Se o dinheiro saiu da sua conta em minutos por golpe do Pix, isso não foi descuido seu e existem caminhos para recuperar. Você não está sozinho: 24 milhões de brasileiros passaram pelo mesmo entre julho de 2024 e junho de 2025. A lei está do seu lado.
Se o dinheiro saiu da sua conta em minutos por golpe do Pix, isso é fraude bancária digital e existem caminhos legais para recuperar o valor. O Superior Tribunal de Justiça (Súmula 479 e quatro REsps paradigmáticos da Terceira Turma em outubro e novembro de 2025) consolidou a responsabilidade objetiva do banco emissor por falha de monitoramento, do banco receptor por KYC inadequado e das fintechs no mesmo regime. O MED 2.0 (Resolução BCB 493/2025) bloqueia em cadeia. A ação judicial pode buscar devolução integral, danos morais e nulidade de empréstimos consequenciais em até cinco anos (CDC art. 27).
O fundamento central é a Súmula 479 do STJ (responsabilidade objetiva do banco por fortuito interno), reafirmada e expandida em 2025-2026 pelos REsps 2.222.059, 2.229.519/DF, 2.222.137/SP (todos da Terceira Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025) e REsp 2.220.333/DF (Terceira Turma, Rel. Min. Ricardo Villas Bôas Cueva, 13/11/2025). O REsp 2.208.212 (Quarta Turma, Rel. Min. Maria Isabel Gallotti, mar/2026) marca o limite: golpe iniciado integralmente em rede social sem falha sistêmica bancária pode caracterizar culpa exclusiva do consumidor. A Lei 14.155/2021 tipificou o estelionato eletrônico no art. 171, §2º-A do Código Penal. A Resolução BCB 493/2025 instituiu o MED 2.0 (obrigatório desde 2 de fevereiro de 2026) com rastreamento em cadeia e prazo de devolução de até 11 dias úteis após confirmação da fraude.
⚡ O que fazer agora
- Ligue para o banco e peça bloqueio preventivo + número de protocolo com data e hora.
- Abra contestação no aplicativo (botão no extrato) e acione o MED 2.0. O prazo regulatório é de 80 dias a partir da transação.
- Registre Boletim de Ocorrência online nas próximas 24 horas e consulte o Registrato do Banco Central para verificar empréstimos fraudulentos no seu CPF.
Detalhe completo na seção O que fazer nas primeiras horas.
Em 24 horas você comunica. Em 80 dias o MED 2.0 trabalha. Em 5 anos a Justiça apura. Esse é o tripé legal de recuperação contra golpe do Pix em 2026.
Golpe do Pix é fraude financeira em que criminosos enganam a vítima (engenharia social, dados vazados, deepfake, IA generativa) para fazer transferências via Pix. Em termos jurídicos é estelionato eletrônico (art. 171, §2º-A do Código Penal, com redação da Lei 14.155/2021). Quando há falha na segurança bancária (banco não bloqueia transações estranhas) ou conta-laranja aberta sem checagem adequada (KYC, sigla em inglês para “Know Your Customer”, processo de identificação do cliente), a instituição financeira responde objetivamente. Isso significa que a lei impõe a devolução mesmo sem culpa direta do banco, com base na Súmula 479 do Superior Tribunal de Justiça, reafirmada e estendida a fintechs em 2025-2026.
Cenário em maio de 2026: o Pix movimentou R$ 35,36 trilhões em 2025 com quase 80 bilhões de transações (Banco Central, fev/2026). O prejuízo com fraudes de Pix em 2024 chegou a R$ 4,941 bilhões em valor não devolvido (+70% sobre 2023, fonte BCB via LAI). 24 milhões de brasileiros foram vítimas de golpe via Pix ou boleto falso entre julho de 2024 e junho de 2025, com prejuízo agregado próximo de R$ 29 bilhões e perda média de R$ 1.198 por vítima (Datafolha/FBSP). Estelionatos digitais alcançaram 2.166.552 casos em 2024, crescimento de 408% em seis anos (Anuário Brasileiro de Segurança Pública). Deepfakes cresceram 822% globalmente (1T2024 vs 1T2025) e 830% no Brasil (BioCatch). O MED 2.0 tornou-se obrigatório em 2 de fevereiro de 2026 (Resolução BCB 493/2025). Em paralelo, o STF concluiu em 23/04/2026 o julgamento das ADPFs 1.005, 1.006 e 1.097 sobre o cálculo do mínimo existencial no consignado (placar 6 a 4), reforçando a proteção patrimonial do consumidor superendividado vítima de fraude.
Ligação da “central do banco” às 14h. O atendente sabia o nome, o CPF, a agência. Em 18 minutos, 14 transferências esvaziaram a conta: R$ 143 mil em conta com perfil mensal de R$ 4 mil. Caso paradigma do STJ (REsp 2.222.059, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025), banco condenado a devolver integral mais danos morais. Caso ilustrativo baseado em padrão recorrente da jurisprudência (art. 35 OAB).
Banco responde por golpe do Pix quando falha em bloquear transações atípicas, mesmo que a vítima tenha confirmado.
Neste artigo
- 1 Em que momento você está? Mapa das 6 fases da vítima de golpe do Pix
- 2 Quais as 6 dúvidas mais comuns sobre golpe do Pix?
- 3 Qual o tamanho real do problema dos golpes do Pix em 2026?
- 4 Cadeia de responsabilidade: quem responde quando você cai em golpe do Pix?
- 5 Glossário rápido: termos técnicos que você precisa entender
- 6 Quais são as 11 modalidades de golpe do Pix em 2026?
- 6.1 1. Falsa central de atendimento (vishing)
- 6.2 2. Engenharia social com dados reais
- 6.3 3. Mão fantasma (RAT, acesso remoto)
- 6.4 4. Deepfake e clonagem de voz
- 6.5 5. SIM-swap (clonagem do chip)
- 6.6 6. Celular roubado com Pix na sequência
- 6.7 7. Falso vendedor (compra e venda em marketplace)
- 6.8 8. Falso boleto / boleto adulterado por extensão de navegador
- 6.9 9. QR Code malicioso
- 6.10 10. Pig butchering (relacionamento + investimento falso)
- 6.11 11. Falsa central com cadeia de PSPs
- 7 A janela temporal: por que perceber o golpe leva mais tempo do que parece
- 8 O que fazer nas primeiras horas após o golpe do Pix?
