Fraudes no Pix e responsabilidade do banco: o que muda com o MED 2.0 (Resolução BCB nº 493/2025) e a jurisprudência atual do STJ

O cenário regulatório e judicial das fraudes no Pix em 2026

O Pix consolidou-se como o principal meio de pagamento do país, mas tornou-se também o vetor preferencial das fraudes financeiras digitais.

A engenharia social, o golpe da falsa central de atendimento, o golpe do falso leilão e o uso de contas-laranja levaram a uma explosão de litígios contra instituições financeiras e instituições de pagamento.

A resposta normativa veio em duas frentes: o aprimoramento do Mecanismo Especial de Devolução pela Resolução BCB nº 493/2025, que instituiu o chamado MED 2.0, e o adensamento da jurisprudência do STJ ao longo de 2025 e do início de 2026.

A pergunta operacional para o advogado deixou de ser apenas "o banco responde?".

A pergunta atual é: em que hipóteses o banco responde, com que extensão, e como articular a contestação ao MED com a tutela judicial em tempo hábil para preservar o crédito da vítima?

A base consumerista da responsabilidade do banco

A relação entre o titular da conta e a instituição financeira é, sem qualquer divergência relevante, de natureza consumerista.

A premissa decorre da Súmula 297 do STJ, com o seguinte enunciado:

Súmula 297. O Código de Defesa do Consumidor é aplicável às instituições financeiras.

A consequência imediata é a incidência do art. 14 da Lei nº 8.078/1990, que consagra a responsabilidade objetiva do fornecedor por defeito na prestação do serviço.

Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

§ 1º O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes (...).

O dever de segurança, portanto, é elemento estrutural do contrato bancário e abrange não apenas a integridade física do consumidor, mas a integridade patrimonial dos valores depositados.

Súmula 479 e Tema 466 do STJ: o coração da matéria

A jurisprudência do STJ pacificou a matéria em duas balizas principais.

A primeira é a Súmula 479, com a seguinte redação:

Súmula 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

A segunda é o Tema Repetitivo 466, fixado no julgamento do REsp nº 1.197.929/PR, sob a sistemática vinculante prevista no atual art. 1.036 e seguintes do CPC.

A tese central é idêntica à do enunciado sumular e impõe a todos os juízos vinculação obrigatória ao entendimento.

A consequência prática é que, em ações indenizatórias por fraude no Pix, o ônus argumentativo do banco não é demonstrar que não foi culpado, mas demonstrar que o defeito do serviço inexistiu ou que houve culpa exclusiva do consumidor ou de terceiro, na forma do art. 14, § 3º, do CDC.

A distinção decisiva: fortuito interno e fortuito externo

A jurisprudência divide as fraudes em duas categorias operacionais.

O fortuito interno é aquele inerente ao risco do empreendimento bancário e dele indissociável, como o uso de contas abertas com documentos falsos, a clonagem de senhas, falhas no monitoramento de transações atípicas e omissão no bloqueio após contestação tempestiva.

O fortuito externo é aquele cuja causa é estranha ao serviço bancário, exemplificativamente o caso em que o consumidor, fora do ambiente do banco, decide voluntariamente transferir valores para terceiro com quem manteve negociação privada.

A linha divisória nem sempre é nítida, e é exatamente nessa zona cinzenta que se concentra a litigiosidade contemporânea.

A virada interpretativa relevante, observada nos julgados de 2025, foi a expansão da noção de fortuito interno para abranger as falhas no dever de monitoramento de perfil transacional.

As principais modalidades de fraude e o que decidiu o STJ

O contencioso atual gira em torno de modalidades específicas que merecem tratamento individualizado.

Golpe da falsa central de atendimento

Em julgamento concluído em 21 de outubro de 2025, a Terceira Turma do STJ, sob relatoria do ministro Ricardo Villas Bôas Cueva, decidiu, por unanimidade, no REsp nº 2.222.059 e no REsp nº 2.229.519, que bancos e instituições de pagamento respondem por prejuízos quando deixam de identificar transações totalmente dissonantes do perfil do correntista.

O caso paradigma envolveu cliente de baixa movimentação que, em um único dia, sofreu catorze operações distintas, contratação de empréstimo e pagamento de boleto na função crédito, totalizando mais de cento e quarenta mil reais.

A Corte fixou, na prática, o dever ativo de monitoramento como elemento do dever de segurança bancária, e não como mero serviço facultativo.

