Direito Digital

Golpe do Pix com inteligência artificial: voz clonada, deepfake e responsabilidade do banco

Publicado em Julho de 2026 · Por Fábio Persequino · Leitura: 13 min

Seu pai liga pedindo um Pix urgente. A voz é dele — o sotaque, o jeito de falar, a respiração entre as frases. Você transfere. Minutos depois, descobre que ele nunca ligou. A voz era artificial.

Esse cenário deixou de ser ficção científica. A inteligência artificial hoje consegue clonar a voz de qualquer pessoa a partir de poucos segundos de áudio público — um story no Instagram, um áudio no WhatsApp, um vídeo no TikTok. Nas versões mais avançadas, a IA também replica o rosto em videochamadas. É o chamado deepfake.

Segundo dados da Polícia Federal divulgados em 2026, 42,5% das fraudes financeiras no Brasil já utilizam ferramentas de inteligência artificial. O uso de deepfakes cresceu 830% entre 2024 e 2025. As perdas com golpes via Pix atingiram R$ 6,5 bilhões em 2025, segundo o Banco Central.

Este artigo explica como esses golpes funcionam na prática, o que mudou com as novas regras de segurança do Pix em 2026 e, principalmente, quando o banco é obrigado a devolver o dinheiro.

Como a IA é usada para aplicar o golpe

A mecânica do golpe evoluiu. Não se trata mais de um desconhecido pedindo Pix por mensagem de texto. As principais modalidades com uso de inteligência artificial são:

Clonagem de voz

A IA extrai o padrão vocal de uma pessoa a partir de uma amostra curta de áudio — bastam cerca de 15 segundos. Com isso, gera falas completas que imitam timbre, entonação e sotaque. O golpista liga para a vítima simulando ser um familiar em situação de emergência: acidente, sequestro, problema médico. A urgência impede a verificação. A vítima transfere por impulso.

Deepfake em videochamada

Em versões mais sofisticadas, a IA não apenas clona a voz, mas também replica o rosto em tempo real durante uma videochamada. A vítima vê e ouve a pessoa que acredita ser real. Essa modalidade tem sido usada especialmente em golpes corporativos — um funcionário recebe videochamada do "diretor financeiro" autorizando transferência — mas já atinge consumidores comuns.

Falsa central de atendimento com IA

O golpista usa IA para simular o sistema de atendimento automatizado do banco, com vozes sintéticas que reproduzem o padrão das URAs reais. A vítima acredita estar falando com o banco e fornece dados, senhas ou realiza transferências "de segurança". Em alguns casos, a linha telefônica da vítima é clonada por SIM swap antes do contato, o que faz o número do banco aparecer no identificador de chamadas.

Perfis falsos com imagens geradas por IA

Fotos de perfil criadas por inteligência artificial — que não correspondem a nenhuma pessoa real — são usadas para criar contas em redes sociais e marketplaces. Esses perfis simulam vendedores, prestadores de serviço ou até perfis amorosos. A interação culmina em transferências via Pix para contas controladas pelo fraudador.

O que o diferencia do golpe "comum"

A distinção importa juridicamente. No golpe tradicional — mensagem de texto de número desconhecido pedindo Pix —, a vítima tem mais elementos para desconfiar. O banco pode tentar argumentar que houve negligência do consumidor.

Com a inteligência artificial, o cenário muda. A vítima ouve a voz exata do familiar, vê o rosto dele na tela ou recebe ligação aparentemente do próprio banco. A sofisticação do golpe elimina os sinais de alerta que um consumidor médio poderia perceber.

Isso tem implicação direta na responsabilidade do banco: se o golpe é tão sofisticado que engana até pessoas diligentes, a tese de "culpa exclusiva do consumidor" — que é a principal defesa dos bancos — perde força.

O que mudou em 2026: novas regras de segurança do Pix

O Banco Central implementou mudanças significativas no sistema de segurança do Pix em 2026, em resposta direta ao aumento das fraudes:

MED 2.0 — obrigatório desde fevereiro de 2026

Desde 2 de fevereiro de 2026, todas as instituições financeiras são obrigadas a adotar a versão 2.0 do Mecanismo Especial de Devolução (Agência Brasil, 02/02/2026). As principais novidades:

Novas exigências para instituições financeiras — março de 2026

As Resoluções BCB n.os 498, 501 e 664 trouxeram exigências adicionais que entraram em vigor em março de 2026. Instituições de pagamento precisam comprovar capital mínimo de R$ 7 milhões e prestadores de serviços de tecnologia devem aportar ao menos R$ 15 milhões. O objetivo é garantir que apenas empresas com capacidade real de investir em segurança operem no ecossistema do Pix.