- 9 O que é o MED 2.0 e como funciona?
- 10 Quando o banco é responsável? Os 5 precedentes do STJ 2024-2026
- 10.1 REsp 2.222.059: falsa central, 14 operações atípicas (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025)
- 10.2 REsp 2.229.519/DF: extensão a fintechs (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025)
- 10.3 REsp 2.220.333/DF: mão fantasma, fim da culpa concorrente (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 13/11/2025)
- 10.4 REsp 2.222.137/SP: banco-destino e responsabilidade condicional (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025)
- 10.5 REsp 2.208.212: limites do golpe em rede social (4ª Turma, Rel. Min. Maria Isabel Gallotti, mar/2026)
- 10.6 REsp 2.155.065/MG: golpe do motoboy, decisão polêmica 3 a 2 (Rel. Min. Antônio Carlos Ferreira, 2025)
- 11 Como o escritório audita tecnicamente um caso de golpe do Pix?
- 12 Quanto pode ser obtido na Justiça por golpe do Pix?
- 13 Como se proteger de golpes do Pix em 2026?
- 14 Sinais de que você precisa agir agora
- 15 Mitos desfeitos sobre golpe do Pix
- 16 Dúvidas frequentes sobre golpe do Pix
- 16.1 O banco é obrigado a devolver o dinheiro do golpe do Pix?
- 16.2 Fintech responde igual a banco tradicional?
- 16.3 Posso processar mesmo tendo confirmado o Pix com senha?
- 16.4 Qual o prazo para acionar o MED?
- 16.5 Banco-destino também responde?
- 16.6 PSP ou subadquirente também responde?
- 16.7 E se o banco negar o MED?
- 16.8 Posso receber danos morais além do valor perdido?
- 16.9 Contratos fraudulentos foram feitos em meu nome?
- 16.10 Qual o prazo para entrar com ação judicial?
- 16.11 Boletim de Ocorrência online tem o mesmo valor que presencial?
- 16.12 E se o dinheiro foi convertido em criptomoeda pelo golpista?
- 17 Resumo final: golpe do Pix em 2026
- 18 Outros temas que podem ajudar
- 19 Sobre o autor
Em que momento você está? Mapa das 6 fases da vítima de golpe do Pix
Resposta direta: a vítima de golpe Pix passa por 6 estágios psicológicos. Identificar onde você está agora ajuda a definir o caminho jurídico cabível.
| Fase | Você está dizendo | O que fazer agora |
|---|---|---|
| 1. Dúvida | “Esse Pix recebido parece estranho…” | Não devolva por fora do app. Use só o botão “Devolver” oficial. Confira os dados do remetente. |
| 2. Suspeita | “Acho que caí em golpe… fiz um Pix e agora não responde.” | Não desligue o telefone com o “atendente”. Bloqueie a conta no aplicativo oficial. Salve prints. |
| 3. Certeza | “Foi golpe. O dinheiro saiu.” | Ligue para o banco em curto prazo, acione MED no app e registre B.O. online em 24 horas. |
| 4. Desespero | “O banco negou o MED. Fizeram empréstimo no meu nome.” | Tutela de urgência judicial. A demora administrativa não impede a ação. Procure advogado especialista. |
| 5. Reação | “Vou processar o banco. Como é a tabela?” | Faixa observada na jurisprudência (ver seção): devolução integral mais danos morais arbitrados conforme a gravidade do caso concreto. |
| 6. Ação judicial | “Já entrei com ação. Quero acompanhar.” | WhatsApp do escritório, atualização semanal e acesso ao processo eletrônico (PJe). |
Síntese: golpe do Pix é evento único, não continuado. Quanto mais cedo você age, mais caminhos administrativos e judiciais ficam disponíveis. As primeiras 24 horas são importantes para preservar prova fresca.
Quais as 6 dúvidas mais comuns sobre golpe do Pix?
Resposta direta: a régua das condenações é sempre a mesma: a falha de monitoramento da instituição financeira contra transações atípicas.
| Pergunta | Resposta direta |
|---|---|
| O banco é obrigado a devolver? | Sim, quando há falha de segurança ou transações atípicas não bloqueadas (Súmula 479 STJ + REsps 2.222.059 e 2.229.519/DF, 07/10/2025). |
| Qual o prazo do MED? | 80 dias a partir da transação (Resolução BCB 493/2025). Devolução em até 11 dias úteis após confirmação da fraude. |
| Quanto tempo para a ação judicial? | 5 anos (CDC art. 27). Agir nas primeiras 24 horas preserva prova fresca. |
| Posso processar mesmo tendo confirmado o Pix? | Sim em engenharia social. O REsp 2.220.333/DF (STJ, Rel. Min. Ricardo Villas Bôas Cueva, 13/11/2025) afastou a culpa concorrente nesses casos. |
| Fintech responde igual a banco? | Sim. O REsp 2.229.519/DF (STJ, 07/10/2025) estendeu a Súmula 479 a instituições de pagamento (art. 7º da Lei 12.865/2013). |
| MED ou ação judicial? | Acione o MED primeiro (gratuito). Se negado, a via judicial permanece aberta por 5 anos. |
Qual o tamanho real do problema dos golpes do Pix em 2026?
Resposta direta: o golpe do Pix consolidou-se como uma das principais demandas no Judiciário em 2025, com 24 milhões de vítimas em 12 meses, R$ 29 bilhões de prejuízo agregado e 5 precedentes do STJ que reafirmaram a responsabilidade objetiva dos bancos e fintechs.
