ColunasLetícia Macedo

Golpes bancários e o sistema antifraude: a tutela do consumidor entre a opacidade algorítmica e o direito à restituição

Letícia Macedo de Oliveira

1. Introdução

Os golpes financeiros aplicados em ambiente digital deixaram de ser episódio isolado para se tornar um fenômeno de massa. O PIX, a conta digital e a engenharia social aproximaram a fraude do cotidiano de quem antes dificilmente seria alcançado, e a vítima preferencial costuma ser a pessoa idosa, conduzida por um roteiro desenhado para anular sua capacidade de avaliação. Para o consumidor lesado, a expectativa é que o banco, fornecedor do serviço, responda pela falha de segurança e restitua o valor subtraído.

A resposta que muitos recebem, porém, segue um padrão, em que o banco informa que as operações foram autenticadas com a senha do cliente e que o seu sistema antifraude não detectou irregularidade, concluindo daí pela culpa exclusiva da vítima e pela inexistência de defeito. Essa afirmação se apresenta como constatação técnica e definitiva, mas não é! Ela se apoia em um sistema automatizado de decisão cujos critérios são secretos, inacessíveis ao consumidor e, muitas vezes, ao próprio funcionário do banco.

Surge então a questão que interessa ao direito do consumidor: como assegurar a restituição quando a prova capaz de esclarecer a falha está inteiramente sob o domínio do fornecedor, trancada naquilo que a literatura sobre inteligência artificial chama de caixa-preta (black box)? A resposta passa pela responsabilidade objetiva, pela inversão do ônus da prova e pelos deveres de transparência impostos a quem decide por meio de algoritmos.

Este artigo examina, em cinco partes, a tutela do consumidor diante da opacidade do sistema antifraude bancário, trata do funcionamento e da opacidade do motor de decisão automatizado, do regime de responsabilidade do Código de Defesa do Consumidor, dos deveres de transparência na intersecção entre o CDC e a LGPD, e dos instrumentos processuais que permitem ao advogado demonstrar o vício do algoritmo em juízo, inclusive à luz do regramento recente do PIX.

A tese central é que a opacidade algorítmica não pode ser oposta ao consumidor como obstáculo probatório. Quem detém, com exclusividade, a informação técnica sobre a decisão automatizada tem o ônus de produzi-la, e a recusa em fazê-lo, sob o argumento do segredo de negócio, converte-se em presunção desfavorável ao próprio fornecedor.

2. O sistema antifraude e a opacidade algorítmica

Toda instituição que opera conta digital utiliza um sistema antifraude que pontua cada transação em tempo real e determina sua aprovação, bloqueio ou submissão a autenticação adicional. O motor de decisão cruza um amplo conjunto de variáveis, como horário, geolocalização, dispositivo, valor, destinatário, histórico do correntista, padrões comportamentais, e atribui à operação uma nota de risco que orienta a resposta automatizada.

A finalidade do sistema é legítima e, na maior parte das vezes, protetiva. O problema se manifesta quando a fraude supera o sistema, o valor é subtraído, e o mesmo mecanismo que falhou em barrar a operação é invocado para negar a restituição. Constrói-se, então, um raciocínio circular de que a aprovação automática da operação seria prova de sua legitimidade, e a legitimidade aparente afastaria o defeito do serviço.

Esse raciocínio depende de que ninguém examine o interior do sistema, e o exame é, por construção, inviável ao consumidor. Os critérios de pontuação não são públicos, os registros de decisão não são disponibilizados e a arquitetura do modelo é tratada como segredo de negócio. Em sistemas de aprendizado de máquina, a opacidade frequentemente alcança o próprio desenvolvedor, pois o modelo opera por correlações que não foram explicitamente programadas, a caixa-preta, nesse cenário, não é defeito a corrigir, mas característica da tecnologia, e é dessa característica que o fornecedor se beneficia ao deslocar para a vítima o ônus de provar o que não tem como acessar.

3. O regime do Código de Defesa do Consumidor

A incidência do Código de Defesa do Consumidor sobre as instituições financeiras está pacificada pela Súmula 297 do Superior Tribunal de Justiça, e a relação entre correntista e banco é relação de consumo em toda a sua extensão. Fixado o regime, seguem-se as consequências.

