Responsabilidade Solidária de PSPs e Gateways em Golpes Pix em 2026: Cadeia de Responsabilidade Banco Emissor + Banco Receptor + PSP + Gateway

Neste artigo

Responsabilidade Solidária de PSPs e Gateways em Golpe Pix em 2026

Resposta direta

Em golpe via Pix, a cadeia de pagamento responde solidariamente: banco pagador, banco receptor, PSPs e gateways. A base é o art. 7º, parágrafo único, do CDC, reforçada pela Súmula 479 do STJ (consolidada, sem caráter vinculante formal) e por decisões recentes da Terceira Turma do STJ em 21/10/2025.

Quem participa da cadeia de pagamento responde pela cadeia inteira. A vítima não precisa correr atrás de cada elo.

Por João Vitor Chaves Coelho, advogado inscrito na OAB/SP nº 366.776, OAB/DF nº 72.931 e OAB/PA nº 19.692. Formação complementar em Harvard University (CS50). Atuação concentrada em direito bancário e defesa do consumidor superendividado.
Sobre o nível deste conteúdo. Este artigo apresenta a tese de responsabilidade solidária da cadeia Pix em nível técnico intermediário. Leitores que buscam orientação prática inicial podem começar pelo Pillar Golpe do Pix em 2026 ou pelo Core MED Pix 2.0.
Cenário normativo em maio de 2026. O ecossistema Pix opera com centenas de instituições participantes (bancos, instituições de pagamento, cooperativas e gateways). A Resolução BCB nº 493/2025, em vigor desde 02/02/2026, reescreveu o Mecanismo Especial de Devolução (MED 2.0) e ampliou o rastreamento em cadeia. Em 21 de outubro de 2025, a Terceira Turma do STJ, sob relatoria do Min. Ricardo Villas Bôas Cueva, julgou os REsps 2.222.059 e 2.229.519 em modalidade específica de fraude (golpe da falsa central), reforçando a tendência jurisprudencial de responsabilização objetiva por falhas de monitoramento. A Súmula 479 do STJ permanece consolidada, sem caráter vinculante formal.

O que fazer agora

  1. Identifique a cadeia de PSPs envolvidos no fluxo da transação. O End-to-End ID do Pix (32 caracteres) permite mapear cada elo.
  2. Acione o MED 2.0 no banco pagador, em até 80 dias da operação (Resolução BCB nº 493/2025), e registre Boletim de Ocorrência.
  3. Apresente reclamação no Banco Central (Meu BC) e no consumidor.gov.br contra todos os PSPs identificados, com referência à solidariedade do art. 7º, parágrafo único, do CDC.
  4. Em ação judicial, inclua banco pagador, banco receptor e eventuais gateways no polo passivo. Acionar apenas o pagador deixa elos fora do alcance da execução.

Quem responde solidariamente em um golpe via Pix

A responsabilidade pode alcançar simultaneamente o banco pagador (onde a vítima tinha conta), o banco receptor (onde o golpista recebeu o Pix) e os gateways e PSPs intermediários. A escolha de quem incluir no polo passivo depende da estratégia processual definida com advogado, com base no mapa técnico de falhas de cada caso. O Banco Central exerce papel de regulador e fiscalização do arranjo Pix; não é parte na relação contratual e não figura no polo passivo em ações comuns de fraude entre privados.

Banco pagador

Responde, em regra, pela falha de monitoramento de transação atípica (volume, horário, destinatário novo, perfil incompatível com o histórico do cliente). É o réu principal na maioria das ações fundadas na Súmula 479 do STJ (consolidada, sem caráter vinculante formal) e nos REsps 2.222.059 e 2.229.519 da Terceira Turma do STJ (21/10/2025).

Banco receptor

Responde quando aceitou abertura de conta com documentos fraudulentos, quando deixou de aplicar KYC adequado ou quando ignorou alertas de uso atípico da conta receptora. Doutrina e jurisprudência têm ampliado essa responsabilidade nas decisões mais recentes da Terceira Turma do STJ.

Gateways e instituições de pagamento intermediárias

PSPs que processam o Pix entre o aplicativo do banco e o Sistema de Pagamentos Brasileiro (SPB) do BCB. Falhas em criptografia, em validação de endpoint ou em sistemas antifraude podem gerar responsabilidade solidária com base no art. 7º, parágrafo único, do CDC.

