A sofisticação dos golpes digitais contemporâneos desafia os modelos tradicionais de imputação de responsabilidade civil. Entre eles, destaca-se o chamado "golpe do falso advogado", modalidade que se alastra silenciosamente pelo país e que reúne, de forma quase cirúrgica, elementos de engenharia social, apropriação indevida de credenciais profissionais e exploração da vulnerabilidade emocional das vítimas. Trata-se de uma fraude que se vale da aparência de juridicidade para desorientar o destinatário, mimetizando discursos, rituais e signos da linguagem forense, com o propósito de arrancar valores por meio de transferências eletrônicas resultantes de conduta que leva a vítima a erro. 

A narrativa criminosa costuma emergir em aplicativos de mensagens, especialmente o WhatsApp, em que indivíduos se passam por advogados ou operadores fictícios do sistema de justiça, sempre sob a justificativa de resolver, de modo urgente, um suposto problema jurídico envolvendo o interlocutor ou um de seus familiares.

Para dimensionar a gravidade do fenômeno, imagine-se o caso fictício de uma professora universitária que, em meio ao expediente, recebe mensagem via WhatsApp de alguém que se apresenta como seu advogado, reproduzindo os mesmos dados daquele que a representara em processo cível anos antes. A conta exibe foto, nome e número de inscrição na Ordem dos Advogados do Brasil, conferindo aparência de absoluta legitimidade. A abordagem é cortês, formal e objetiva: faz referência ao número do processo anteriormente proposto, anexa a petição inicial e informa que houve êxito na demanda, sendo imprescindível o pagamento imediato das "custas" para liberação do valor. Na sequência, o interlocutor passa a encaminhar áudios urgentes, documentos falsificados e trechos truncados de decisões judiciais. Em um misto de euforia e pressa, a vítima transfere o montante solicitado para conta bancária indicada pelo fraudador, aberta em nome de terceiro desconhecido, por intermédio de instituição de pagamento com controle cadastral deficiente. Minutos depois, ao tentar retornar o contato, percebe que o número desapareceu. O verdadeiro advogado, acionado posteriormente, confirma: tratava-se de um golpe. A narrativa, embora fictícia, reproduz com fidelidade dezenas de casos reais noticiados nos últimos anos em diversas comarcas brasileiras, sempre marcados por uma combinação perigosa de vazamento de dados, manipulação emocional e falhas de segurança em múltiplas camadas do ecossistema digital.

A proliferação desse golpe, cuja execução depende tanto da captação ilícita de informações pessoais quanto da criação de aparências digitais verossímeis, desencadeou significativas preocupações no debate jurídico nacional¹. Não se trata apenas de examinar a responsabilidade dos fraudadores diretos, muitas vezes inidentificáveis ou pertencentes a organizações criminosas de difícil rastreamento. O problema central reside na complexa teia de agentes intermediários que, de algum modo, estruturam o cenário no qual a fraude se concretiza: instituições financeiras, plataformas de pagamento, empresas de tecnologia, redes sociais e operadoras de telefonia. Cada uma delas desempenha um papel específico na arquitetura do risco; cada uma, à sua maneira, interfere - por ação ou omissão - nas condições de possibilidade do dano.

O fenômeno exige, assim, uma reflexão mais profunda sobre o regime de responsabilidade civil aplicável, afinal, estaria o dano circunscrito a um "fato exclusivo de terceiro", excludente tradicional do nexo causal? Ou, ao contrário, estariam as instituições financeiras e tecnológicas submetidas ao risco da atividade e aos deveres de segurança reforçados que decorrem de sua posição no mercado robustecido por dados? Em outros termos: até que ponto o golpe do falso advogado é, para tais agentes, uma anomalia imprevisível ou, ao contrário, um evento estatisticamente previsível, reiterado e incorporado ao risco profissional das empresas?

A jurisprudência recente fornece pistas importantes, ainda que nem sempre convergentes, sobre esse dilema. Em decisão paradigmática do Juizado Especial Cível de Vergueiro, em São Paulo/SP, o magistrado reconheceu a responsabilidade objetiva de instituição financeira que permitiu transferência atípica realizada durante chamada de vídeo conduzida pelos criminosos². A tese do banco, sustentando que se tratava de fato exclusivo de terceiro, foi afastada sob o argumento de que fraudes desse tipo representam fortuito interno, inerente à atividade bancária, cujo dever de segurança não se limita à guarda da senha, mas abrange a identificação de operações incompatíveis com o perfil do consumidor³. A decisão alinha-se com a orientação consolidada do STJ sobre golpes bancários análogos, notadamente o "golpe do motoboy"⁴ e as fraudes via central telefônica (usualmente associadas ao spoofing)⁵, em que se enfatiza que a previsibilidade do modus operandi desloca o risco para o fornecedor.

