Fraudes Digitais e PIX: a responsabilidade das instituições financeiras em casos de golpes, engenharia social e roubo de dados
O Pix transformou a forma como o dinheiro circula no Brasil e, justamente por ser rápido, passou a ser explorado por golpes que combinam engenharia social, roubo de dados e uso de contas de passagem para pulverizar valores.
Para quem sofre um golpe, a pergunta costuma vir em seguida: “o banco tem responsabilidade?” E, do lado das empresas (bancos, fintechs e instituições de pagamento), a preocupação é equivalente: “o que precisamos fazer para prevenir fraude e reduzir risco jurídico?”
Neste artigo, vamos explicar os principais critérios que vêm orientando a responsabilização, o que esperar do Mecanismo Especial de Devolução (MED) e, principalmente, o que mudou com o MED 2.0, obrigatório a partir de fevereiro de 2026, com foco em rastreio e bloqueio mais eficiente.
O “novo golpe” é menos técnico e mais humano: engenharia social + dados vazados
Muitos golpes atuais não dependem de “hackear o banco”. Eles dependem de hackear decisões: induzir a vítima a agir por urgência, medo ou autoridade.
Alguns padrões recorrentes:
- Falsa central de atendimento / falso suporte: contato com aparência legítima (telefone, e-mail, perfil clonado), pedindo “validação”, “cancelamento” ou “bloqueio de fraude”;
- Phishing e links falsos: páginas que capturam senha, token, biometria ou dados de cartão;
- Roubo de dados e SIM swap: tomada do número do celular para receber SMS, redefinir senhas e autorizar transações; e
- Golpes com “contas laranja”: contas abertas ou usadas para receber valores e dispersar rapidamente para outras contas.
Esse contexto é importante juridicamente porque afeta a análise de dever de segurança, diligência na abertura e movimentação de contas e resposta rápida a incidentes.
Quando o banco pode ser responsabilizado? A base jurídica e o que a jurisprudência sinaliza
Em linhas gerais, a discussão costuma passar por três ideias:
- Relação de consumo e responsabilidade objetiva
É comum a aplicação do Código de Defesa do Consumidor em controvérsias bancárias e de serviços financeiros. No STJ, a lógica de responsabilidade objetiva por fraudes ligadas ao risco da atividade aparece com força de Súmula (fraudes/delitos de terceiros no âmbito de operações bancárias como “fortuito interno”).
- Dever de segurança e prevenção (não é “apenas reembolsar”)
O debate não é só sobre devolver valores: envolve se a instituição adotou controles compatíveis com a atividade. O STJ já destacou deveres como identificar e impedir transações que destoam do perfil do cliente, sob pena de responsabilização quando há falha de segurança.
- Nexo causal e diligência: nem todo caso é automático
Também há decisões ressaltando que, em certos golpes, a responsabilidade pode depender de demonstrar falta de diligência da instituição (por exemplo, como foi aberta/monitorada a conta usada no golpe, quais alertas existiam, qual foi a resposta ao incidente).
Na prática a responsabilização costuma ser mais provável quando há evidência de falha de segurança, monitoramento inadequado, onboarding frágil de conta receptora, ausência de mecanismos antifraude razoáveis ou demora injustificada na contenção e no tratamento da contestação.
O que é o MED (Mecanismo Especial de Devolução) e quais são seus limites
O MED é o procedimento do Pix para tentar viabilizar a devolução em casos como fraude/golpe/crime e falhas operacionais, por meio de regras operacionais entre os participantes (PSPs). Ele não foi desenhado para “arrependimento” ou erro comum do usuário.
Prazo para acionar
Pelas orientações do Banco Central, a vítima deve registrar o pedido na sua instituição em até 80 dias contados da data do Pix, quando se tratar de fraude/golpe/crime.
