A responsabilidade dos bancos por operações suspeitas

1. O problema: quando a conta do cliente muda de comportamento de uma hora para outra

Um dos sinais mais fortes de fraude bancária é a realização repentina de transações em valores muito superiores ao padrão histórico da conta.

O empresário, consumidor ou correntista mantém uma rotina previsível: pagamentos de fornecedores, salários, boletos, tributos, pequenos Pix, compras habituais, transferências para destinatários conhecidos e uso moderado do limite disponível. De repente, em poucos minutos ou poucas horas, surgem transações de alto valor, Pix sucessivos, empréstimos contratados digitalmente, TEDs para terceiros desconhecidos, compras incomuns, uso integral do limite de crédito ou movimentações que jamais fizeram parte da vida financeira daquele cliente.

O banco, muitas vezes, responde de forma padronizada: “operação feita com senha”, “transação validada pelo aplicativo”, “compra autorizada”, “não identificamos falha de segurança” ou “o cliente deve preservar seus dados de acesso”.

Mas a pergunta jurídica central é outra: se a operação era completamente fora do padrão histórico da conta, por que o banco aprovou sem bloqueio, sem contato, sem dupla checagem e sem validação reforçada?

No sistema bancário moderno, a instituição financeira não é uma espectadora passiva. Ela possui tecnologia, base de dados, histórico de movimentação, algoritmos antifraude, análise de risco e instrumentos de bloqueio preventivo. Por isso, quando uma transação destoa claramente do perfil do cliente, surge uma tese relevante de responsabilidade civil.

​

​

​

2. O que significa “Operações fora do padrão do cliente”?

Operação fora do perfil é aquela que não combina com o histórico financeiro do correntista ou da empresa. Não se trata apenas de valor alto em termos absolutos. O ponto principal é a comparação com o comportamento anterior da conta.

Uma transação de R$ 20.000,00 pode ser normal para uma empresa que movimenta milhões por mês. Mas pode ser completamente anormal para um consumidor que costuma fazer Pix de R$ 200,00 ou para uma microempresa que raramente realiza pagamentos acima de R$ 3.000,00.

A análise deve considerar o padrão real do cliente, e não um modelo abstrato.

Alguns sinais de anormalidade são:

1. valor muito superior à média histórica da conta;

2. várias transações sucessivas em curto intervalo;

3. transferência para favorecido nunca antes cadastrado;

4. operação em horário incomum;

5. contratação de empréstimo seguida de transferência imediata;

6. uso integral ou quase integral do limite disponível;

7. alteração súbita de limite;

8. compra em segmento incompatível com o perfil;

9. operação em localidade incomum;

10. Pix, TED ou pagamento para conta recém-criada;

11. movimentação que esvazia o saldo da conta;

12. operação incompatível com renda, faturamento ou rotina da empresa.

A tese jurídica nasce justamente da discrepância: se o banco conhecia o comportamento histórico da conta, deveria ter percebido que a operação era suspeita.

​

​

​

3. Bancos conhecem o perfil financeiro do cliente

As instituições financeiras conhecem profundamente seus clientes. Elas sabem a média de movimentação, os horários usuais, os destinatários frequentes, os limites utilizados, os produtos contratados, a renda declarada, o faturamento da empresa, a localização aproximada de uso, o padrão de compras, o histórico de pagamentos, o perfil de crédito e o comportamento digital. Desse modo, eles têm o controle exato para identificar, suspeitar e bloquear operações fora do padrão do cliente. Só não responderão se houver expressa confirmação da operação (ou operações) pelo cliente. Alguns bancos tomam esse cuidado, outros não.

Esse conhecimento é utilizado para oferecer empréstimos, aumentar limites, vender produtos, avaliar risco, calcular score interno e definir relacionamento comercial.

Ora, se o banco utiliza o perfil do cliente para vender crédito e rentabilizar a relação bancária, também deve utilizar esse mesmo perfil para prevenir fraudes.

