1. A armadilha invisível do mundo digital

Em outubro de 2024, um advogado com 22 anos de prática forense em Recife transferiu R$ 47.000,00 para uma conta que jamais havia visto. E fez isso com o próprio dedo: biometria confirmada, operação concluída. O golpista não precisou invadir nada. Apenas ligou, fingiu ser do banco e conduziu a vítima, passo a passo, até o abismo financeiro. Esse poderia ser você!!

Esse cenário, com variações, repete-se diariamente no Brasil. O que chama atenção não é a sofisticação técnica do ataque — é o perfil da vítima: profissionais altamente qualificados, com QI elevado e anos de formação. A crença de que "sou inteligente demais para cair num golpe" é, ela própria, um fator de vulnerabilidade.

O presente texto tem propósito prático e informativo, com referências técnicas de excelência no ecossistema digital brasileiro. Analisa os mecanismos de vulnerabilidade mais explorados, contextualiza suas dimensões jurídicas e oferece diretrizes concretas para o advogado, tanto para se proteger quanto para orientar clientes.

2. As armadilhas que esperam por você: vulnerabilidades em destaque

2.1 A senha do celular: sua primeira linha de defesa (e a mais ignorada)

Todo dispositivo móvel possui uma senha de desbloqueio como mecanismo de último recurso — ativada quando a biometria falha ou o aparelho é reiniciado. Se essa senha for fraca — quatro dígitos sequenciais, data de aniversário — um criminoso que subtraia o celular terá acesso ao aparelho em segundos.

Para o advogado, o furto do celular pode ser simultaneamente o furto das credenciais bancárias, dos documentos em nuvem e do e-mail institucional. Uma senha fraca transforma um delito patrimonial simples em uma janela aberta para dados sigilosos de clientes — com potenciais implicações disciplinares perante a OAB.

2.2 O combo que protege: senha forte + biometria + senhas únicas

O princípio da autenticação multifator exige algo que você sabe (senha) e algo que você é (biometria). Mas há um ponto frequentemente ignorado: usar a mesma senha em serviços diferentes é o mesmo que usar a mesma chave para o escritório, o carro e o cofre. Quando uma base de dados vaza — o Brasil conhece bem esse drama —, criminosos testam automaticamente aquelas credenciais em todos os serviços possíveis, num ataque chamado credential stuffing.

Ainda mais grave: muitos profissionais guardam senhas em blocos de notas, aplicativos de contatos ou navegadores do celular. Faça o teste agora: pesquise a palavra "senha" no próprio dispositivo. O resultado costuma ser uma surpresa desagradável.

2.3 Aplicativos falsos, anúncios fraudulentos e atualizações ignoradas

Versões sofisticadas de trojans bancários — como as famílias Grandoreiro e BRata — conseguem se sobrepor à interface legítima do banco, exibindo telas falsas que capturam credenciais em tempo real. O usuário acredita estar interagindo com o app oficial; na realidade, está entregando as chaves do cofre ao golpista.

Outro vetor crescente: golpistas criam páginas falsas de bancos e as promovem via anúncios patrocinados. O resultado é que a pesquisa por "meu banco" no Google pode retornar um site fraudulento como primeiro resultado — que pagou para estar ali. A regra de ouro: digitar sempre o endereço diretamente na barra do navegador e salvá-lo nos favoritos.

Dispositivos com sistemas desatualizados mantêm abertas janelas de segurança que o fabricante já fechou. Em termos jurídicos, o uso de sistemas sem suporte técnico pode ser considerado conduta contributiva em caso de fraude — enfraquecendo eventual ação contra a instituição financeira.

2.4 Limites, alertas e o golpe do falso funcionário

Reduzir os limites de Pix, TED e DOC é a medida preventiva mais simples — e mais ignorada. Se o limite estiver alto, um único golpe pode ser catastrófico. O Banco Central, reconhecendo essa vulnerabilidade, estruturou o Mecanismo Especial de Devolução (MED), atualizado em sua versão 2.0[i][1] pela Resolução BCB n. 493/2025[2]. O MED permite que a vítima registre a contestação em até 80 dias corridos após a transação; acionado o mecanismo, a instituição receptora bloqueia cautelarmente os valores e o banco têm até 7 dias corridos para concluir a análise — com devolução efetivada em até 96 horas após a confirmação da fraude. A devolução, contudo, depende de saldo disponível na conta de destino e, nas hipóteses de rastreamento de contas intermediárias, pode alcançar até 90 dias adicionais de monitoramento. A prevenção, portanto, permanece incomparavelmente mais eficaz do que a reparação.

E então chegamos ao ponto mais importante — e mais sistematicamente ignorado: instituições financeiras legítimas não entram em contato solicitando senhas, tokens ou códigos QR. O golpe do falso funcionário do banco não explora nenhuma vulnerabilidade técnica. Explora a deferência psicológica a figuras de autoridade, a urgência artificial e a confiança construída com dados vazados anteriormente. A regra é simples: encerre imediatamente qualquer contato não solicitado que peça dados financeiros.

2.5 Outras proteções: cartão virtual, DDA e e-mail exclusivo

O cartão virtual para compras online possui dados distintos do físico e pode ser descartado após o uso — limitando a utilidade de qualquer dado capturado. O Débito Direto Autorizado (DDA) elimina o risco de adulteração de boletos ao registrá-los eletronicamente antes do pagamento — proteção valiosa para quem paga custas judiciais e honorários periciais rotineiramente. E criar um e-mail exclusivo para cadastros financeiros, não logado no celular, elimina um vetor silencioso: a recuperação de senha via e-mail comprometido.