Limitações que geram frustração (e precisam ser ditas com clareza)
- O MED não se aplica quando a transferência ocorreu por erro de digitação do pagador (Pix para destinatário errado); e
- O MED não garante devolução automática: depende de análise, enquadramento e, muitas vezes, de disponibilidade de valores bloqueáveis/recuperáveis.
A atualização mais importante: MED 2.0 (o que mudou e por que isso importa)
Em fevereiro de 2026, entraram em vigor novas regras de segurança do Pix e a adoção do MED 2.0 passou a ser obrigatória para participantes, com mudanças que miram o ponto fraco clássico das fraudes: o dinheiro “some” rápido porque é pulverizado.
Rastreio além da primeira conta recebedora
Um dos grandes avanços do MED 2.0 é permitir rastrear o caminho do dinheiro para além da primeira conta que recebeu o Pix, justamente porque golpes costumam “espalhar” valores em sequência.
Bloqueio mais rápido e coordenação entre instituições
As novas regras reforçam bloqueios e troca de informações, com expectativa de melhorar a recuperação e reduzir o sucesso dos golpes.
Autoatendimento e “botão de contestação” no app
O Banco Central determinou que instituições ofereçam o MED por autoatendimento (o “botão de contestação”), simplificando o registro da contestação direto no aplicativo. O próprio guia do BC trata o autoatendimento como fator de agilidade e transparência, com telas e fluxo sugeridos.
Prazos: expectativa de recuperação em até 11 dias após contestação
Segundo informações públicas sobre as novas regras, a estimativa do Banco Central é que valores possam ser recuperados em até 11 dias após a contestação (prazo menor do que o praticado anteriormente).
O que fazer ao perceber um golpe via Pix (sem “receitas milagrosas”)
A resposta rápida aumenta a chance de bloqueio e isso vale tanto do ponto de vista operacional quanto probatório.
- Conteste imediatamente pelos canais oficiais do seu banco/instituição, preferencialmente no próprio app (quando disponível);
- Guarde evidências: prints de conversa, ligações, e-mails, comprovantes do Pix, telas do app, dados do recebedor, horários;
- Registre boletim de ocorrência (especialmente quando há roubo de identidade, coação, invasão de conta, SIM swap, etc.); e
- Reforce segurança: troque senhas, ative autenticação forte, revise dispositivos conectados e bloqueie linhas/contas se houver suspeita de sequestro de chip.
Perguntas frequentes
O banco é sempre obrigado a devolver?
Não existe “devolução automática” para todo caso. A análise costuma considerar falha de segurança, diligência, nexo e circunstâncias do golpe. Há hipóteses em que a jurisprudência exige demonstração de falta de diligência; em outras, a falha de segurança pesa contra a instituição.
MED serve para Pix enviado por engano?
Em regra, não. As orientações deixam claro que o MED não se aplica a erro do próprio consumidor ao digitar/selecionar destinatário.
Qual é o prazo para pedir MED?
A orientação do Banco Central é registrar o pedido na sua instituição em até 80 dias da data do Pix (em caso de golpe/fraude/crime).
O que muda com o MED 2.0?
Mais rastreio, potencial de bloqueio em contas intermediárias, maior integração e autoatendimento no app, com expectativa de recuperação mais rápida em comparação ao modelo anterior.
Fraudes via Pix costumam envolver uma combinação de engenharia social e estrutura financeira para dispersar valores. Do ponto de vista jurídico, a responsabilidade das instituições não é um “sim” ou “não” automático: ela tende a ser analisada conforme dever de segurança, diligência, prevenção e resposta ao incidente, à luz da regulação e do entendimento dos tribunais.
A atualização do MED 2.0 é um passo relevante porque ataca o problema central do golpe moderno: o dinheiro não fica parado na primeira conta. Com rastreio ampliado e contestação por autoatendimento, cresce a importância de agir rápido e de instituições manterem controles e processos coerentes com o risco do sistema.
Com uma abordagem personalizada e um compromisso com a excelência, a equipe da Alves Moreira & Advogados Associados está à disposição para oferecer suporte e orientação.