Três pontos centrais sobre a cadeia Pix

  1. Solidariedade legal: o art. 7º, parágrafo único, do CDC permite acionar todos os participantes da cadeia conjuntamente.
  2. Responsabilidade objetiva: a Súmula 479 do STJ (consolidada, sem caráter vinculante formal) aplica fortuito interno a falhas de segurança em serviço bancário.
  3. Jurisprudência recente: REsp 2.222.059 e REsp 2.229.519 (Terceira Turma do STJ, 21/10/2025, Rel. Min. Ricardo Villas Bôas Cueva) aplicaram responsabilidade objetiva em modalidade específica (golpe da falsa central) por falha de monitoramento de operações fora do perfil habitual do cliente, reforçando a tendência jurisprudencial geral de responsabilização da cadeia bancária.

Fundamento jurídico da solidariedade entre PSPs

Camada 1: CDC. O art. 7º, parágrafo único, estabelece que, tendo mais de um autor a ofensa, todos respondem solidariamente pela reparação. O art. 14 fixa a responsabilidade objetiva do fornecedor de serviços. O art. 17 amplia o conceito de consumidor para todas as vítimas do evento (bystander).

Camada 2: Súmula 479 do STJ (consolidada, sem caráter vinculante formal). Aplica a doutrina do fortuito interno às instituições financeiras: respondem objetivamente por danos causados por fraudes praticadas por terceiros que se valem de falha de segurança do sistema. A redação literal da súmula trata de “fortuitos internos relativos a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

Camada 3: jurisprudência recente do STJ. Em 21 de outubro de 2025, a Terceira Turma, sob relatoria do Min. Ricardo Villas Bôas Cueva, julgou os REsps 2.222.059 e 2.229.519 reconhecendo a responsabilidade solidária de bancos e instituições de pagamento por falhas de monitoramento que viabilizam o golpe da falsa central. Em 13/11/2025, a mesma Turma afastou a alegação de culpa concorrente do consumidor em caso de falha de segurança do banco.

Camada 4: regulação BCB. A Resolução BCB nº 493/2025 (MED 2.0) e o conjunto de resoluções do Pix estabelecem deveres específicos para cada participante. O descumprimento é indício de falha do serviço (art. 14, §1º, do CDC).

Dúvidas operacionais em uma tabela

PerguntaResposta direta
Quem está na cadeia de um Pix?Banco pagador, possíveis gateways, Sistema de Pagamentos Brasileiro do BCB e banco receptor.
O End-to-End ID identifica os PSPs?Sim. Cada Pix gera um identificador único de 32 caracteres que permite rastrear todos os elos.
Em quanto tempo prescreve a ação por fraude bancária?Em regra, cinco anos a partir do conhecimento do dano (art. 27 do CDC), com contagem variável conforme o caso.
Posso acionar mais de uma conta receptora em cascata?Sim, quando o rastreamento documenta a passagem por mais de uma conta. Todas as instituições envolvidas podem ser discutidas.
Qual o papel do MED 2.0 antes da ação judicial?É a via administrativa prévia. Aciona-se em até 80 dias e pode resolver o caso sem ação judicial quando há saldo na cadeia.
Boletim de Ocorrência é obrigatório?Não é requisito do MED 2.0, mas fortalece a documentação e é indispensável na via judicial.

Tipos de PSPs envolvidos em um Pix e seus papéis

Tipo de PSPPapelResponsabilidade típica
Participante DiretoTitular de Conta PI e conexão direta ao SPI do BCBMonitoramento, KYC, sistemas antifraude
Participante IndiretoSem Conta PI; participa do SPI via participante direto liquidanteKYC, contratos com o liquidante, antifraude
Instituição de Pagamento (IP)Fintech autorizada pelo BCBKYC, antifraude, custódia de recursos
Gateway de pagamentoIntermediação tecnológicaCriptografia, validação de endpoint, antifraude
Cooperativa de créditoAcesso ao SPB via centralizadora cooperativaKYC, monitoramento, contas de cooperado

Como funciona a análise da cadeia de responsáveis na fraude Pix

Importante. A definição do polo passivo, a requisição formal de registros, a inversão do ônus da prova e a produção de prova técnica são atividades privativas de advogado regularmente inscrito na OAB (Lei 8.906/1994). As etapas a seguir descrevem o protocolo profissional adotado pelo escritório nesses casos, com fins exclusivamente informativos. Não constituem roteiro de atuação direta pelo consumidor.

A escolha de quem responde pelo dano determina, na prática, a recuperação efetiva do valor. Concentrar a discussão apenas no banco pagador pode reduzir a chance de execução plena, já que ativos relevantes podem estar em outros elos da cadeia.