Por quê. Aplica-se o Código de Defesa do Consumidor (art. 14, responsabilidade objetiva), reforçado pela Súmula 479 do Superior Tribunal de Justiça (2012), pelo Tema 466 do STJ (REsp 1.197.929/PR, 2011) e pela Lei 14.155/2021, que tipificou o estelionato eletrônico no art. 171, §2º-A do Código Penal.
Aplicação prática. O Fórum Brasileiro de Segurança Pública registrou 2.166.552 estelionatos digitais em 2024 (4 por minuto, +408% em 6 anos). Idosos perdem em média muito mais que jovens. O ponto de inflexão jurídico ocorreu em 7 de outubro de 2025, quando a Terceira Turma do STJ julgou em sessão única três casos paradigmáticos: REsp 2.222.059 (falsa central com 14 operações), REsp 2.229.519/DF (extensão a fintechs) e REsp 2.222.137/SP (responsabilidade do banco-destino), todos sob relatoria do Min. Ricardo Villas Bôas Cueva. Em 13 de novembro de 2025, o REsp 2.220.333/DF (mesmo relator) afastou a culpa concorrente em engenharia social. Em março de 2026, o REsp 2.208.212 (Quarta Turma, Rel. Min. Maria Isabel Gallotti) marcou o limite: golpe iniciado integralmente em rede social, sem falha sistêmica bancária, pode caracterizar culpa exclusiva do consumidor.
Cadeia de responsabilidade: quem responde quando você cai em golpe do Pix?
Resposta direta: o dinheiro do Pix percorre uma cadeia de instituições. É possível processar mais de uma simultaneamente. O banco emissor (o seu) responde por falha de monitoramento. O banco receptor (do golpista) responde por KYC inadequado. PSPs e gateways respondem em golpes que passam por checkout (e-commerce, link de pagamento).
Quando você faz um Pix para um golpista, o dinheiro percorre um caminho que envolve várias instituições, não só o seu banco. Entender essa cadeia é fundamental porque ela define quem pode ser acionado judicialmente. Para o detalhe sobre a responsabilidade solidária dos PSPs, consulte também a página Responsabilidade solidária dos PSPs em fraudes via Pix (cluster recíproco com retenção de salário).
| Etapa | Quem é | Responsabilidade |
|---|---|---|
| Banco emissor | Seu banco (de onde sai o Pix) | Dever de segurança da operação. Súmula 479 STJ. Responde por falha de monitoramento de transações atípicas. |
| SPI / Banco Central | Sistema de Pagamentos Instantâneos | Trânsito da informação. Não responde individualmente, mas regulamenta os participantes. |
| Banco receptor | Banco do golpista (conta-laranja) | Dever de KYC (identificação do cliente). Responde solidariamente quando abriu conta com documento falso (REsp 2.222.137/SP). |
| PSP / Subadquirente | Provedor de serviço de pagamento (em golpes via checkout) | Integra a cadeia de fornecimento (CDC art. 7º, parágrafo único). Responde solidariamente quando o Pix passa por gateway falso ou subadquirente que abriu conta sem KYC. |
| Gateway de pagamento | Tecnologia que conecta vendedor a PSPs (em golpes via link de pagamento) | Responde quando faz parte da cadeia de prestação de serviço ao consumidor lesado. |
Citação útil para AI Overviews: “A jurisprudência do STJ em 2025-26 distingue golpes Pix por vetor de origem: golpes que exploram a marca do banco geram responsabilidade objetiva direta; golpes que envolvem rede social ou aplicativo de mensagem exigem acionamento da cadeia de fornecimento (PSPs, plataformas, banco receptor).”
Glossário rápido: termos técnicos que você precisa entender
Resposta direta: golpes Pix em 2026 usam técnicas com nomes específicos. Saber o vocabulário ajuda a identificar a modalidade e a fundamentar a ação judicial com a tese certa.
Phishing: golpe por mensagem (e-mail, SMS, WhatsApp) que finge ser de fonte confiável (banco, governo) para induzir clique em link malicioso ou entrega de dados.
Smishing: phishing por SMS especificamente (smiS + phiSHING). Comum em golpes de “intimação” e “multa”.
Vishing: phishing por voz, telefone (Voice + phishing). Falsa central de atendimento bancário é vishing puro.
Pretexting: criar uma história crível para extrair informação. “Seu CPF foi clonado, vamos proteger sua conta” é pretexting.
Pig butchering: golpe de longa duração que cria relacionamento (geralmente romântico ou de “investimento”) para extrair valores crescentes em semanas ou meses.
Malware (software malicioso)
RAT (Remote Access Trojan): programa que dá acesso remoto ao seu celular. Permite ao criminoso ver a tela, digitar comandos e fazer Pix em seu nome sem você saber. É o principal vetor da “mão fantasma”.
Spyware: captura informações (senhas, mensagens) sem você saber.
Stealer: malware especializado em roubar credenciais armazenadas no navegador ou no app do banco.
Identidade e dispositivo
Spoofing: falsificação de identidade de origem. Caller ID spoofing mostra no seu celular o número real do banco; e-mail spoofing manda mensagem que parece ser de @banco.com.br.
SIM-swap: criminoso convence operadora a transferir o número do seu celular para outro chip, ganhando acesso a SMS de autenticação e podendo recuperar senhas e fazer Pix.
Deepfake: uso de IA para imitar voz ou imagem de pessoa conhecida (familiar, gerente do banco), geralmente em mensagens de áudio em aplicativos de mensagem para pedir Pix urgente.
Sistema bancário
MED: Mecanismo Especial de Devolução. Sistema do Banco Central pelo qual a vítima solicita devolução de Pix vinculado a fundada suspeita de fraude.
MED 2.0: nova versão (Resolução BCB 493/2025, em vigor desde 2 de fevereiro de 2026), com prazo de 80 dias para contestar, devolução em até 11 dias úteis após confirmação da fraude e rastreamento em cadeia (segue o dinheiro em transações subsequentes).
PSP: Provedor de Serviços de Pagamento. Empresa autorizada pelo Banco Central a operar serviços de pagamento incluindo Pix. Difere de “banco” em alguns aspectos regulatórios.
