Uma conta esvaziada por um golpe, um empréstimo contratado por um estranho, um nome lançado em cadastro de inadimplentes por uma dívida que nunca existiu. Em situações como essas, a primeira reação do banco costuma ser atribuir o prejuízo à própria vítima ou a “terceiros de má-fé”. O Superior Tribunal de Justiça (STJ), porém, firmou entendimento em sentido contrário na Súmula 479: as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Editada em 2012 e plenamente vigente, a súmula voltou ao centro do debate com os golpes digitais — e, em outubro de 2025, o STJ aplicou esse raciocínio para condenar um banco que não barrou movimentações atípicas em um golpe de engenharia social.
O que diz a Súmula 479 e de onde ela vem
A Súmula 479 foi aprovada pela Segunda Seção do STJ em 27 de junho de 2012, a partir do julgamento de recursos repetitivos (Tema 466), tendo como precedentes principais os Recursos Especiais 1.197.929/PR e 1.199.782/PR, relatados pelo então ministro Luis Felipe Salomão. Esses casos tratavam de pessoas que tiveram contas abertas ou empréstimos contratados em seu nome por falsários, com documentos falsos, e acabaram negativadas por dívidas que jamais contraíram.
O STJ definiu que a responsabilidade do banco, nesses casos, é objetiva: independe de prova de culpa. Basta que exista o dano, o defeito na prestação do serviço e o nexo entre eles. O fundamento é o risco do empreendimento — quem explora uma atividade econômica lucrativa e cria o risco deve responder pelos prejuízos que dela decorrem. Esse tipo de evento foi qualificado como fortuito interno.
Fortuito interno x fortuito externo: a distinção que decide a causa
A expressão “fortuito interno” é o coração da súmula e merece explicação. No Direito, o caso fortuito e a força maior são acontecimentos imprevisíveis e inevitáveis que, em regra, rompem o nexo de causalidade e afastam o dever de indenizar. O STJ, contudo, separa duas espécies.
O fortuito interno é o evento que, embora alheio à vontade da instituição, está ligado à organização do negócio e aos riscos próprios da atividade bancária — fraudes, golpes, uso de documentos falsos, falhas de sistema. Por estar dentro da esfera de risco do banco, não afasta a responsabilidade. Já o fortuito externo é o fato estranho à atividade, sem relação com a sua organização, e esse, sim, pode excluir o dever de indenizar. Na prática, classificar a fraude como fortuito interno é o que sustenta a responsabilização da instituição.
A fraude como “fato do serviço” e o prazo para reclamar
A Súmula 479 se apoia no Código de Defesa do Consumidor. O artigo 14 do CDC estabelece a responsabilidade objetiva do fornecedor por defeitos na prestação do serviço, e o artigo 17 equipara a consumidor todas as vítimas do evento, ainda que não sejam clientes do banco. É o que permite, por exemplo, que uma pessoa que nunca teve relação com determinada instituição seja indenizada por ter sido negativada após a abertura fraudulenta de conta em seu nome.
Esse enquadramento tem um desdobramento prático relevante quanto ao prazo. No Informativo de Jurisprudência n. 542, de 2014, a Terceira Turma do STJ (REsp 1.254.883-PR, relator ministro Paulo de Tarso Sanseverino) decidiu que a entrega de talonário de cheques a terceiro, sem autorização, configura defeito na prestação do serviço — fato do serviço, na linguagem do CDC. Como consequência, aplica-se o prazo prescricional de cinco anos do artigo 27 do CDC, contado a partir do conhecimento do dano e de sua autoria. Saber qual prazo incide e quando ele começa a correr costuma ser determinante para o sucesso de uma ação indenizatória.
A atualização de 2025: golpes digitais e o dever de monitorar
A lógica de 2012, pensada para fraudes com documentos físicos, encontrou nos golpes digitais o seu maior campo de aplicação. Em outubro de 2025, a Terceira Turma do STJ (REsp 2.222.059, relator ministro Ricardo Villas Bôas Cueva) reconheceu, por unanimidade, a responsabilidade objetiva de um banco no chamado “golpe da falsa central de atendimento”, em que criminosos se passam por funcionários da instituição e induzem o cliente a autorizar transferências e contratações.