Etapas técnicas que orientam a análise (Protocolo Chaves Coelho)

  1. Mapeamento da cadeia técnica pelo End-to-End ID: banco pagador, eventuais gateways, banco receptor e segundo destino, se houver.
  2. Solicitação formal de registros ao banco pagador: com base no art. 6º, III e art. 43 do CDC, e no art. 10-A da Lei 12.965/2014 (Marco Civil). A recusa pode autorizar a inversão do ônus da prova em juízo, conforme entendimento aplicável ao caso.
  3. Identificação técnica da origem fraudulenta: requisição administrativa nos termos do Marco Civil. Pode revelar gateway intermediário.
  4. Análise da solidariedade dos PSPs identificados: a solidariedade do art. 7º, parágrafo único, do CDC pode permitir, conforme o caso concreto, a inclusão de todos os participantes da cadeia.
  5. Avaliação da prova técnica em fase instrutória: perícia em sistemas, gravações de URA, logs de servidor, hash do End-to-End ID. A pertinência e a admissibilidade dependem da estratégia e do entendimento do juízo.

Três casos ilustrativos

Os três casos a seguir são reconstruções baseadas em padrões recorrentes de litígios na área. Valores, profissões e desfechos foram alterados, na forma do art. 35 do Código de Ética e Disciplina da OAB. Não constituem promessa de resultado equivalente em casos futuros.

Caso 1: golpe da falsa central com gateway intermediário

Situação: consumidor sofreu golpe da falsa central. Pix de R$ 22 mil saiu de banco Tipo Direto, passou por gateway de uma instituição de pagamento autorizada e foi recebido em conta de outro PSP com KYC frágil.

Caminho: polo passivo composto pelos três PSPs. Pedido de tutela provisória para bloqueio de saldo remanescente na conta receptora. Fundamentos centrais: art. 7º, parágrafo único, do CDC + Súmula 479 do STJ (consolidada, sem caráter vinculante formal) + REsps 2.222.059 e 2.229.519 da Terceira Turma do STJ.

Resultado ilustrativo: a inclusão dos três elos no polo passivo ampliou o alcance da execução e abriu margem para acordo.

Caso 2: mão fantasma com aplicativo malicioso

Situação: aposentado teve aplicativo malicioso instalado por engenharia social. R$ 8.500 transferidos para quatro contas, distribuídas em dois bancos receptores diferentes.

Caminho: ação judicial incluindo banco pagador e os dois bancos receptores. Demonstração da falha de monitoramento do pagador (operações fora do perfil do cliente) e da falha de KYC e de alerta de uso atípico dos receptores.

Resultado ilustrativo: a documentação técnica do fluxo (End-to-End ID + logs) foi a peça-chave para sustentar a solidariedade.

Caso 3: boleto adulterado por extensão maliciosa

Situação: empresária pagou boleto adulterado por extensão de navegador. R$ 14 mil destinados a fintech receptora.

Caminho: polo passivo composto pelo banco pagador (falha de validação do boleto) e pela fintech receptora (falha de KYC). Notificação extrajudicial prévia com base no art. 6º, III, e art. 43 do CDC + Marco Civil.

Resultado ilustrativo: a estratégia de notificação prévia, documentando recusa de logs, pavimentou o caminho para acordo extrajudicial com devolução integral.

Tese Chaves Coelho: a cadeia Pix como rede de corresponsáveis

A formação interdisciplinar do escritório, que integra direito do consumidor com análise técnica de arquitetura de sistemas, enxerga a cadeia Pix como uma rede de corresponsáveis, não como uma sucessão de elos isolados. Cada participante (pagador, gateway, receptor) tem deveres regulatórios específicos. Quando algum desses deveres falha, a porta da responsabilidade solidária se abre.

A base normativa central é o art. 7º, parágrafo único, do Código de Defesa do Consumidor: tendo mais de um autor a ofensa, todos respondem solidariamente. Essa estrutura é reforçada pela Súmula 479 do STJ (consolidada, sem caráter vinculante formal) e, mais recentemente, pelos REsps 2.222.059 e 2.229.519 da Terceira Turma, em 21/10/2025, sob relatoria do Min. Ricardo Villas Bôas Cueva.

Em direito bancário aplicado, isso significa que a vítima do golpe Pix tem três pontos de apoio simultâneos: o banco pagador (falha de monitoramento), o banco receptor (falha de KYC ou de alerta) e os gateways intermediários (falha técnica). Acionar apenas o pagador, em estratégia conservadora, deixa fora da execução os elos que muitas vezes detêm o saldo recuperável.