3. A bússola jurídica: responsabilidade, LGPD e o que fazer após o golpe

3.1 Responsabilidade objetiva dos bancos e o debate sobre culpa concorrente

A jurisprudência do STJ consolidou-se: bancos respondem objetivamente pelos danos causados por fraudes contra seus clientes. A Súmula n. 479/STJ é clara: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. (SÚMULA 479, SEGUNDA SEÇÃO, julgado em 27/06/2012, DJe 01/08/2012).[3]”

Contudo, as instituições têm invocado a culpa concorrente da vítima para reduzir sua responsabilidade. Os tribunais tratam esse argumento com cautela: ser enganado não é, por si só, culpa. Mas quando a conduta do correntista é flagrantemente imprudente — instalar app falso, fornecer senha voluntariamente — os julgadores têm reconhecido divisão de responsabilidades. Conhecer esse debate é essencial para a estratégia processual.

3.2 LGPD: a origem dos dados utilizados no golpe pode gerar nova ação

Muitos golpes utilizam dados pessoais reais da vítima — nome, CPF, agência, saldo — para construir narrativas convincentes. Esses dados frequentemente provêm de vazamentos anteriores. O artigo 42 da LGPD (Lei n. 13.709/2018) responsabiliza o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, obrigando-os à reparação. O artigo 43 estabelece as únicas hipóteses de exclusão dessa responsabilidade — provando que não realizaram o tratamento, que não houve violação à legislação, ou que o dano decorreu de culpa exclusiva do titular ou de terceiro. Já o artigo 44 define o conceito de tratamento irregular — aquele que descumpre a legislação ou não oferece a segurança que o titular pode razoavelmente esperar —, dispondo em seu parágrafo único que responde pelos danos decorrentes de violação da segurança dos dados o agente que deixar de adotar as medidas de segurança previstas no artigo 46 da mesma lei. Isso abre uma frente processual relevante: investigar a origem dos dados usados no golpe pode revelar um agente de tratamento responsável pelo vazamento — acionável de forma autônoma ou cumulativa com a ação contra o banco.

3.3 Providências imediatas: o roteiro de quem foi vítima

Quando o golpe já aconteceu, a atuação célere do advogado é decisiva. O roteiro recomendado:

a) Contatar imediatamente a instituição financeira pelo canal oficial — nunca pelo número de quem ligou — para registrar a fraude e, em casos de Pix, acionar o Mecanismo Especial de Devolução (MED), cujo prazo para contestação é de até 80 dias corridos após a transação; quanto mais célere o acionamento, maiores as chances de bloqueio do valor na conta de destino.

b) Registrar boletim de ocorrência na Delegacia de Crimes Cibernéticos ou plataforma virtual do estado, com o máximo de detalhes técnicos: número do remetente, links acessados, horário e valor da transação;

c) Preservar todos os registros digitais do golpe — capturas de tela com data e hora visíveis, histórico de mensagens, registros de chamada — observando as diretrizes básicas de cadeia de custódia digital;

d) Alterar todas as senhas comprometidas e habilitar autenticação em dois fatores;

e) Notificar a Autoridade Nacional de Proteção de Dados (ANPD) quando o golpe envolver claramente dados pessoais obtidos por vazamento.

4. Dois papéis, uma responsabilidade

O advogado ocupa uma posição dual nesse cenário. Como pessoa física, é alvo especialmente atraente: renda presumida mais elevada, acesso a recursos de clientes em contas de escritório, dados patrimoniais frequentemente publicados em registros públicos. Como profissional, é a quem o cliente recorre após o golpe e, cada vez mais, antes dele.

A competência em segurança digital bancária, portanto, não é um diferencial facultativo: é uma exigência crescente da prática jurídica contemporânea. Quem conhece os mecanismos subjacentes às ameaças e domina o quadro normativo aplicável está em posição significativamente melhor — para se proteger e para proteger os clientes.

REFERÊNCIAS

BANCO CENTRAL DO BRASIL. Resolução BCB n. 493, de 28 de agosto de 2025. Altera a Resolução BCB n. 1, de 12 de agosto de 2020, aperfeiçoando o Mecanismo Especial de Devolução no âmbito do arranjo de pagamento instantâneo (Pix). Brasília, DF: Banco Central do Brasil, 2025. Disponível em: https://www.bcb.gov.br/. Acesso em: 13 maio 2026.

BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 13 maio 2026.

BRASIL. Lei n. 14.155, de 27 de maio de 2021. Torna mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet. Brasília, DF: Presidência da República, 2021. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/l14155.htm. Acesso em: 13 maio 2026.

CERT.BR (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil). Banco via Internet. São Paulo: NIC.br/CGI.br, abr. 2023. (Fascículo da Cartilha de Segurança para Internet). Disponível em: https://cartilha.cert.br/. Acesso em: 13 maio 2026.

MITNICK, Kevin D.; SIMON, William L. The Art of Deception: Controlling the Human Element of Security. Indianapolis: Wiley, 2002.

SUPERIOR TRIBUNAL DE JUSTIÇA. Súmula n. 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Brasília, DF: STJ, julgada em 27 jun. 2012, publicada no DJe de 1 ago. 2012. Disponível em: https://www.stj.jus.br/. Acesso em: 13 maio 2026.

[1] Disponível em: https://www.serasa.com.br/premium/blog/mecanismo-especial-devolucao-med-pix/. Acesso em: 13 de maio de 2026.

[2] Disponível em: https://agenciabrasil.ebc.com.br/economia/noticia/2026-02/novas-regras-de-seguranca-do-pix-entram-em-vigor-veja-mudancas. Acesso em: 13 de maio de 2026.

[3] Disponível em: https://processo.stj.jus.br/SCON/sumstj/toc.jsp?sumula=479.num. Acesso em: 15 de maio de 2026.