Não é juridicamente aceitável que a instituição financeira seja extremamente sofisticada para conceder limite e cobrar juros, mas se declare incapaz de identificar uma movimentação claramente anormal quando ela prejudica o cliente.

A tecnologia bancária não pode funcionar apenas em favor da rentabilidade do banco. Ela também deve funcionar em favor da segurança do correntista.

​

​

​

4. O dever de segurança no serviço bancário

O Código de Defesa do Consumidor impõe ao fornecedor o dever de prestar serviço adequado, seguro e confiável. O art. 14 do CDC estabelece que o fornecedor responde, independentemente de culpa, pelos danos causados por defeitos relativos à prestação dos serviços.

Nas relações bancárias, esse dever de segurança é ainda mais intenso. O banco guarda recursos, administra meios de pagamento, concede crédito, processa transferências, opera aplicativos e permite movimentações instantâneas. Quanto maior a facilidade oferecida ao cliente, maior deve ser a segurança incorporada ao sistema.

A Resolução CMN nº 4.893/2021, do Banco Central, também reforça a importância de políticas de segurança cibernética nas instituições financeiras autorizadas a funcionar pelo Banco Central. Embora essa norma tenha natureza regulatória, ela demonstra que segurança digital, prevenção e resposta a incidentes não são favores do banco, mas exigências inerentes à atividade financeira contemporânea.

Assim, diante de transações fora do padrão, o banco deve adotar medidas compatíveis com o risco, tais como:

1. bloqueio preventivo;

2. validação adicional;

3. contato ativo com o cliente;

4. exigência de autenticação reforçada;

5. confirmação por canal seguro;

6. limitação temporária de valores;

7. análise antifraude;

8. registro claro da decisão de aprovar ou recusar a transação.

A ausência dessas medidas pode caracterizar falha na prestação do serviço.

​

​

​

5. A Súmula 479 do STJ e o fortuito interno bancário

A Súmula 479 do Superior Tribunal de Justiça estabelece que as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

Em linguagem simples, isso significa que fraudes bancárias fazem parte do risco da atividade financeira. O banco não responde por todo e qualquer evento da vida, mas responde quando o prejuízo está ligado ao funcionamento de seus próprios serviços, sistemas, canais digitais, autenticações, operações de crédito, transferências ou meios de pagamento.

Quando a fraude ocorre por meio de movimentações bancárias muito acima do padrão histórico da conta, a conexão com o serviço bancário é evidente. O problema não está apenas no golpe em si, mas na aprovação de operações que o sistema deveria ter considerado suspeitas.

A fraude, nesse contexto, não é um raio em céu azul. É um risco previsível, estatisticamente conhecido e tecnologicamente monitorável.

​

​

​

6. O STJ e o dever de impedir transações que destoam do perfil do cliente

O Superior Tribunal de Justiça tem reconhecido que bancos devem identificar e impedir transações que destoem do perfil do consumidor.

No REsp 2.052.228/DF, a Terceira Turma do STJ reconheceu a responsabilidade objetiva da instituição financeira em caso de fraude envolvendo contratação de empréstimo e movimentações incompatíveis com o histórico da conta. O ponto central do julgamento foi justamente o dever do banco de desenvolver mecanismos capazes de identificar operações anormais.

O entendimento é extremamente relevante para casos envolvendo valores muito superiores ao padrão histórico da conta.

Se o cliente nunca fez Pix de alto valor, nunca transferiu dinheiro para determinado favorecido, nunca contratou empréstimo pelo aplicativo, nunca usou integralmente o limite e nunca realizou operações sucessivas em curto intervalo, o banco deve explicar por que essas operações foram aprovadas sem bloqueio ou validação reforçada.

Em outras palavras: o histórico da conta vira prova.

O banco não pode analisar a operação isoladamente. Deve analisá-la dentro da vida financeira do cliente.

​

​

​

7. A tese da operação “autenticada” não resolve tudo

Uma das defesas mais comuns dos bancos é afirmar que a transação foi realizada mediante senha, token, biometria, reconhecimento facial, aplicativo instalado ou dispositivo autorizado.

Esses elementos são relevantes, mas não são absolutos.