Sinais de que vale acionar mais de um PSP

  • Pix com End-to-End ID que indica mais de dois PSPs no fluxo.
  • Conta receptora aberta recentemente em instituição de pagamento pouco conhecida.
  • Banco pagador alega que a falha foi do banco receptor, e o receptor diz o oposto.
  • Banco pagador recusa fornecer logs ou demora mais de cinco dias para responder.
  • Conta receptora já foi mencionada publicamente em outros golpes (notícias, redes sociais).
  • Volume atípico passou sem alerta de segurança em qualquer ponto da cadeia.

Perguntas frequentes (FAQ)

Posso processar só o banco pagador?

Pode, mas perde alavancagem. Incluir banco receptor e gateways aumenta a chance de acordo e amplia o alcance da execução em caso de condenação. O art. 7º, parágrafo único, do CDC permite a inclusão de todos os participantes da cadeia.

Fintech receptora também responde?

Sim. Instituição de pagamento autorizada pelo BCB integra a cadeia Pix em pé de igualdade com bancos tradicionais. Falha de KYC e omissão em alerta de uso atípico são bases típicas para responsabilização solidária.

Como descobrir se houve gateway no fluxo?

Pelos logs do banco pagador (que devem ser solicitados extrajudicialmente, com base no art. 6º, III, e art. 43 do CDC) e por requisição administrativa fundada no Marco Civil da Internet (Lei 12.965/2014).

O Banco Central figura no polo passivo das ações por fraude Pix?

Não. O Banco Central exerce funções de regulador e fiscalização do arranjo Pix, mas não é parte na relação contratual entre o consumidor e a instituição financeira. As ações comuns por fraude tramitam contra os PSPs privados envolvidos (banco pagador, banco receptor, eventuais gateways), na Justiça Estadual.

Qual o prazo para acionar a cadeia Pix?

Em casos típicos envolvendo relação de consumo, aplica-se a regra geral do art. 27 do CDC (cinco anos), cuja contagem depende das circunstâncias concretas. O MED 2.0 tem prazo administrativo próprio de 80 dias (Resolução BCB nº 493/2025).

Qual prova técnica é mais robusta?

Logs de transação acompanhados do hash do End-to-End ID, protocolo de comunicação ao banco no mesmo dia da fraude e B.O. registrado de imediato. Perícia em sistemas pode ser admitida na fase instrutória.

Quem responde quando há mais de uma conta receptora em cascata?

Todas as instituições que figuram na cadeia (primeiro receptor, segundo receptor, gateways intermediários). A solidariedade do art. 7º, parágrafo único, do CDC permite acioná-las em conjunto.

Vale a pena fechar acordo antes da sentença?

Depende de auditoria documental prévia. Acordo sem análise técnica pode aceitar valor inferior ao devido e implicar renúncia a danos morais ou a outras parcelas.

O que o STJ decidiu em outubro de 2025 sobre golpe Pix?

A Terceira Turma do STJ, em 21/10/2025, sob relatoria do Min. Ricardo Villas Bôas Cueva (REsp 2.222.059 e REsp 2.229.519), reconheceu a responsabilidade objetiva de bancos e instituições de pagamento por falhas que viabilizam o golpe da falsa central, especialmente quando há ausência de monitoramento de operações atípicas em relação ao perfil do cliente.

O Registrato ajuda a documentar a cadeia Pix?

Sim. O módulo de chaves Pix do Registrato (acesso oficial pelo Banco Central) permite identificar todas as chaves vinculadas ao CPF, inclusive cadastradas por terceiros após invasão. É peça documental valiosa para a estratégia processual.