Especialistas estimam que as mudanças podem reduzir em até 40% os golpes considerados bem-sucedidos.

Quando o banco responde: a Súmula 479 do STJ

A regra geral está consolidada na Súmula 479 do STJ:

"As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

Em termos práticos: se a fraude aconteceu dentro do sistema bancário e o banco falhou em algum ponto — verificação de identidade, monitoramento de transações, resposta ao MED —, a responsabilidade é objetiva. O banco responde independentemente de culpa.

Situações em que a responsabilidade do banco é clara

A jurisprudência recente tem condenado bancos especialmente quando:

Em abril de 2026, a 3.a Turma Cível do TJDFT confirmou a responsabilidade do banco em caso de golpe da falsa central de atendimento, fixando indenização por danos morais presumidos (in re ipsa) pela fraude e pela negativação indevida decorrente. O TJMT, no mesmo período, condenou instituição financeira após idosa perder R$ 68 mil em golpe semelhante.

Quando o banco NÃO responde

A responsabilidade objetiva não é absoluta. O banco pode se eximir se provar culpa exclusiva do consumidor. Na prática, isso exige demonstrar que o consumidor agiu com negligência grave — por exemplo, forneceu senha e token a terceiro fora de qualquer contexto de engenharia social — e que os sistemas de segurança do banco funcionaram corretamente.

No entanto, quando o golpe usa inteligência artificial para simular voz, rosto ou central do banco, a tese de culpa do consumidor é muito mais difícil de sustentar. O nível de sofisticação da fraude torna praticamente impossível que o consumidor médio identificasse o golpe.

O que fazer imediatamente

  1. Conteste pelo aplicativo do banco. Desde fevereiro de 2026, todos os bancos são obrigados a oferecer botão de contestação no app. Isso aciona o MED 2.0 e inicia o rastreamento em cadeia.
  2. Ligue também para o SAC e peça protocolo. O registro duplo (app + telefone) reforça a prova de que você agiu com rapidez.
  3. Registre boletim de ocorrência. Pode ser online, pela delegacia eletrônica do seu estado.
  4. Preserve todas as provas. Registro de chamadas, prints de conversas, comprovante do Pix, extratos. Se recebeu ligação com voz clonada, anote o número, a duração da chamada e descreva o que foi dito — esses detalhes são relevantes para demonstrar a sofisticação do golpe.
  5. Notifique o banco por escrito. E-mail ou mensagem pelo app com descrição detalhada. Isso fixa a data para contagem de eventuais danos.

O que se pode pedir na Justiça

Quando o MED não resolve — seja porque o dinheiro já foi sacado, seja porque o banco não cooperou —, a via judicial é o caminho. Os pedidos típicos incluem:

A ação pode ser ajuizada na Justiça comum estadual (relação de consumo), com possibilidade de Juizado Especial Cível para valores até 40 salários mínimos. A gratuidade da justiça (art. 98 do CPC) é cabível quando a renda do autor não permitir arcar com as custas sem prejuízo do sustento.

Provas que fortalecem o caso

Em golpes com IA, a prova da sofisticação da fraude é tão importante quanto a prova do prejuízo. Organize:

A ata notarial de conteúdo digital confere fé pública às provas e elimina questionamentos sobre manipulação. Se o valor envolvido for alto, vale o investimento.

Como se proteger

A melhor defesa contra golpes com IA é um protocolo de verificação que a tecnologia não consegue burlar:

Prazo para agir

O prazo prescricional para ação de reparação de danos contra o banco é de 5 anos (art. 27 do CDC). Para o MED, o prazo é de 80 dias corridos após o Pix. Quanto mais cedo a ação for proposta, maiores as chances de localizar valores bloqueáveis.

Leia também: Caí no golpe do Pix: como recuperar o dinheiro → · WhatsApp ou Instagram hackeado → · STF amplia responsabilidade das redes sociais →

Perdeu dinheiro em golpe com voz clonada ou deepfake?

Avaliamos se o banco deve responder pelo prejuízo e orientamos a melhor estratégia para recuperar o valor.

Falar com o advogado
Não sabe se o banco deve indenizar? Faça o diagnóstico gratuito →