A autenticação prova, no máximo, que determinado sistema registrou uma forma de validação. Não prova, necessariamente, que o titular realizou livre e conscientemente a operação. Também não prova que o banco cumpriu todos os deveres de segurança.

Em tempos de golpes de falsa central, engenharia social, clonagem de dispositivo, acesso remoto, SIM swap, phishing, malware, roubo de credenciais e manipulação psicológica do correntista, a simples existência de senha ou token não basta para encerrar o caso.

A pergunta correta é mais ampla:

1. a transação era compatível com o perfil do cliente?

2. o valor era habitual?

3. o favorecido era conhecido?

4. o horário fazia sentido?

5. houve várias operações em sequência?

6. houve contratação de crédito imediatamente antes?

7. o banco gerou alerta?

8. houve bloqueio preventivo?

9. houve contato ativo com o cliente?

10. a análise antifraude foi documentada?

Sem essas respostas, a alegação de “operação autenticada” pode ser insuficiente.

​​

​​

​​

8. Valor muito alto em relação ao histórico: uma prova objetiva da anormalidade

A comparação de valores é uma das formas mais simples e fortes de demonstrar a falha.

Exemplo: uma empresa costuma fazer Pix entre R$ 500,00 e R$ 5.000,00. Em um único dia, são realizadas transferências de R$ 40.000,00, R$ 35.000,00 e R$ 28.000,00 para destinatários desconhecidos.

Outro exemplo: um consumidor que historicamente utiliza cartão de crédito para compras de supermercado, farmácia e combustível recebe lançamento de R$ 18.900,00 em loja de luxo, concessionária ou comércio localizado em cidade onde nunca esteve.

Mais um exemplo: uma conta que nunca contratou empréstimo digital tem um crédito pré-aprovado liberado de madrugada e, minutos depois, o valor é transferido para terceiros.

Em todos esses casos, a análise não depende apenas da negativa do cliente. Depende da matemática do comportamento bancário.

A diferença entre a média histórica e a transação contestada pode demonstrar que a operação era estatisticamente anormal. Quanto maior a distância entre o padrão anterior e a movimentação fraudulenta, maior a obrigação do banco de justificar a aprovação.

​

​

​

9. O perfil do cliente empresarial: faturamento, ramo de atividade e rotina operacional

Quando o cliente é empresa, a análise do perfil deve considerar elementos próprios da atividade empresarial.

Uma oficina mecânica, uma clínica médica, uma pequena loja de roupas, uma distribuidora, uma escola, uma padaria ou um escritório de advocacia têm padrões financeiros diferentes. O banco conhece, ou deveria conhecer, o perfil da empresa por meio do cadastro, movimentação, faturamento, contratos, recebíveis, folha, boletos e histórico de relacionamento.

Por isso, uma transação pode ser suspeita não apenas pelo valor, mas também pelo destinatário, finalidade ou segmento.

Uma empresa que paga fornecedores de alimentos, aluguel e folha de pagamento pode não ter qualquer padrão de transferências para pessoas físicas desconhecidas. Uma clínica pode não ter histórico de compras em lojas de veículos. Um escritório pode não ter rotina de Pix sucessivos para contas recém-criadas. Uma pequena indústria pode não contratar empréstimo digital e transferir o valor integral em minutos.

O banco deve comparar a operação com a realidade do cliente.

Essa análise é especialmente importante em fraudes contra contas PJ, porque o prejuízo não atinge apenas o saldo da conta. Pode afetar capital de giro, folha de pagamento, fornecedores, tributos, limite bancário, rating interno, crédito futuro e reputação comercial.

​

​

​

10. Limite de crédito consumido por operação atípica

Há casos em que a fraude não apenas subtrai saldo disponível, mas consome todo o limite da conta ou do cartão.

