Culpa do Banco?

Golpe com selfie e senha no Pix: por que o banco continua responsável e como se proteger

Nos últimos anos, os golpes envolvendo Pix se sofisticaram — e um dos mais perigosos é aquele em que a própria vítima entrega dados como senha, chave de segurança e até selfie aos criminosos. À primeira vista, muita gente pensa: “Mas se a pessoa deu a senha, o banco não tem culpa, né?”. A Justiça brasileira tem caminhado em sentido diferente.

Uma decisão recente do Tribunal de Justiça de Minas Gerais (TJ-MG) reforça algo muito importante: mesmo quando a vítima fornece dados de acesso, o banco pode continuar responsável, especialmente quando:

  • As transações são totalmente atípicas em relação ao perfil do cliente; e
  • O banco não utiliza mecanismos robustos de segurança, como validação biométrica prévia e sistemas de detecção de comportamento suspeito.

Essa discussão é fundamental para quem usa Pix no dia a dia e quer entender seus direitos e deveres. E é exatamente o tipo de tema que abordamos com profundidade em nosso conteúdo sobre segurança em transferências instantâneas, como na página Inicial Pix.

O caso: golpes via Pix com uso de selfie e senha

No caso analisado pelo TJ-MG, um consumidor foi vítima de fraude eletrônica e realizou quatro transferências via Pix em sequência, totalizando R$ 10,2 mil. Assim que percebeu o golpe, contestou as operações junto ao banco, mas não teve solução na via administrativa.

Os bancos envolvidos (uma instituição tradicional e uma fintech vinculada) alegaram que:

  • O próprio cliente teria sido “manipulado pelos fraudadores”;
  • Ele forneceu voluntariamente seus dados e senhas;
  • As operações foram validadas com senha, chave de segurança e até selfie no aplicativo.

Com base nisso, tentaram afastar sua responsabilidade, sustentando a tese de culpa exclusiva da vítima e a irreversibilidade das transações Pix.

Por que o banco foi condenado mesmo assim?

O 2º Núcleo de Justiça 4.0 — Cível Privado do TJ-MG não aceitou essa tese. A decisão manteve a condenação do banco e da fintech a:

  • Restituir em dobro o valor transferido (R10,2milx2=R 20.476);
  • Pagar indenização por danos morais de R$ 5 mil.

Alguns pontos foram fundamentais:

1. Movimentações atípicas em relação ao perfil do cliente

O relator, juiz auxiliar de segundo grau Wauner Batista Ferreira Machado, destacou que as transferências destoavam do padrão de consumo do cliente. Isso, por si só, já indica falha no dever de segurança:

A instituição financeira tem o dever de adotar mecanismos que obstem operações totalmente atípicas em relação ao padrão de consumo dos consumidores, o que denota a vulnerabilidade do sistema bancário.

Ou seja, não basta o banco dizer que a senha foi usada. Ele precisa demonstrar que possui sistemas eficazes para identificar e bloquear transações claramente suspeitas, sobretudo quando fogem ao comportamento habitual do correntista.

2. Selfie sem validação biométrica prévia não é prova suficiente

Os bancos apresentaram uma selfie do cliente como “prova” de que ele teria validado conscientemente as operações. O tribunal, porém, considerou essa prova insuficiente, pelos seguintes motivos:

  • A selfie era apenas uma foto, sem cruzamento com banco de dados biométrico previamente cadastrado;
  • Não havia demonstração técnica de que aquela imagem resultava de um processo robusto de autenticação biométrica.

Como destacou o relator, “documentos unilaterais e a simples selfie, desacompanhada de indicativo de biometria facial com registro prévio, não possuem o condão de demonstrar que as transações se deram por vontade do autor”.

Em outras palavras:
Selfie por si só não é sinônimo de segurança. É preciso haver um sistema estruturado de biometria facial, com cadastro prévio, verificação automatizada e logs confiáveis.

Restituição em dobro: aplicação de tese do STJ

Outro ponto relevante é que o tribunal aplicou a tese fixada pelo Superior Tribunal de Justiça (STJ), no julgamento do EAREsp 600.663, que estabelece:

  • Para cobranças indevidas contrárias à boa-fé objetiva, ocorridas após 30/03/2021, a regra é a restituição em dobro, salvo engano justificável.