Subadquirente: empresa que processa pagamentos para vendedores (geralmente de e-commerce). Não é banco. Quando o Pix é feito para um checkout, o dinheiro pode passar por um subadquirente antes de chegar ao vendedor.
KYC (Know Your Customer): “conheça seu cliente”. Conjunto de obrigações regulatórias que bancos e fintechs têm para identificar quem abre conta. KYC inadequado é a causa de fraudes com conta-laranja.
📥 Baixe o checklist “Recuperação de Pix em 7 dias”
Modelo pronto de Boletim de Ocorrência por modalidade, roteiro do MED 2.0, reclamação no Banco Central e lista de documentos para a ação. Receba por WhatsApp em 1 minuto.
Quais são as 11 modalidades de golpe do Pix em 2026?
Resposta direta: 11 modalidades concentram a maior parte dos casos. Cada uma tem estratégia processual própria, e quase todas se beneficiam dos cinco precedentes do STJ de 2025-2026.
1. Falsa central de atendimento (vishing)
Tipo mais documentado. Ligação de número mascarado que aparece como o do banco; falso preposto informa “transação suspeita” e orienta transferências para “conta segura”. O REsp 2.222.059 condenou banco em R$ 143 mil em 14 transações atípicas em 1 dia.
Golpistas usam dados de vazamentos (CPF, endereço, nome de familiares) para construir abordagem convincente. Tribunais têm reconhecido que dados bancários usados por golpistas são responsabilidade da instituição financeira que vazou ou permitiu o uso indevido.
3. Mão fantasma (RAT, acesso remoto)
Vítima é induzida a instalar aplicativo fraudulento (“atualização do banco”), que instala um RAT dando acesso remoto. O REsp 2.220.333/DF (Rel. Min. Ricardo Villas Bôas Cueva, 13/11/2025) condenou banco em R$ 45 mil e afastou a culpa concorrente.
4. Deepfake e clonagem de voz
Modalidade em expansão acelerada (+822% global e +830% Brasil em 2024-2025). IA generativa clona voz e imagem de familiares ou funcionários bancários, geralmente em mensagens de áudio.
5. SIM-swap (clonagem do chip)
Criminoso convence operadora a transferir seu número para outro chip, recebendo SMS de autenticação. Em seguida recupera senhas e faz Pix. O banco responde quando autorizou MFA por SMS sabendo que era método vulnerável a SIM-swap.
6. Celular roubado com Pix na sequência
Celular desbloqueado é roubado e transferências em cadeia esvaziam a conta. O TJSP (Apelação 1007969-09.2024.8.26.0002, mai/2025) condenou Itaú em R$ 15.000 por permitir Pix sequencial atípico após roubo.
7. Falso vendedor (compra e venda em marketplace)
Produto anunciado em plataformas. A vítima compra e faz Pix, mas o produto nunca chega. O banco receptor responde quando a conta foi aberta sem KYC adequado (REsp 2.222.137/SP, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025).
Boleto adulterado por extensões de navegador maliciosas redireciona o pagamento para conta de terceiro. Tribunais têm equiparado ao golpe do Pix para fins de responsabilidade bancária quando há falha de validação no sistema do banco. Caso ilustrativo: TJSP Apelação 1049352-53.2023.8.26.0114 (consumidora de 70 anos vítima de spoofing do Bradesco com 4 Pix de R$ 52.361, boletos de R$ 23.990 e empréstimos contratados sem autorização) reconheceu responsabilidade do banco e da plataforma de pagamento.
9. QR Code malicioso
Modalidade nova com aceleração em 2025-2026: golpistas substituem QR Codes em estabelecimentos ou geram QR de doação falsa após desastres naturais. O QR falso direciona o Pix para conta-laranja.
10. Pig butchering (relacionamento + investimento falso)
Golpe de longa duração: criminoso constrói relacionamento (romântico ou de “investimento”) por semanas, depois extrai valores crescentes via Pix. O banco responde por falha em bloquear sequência atípica.
11. Falsa central com cadeia de PSPs
Variação avançada da modalidade 1: golpe envolve PSP/subadquirente que abriu conta para “vendedor falso”. Aciona-se solidariamente o banco emissor + PSP + gateway pelo CDC art. 7º, parágrafo único. Detalhe complementar em Responsabilidade solidária dos PSPs em fraudes via Pix.
A janela temporal: por que perceber o golpe leva mais tempo do que parece
Resposta direta: a vítima geralmente leva entre 3 e 14 dias para reconhecer mentalmente que foi vítima. O MED 2.0 dá 80 dias, mas o dinheiro pode pulverizar antes. Esse “atraso semântico” é fenômeno psicológico reconhecido pelos tribunais.
Vítimas relatam um padrão: nas primeiras horas após o evento, o cérebro busca explicação alternativa (“deve ter sido erro do sistema”, “ele vai me responder em breve”, “talvez eu tenha confundido a chave”). Só após horas ou dias é que a categoria mental “fui vítima de golpe” se ativa.
| Modalidade | Atraso médio para perceber |
|---|---|
| Falsa central | Algumas horas (perda súbita) |
| WhatsApp clonado | 1 a 2 dias |
| Falsos investimentos | 1 a 4 semanas |
| Pig butchering (relacionamento) | 2 a 6 semanas |
A demora no acionamento do MED não invalida o pedido posterior por via judicial. A jurisprudência reconhece o “atraso semântico” como elemento subjetivo do consumidor que não pode ser usado contra ele.
O que fazer nas primeiras horas após o golpe do Pix?
Resposta direta: ligar para o banco rapidamente, contestar no app simultaneamente, registrar Boletim de Ocorrência online em 24 horas, reclamar no Banco Central em 48 horas. O TJSP (Apelação 1006914-73.2023.8.26.0126) condenou o Nubank em caso no qual a vítima comunicou o golpe em 28 minutos e o banco respondeu apenas 24 horas depois.
- Ligar para o banco (curto prazo): bloqueio preventivo, abertura de contestação formal e número do protocolo com data e hora.