Glossário rápido

PSP (Provedor de Serviços de Pagamento)
Instituição autorizada pelo BCB a oferecer serviços de pagamento no arranjo Pix. Inclui bancos, instituições de pagamento, cooperativas, fintechs e gateways.
Banco pagador
PSP em que a vítima mantém a conta de origem do Pix fraudulento. Responde, em regra, por falha de monitoramento de transação atípica.
Banco receptor
PSP em que o golpista mantém a conta receptora. Responde por falha de KYC, abertura de conta com documento fraudado e omissão em alertas de uso atípico.
Gateway
Plataforma intermediária entre o aplicativo do banco e o Sistema de Pagamentos Brasileiro (SPB). Falhas em criptografia, validação de endpoint ou antifraude geram responsabilidade solidária.
End-to-End ID
Identificador único de cada transação Pix (32 caracteres). Permite rastrear toda a cadeia de PSPs envolvidos.
MED 2.0
Mecanismo Especial de Devolução do Pix, na versão atualizada pela Resolução BCB nº 493/2025. Prazo de 80 dias para contestação, análise institucional em até 7 dias corridos, bloqueio em outras contas da cadeia em até 11 dias e devolução em até 96 horas após confirmação.
KYC (Know Your Customer)
Conjunto de deveres regulatórios do PSP para identificar e verificar o cliente antes da abertura de conta e no monitoramento contínuo.
Conta laranja
Termo coloquial. Tecnicamente, conta interposta ou conta utilizada por terceiro em fraude. Pode ser cedida conscientemente pelo titular (testa de ferro) ou aberta sem o conhecimento do titular, em hipótese de furto de identidade. Em qualquer caso, sinaliza falha de KYC do banco receptor.
Fortuito interno
Evento decorrente da atividade-fim do fornecedor. Segundo a doutrina aplicada pela Súmula 479 do STJ, não afasta a responsabilidade objetiva da instituição financeira.
Solidariedade passiva
Possibilidade de a vítima cobrar a integralidade do dano de qualquer um dos responsáveis (Código Civil, art. 275; CDC, art. 7º, parágrafo único).
Art. 7º, parágrafo único, do CDC
Lei 8.078/1990, art. 7º, parágrafo único. Estabelece que, tendo mais de um autor a ofensa, todos respondem solidariamente pela reparação dos danos previstos no CDC. É a base legal da tese de responsabilidade solidária da cadeia Pix.
Súmula 479 do STJ
Enunciado que reconhece a responsabilidade objetiva das instituições financeiras por danos causados por fortuitos internos em fraudes praticadas por terceiros. Consolidada, sem caráter vinculante formal.

Estado normativo em maio de 2026

  • Código de Defesa do Consumidor (Lei 8.078/1990), art. 7º, parágrafo único (solidariedade da cadeia), art. 14 (responsabilidade objetiva do fornecedor), art. 17 (extensão a vítimas do evento) e art. 25 (vedação de cláusula exonerativa). Planalto.
  • Súmula 479 do STJ (consolidada, sem caráter vinculante formal): responsabilidade objetiva por fortuito interno em fraudes bancárias. PDF oficial STJ.
  • STJ, 3ª Turma, REsp 2.222.059 e REsp 2.229.519, Rel. Min. Ricardo Villas Bôas Cueva, j. 21/10/2025: bancos e instituições de pagamento devem indenizar clientes por falhas que viabilizam o golpe da falsa central. SCON STJ.
  • STJ, 3ª Turma, 13/11/2025: a falha de segurança do banco afasta a alegação de culpa concorrente do consumidor em caso de golpe.
  • Resolução BCB nº 493/2025 (MED Pix 2.0, em vigor desde 02/02/2026): rastreamento em cadeia, prazo de contestação de 80 dias, análise institucional em até 7 dias corridos, devolução em até 96 horas após confirmação. Banco Central.
  • Lei 12.965/2014 (Marco Civil da Internet), art. 10-A: preservação e fornecimento de registros para fins de prova em casos de fraude digital.
  • Lei 14.155/2021: alterou o Código Penal para tipificar fraude eletrônica (arts. 155, §4º-B e 171, §2º-B do CP).
  • Código Civil, art. 275: o credor tem direito de exigir e receber, de um ou de alguns dos devedores, parcial ou totalmente, a dívida comum.

Sofreu golpe via Pix? Entenda como a cadeia funciona antes de processar.

O escritório Chaves Coelho Advocacia atua em direito bancário e defesa do consumidor superendividado. Atendimento online em todo o Brasil.

Conversar com o escritório

Conteúdos relacionados

Sobre o autor e o escritório

João Vitor Chaves Coelho é advogado inscrito na OAB/SP nº 366.776, OAB/DF nº 72.931 e OAB/PA nº 19.692, com formação complementar em Harvard University (CS50). Atua em direito bancário, defesa do consumidor e superendividamento, com foco em fraudes via Pix, retenção de salário e crédito consignado.

O escritório Chaves Coelho Advocacia integra direito do consumidor com análise técnica de arquitetura bancária, mapeando, em cada caso, qual ponto da cadeia Pix apresentou falha operacional. A atuação observa as diretrizes do Provimento 205/2021 do Conselho Federal da OAB e o art. 35 do Código de Ética e Disciplina da OAB.

Este conteúdo tem finalidade exclusivamente informativa e educacional, não constituindo consulta jurídica nem garantia de resultado. Cada caso é único e os resultados dependem das provas, das circunstâncias específicas e do entendimento do juízo competente. A publicidade observa o Provimento 205/2021 do Conselho Federal da OAB e o art. 35 do Código de Ética e Disciplina da OAB, não constituindo captação de clientela.