Falha de segurança e culpa concorrente afastada

Em decisão divulgada em 13 de novembro de 2025, o STJ reafirmou que, presente a falha do sistema de segurança bancária, é incabível a tese de culpa concorrente para reduzir a indenização.

O entendimento é estratégico para a defesa do consumidor.

A instalação de aplicativo malicioso por orientação de falso preposto bancário não configura, segundo o tribunal, assunção consciente de risco capaz de atrair a aplicação do art. 945 do Código Civil em desfavor da vítima.

Bancos digitais e abertura de contas-laranja

Em sentido oposto, o STJ tem afastado a responsabilidade da instituição quando demonstrado que a abertura da conta utilizada pelo fraudador observou todos os requisitos da regulamentação do Banco Central.

O precedente decidido em janeiro de 2025 reforçou que a regulamentação aplicável às contas digitais transfere ao banco a definição dos protocolos mínimos de qualificação simplificada, mas, uma vez observados, não há defeito do serviço.

A leitura correta do precedente, contudo, é que a tese só vale quando a instituição comprova rigorosamente o cumprimento integral do procedimento — ônus que é seu, e não da vítima.

Engenharia social e culpa exclusiva da vítima

O STJ vem distinguindo, em julgados recentes, as hipóteses em que a vítima atua de modo manifestamente irrazoável daquelas em que é induzida por técnica de persuasão sofisticada.

A entrega voluntária de senha em deslocamento físico até agência bancária para franquear acesso a golpistas, por exemplo, foi reconhecida como conduta apta a romper o nexo causal.

Já a instalação de aplicativo malicioso ou o pagamento de boleto falso emitido com base em dados vazados do próprio sistema bancário mantém o liame com o serviço e atrai a responsabilidade da instituição.

O Tema 352 da TNU: padronização para os Juizados Especiais Federais

Em sessão de 12 de novembro de 2025, a Turma Nacional de Uniformização dos Juizados Especiais Federais fixou tese vinculante no Tema 352 com três comandos centrais.

• A responsabilidade das instituições financeiras em fraudes via Pix por engenharia social é objetiva, com base no art. 14 do CDC, salvo prova de inexistência de defeito do serviço ou de culpa exclusiva do consumidor ou de terceiro.
• A entrega voluntária, ainda que induzida, de credenciais bancárias pode caracterizar culpa concorrente, conduzindo à aplicação do art. 945 do Código Civil para ajuste proporcional do valor indenizatório, sem afastar o dever de indenizar.
• A responsabilidade não é excluída quando há falha na adoção de mecanismos eficazes de prevenção e bloqueio de transações atípicas, especialmente nos contextos de hipervulnerabilidade do consumidor.

A relevância prática do Tema 352 está em uniformizar a atuação dos juizados federais e em pavimentar o caminho para teses correlatas no âmbito da Justiça Estadual.

O MED 2.0: a nova arquitetura regulatória da Resolução BCB nº 493/2025

A resposta regulatória mais relevante chegou pelo Banco Central.

A Resolução BCB nº 493, de 28 de agosto de 2025, alterou a Resolução BCB nº 1/2020 e instituiu a chamada funcionalidade de Recuperação de Valores, em substituição à arquitetura original do Mecanismo Especial de Devolução criado pela Resolução BCB nº 103/2021.

A implementação tornou-se obrigatória a partir de 2 de fevereiro de 2026 para participantes do Pix nas modalidades de provedor de conta transacional e liquidante especial.

As mudanças relevantes para o contencioso são, em síntese:

• Bloqueio imediato dos recursos suspeitos após a notificação de infração, sem dependência de análise prévia.
• Possibilidade de rastreamento e bloqueio em até cinco camadas subsequentes de contas, e não apenas na primeira conta recebedora.
• Disponibilidade do botão de contestação no aplicativo do banco, permitindo o registro digital direto pela vítima.
• Manutenção do prazo de até oitenta dias para o usuário pagador registrar o pedido de devolução, contado da data da transação.

O efeito jurídico é duplo.

De um lado, a vítima dispõe de instrumento administrativo mais robusto para recuperar valores antes do ajuizamento.

De outro, eventuais omissões da instituição em ativar o MED 2.0 dentro dos prazos regulatórios passam a configurar elemento adicional de defeito do serviço, com impacto direto na argumentação do art. 14 do CDC.