- Contestar no aplicativo (simultâneo): desde outubro de 2025, instituições participantes do Pix disponibilizam botão de contestação no extrato.
- Registrar Boletim de Ocorrência (primeiras 24 horas): delegacia digital do estado. Fundamento para o tipo penal do art. 171, §2º-A do Código Penal. Detalhe na seção Boletim de Ocorrência online.
- Reclamar no Banco Central (primeiras 48 horas): portal Meu BC com cópia da contestação no banco e do Boletim de Ocorrência.
- Registrar no consumidor.gov.br: bancos têm 10 dias para responder. Pressão pública adicional.
- Reunir documentação: comprovantes, prints, protocolos, B.O., extratos antes e depois. Verificar empréstimos consequenciais via Registrato do Banco Central.
5 erros que prejudicam a chance de recuperação
- Demorar mais de 24 horas para contestar no banco e registrar Boletim de Ocorrência.
- Devolver Pix recebido por fora do app em vez de usar o botão “Devolver” oficial do aplicativo.
- Apagar mensagens, prints ou comprovantes antes de salvar tudo em local externo (e-mail, nuvem).
- Aceitar a resposta do banco sem auditoria técnica de IP, IMEI, geolocalização e logs de MFA.
- Achar que não tem direito porque “confirmou o Pix”: o REsp 2.220.333/DF afastou essa tese em engenharia social.
O que é o MED 2.0 e como funciona?
Resposta direta: o MED 2.0 (Mecanismo Especial de Devolução) é o sistema gratuito do Banco Central pelo qual a vítima pede devolução de Pix vinculado a fraude, em até 80 dias da transação. A novidade da v2.0 (Resolução BCB 493/2025, obrigatória desde 2 de fevereiro de 2026) é o rastreamento em cadeia: o sistema agora segue o dinheiro em transações subsequentes.
Por quê. A Resolução BCB 493/2025 ampliou o rastreamento, bloqueando valores em cadeia, e não apenas na primeira conta receptora.
Aplicação prática. Em 2024 foram 5 milhões de pedidos pelo MED, dos quais 1,56 milhão (31%) aprovados, com recuperação de cerca de R$ 459 milhões. O Banco Central estima redução de até 40% dos golpes bem-sucedidos com o MED 2.0. Limitações: saque em caixa eletrônico antes da contestação encerra o rastro digital; valores convertidos em criptoativos ficam fora do alcance; o banco pode negar alegando ausência de falha.
| Etapa | O que acontece | Prazo |
|---|---|---|
| Contestação | Registro via app (botão no extrato) ou pelo banco | Até 80 dias após a transação |
| Bloqueio cautelar | Valores bloqueados na conta receptora e em contas subsequentes | Imediato |
| Análise | Bancos envolvidos investigam a fraude | Até 7 dias corridos |
| Devolução | Confirmada a fraude, dinheiro retorna à conta | Até 11 dias úteis após confirmação |
| Monitoramento | Sem saldo: conta monitorada para capturas parciais | Até 90 dias |
💬 Quer que um advogado especialista analise seu caso de graça?
Receba pelo WhatsApp uma análise sobre cabimento de ação, modalidade aplicável e próximos passos. Sem compromisso, sem cobrança.
Quando o banco é responsável? Os 5 precedentes do STJ 2024-2026
Resposta direta: 5 precedentes do STJ entre 2024 e 2026 redesenharam a aplicação da Súmula 479. O banco responde quando há (1) falha de monitoramento de transações atípicas, (2) extensão a fintechs no mesmo regime, (3) “mão fantasma” sem culpa concorrente, (4) banco-destino com KYC inadequado. Limite atual (REsp 2.208.212): golpe iniciado em rede social sem falha sistêmica bancária pode caracterizar culpa exclusiva do consumidor.
REsp 2.222.059: falsa central, 14 operações atípicas (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025)
Banco autorizou transferências fraudulentas de R$ 143 mil em um único dia em conta com perfil mensal de R$ 4 mil. “É dever da instituição financeira checar, em tempo real, as operações realizadas por seus clientes.” Critérios objetivos fixados pela Corte: perfil de consumo, volume, frequência, local, horário, intervalo entre movimentações.
REsp 2.229.519/DF: extensão a fintechs (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025)
Engenharia social com contratação fraudulenta de empréstimos (R$ 34.352,21). A Súmula 479 estende-se expressamente a instituições de pagamento (art. 7º da Lei 12.865/2013).
REsp 2.220.333/DF: mão fantasma, fim da culpa concorrente (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 13/11/2025)
Banco integralmente responsável pela “mão fantasma” (RAT instalado por aplicativo fraudulento), com empréstimo de R$ 45 mil. Culpa concorrente só se admite quando a vítima conscientemente assume e potencializa o risco, e não em engenharia social.
REsp 2.222.137/SP: banco-destino e responsabilidade condicional (3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025)
No falso leilão virtual (Pix de R$ 32.435 para conta fraudulenta), o banco-destino responde quando: (a) a conta foi aberta com documento falso ou (b) não monitorou movimentações suspeitas em conta usada para ilícitos.
Golpe iniciado por contato em rede social, sem falha nos sistemas bancários, com transferências voluntárias usando senha pessoal pode caracterizar culpa exclusiva do consumidor (CDC art. 14, §3º, II). A Súmula 479 não é absoluta. Admite excludente quando não há nexo causal com a atividade bancária.
REsp 2.155.065/MG: golpe do motoboy, decisão polêmica 3 a 2 (Rel. Min. Antônio Carlos Ferreira, 2025)
Decisão por placar 3 a 2 (voto de desempate do Min. Antônio Carlos Ferreira, divergência do Min. Ricardo Villas Bôas Cueva): entrega física voluntária de cartão e senha a falso motoboy pode configurar culpa exclusiva, em situação excepcional. Distingue-se nitidamente da “mão fantasma” do REsp 2.220.333.
