Caí no golpe do Pix: como recuperar o dinheiro e quando o banco deve indenizar

Você transferiu dinheiro via Pix e só depois percebeu que era golpe. O desespero é imediato — e a dúvida também: dá para recuperar? A resposta depende de duas coisas: da rapidez com que você agir nas primeiras horas e de quem falhou no caminho.

Em 2025, cerca de 24 milhões de brasileiros foram vítimas de golpe via Pix ou boleto falso, com prejuízo agregado próximo de R$ 29 bilhões. A perda média por vítima ficou em torno de R$ 1.198. Em 2026, os números continuam subindo — e os golpes estão mais sofisticados, com uso de inteligência artificial e deepfakes que tornam as abordagens quase indistinguíveis de contatos reais.

Este artigo explica o que fazer imediatamente após o golpe, como funciona o MED 2.0, quando o banco responde pelos prejuízos e como buscar a reparação judicial.

Os golpes mais comuns em 2026

Conhecer os tipos de golpe é importante para entender a discussão jurídica que vem depois — em especial, se o banco deveria ter detectado a fraude.

Falso funcionário de banco

O golpista liga para a vítima simulando ser da central de atendimento do banco. Usa número que aparenta ser oficial (spoofing de caller ID), cita dados pessoais reais obtidos em vazamentos e cria urgência: "identificamos uma tentativa de fraude na sua conta, precisamos que o senhor faça uma transferência de segurança". A vítima, acreditando estar protegendo seu dinheiro, faz o Pix para a conta do criminoso.

Este é o cenário que o STJ analisou nos REsps 2.222.059/SP e 2.229.519/DF (outubro de 2025), determinando que o banco responde quando falha em identificar transações atípicas.

Clonagem ou perfil falso de WhatsApp

O criminoso clona o WhatsApp de alguém próximo da vítima — ou cria um perfil falso com foto e nome idênticos — e pede uma transferência urgente. "Mãe, meu celular quebrou, estou com esse número novo. Preciso de um Pix urgente." A vítima transfere sem confirmar por outro canal.

Falso comprovante de Pix

O golpista envia uma imagem manipulada de comprovante de pagamento. A vítima (geralmente vendedor ou prestador de serviço) entrega o produto ou presta o serviço acreditando que o pagamento foi feito. Quando confere o saldo, descobre que nada entrou.

QR Code adulterado

Códigos QR falsos são sobrepostos aos legítimos em lives beneficentes, sites de e-commerce ou até em estabelecimentos físicos. A vítima escaneia achando que está pagando para o destinatário correto, mas o dinheiro vai para a conta do fraudador.

Golpe do Pix errado

O criminoso transfere um valor para a conta da vítima e logo em seguida liga pedindo a devolução — mas para uma chave Pix diferente da original. Quando a vítima devolve, o golpista aciona o MED junto ao próprio banco, alegando ter sido vítima de fraude na transação original. Resultado: o banco bloqueia o valor na conta da vítima, que fica com prejuízo duplo.

Primeiras horas: o que fazer imediatamente

A velocidade de reação é determinante. Quanto mais rápido você agir, maiores as chances de bloqueio do valor na conta do fraudador. Siga esta sequência:

1. Acione o MED pelo aplicativo do banco. Entre no app, localize a transação e registre a contestação por fraude. Isso inicia o Mecanismo Especial de Devolução e notifica o banco do recebedor para bloquear os valores.
2. Ligue para o SAC do banco imediatamente. Além do registro pelo app, ligue e peça protocolo. Deixe registrado por escrito (e-mail ou chat) que você solicitou o bloqueio.
3. Registre Boletim de Ocorrência. Pode ser online, pela Delegacia Eletrônica do seu estado. O B.O. é prova essencial para o processo judicial e para o próprio MED.
4. Preserve todas as provas. Capturas de tela das conversas (WhatsApp, SMS, e-mail), comprovante da transferência, número de protocolo do banco, print do perfil do golpista. Não delete nada.
5. Notifique o banco por escrito. Envie e-mail ou carta formal ao banco detalhando o ocorrido, os valores transferidos e solicitando providências. Isso formaliza o dever do banco de agir e fixa a data para contagem de eventuais danos.

MED 2.0: como funciona o mecanismo de devolução

O MED (Mecanismo Especial de Devolução) foi criado pelo Banco Central em 2021 (Resolução BCB nº 103) e passou por uma atualização significativa em 2025 com o MED 2.0 (Resolução BCB nº 493/2025), em vigor desde fevereiro de 2026.

O mecanismo funciona assim:

• Prazo para contestação: até 80 dias corridos após a realização do Pix.
• Bloqueio imediato: ao receber a notificação de fraude, o banco do recebedor deve bloquear os valores disponíveis na conta.
• Análise: as instituições envolvidas têm até 11 dias para analisar a contestação.
• Devolução: se confirmada a fraude, o valor é devolvido em até 96 horas.

A principal novidade do MED 2.0 é o rastreio em cadeia: o sistema agora pode seguir o dinheiro por até cinco transferências consecutivas, bloqueando valores em todas as contas intermediárias por onde o dinheiro passou. Antes, o bloqueio ficava restrito à primeira conta. Com o rastreio em cadeia, mesmo que o golpista tenha redistribuído os valores rapidamente, é possível alcançá-los.

Apesar da melhoria, o MED tem uma limitação prática: ele só funciona enquanto houver saldo na conta do recebedor. Se o golpista sacou tudo antes do bloqueio — o que é frequente — o mecanismo administrativo não resolve. É nesse ponto que entra a responsabilidade do banco.