Isso pode ocorrer por:

1. contratação de empréstimo não reconhecida;

2. uso integral do cheque especial;

3. utilização de limite empresarial;

4. compras de alto valor no cartão;

5. saques com cartão de crédito;

6. operações parceladas não reconhecidas;

7. Pix ou transferências após liberação automática de crédito.

Nesses casos, o dano é duplo. Primeiro, o cliente sofre a movimentação fraudulenta. Segundo, passa a ser cobrado por uma dívida que não reconhece.

O banco não pode tratar o limite como se fosse problema menor porque “o dinheiro era do banco”. Na prática, o cliente passa a dever. Sofre juros, tarifas, IOF, encargos, bloqueio de crédito, risco de negativação e perda de capacidade financeira.

Quando o limite é consumido por transação fora do perfil, a tese de falha de segurança ganha força. O próprio uso integral do limite pode ser sinal objetivo de fraude.

​

​

​

11. O ônus da prova: quem deve provar que a operação era regular?

O consumidor ou empresário deve reunir os elementos iniciais: extratos, faturas, comprovantes, protocolos, boletim de ocorrência, contestação administrativa, histórico de movimentação e demonstração de que a operação era incompatível com seu padrão.

Mas o banco tem melhores condições técnicas de provar a regularidade da transação.

É a instituição financeira que possui:

1. logs de acesso;

2. IP utilizado;

3. dispositivo autenticado;

4. geolocalização aproximada;

5. trilha de auditoria;

6. método de autenticação;

7. gravações de atendimento;

8. histórico de limites;

9. análise antifraude;

10. registros de alerta;

11. dados do favorecido;

12. comprovante de cadastro do destinatário;

13. contrato eletrônico;

14. aceite digital;

15. parâmetros internos que levaram à aprovação.

Por isso, é possível pedir inversão do ônus da prova com base no CDC e também aplicar a teoria da carga dinâmica da prova. Quem tem melhores condições de demonstrar o que ocorreu nos bastidores do sistema bancário é o banco.

A negativa genérica de falha, sem apresentação dos dados técnicos, não deve prevalecer sobre indícios concretos de fraude.

​

​

​

12. A alegação de culpa do cliente exige prova concreta

Outra defesa recorrente é atribuir o prejuízo ao próprio cliente: “ele forneceu a senha”, “clicou em link”, “foi vítima de golpe”, “autorizou a operação”, “não guardou o cartão”, “permitiu acesso ao celular” ou “caiu em engenharia social”.

Mas a culpa do consumidor não pode ser presumida.

Se o banco pretende afastar sua responsabilidade objetiva, deve provar a inexistência de defeito do serviço ou a culpa exclusiva do consumidor. E culpa exclusiva não se confunde com vulnerabilidade, engano, induzimento ou manipulação por criminosos.

Em muitos golpes, o consumidor é vítima de uma fraude sofisticada. O ponto jurídico não é perguntar apenas se ele foi enganado, mas se o banco também falhou ao aprovar operações totalmente incompatíveis com o perfil da conta.

Mesmo quando há participação involuntária do cliente, pode haver responsabilidade bancária se o sistema permitiu transações anormais sem bloqueio, sem validação reforçada e sem mecanismo efetivo de prevenção.

A instituição financeira não pode transformar toda vítima de fraude em culpada automática pelo próprio prejuízo.

​

​

​

13. Transações sucessivas: quando a sequência revela a fraude

Muitas fraudes não acontecem em uma única operação. O criminoso realiza várias transações em sequência: primeiro testa um valor menor, depois transfere quantias maiores, contrata empréstimo, aumenta limite, cadastra favorecido e esvazia a conta.

Essa sequência deve ser analisada como um conjunto.

O banco não pode examinar cada transação isoladamente, como se fossem atos independentes e normais. A repetição em curto intervalo é, por si só, sinal de risco.

Exemplo:

• 10h05: cadastro de novo favorecido;

• 10h07: Pix de R$ 2.000,00;

• 10h10: Pix de R$ 9.000,00;

• 10h14: empréstimo digital de R$ 30.000,00;

• 10h17: transferência de R$ 28.500,00;

• 10h22: nova tentativa de Pix recusada por saldo insuficiente.

Esse comportamento não parece rotina bancária. Parece ataque.