Banco responde por golpe do Pix quando falha em bloquear transações atípicas, mesmo que a vítima tenha confirmado.
| Tipo de golpe | Precedente | Responsabilidade |
|---|---|---|
| Falsa central + operações atípicas | REsps 2.222.059 e 2.229.519/DF | Integral (Súmula 479) |
| Mão fantasma / acesso remoto (RAT) | REsp 2.220.333/DF | Integral (culpa concorrente afastada) |
| Cartão físico + senha entregue voluntariamente | REsp 2.155.065/MG | Afastada em situação excepcional (placar 3 a 2) |
| Rede social sem falha sistêmica | REsp 2.208.212 | Afastada (culpa exclusiva) |
| Banco-destino sem monitoramento | REsp 2.222.137/SP | Condicional |
Como o escritório audita tecnicamente um caso de golpe do Pix?
Resposta direta: o que sustenta ações de fraude no Pix não é apenas a tese jurídica, é a auditoria técnica do que o banco fez (ou deixou de fazer). Em 12 anos de atuação em Direito Bancário e formação Harvard CS50, o escritório estruturou um protocolo em 5 camadas técnicas.
Protocolo de auditoria técnica Chaves Coelho (perspectiva CS50 Harvard):
- IP de origem da transação: comparar IP da operação com IPs do uso normal. Geolocalização incompatível é evidência de defeito.
- IMEI / device fingerprint: verificar se o dispositivo registrado nos logs do banco é o mesmo da vítima. Dispositivo novo sem segundo fator forte é falha.
- Timestamps e ordem das operações: 14 transações em 1 dia em conta com perfil mensal de R$ 4 mil é o cenário do REsp 2.222.059. O cruzamento com o perfil histórico revela padrão atípico.
- Logs de MFA e Liveness Detection: requisitar exibição em juízo. Ausência de Liveness em 2026 é falha presumida (deepfakes circulam há mais de dois anos).
- KYC do banco-destino: requisitar via ofício a documentação de abertura da conta-laranja. Documento falso ou conta com histórico de bloqueios anteriores caracteriza defeito do banco recebedor (REsp 2.222.137/SP).
Essa auditoria técnica é o que diferencia uma ação genérica de uma ação que apresenta indícios objetivos de defeito do serviço. Sem ela, o banco se defende dizendo “houve confirmação por senha”. Com ela, a pergunta passa a ser: “por que o sistema antifraude não disparou?”.
Tese Chaves Coelho (perspectiva CS50 Harvard): em golpe do Pix, a lacuna técnica frequentemente vence a defesa contratual. Cada metadado disponível na infraestrutura bancária — IP de origem, IMEI do dispositivo, geolocalização, hash do Liveness Detection, logs de MFA, registros DKIM/SPF do e-mail de phishing — é evidência auditável da falha. O Banco Central exige monitoramento em tempo real desde 2022. A pergunta deixa de ser “a vítima confirmou?” e passa a ser “por que o sistema antifraude não disparou?”. O REsp 2.222.059 fixou critério objetivo: perfil de consumo, volume, frequência, local, horário, intervalo entre movimentações. Quando os logs do banco mostram 14 transações em 1 dia em conta com perfil mensal de R$ 4 mil sem nenhum bloqueio, há defeito presumido do serviço (CDC art. 14).
Quanto pode ser obtido na Justiça por golpe do Pix?
Resposta direta: a devolução do valor principal é integral em quase todas as hipóteses comprovadas. Os danos morais são arbitrados pelos tribunais conforme a gravidade, o perfil de vulnerabilidade e o impacto do caso concreto. Os exemplos abaixo são padrões recorrentes da jurisprudência (art. 35 OAB), não constituem garantia de resultado equivalente.
| Cenário | Pedido principal | Caso paradigma |
|---|---|---|
| Falsa central, vítima adulta | Devolução integral + correção + danos morais arbitrados conforme o caso | Faixa observada em JECs estaduais |
| Idosa hipervulnerável + Pix de proventos alimentares | Devolução integral + danos morais agravados pela vulnerabilidade | TJRJ Apelação 0814726-59.2024.8.19.0014 (idosa, R$ 12.600 + R$ 10.000 dano moral) |
| Mão fantasma + empréstimos consequenciais | Devolução integral + nulidade dos contratos + danos morais | STJ REsp 2.220.333/DF (R$ 45 mil + nulidade) |
| Roubo de celular + Pix sequencial atípico | Devolução integral; falha do serviço (fortuito interno) | TJSP Apelação 1007969-09.2024.8.26.0002 (R$ 15.000) |
| Vazamento de dados + golpe subsequente | Devolução integral; danos morais in re ipsa por dano à privacidade | STJ REsp 2.121.904/SP (Min. Nancy Andrighi, fev/2025) |
| Spoofing + app malicioso + 4 Pix + boletos + 3 empréstimos | Reconhecimento de responsabilidade do banco e da plataforma de pagamento | TJSP Apelação 1049352-53.2023.8.26.0114 (consumidora 70 anos, total R$ 115.619,95) |
Os valores são referências dos processos analisados, não constituem garantia de resultado em qualquer caso futuro (art. 35 OAB e Provimento CFOAB 205/2021 art. 4º, II).
Como se proteger de golpes do Pix em 2026?
Resposta direta: 5 medidas práticas reduzem a exposição ao golpe.
- Configure limites menores para Pix noturno (20h às 6h) no app do banco.
- Ative notificações instantâneas para movimentação acima de R$ 50.
- Confirme nome completo do destinatário antes de Pix de valores altos.
- Consulte periodicamente o Registrato do Banco Central (mensalmente) para empréstimos não reconhecidos.
- Bancos NUNCA ligam pedindo token, senha ou código de verificação. Se receber, desligue e ligue para o número oficial impresso no cartão.
Banco responde por golpe do Pix quando falha em bloquear transações atípicas, mesmo que a vítima tenha confirmado.
Sinais de que você precisa agir agora
Há base jurídica para ação imediata se você se identifica com qualquer um destes sinais:
- Múltiplas transferências sequenciais em horário incomum, fora do seu padrão.