A primeira é a responsabilidade objetiva pelo defeito do serviço, nos termos do art. 14 do CDC, o fornecedor responde, independentemente de culpa, pela reparação dos danos causados por defeitos relativos à prestação dos serviços, assim entendidos os que não fornecem a segurança que deles legitimamente se espera. A segurança esperada de um serviço bancário contemporâneo inclui um sistema antifraude eficaz, e quando a fraude transita pelo próprio motor de detecção da instituição, o defeito se caracteriza no momento em que o valor é transferido. A excludente é estreita no § 3º do art. 14 só afasta a responsabilidade mediante prova de inexistência do defeito ou de culpa exclusiva do consumidor ou de terceiro, ônus que recai sobre o fornecedor, e não sobre a vítima.

Esse regime se reforça pela teoria do risco do empreendimento, positivada no art. 927, parágrafo único, do Código Civil, que impõe responsabilidade objetiva à atividade que, por sua natureza, implica risco para os direitos de outrem. No campo bancário, a jurisprudência consolidou essa lógica sob a denominação de fortuito interno, a Súmula 479 do STJ enuncia que as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. O enunciado consolidou o Tema 466 do STJ, firmado em recurso repetitivo, segundo o qual a responsabilidade por fraude de terceiro decorre do risco do empreendimento e configura fortuito interno. A fraude eletrônica não é, portanto, causa excludente automática, mas sim parte do risco inerente à atividade lucrativa do fornecedor.

A esses fundamentos soma-se a inversão do ônus da prova prevista no art. 6º, VIII, do CDC, cabível quando verossímil a alegação ou hipossuficiente o consumidor. A hipossuficiência relevante aqui é técnica e informacional, o consumidor não dispõe, e jamais disporá, dos registros e critérios do sistema antifraude, que permanecem em poder exclusivo do banco. Invertido o ônus, a indagação processual se desloca de saber se o consumidor provou a falha do sistema para saber se o banco provou o seu correto funcionamento. Acrescente-se o dever de informação adequada e clara do art. 6º, III, que alcança os critérios das decisões automatizadas com repercussão direta sobre o consumidor, a negativa fundada em genérico “comportamento suspeito detectado pelo sistema”, sem explicitação dos parâmetros acionados, descumpre dever legal e não constitui motivação idônea.

4. Transparência e decisão automatizada na intersecção entre o CDC e a LGPD

O sistema antifraude constitui, em essência, tratamento de dados pessoais em larga escala voltado a decisão automatizada com efeitos diretos sobre o titular. Sob a Lei Geral de Proteção de Dados, o art. 20 assegura ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, incluídas as destinadas a definir seu perfil de consumo e de crédito,o § 1º do mesmo artigo impõe ao controlador o dever de fornecer, quando solicitadas, informações claras e adequadas sobre os critérios e os procedimentos utilizados na decisão automatizada, observados os segredos comercial e industrial.

A ressalva ao segredo de negócio, contudo, não confere ao fornecedor opacidade absoluta,o já citado § 2º do art. 20 prevê que, na hipótese de o controlador deixar de prestar tais informações com base na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios no tratamento automatizado. A própria estrutura da lei contempla, assim, um mecanismo de abertura da caixa quando o sigilo é mobilizado para subtrair a decisão ao controle, quando esse direito à informação se conjuga com a relação de consumo, a recusa do banco em explicar a decisão que profere contra o consumidor caracteriza não apenas obstáculo probatório, mas violação autônoma de deveres legais de transparência.

5. A prova em juízo e o regramento do PIX

A consequência prática desse arcabouço é a possibilidade de exigir, em juízo, a abertura do sistema antifraude. O pedido de exibição dos registros e critérios da decisão automatizada, o histórico da transação contestada, os sinais lidos pelo motor, a pontuação de risco atribuída e a regra que determinou a aprovação, encontra amparo no dever de cooperação do art. 6º do Código de Processo Civil e na disciplina da exibição de documento ou coisa. A esse pedido associa-se a distribuição dinâmica do ônus da prova, autorizada pelo art. 373, § 1º, do CPC, quando a peculiaridade da causa torna impossível ou excessivamente difícil à parte o cumprimento do ônus ordinário, transferindo-o a quem detém a aptidão para a prova. O fornecedor que detém, com exclusividade, os elementos técnicos da decisão tem a aptidão e, por consequência, o ônus.

A recusa injustificada de exibir produz efeito processual definido, a presunção de veracidade dos fatos que a prova recusada se destinava a demonstrar é a consequência que o sistema reserva a quem, podendo esclarecer, opta pelo silêncio. A invocação do segredo de negócio não imuniza essa recusa, sobretudo porque a exibição pode ser determinada sob segredo de justiça, compatibilizando a proteção da informação sensível com a produção da prova. Desse modo, a opacidade que inicialmente favorecia o fornecedor passa a operar contra ele, cabe-lhe abrir o sistema e demonstrar que operou corretamente, ou suportar as consequências de mantê-lo fechado.