Se o banco possui ferramentas de monitoramento em tempo real, deve explicar por que a sequência não gerou bloqueio, alerta, confirmação ou intervenção.

​

​

​

14. A importância da análise comparativa dos extratos

A prova do padrão histórico deve ser construída com método.

Em uma ação judicial, é recomendável comparar:

1. média mensal de movimentação;

2. maior transação dos últimos 6 ou 12 meses;

3. destinatários habituais;

4. horários usuais;

5. tipos de operação mais comuns;

6. histórico de uso de limite;

7. histórico de empréstimos;

8. frequência de Pix;

9. padrão de cartão de crédito;

10. perfil de compras;

11. localidades habituais;

12. ramo de atividade da empresa.

A partir daí, a operação contestada deve ser colocada em contraste com esse histórico.

A tese se torna muito mais forte quando é demonstrado, por exemplo, que a transação fraudulenta foi 10, 20 ou 50 vezes superior à média histórica; que o destinatário nunca havia recebido valores; que a operação ocorreu em horário incompatível; ou que a conta jamais havia utilizado aquele tipo de serviço.

O processo deixa de depender apenas da palavra do cliente e passa a se apoiar em dados objetivos.

​

​

​

15. Jurisprudência dos Tribunais Estaduais

Os Tribunais Estaduais têm aplicado, em diversos casos, a lógica da responsabilidade objetiva das instituições financeiras por fraudes bancárias, especialmente quando há falha de segurança, operações atípicas, valores elevados, movimentações fora do perfil e ausência de prova de culpa exclusiva do consumidor.

O TJSP já reconheceu responsabilidade de banco por fraudes praticadas em razão de falha na segurança do sistema, com condenação por danos materiais e morais. Em casos envolvendo cartão, também tem valorizado a ausência de detecção da fraude e de bloqueio imediato.

O TJRJ, em diversos acórdãos recentes, tem aplicado a Súmula 479 do STJ para reconhecer a responsabilidade objetiva das instituições financeiras quando não há prova de fato impeditivo, modificativo ou extintivo do direito do consumidor, nem demonstração de culpa exclusiva da vítima.

O TJDFT também possui orientação consolidada no sentido de que fraudes bancárias praticadas por terceiros, quando ligadas ao risco da atividade, configuram fortuito interno e não afastam, por si só, a responsabilidade do banco.

A jurisprudência estadual, portanto, converge para uma ideia central: se a fraude ocorre dentro do sistema bancário e o banco não demonstra ter adotado segurança adequada, a responsabilidade tende a ser reconhecida.

16. Quais pedidos podem ser feitos na ação judicial?

Em casos de transações muito superiores ao padrão histórico da conta, a ação judicial pode buscar:

1. declaração de inexistência da operação;

2. cancelamento de débito, Pix, compra, transferência ou empréstimo;

3. recomposição do saldo ou limite;

4. suspensão de cobrança;

5. exclusão ou proibição de negativação;

6. restituição dos valores debitados;

7. repetição do indébito, quando cabível;

8. indenização por danos materiais;

9. indenização por danos morais;

10. exibição dos logs e trilhas de auditoria;

11. exibição da análise antifraude;

12. prova pericial técnica;

13. tutela de urgência para impedir cobrança enquanto a fraude é apurada.

Em ações bem estruturadas, o pedido de exibição de documentos técnicos é tão importante quanto o pedido de indenização. Sem os dados internos do banco, o consumidor fica em posição de desvantagem probatória.

17. O que o cliente deve fazer ao identificar operação fora do padrão?

Ao perceber uma transação anormal, o cliente deve agir rapidamente:

1. contestar a operação imediatamente;

2. registrar protocolo;

3. bloquear conta, cartão, aplicativo ou dispositivo;

4. registrar boletim de ocorrência;

5. salvar extratos antes e depois da fraude;

6. guardar prints do aplicativo;

7. solicitar comprovantes detalhados da operação;

8. acionar ouvidoria;

9. pedir informações sobre favorecido, IP, dispositivo e autenticação;

10. não renegociar dívida fraudulenta sem orientação jurídica;

11. reunir extratos anteriores para demonstrar o padrão histórico;

12. procurar análise jurídica para eventual tutela de urgência.