- Empréstimos contratados sem o seu conhecimento aparecendo no Registrato.
- O banco respondeu à sua comunicação com atraso e o dinheiro já havia se pulverizado.
- O MED foi negado alegando ausência de falha, sem auditoria técnica de IP/IMEI.
- A vítima é idoso, gestante ou pessoa com deficiência (hipervulnerabilidade).
- A conta-destino aparenta ser de “laranja” aberta sem KYC adequado.
- Houve vazamento de dados anterior (CPF, senha) e o golpe usou essas informações.
Em qualquer desses cenários, há base jurídica para ação com pedido de tutela de urgência (suspensão de contratos fraudulentos), devolução em dobro (CDC art. 42, quando aplicável) e danos morais.
Mitos desfeitos sobre golpe do Pix
Resposta direta: três mitos circulam e impedem vítimas de buscar a recuperação a que têm direito.
❌ Mito 1: “Eu confirmei o Pix com a minha senha, então a culpa foi minha e o banco não devolve.”
Realidade: falso. O REsp 2.220.333/DF (STJ, 3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 13/11/2025) afastou a tese da culpa concorrente em engenharia social. Quando a vítima é induzida por falso preposto, falsa central ou aplicativo fraudulento, a confirmação por senha não exclui a responsabilidade do banco. A culpa concorrente só se admite quando a vítima conscientemente assume e potencializa o risco — o que não ocorre em golpes que exploram a marca do banco.
❌ Mito 2: “Fintech (Nubank, PicPay, Mercado Pago) não responde igual a banco tradicional.”
Realidade: falso. O REsp 2.229.519/DF (STJ, 3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025) estendeu expressamente a Súmula 479 a todas as instituições de pagamento (art. 7º da Lei 12.865/2013). Nubank, Inter, C6, PicPay, Mercado Pago e qualquer outra fintech respondem no mesmo regime do Itaú, Bradesco ou Banco do Brasil quando há falha no monitoramento.
❌ Mito 3: “Se o MED foi negado, não tem mais o que fazer.”
Realidade: falso. A negativa do MED é apenas resposta administrativa do banco. A via judicial permanece aberta por 5 anos (CDC art. 27). Mais ainda: uma negativa sem auditoria técnica de IP, IMEI e logs de MFA é argumento adicional na ação, porque mostra que o banco respondeu sem investigar.
Recapitulando até aqui: você viu o tamanho do problema (24 milhões de vítimas em 12 meses, R$ 29 bilhões de prejuízo agregado), a cadeia de responsabilidade (banco emissor, receptor, PSP e gateway), 11 modalidades atualizadas, 5 precedentes do STJ (REsps 2.222.059, 2.229.519, 2.220.333, 2.222.137 e 2.208.212), o protocolo de auditoria técnica do escritório e 3 mitos descartados. A próxima seção responde as 12 dúvidas frequentes, incluindo o que fazer quando o dinheiro foi convertido em criptomoeda, contratos fraudulentos no seu CPF e a relação entre B.O. online e a ação judicial.
Dúvidas frequentes sobre golpe do Pix
O banco é obrigado a devolver o dinheiro do golpe do Pix?
Depende, mas a lei está do lado da vítima na maioria dos cenários. Quando há falha de segurança, transações atípicas não bloqueadas ou uso de dados bancários, a Súmula 479 STJ + REsps 2.222.059 e 2.229.519/DF (07/10/2025) reconhecem responsabilidade objetiva e devolução integral.
Fintech responde igual a banco tradicional?
Sim. O REsp 2.229.519/DF (STJ, 3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025) estendeu expressamente a Súmula 479 a instituições de pagamento (art. 7º da Lei 12.865/2013). Nubank, PicPay, Mercado Pago e outras fintechs respondem pelo mesmo regime quando há falha no monitoramento.
Posso processar mesmo tendo confirmado o Pix com senha?
Sim, em golpes de engenharia social. O REsp 2.220.333/DF (STJ, 3ª Turma, Rel. Min. Ricardo Villas Bôas Cueva, 13/11/2025) afastou a culpa concorrente quando a vítima é induzida por falso preposto. A confirmação por senha não exclui responsabilidade do banco.
Qual o prazo para acionar o MED?
80 dias a partir da transação (Resolução BCB 493/2025). Após esse prazo a via administrativa se encerra, mas a ação judicial permanece aberta por 5 anos (CDC art. 27).
Banco-destino também responde?
Sim, condicionalmente (REsp 2.222.137/SP). Responde quando a conta foi aberta com documento falso ou quando não monitorou movimentações suspeitas. Pode ser acionado em litisconsórcio com o banco-origem.
PSP ou subadquirente também responde?
Sim, quando integra a cadeia de fornecimento (CDC art. 7º, parágrafo único). Em golpes que envolvem checkout falso de e-commerce ou links de pagamento por WhatsApp, o PSP/subadquirente responde solidariamente com o banco emissor. Detalhe em Responsabilidade solidária dos PSPs.
E se o banco negar o MED?
A negativa não encerra os seus direitos. A via judicial permanece aberta por 5 anos. Use a documentação reunida e a própria negativa como evidência adicional. Uma negativa sem auditoria técnica de IP/IMEI é argumento adicional na ação.
Posso receber danos morais além do valor perdido?
Sim, in re ipsa quando a fraude afeta verba alimentar ou direitos da personalidade. O REsp 2.121.904/SP (Min. Nancy Andrighi, fev/2025) reconheceu dano moral presumido por vazamento de dados sensíveis. O valor é arbitrado pelo juízo conforme a gravidade do caso concreto.
Contratos fraudulentos foram feitos em meu nome?
A ação judicial pode declarar a nulidade. É possível pedir suspensão de descontos via tutela de urgência e devolução dos valores já descontados (Súmula 479 + REsp 2.220.333/DF). Consulte o Registrato do Banco Central para identificar todos os contratos no seu CPF.
Qual o prazo para entrar com ação judicial?
