta para esse padrão?
Sobre a análise sequencial das autenticações: o intervalo entre as autenticações biométricas é compatível com o comportamento normal de um correntista autônomo ou sugere direcionamento externo?
A perícia que responde afirmativamente às primeiras perguntas de cada categoria converte a falha sistêmica de argumento jurídico em evidência técnica. Nesse ponto, o julgador que afastar a responsabilidade precisará explicar por que ignora o laudo pericial.
Conclusão: ler o laudo melhor do que o banco o leu
A tese central deste artigo pode ser enunciada com precisão: o advogado que representa vítimas de golpe de engenharia social em ações contra instituições financeiras tem, frequentemente, a prova mais importante do seu caso nos próprios documentos produzidos pela parte adversa.
Ler esses documentos com atenção analítica, identificar o timestamp do mecanismo de bloqueio, comparar com o timestamp do PIX, calcular o intervalo, verificar se o banco tinha política de retenção para o padrão transacional detectado, não exige formação em engenharia de software. Exige método.
A jurisprudência do STJ, especialmente após o REsp 2.222.059/SP, oferece o enquadramento legal. Os dados do sistema bancário, obtidos via exibição de documentos ou produzidos em perícia, oferecem a prova. O advogado que souber conectar os dois tem, na maioria dos casos, argumentação suficiente para sustentar a tese do fortuito interno e a procedência do pedido.
O banco produziu o laudo. O banco assinou o laudo. O banco juntou o laudo aos autos como prova de sua defesa.
Cabe ao advogado mostrar ao juiz o que esse laudo realmente prova.
_______________________________
Referências
BRASIL. Superior Tribunal de Justiça. REsp 2.222.059/SP (2025/0240118-6). 3ª Turma. Rel. Min. Ricardo Villas Bôas Cueva. Instituição de Pagamento. Golpe da falsa central de atendimento. Responsabilidade objetiva. Defeito na prestação do serviço configurado. Recurso especial provido.
BRASIL. Superior Tribunal de Justiça. REsp 1.197.929/PR. Rel. Min. Luis Felipe Salomão. Segunda Seção. Julgado em 24/08/2011. Recurso repetitivo, Tema 466/STJ.
BRASIL. Superior Tribunal de Justiça. Súmula n. 479. A instituição financeira responde pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Brasília: STJ, 2012.
BRASIL. CDC (Lei n. 8.078/1990), arts. 6º, 14 e 39; CC (Lei n. 10.406/2002), arts. 145, 148, 171, 172 e 187; CPC (Lei n. 13.105/2015), arts. 396-401 e 421.
- Henrique Cardoso é advogado, mestre em Ciências Ambientais pela Universidade de Taubaté, doutorando em Direito e Ciências Sociais pela Universidad Nacional de Córdoba (Argentina) e professor de direito no Centro Universitário Módulo (Cruzeiro do Sul Educacional).