Como o caso envolvia transferência Pix fraudulenta, sem solução pela via administrativa e com falha de segurança do sistema bancário, o TJ-MG reconheceu:

  • A lesão ao consumidor;
  • A violação à boa-fé objetiva por parte das instituições;
  • O direito à devolução em dobro do prejuízo material.

Danos morais: por que não é “mero aborrecimento”

Além de recuperar o valor em dobro, o consumidor também obteve:

  • R$ 5 mil por danos morais.

O tribunal entendeu que:

  • A fraude bancária;
  • A perda momentânea de valores significativos;
  • A insegurança gerada; e
  • Os transtornos para tentar resolver o problema sem sucesso na via administrativa

extrapolam o mero aborrecimento cotidiano e violam direitos de personalidade do consumidor (tranquilidade, segurança, confiança legítima no serviço bancário).

O que essa decisão ensina para consumidores e bancos

Para consumidores

  1. Fornecer dados sob coação ou manipulação não te torna automaticamente culpado.
    A Justiça reconhece que o contexto de fraude eletrônica é complexo e envolve vulnerabilidades técnicas e psicológicas.
  2. Movimentações atípicas podem indicar falha do banco.
    Se você nunca faz Pix de alto valor e, de repente, seu app registra várias transferências sequenciais para contas desconhecidas, o banco deve ter mecanismos para identificar isso como suspeito.
  3. Contestar imediatamente é fundamental.
    Registre boletim de ocorrência, contate o banco por todos os canais, guarde números de protocolo e evidências das ligações.
  4. Você tem direito à análise adequada da contestação.
    Negativas genéricas do banco (“a senha foi usada, logo o senhor é responsável”) podem ser questionadas judicialmente.

Para entender melhor o funcionamento do Pix, direitos e cuidados práticos, vale conferir nosso conteúdo especializado em InicialPix, onde aprofundamos essas discussões e boas práticas de segurança.

Para bancos e fintechs

  1. Validação biométrica tem de ser real, não apenas cosmética.
    Selfies soltas, sem cruzamento com base biométrica prévia, não bastam como prova de que a transação expressa a vontade do cliente.
  2. Sistemas antifraude precisam considerar o perfil de consumo.
    Não é mais aceitável, do ponto de vista jurídico, um sistema que apenas “aceita tudo” mediante senha, sem qualquer inteligência comportamental.
  3. Boa-fé objetiva e dever de segurança são centrais.
    O banco presta um serviço de risco e responde objetivamente por falhas na segurança, mesmo em situações em que o cliente foi enganado por terceiros.

Como se proteger de golpes que usam selfie e senha no Pix

Além de conhecer seus direitos, é importante adotar algumas medidas preventivas:

  • Nunca compartilhe senhas, tokens ou códigos de segurança, mesmo que o contato pareça vir do banco, da Justiça, da polícia ou de “suporte do Pix”.
  • Desconfie de pedidos de selfie para “atualizar cadastro” ou “evitar bloqueio da conta” recebidos por WhatsApp, SMS ou ligações.
  • Ative todas as camadas de segurança disponíveis no app, como biometria, limite diário de Pix e notificações em tempo real.
  • Mantenha seu aplicativo sempre atualizado para contar com as últimas correções de segurança.
  • Em caso de suspeita, bloqueie imediatamente o app (ou o cartão virtual) pelos canais oficiais do banco e registre ocorrência.

Se quiser aprofundar em configurações de segurança, limites, tipos de golpes e formas de resposta rápida, veja também nosso material em Inicial Pix, que traz orientações práticas para o dia a dia.

Conclusão

A decisão do TJ-MG deixa um recado claro:
o simples uso de senha e selfie não afasta, por si só, a responsabilidade do banco em fraudes via Pix, especialmente quando:

  • movimentações atípicas em relação ao perfil do cliente; e
  • Não existe validação biométrica efetiva nem mecanismos adequados de detecção de anomalias.

Para o consumidor, isso significa que vale a pena lutar pelos seus direitos quando for vítima de fraude, sobretudo se o banco se limitar a respostas padrão. Para as instituições financeiras, é um alerta de que a segurança digital precisa ser levada a sério — tanto do ponto de vista tecnológico quanto jurídico.

Se você utiliza Pix com frequência ou já passou por situação semelhante, recomendo que veja também nosso conteúdo em Inicial Pix, onde tratamos detalhadamente de segurança, limites, responsabilidades e boas práticas no uso do sistema de pagamentos instantâneos.