5 anos contados da data do golpe (CDC art. 27). Para anular contrato fraudulento, o prazo pode ser de 4 anos contados de quando a vítima tomou conhecimento (Código Civil art. 178). Agir nas primeiras 24 horas preserva prova fresca.
Boletim de Ocorrência online tem o mesmo valor que presencial?
Sim. O B.O. online registrado na delegacia digital do estado tem o mesmo valor probatório do presencial. Para golpe do Pix, registre nas primeiras 24 horas. Detalhe a sequência cronológica, anexe prints e comprovantes.
E se o dinheiro foi convertido em criptomoeda pelo golpista?
O MED não alcança valores convertidos em cripto, mas a ação judicial permanece cabível. O banco-origem continua respondendo pela falha no monitoramento que permitiu o golpe inicial. A tutela de urgência pode determinar bloqueio de outros valores em conta.
Se o seu dinheiro saiu da conta em minutos, isso não é descuido. É operação criminosa que explorou uma falha no sistema que deveria proteger você. Banco responde por golpe do Pix quando não bloqueia transações atípicas. Os REsps 2.222.059, 2.229.519/DF, 2.220.333/DF e 2.222.137/SP do STJ (Rel. Min. Ricardo Villas Bôas Cueva, out-nov/2025) consolidaram esse entendimento. Quanto antes a situação for analisada, mais caminhos administrativos e judiciais permanecem disponíveis.
Resumo final: golpe do Pix em 2026
Regra geral: banco e fintech respondem objetivamente por golpe do Pix quando há falha em bloquear transações atípicas, abertura de conta-laranja sem KYC ou inação após comunicação da vítima.
Direito: CDC art. 14 + Súmula 479 STJ + Tema 466 STJ + REsps 2.222.059, 2.229.519/DF, 2.220.333/DF e 2.222.137/SP (STJ Terceira Turma, Rel. Min. Ricardo Villas Bôas Cueva, out-nov/2025) + REsp 2.208.212 (STJ Quarta Turma, Rel. Min. Maria Isabel Gallotti, mar/2026) + Resolução BCB 493/2025 (MED 2.0).
Solução administrativa: MED 2.0 em até 80 dias (gratuito, rastreamento em cadeia, devolução em até 11 dias úteis após confirmação) + Boletim de Ocorrência + reclamação no Banco Central e consumidor.gov.br.
Solução judicial: ação com pedido de tutela de urgência (suspensão de contratos fraudulentos), devolução integral, danos morais e nulidade de empréstimos consequenciais.
Ação imediata: documente extratos, registre B.O. nas primeiras 24 horas, acione MED no app, consulte advogado especialista para auditoria técnica de IP, IMEI e geolocalização.
Pronto para analisar o seu caso?
O escritório Chaves Coelho Advocacia atua há mais de 12 anos em Direito Bancário, com formação em Cibersegurança Harvard CS50. Honorários transparentes, contrato claro, atendimento direto com o advogado responsável. Atendimento 100% online em todo o Brasil.
Falar com o escritório via WhatsApp
(11) 91048-2244 · contato@joaocoelho.adv.br · Rua Vergueiro 3558, Sala 709, Vila Mariana, São Paulo/SP
Dados bancários usados por golpistas são responsabilidade da instituição financeira que falhou em proteger o cliente.
Outros temas que podem ajudar
- Responsabilidade solidária dos PSPs em fraudes via Pix (cross-cluster recíproco com retenção de salário)
- MED Pix 2.0: como acionar passo a passo
- Boletim de Ocorrência online em casos de fraude bancária
- Registrato do Banco Central: como detectar empréstimos fraudulentos
- Retenção de salário pelo banco em 2026
- Superendividamento e Lei 14.181/2021
- Áreas de atuação do escritório
Sobre o autor
João Vitor Chaves Coelho, advogado especialista em Direito Bancário e Defesa do Consumidor
Formação e registros: Bacharel em Direito. OAB/SP 366.776, OAB/PA 19.692, OAB/DF 72.931. Formação em Cibersegurança pela Harvard University (CS50 Cybersecurity).
Especializações: Direito Bancário, Defesa do Consumidor, Direito Digital e Fraudes Cibernéticas, Superendividamento e Repactuação de Dívidas.
Experiência: mais de 12 anos de atuação na defesa de consumidores e empresas contra instituições financeiras. Autor de artigos jurídicos sobre Pix, MED, superendividamento e consignado. Criador do Método JC Recupera, ferramenta educacional para vítimas de golpes Pix.
Presença digital:
Instagram ·
LinkedIn ·
YouTube ·
TikTok ·
Facebook ·
JusBrasil
Provimento 205/2021 do CFOAB: este conteúdo tem caráter informativo e educativo. Cada caso é único e os resultados dependem das provas e circunstâncias específicas. A publicidade observa as diretrizes da OAB e não constitui captação de clientela. Os exemplos e casos citados são ilustrativos baseados em padrões recorrentes da jurisprudência (art. 35 do Código de Ética e Disciplina da OAB), não constituindo promessa de resultado equivalente em qualquer caso futuro.
Em 2026, o golpe do Pix no Brasil é fraude bancária digital com responsabilização objetiva consolidada do banco emissor, do banco receptor (KYC inadequado), de fintechs e de PSPs/gateways quando integram a cadeia de fornecimento. A tríade Súmula 479 STJ, cinco precedentes paradigmáticos da Terceira Turma sob relatoria do Min. Ricardo Villas Bôas Cueva (REsps 2.222.059, 2.229.519/DF, 2.220.333/DF e 2.222.137/SP, out-nov/2025) e Resolução BCB 493/2025 (MED 2.0 com rastreamento em cadeia, prazo de 80 dias para contestação e devolução em até 11 dias úteis após confirmação) sustenta um caminho claro: contestar no app, ligar ao banco em curto prazo, B.O. online em 24 horas, MED em 80 dias e ação judicial em até 5 anos com auditoria técnica de IP, IMEI, geolocalização e logs de MFA, combinação que possibilita devolução integral, arbitramento de danos morais conforme a gravidade e nulidade de contratos fraudulentos consequenciais.