No caso analisado, o consumidor — que fazia poucas movimentações mensais — sofreu catorze transações em um único dia, num total que destoava completamente do seu perfil, incluindo um prejuízo expressivo em transferências e a contratação indevida de empréstimo. O STJ entendeu que cabe às instituições financeiras e de pagamento aprimorar continuamente seus mecanismos de detecção de fraudes e bloquear ou alertar sobre operações atípicas. A falha em identificar movimentações fora do padrão do cliente caracteriza o defeito do serviço e atrai o dever de indenizar, em linha com a Súmula 479. A decisão deixou claro, ainda, que a responsabilidade alcança não apenas os bancos tradicionais, mas também fintechs e instituições de pagamento.
O que a Súmula 479 alcança — e o que ela não significa
A súmula é poderosa, mas não transforma o banco em segurador universal de todo e qualquer prejuízo. A própria redação e a jurisprudência do STJ admitem que a responsabilidade seja afastada quando a instituição comprova a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiro, nas hipóteses do artigo 14, § 3º, do CDC. O ônus dessa prova, registre-se, é do banco, não do cliente.
A distinção aparece com nitidez na própria jurisprudência. Em precedente de 2017, o STJ afastou a responsabilidade de um banco porque as operações haviam sido feitas com o cartão original e a senha pessoal do correntista, sem qualquer indício de falha no sistema — situação em que ficou caracterizada a culpa exclusiva do consumidor. E, em janeiro de 2025, ao analisar o “golpe do leilão falso” envolvendo conta digital, o STJ sinalizou que a responsabilização do banco que apenas recebeu o pagamento depende da demonstração de falta de diligência da instituição, não decorrendo de forma automática de toda fraude. Em outras palavras: o que define o resultado é a presença, ou não, de uma falha de segurança imputável ao banco.
Um tema vizinho: a responsabilidade do banco gestor
A ideia de que a instituição financeira responde pelas falhas na guarda e na movimentação de valores também aparece em contextos que vão além das fraudes clássicas. Em 2023, ao julgar o Tema repetitivo 1.150 (REsp 1.895.936/TO, relator ministro Herman Benjamin), a Primeira Seção do STJ fixou que o Banco do Brasil, como gestor das contas do PASEP, tem legitimidade para responder por saques indevidos e desfalques nessas contas, aplicando-se o prazo prescricional decenal do artigo 205 do Código Civil, contado a partir do momento em que o titular comprovadamente toma ciência dos desfalques. O caso reforça uma mesma diretriz de fundo: a instituição que administra recursos de terceiros responde objetivamente pelas falhas na prestação desse serviço, cabendo a ela demonstrar a regularidade dos lançamentos.
Orientações para quem foi vítima de fraude bancária
Quem identifica movimentações que não reconhece, empréstimos que não contratou ou negativação por dívida estranha deve agir com rapidez e método. Registrar formalmente a contestação junto ao banco e guardar o número do protocolo, reunir extratos e comprovantes que evidenciem o descompasso entre as operações fraudulentas e o histórico da conta, lavrar boletim de ocorrência e preservar todas as comunicações são passos que fortalecem a posição da vítima. Como a responsabilidade do banco é objetiva e o ônus de provar a regularidade das operações é dele, a documentação do consumidor serve sobretudo para demonstrar o dano e o caráter atípico da movimentação.
Ainda assim, cada situação tem particularidades — a forma do golpe, o grau de participação da vítima, o tipo de operação e a prova disponível influenciam diretamente o desfecho. A análise individualizada por um profissional habilitado é o que permite avaliar a viabilidade da reparação e o melhor caminho para buscá-la.
Conclusão
Mais do que uma regra técnica sobre prescrição ou ônus da prova, a Súmula 479 expressa uma escolha de política jurídica: entre o cliente lesado e a instituição que lucra com a atividade e detém o controle sobre os sistemas, é esta última quem deve suportar os riscos das fraudes inerentes ao negócio. Com a explosão dos golpes digitais, esse entendimento — longe de envelhecer — ganhou novo fôlego e segue orientando os tribunais a exigir das instituições financeiras segurança à altura da confiança que o consumidor nelas deposita.
Este conteúdo tem caráter meramente informativo e não substitui a análise individualizada de um advogado nem constitui aconselhamento jurídico para casos concretos.