Atualizações jurisprudenciais e cenário para 2026

O Informativo de Jurisprudência Edição Extraordinária nº 29 do STJ, divulgado em 20 de janeiro de 2026, consolidou os parâmetros centrais da matéria.

A linha argumentativa atual exige que o sistema de proteção bancária considere o perfil de consumo do cliente, o horário e o local das operações, o intervalo entre transações, a sequência das operações e a contratação de empréstimos atípicos imediatamente anteriores a transferências suspeitas.

A leitura combinada do precedente com o MED 2.0 indica que, em 2026, a tese defensiva tradicional do banco — fundada apenas em senha pessoal e autenticação biométrica — perde sustentação.

A jurisprudência tende a exigir comprovação de que o sistema de monitoramento atuou ativamente, e não apenas que as credenciais foram corretamente validadas.

Pontos de atenção para o advogado

A reorganização do tema impõe ajustes operacionais imediatos na rotina contenciosa.

• Estruturação probatória da petição inicial: instruir desde o início com extrato detalhado, comprovante do registro do MED, protocolo de comunicação ao banco e demonstração da incompatibilidade da operação com o perfil transacional da vítima.
• Tutela de urgência para bloqueio: pleitear, com base no art. 300 do CPC, o bloqueio imediato dos valores na conta do recebedor, especialmente quando a contestação ao MED tiver sido apresentada tempestivamente e o banco não tiver acionado a Recuperação de Valores prevista no MED 2.0.
• Inversão do ônus da prova: invocar expressamente o art. 6º, VIII, do CDC, sustentando hipossuficiência técnica e verossimilhança das alegações, especialmente em casos de hipervulnerabilidade.
• Quantificação do dano moral: fundamentar pedido autônomo, demonstrando o abalo psíquico e o comprometimento financeiro relevante, com referência aos parâmetros recentes da jurisprudência.
• Atenção à culpa concorrente: quando houver entrega voluntária de credenciais, dimensionar o pedido de modo realista, considerando a possibilidade de redução proporcional na linha do art. 945 do CC e do Tema 352 da TNU.
• Defesa preventiva da instituição: para o advogado da banca, documentar integralmente o cumprimento da Resolução BCB nº 493/2025 e dos protocolos de monitoramento de perfil, sob pena de assunção integral do prejuízo.

Como o JusDocs pode ajudar

O JusDocs disponibiliza aos advogados assinantes acervo atualizado de modelos de petições processuais voltados ao contencioso bancário e consumerista, incluindo petição inicial de indenização por danos materiais e morais decorrentes de fraude no Pix, contestação para a defesa da instituição financeira e agravo de instrumento para reverter decisões de indeferimento de tutela de urgência.

A plataforma oferece ainda fluxogramas detalhados sobre os principais procedimentos do contencioso cível e do trabalhista, ferramenta indispensável para a estruturação cronológica das ações e para o domínio das fases processuais.

Com a JusDog IA, o advogado pode consultar jurisprudência atualizada sobre a Súmula 479 do STJ, o Tema 466 dos Repetitivos, o Tema 352 da TNU e o REsp 2.222.059, além de adaptar peças e construir teses sobre fortuito interno, falha de monitoramento e culpa concorrente com agilidade e precisão técnica.

Conclusão

O regime jurídico das fraudes no Pix entrou, em 2026, em uma nova etapa de maturação.

A jurisprudência do STJ consolidou o dever ativo de monitoramento como elemento do dever de segurança e endureceu a fronteira entre culpa exclusiva e culpa concorrente.

A regulação do Banco Central, com o MED 2.0, ampliou a capacidade de recuperação administrativa de valores e criou novos parâmetros para a aferição do defeito do serviço.

O efeito sobre a advocacia é direto.

A petição inicial bem estruturada deixa de ser uma narrativa genérica de "golpe do Pix" e passa a ser uma demonstração técnica de que o sistema de segurança falhou em pontos específicos identificáveis pelo Banco Central e pela jurisprudência.

A defesa da instituição, por sua vez, exige documentação exaustiva do cumprimento dos protocolos regulatórios e da efetiva ativação dos mecanismos de prevenção.

Cabe ao advogado conhecer não apenas a Súmula 479, mas o ecossistema regulatório que se construiu em torno dela, articulando o CDC, o regulamento do Pix e a jurisprudência mais recente para entregar ao cliente uma defesa tecnicamente alinhada ao novo paradigma.