No âmbito específico do PIX, o regramento do Banco Central reforça esse dever. O Regulamento do PIX, anexo à Resolução BCB nº 1, de 12 de agosto de 2020, instituiu o Mecanismo Especial de Devolução para a recuperação de valores em situação de fundada suspeita de fraude ou de falha operacional. A disciplina foi substancialmente ampliada pela Resolução BCB nº 493, de 28 de agosto de 2025, que reformulou o mecanismo, o chamado MED 2.0, obrigatório a todas as instituições desde fevereiro de 2026, para determinar o rastreamento dos recursos para além da primeira conta recebedora, o bloqueio após a notificação de infração e a devolução pelo prestador do recebedor, alcançando, de forma expressa, as fraudes decorrentes de golpes de engenharia social. Há, portanto, procedimento normatizado e obrigatório, com registro de cada etapa, que serve de parâmetro de conduta exigível, assim a alegação de que nada poderia ter sido feito confronta-se diretamente com os deveres regulamentares vigentes.

Para a atuação prática, três cuidados se destacam: A petição deve formular, desde a inicial, pedido específico de exibição dos registros e critérios do sistema antifraude, e não diligência genérica, deslocando o debate da conduta da vítima para o funcionamento do serviço; A tese de inversão e de distribuição dinâmica do ônus deve vir articulada à hipossuficiência informacional do consumidor e ao monopólio técnico do fornecedor; E a recusa de exibição há de ser explicitamente qualificada como apta a gerar presunção desfavorável ao banco, fechando a via que permitiria à instituição preservar o sigilo e, ainda assim, prevalecer com base nele.

A opacidade tecnológica não pode ser tratada como foro privilegiado, a automação da decisão bancária avança sobre a concessão de crédito, a definição de limites e a classificação de risco, e a controvérsia sobre a restituição de fraude é apenas o ponto em que o conflito se manifesta com maior nitidez. Reconhecer que “o sistema decidiu” não é fundamentação suficiente, e que quem decide por algoritmo responde por essa decisão como por qualquer outra, é condição para que a tutela do consumidor não seja esvaziada pela linguagem da técnica.

Referências

– BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor.

– BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Código Civil.

– BRASIL. Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil.

– BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (redação do art. 20 dada pela Lei nº 13.853, de 8 de julho de 2019).

– BRASIL. Banco Central do Brasil. Resolução BCB nº 1, de 12 de agosto de 2020. Regulamento do PIX.

– BRASIL. Banco Central do Brasil. Resolução BCB nº 493, de 28 de agosto de 2025. Reformula o Mecanismo Especial de Devolução (MED).

– BRASIL. Superior Tribunal de Justiça. Súmula 297. O Código de Defesa do Consumidor é aplicável às instituições financeiras.

– BRASIL. Superior Tribunal de Justiça. Súmula 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

– BRASIL. Superior Tribunal de Justiça. Tema Repetitivo 466. REsp 1.197.929/PR e REsp 1.199.782/PR, Rel. Min. Luis Felipe Salomão, Segunda Seção, julgados em 24 ago. 2011, DJe 12 set. 2011.

 

Letícia Macedo de Oliveira: Advogada, atuante em Direito do Consumidor Bancário, com foco em fraudes e golpes bancários, responsabilidade civil das instituições financeiras e revisão de contratos bancários. Membro da Comissão Nacional de Direito Bancário da Associação Brasileira de Advogados (ABA) e Presidente Fundadora da Comissão de Direito Bancário da OAB Itapevi-SP, onde promove debates jurídicos, educação financeira e a orientação da sociedade sobre práticas bancárias e prevenção a fraudes. Coautora das obras “Mulheres no Direito Bancário – Volume I” e “Coletânea de Direito Bancário – Artigos da Comissão Nacional de Direito Bancário da ABA – Volume 2”, entre outras publicações jurídicas, com artigo integrante da obra coletiva “Neuroconsumo, Black Box e o Futuro da Prova”, da Comissão de Defesa do Consumidor da OAB/SP (no prelo). Atua como palestrante em fraudes bancárias, golpes financeiros e proteção do consumidor no sistema bancário, contribuindo para a conscientização e a prevenção de crimes financeiros. 

Artigos Relacionados

Botão Voltar ao Topo