O tempo é importante. Quanto mais cedo o cliente age, maiores as chances de bloqueio, rastreamento, preservação de provas e suspensão de cobranças.

18. Conclusão: o histórico da conta pode ser a principal prova contra o banco

Transações em valores muito superiores ao padrão histórico da conta não podem ser tratadas como operações normais.

Quando o banco aprova Pix, transferências, empréstimos, compras ou uso de limite incompatíveis com o perfil do cliente, sem bloqueio preventivo ou validação reforçada, pode haver falha na prestação do serviço.

A tese jurídica é forte porque se apoia em dados objetivos: média histórica, valores habituais, destinatários conhecidos, horários, tipo de operação, comportamento anterior e perfil econômico do cliente.

O banco conhece esses dados. Usa esses dados para vender crédito, aumentar limite e cobrar tarifas. Por isso, também deve usá-los para proteger o cliente.

Em uma sociedade em que golpes bancários se tornam cada vez mais sofisticados, o dever de segurança não pode ser apenas formal. Deve ser real, preventivo e compatível com a tecnologia que os próprios bancos colocam no mercado.

Quando a operação foge completamente do perfil histórico da conta, a pergunta que deve orientar a análise jurídica é simples: se o banco sabia que aquilo não era normal, por que deixou acontecer?

Referências jurídicas essenciais

BRASIL. Código de Defesa do Consumidor, Lei nº 8.078/1990, arts. 6º, 14, 39, 42 e 51.

BRASIL. Código Civil, arts. 186, 187, 421, 422 e 927.

BRASIL. Código de Processo Civil, art. 373, especialmente incisos I e II e § 1º.

BANCO CENTRAL DO BRASIL. Resolução CMN nº 4.893/2021. Política de segurança cibernética e requisitos para contratação de serviços de processamento, armazenamento de dados e computação em nuvem.

STJ. Súmula 297. O Código de Defesa do Consumidor é aplicável às instituições financeiras.

STJ. Súmula 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

STJ. REsp 2.052.228/DF. Dever das instituições financeiras de identificar e impedir transações que destoem do perfil do cliente.

STJ. REsp 2.220.333. Falha de segurança bancária e afastamento da culpa concorrente do consumidor.

STJ. AgInt no REsp 2.056.005/SE. Movimentações fora do perfil financeiro do cliente e dever de segurança.

TJSP. Jurisprudência sobre falha de segurança bancária, ausência de detecção de fraude e bloqueio imediato.

TJRJ. Jurisprudência sobre responsabilidade objetiva em fraudes bancárias, fortuito interno, Súmula 479/STJ e ausência de prova de culpa exclusiva da vítima.

TJDFT. Jurisprudência em temas sobre fraude bancária, responsabilidade objetiva, fortuito interno e risco da atividade financeira.

CAVALIERI FILHO, Sérgio. Programa de Responsabilidade Civil. São Paulo: Atlas.

MARQUES, Cláudia Lima. Contratos no Código de Defesa do Consumidor. São Paulo: Revista dos Tribunais.

MIRAGEM, Bruno. Curso de Direito do Consumidor. São Paulo: Revista dos Tribunais.

TARTUCE, Flávio. Manual de Direito do Consumidor. São Paulo: Método.

/autor Angelo Marcelo Gasperini

Advogado e ex-perito contábil

Nota de esclarecimento:

Este artigo tem finalidade exclusivamente informativa e educativa. As referências a eventuais irregularidades bancárias são feitas em caráter técnico, exemplificativo e dependem sempre da análise concreta de documentos e provas.

Não se afirma que todos os bancos, gerentes ou instituições financeiras pratiquem condutas ilícitas ou abusivas, reconhecendo-se que muitos profissionais atuam de forma regular, ética e transparente.

O Autor.

© 2026 Angelo Marcelo Gasperini. Todos os direitos reservados.