Quando o banco responde: Súmula 479 do STJ

A Súmula 479 do STJ é clara:

"As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

Em português direto: fraudes bancárias são risco da atividade do banco. Se a fraude aconteceu dentro do sistema bancário — e não por conduta exclusiva do consumidor —, a instituição responde independentemente de culpa. É responsabilidade objetiva, fundada na teoria do risco da atividade (arts. 14 do CDC e 927, parágrafo único, do Código Civil).

O que o STJ consolidou em 2025

Entre outubro e novembro de 2025, a Terceira Turma do STJ julgou uma série de recursos que consolidaram parâmetros importantes para fraudes via Pix:

REsp 2.222.059/SP (Rel. Min. Ricardo Villas Bôas Cueva, 07/10/2025) — caso do golpe da falsa central de atendimento. O banco validou 14 transações em um único dia numa conta que historicamente fazia poucas movimentações por mês. O STJ entendeu que a ausência de mecanismos de detecção de transações atípicas configura defeito na prestação do serviço. A regra foi estendida expressamente a fintechs e instituições de pagamento.

REsp 2.220.333/DF (13/11/2025) — o STJ afastou a tese de culpa concorrente do consumidor. Quando a vítima é induzida por falso preposto bancário (engenharia social sofisticada), a falha do sistema de segurança do banco absorve integralmente a responsabilidade. Não cabe dividir o prejuízo.

REsp 2.222.137/SP — o banco-destino (que recebeu o Pix fraudulento) responde quando a conta foi aberta com documento falso ou quando não monitorou movimentações suspeitas na conta receptora.

Quando o banco NÃO responde

A responsabilidade objetiva não é absoluta. O banco pode se eximir se provar culpa exclusiva do consumidor. Na prática, isso exige demonstrar que:

• O consumidor agiu com negligência grave — por exemplo, forneceu senha e token deliberadamente a terceiro fora de qualquer contexto de engenharia social.
• Os sistemas de segurança do banco funcionaram corretamente — alertas foram emitidos, confirmações foram solicitadas e a transação não apresentava padrão atípico.

A jurisprudência exige do banco a prova dessas excludentes. O ônus é da instituição, não do consumidor. Na dúvida, a proteção é do cliente.

Há também decisões — como o REsp analisado em março de 2026 — em que o STJ afastou a responsabilidade do banco quando o golpe foi inteiramente iniciado em rede social, sem qualquer interação com o sistema bancário (por exemplo, a vítima viu um anúncio falso no Instagram e fez um Pix espontâneo para uma chave desconhecida, sem que houvesse qualquer simulação de contato bancário). Nesses casos, o STJ entendeu que se trata de fortuito externo — o golpe não decorreu de falha no serviço bancário.

Responsabilidade do banco recebedor

Um ponto que ganhou relevância em 2025-2026 é a responsabilidade do banco que abriu a conta do golpista. Se a instituição:

• Abriu a conta com documentos falsos ou sem verificação adequada do KYC (Know Your Customer).
• Não monitorou movimentações atípicas (múltiplos Pix de valores altos em curto período vindos de diversas origens).
• Não bloqueou os valores após notificação do MED dentro do prazo regulamentar.

Configura-se falha na prestação do serviço também pelo banco recebedor, que pode responder solidariamente pelos danos.

O que se pode pedir na Justiça

Quando o MED não resolve — seja porque o dinheiro já foi sacado, seja porque o banco não cooperou —, a via judicial é o caminho. Os pedidos típicos incluem:

• Restituição integral do valor transferido, corrigido monetariamente desde a data da fraude.
• Danos morais, especialmente quando o banco foi omisso, não acionou o MED tempestivamente ou ignorou alertas de transação atípica. Valores variam conforme o tribunal: TJRJ e TJSP têm deferido entre R$ 3.000 e R$ 15.000 em casos de fraude via Pix.
• Tutela de urgência (art. 300 do CPC) para bloqueio de valores na conta do fraudador, quando identificada.
• Juros de mora desde o evento danoso (art. 398 do CC) e honorários sucumbenciais.

A competência é da Justiça comum estadual (relação de consumo), com possibilidade de ajuizamento no Juizado Especial Cível para valores até 40 salários mínimos. A gratuidade da justiça (art. 98 do CPC) é cabível quando a renda do autor não permitir arcar com as custas sem prejuízo do sustento.

Provas que fazem diferença

A qualidade da prova determina o resultado do processo. Organize:

• Comprovante da transferência (extraído do app do banco, com data, hora, valor e chave Pix do destinatário).
• Prints das conversas com o golpista (WhatsApp, Instagram, SMS, e-mail). Se possível, faça capturas com metadados visíveis (horário, número de telefone).
• Protocolo do MED e registros de contato com o banco (data, hora, nome do atendente, número de protocolo).
• Boletim de Ocorrência.
• Extrato bancário dos últimos meses — demonstra o perfil habitual de movimentação, evidenciando que as transações fraudulentas eram atípicas.
• Notificação escrita ao banco (e-mail, carta com AR ou mensagem via app com print da confirmação de envio).

A cadeia de custódia digital importa: capturas de tela simples são aceitas, mas a ata notarial de conteúdo digital confere fé pública e elimina questionamentos sobre manipulação.

Prazo para agir

O prazo prescricional para ação de reparação de danos contra o banco é de 5 anos (art. 27 do CDC). Para o MED, o prazo é de 80 dias corridos após o Pix. Quanto mais cedo a ação for proposta, maiores as chances de localizar valores bloqueáveis e de demonstrar a urgência que justifica a tutela antecipada.

Leia também: Instagram desativou sua conta sem motivo → · Nome negativado indevidamente → · Tarifa bancária indevida →