Outra decisão do TJ/MT ressalta que os verdadeiros advogados não podem ser responsabilizados por ações de criminosos, na medida em que também são vítimas, tanto quanto os próprios constituintes. Eventual responsabilização civil dos causídicos por atos ilícitos de terceiros resultaria em verdadeira dupla punição: de um lado, o abalo moral decorrente do uso indevido de seu nome e de sua imagem; de outro, a sanção de natureza patrimonial, consubstanciada na indenização financeira que, em tese, ainda teriam de suportar.⁶

Mais complexa, contudo, é a solução adotada pela 4ª vara cível de Santos, em que o magistrado condenou, de forma solidária, uma pluralidade de agentes: instituições financeiras, plataforma de pagamentos, empresa de tecnologia e até intermediários responsáveis pela verificação de identidade⁷. Ali, avaliou-se que a fraude não poderia ser dissociada da deficiente análise cadastral que permitiu a abertura de conta fraudulenta; da ausência de mecanismos de contenção na movimentação atípica; e do ecossistema digital que viabilizou, sem filtros eficazes, a aproximação do golpista da vítima. A sentença, ao alargar o conceito de cadeia de fornecimento, reconhece que plataformas digitais podem funcionar como fornecedoras de fato, sujeitas, portanto, ao regime de responsabilidade do CDC.

Essa compreensão possui méritos e riscos. De um lado, representa avanço na tentativa de distribuir o ônus das falhas estruturais do ambiente digital entre todos os agentes que lucram com ele. Confere proteção reforçada ao consumidor e reconhece que a vulnerabilidade informacional contemporânea exige parâmetros mais densos de cuidado. De outro lado, porém, acende um alerta: será legítimo responsabilizar civilmente uma plataforma de mensagens pela atuação criminosa de terceiros, quando não demonstrada uma falha algorítmica específica ou um ilícito decorrente da malversação do fluxo de moderação? Seria adequado impor aos bancos e às fintechs uma função de "polícia digital" tão ampla que os transforme em garantes universais contra toda e qualquer fraude socialmente disseminada?

A resposta não é trivial. Noutro precedente recente, da 3ª vara cível de Atibaia/SP, por exemplo, rejeitou-se a responsabilidade das operadoras de telefonia por danos decorrentes do golpe, limitando-se a determinar que fornecessem dados cadastrais para investigação⁸. O fundamento central foi o de que, embora tais empresas integrem o ambiente comunicacional no qual a fraude ocorre, não houve prova de defeito na prestação do serviço, o que impede a imputação automática de responsabilidade. Esse entendimento, ainda que prudente, revela a dificuldade de encontrar um ponto de equilíbrio entre a necessidade de tutela eficaz e o risco de inflacionar desmedidamente a responsabilidade civil.

À luz desses precedentes, a discussão sobre o "golpe do falso advogado" exige uma abordagem sofisticada. É preciso reconhecer que o modelo clássico de responsabilidade por fato de terceiro mostra-se insuficiente em golpes que se concretizam graças a falhas concatenadas ao longo de todo o circuito digital⁹. Não basta perguntar quem realizou o ato fraudulento; é indispensável investigar quem poderia tê-lo impedido com medidas de segurança adequadas ao risco da atividade que exploram economicamente. Não se trata de converter bancos e plataformas digitais em garantidores absolutos, mas de exigir dos agentes que extraem proveito do ambiente digital o investimento proporcional na mitigação dos riscos que esse mesmo ambiente produz.

Não por outro motivo, Seccionais da OAB, como as do Rio Grande do Sul¹⁰ e de Pernambuco¹¹, vêm adotando, respectivamente, medidas administrativas e judiciais voltadas à implementação de mecanismos que tornem o ambiente digital mais seguro. Paralelamente, o próprio CNJ passou a estabelecer novas camadas de proteção, a exemplo do acesso em duas etapas, justamente para reduzir brechas e desestimular um contexto propício à fraude.¹²

É incontroverso que o chamado "golpe do falso advogado" não tem sido lucrativo apenas para os agentes diretamente envolvidos no esquema, mas também - e, em especial - para aqueles que, por vias aparentemente lícitas, obtêm ganhos manifestamente ilícitos. Trata-se de uma cegueira deliberada que precisa ser enfrentada: sob o pretexto de que o ilícito é praticado por terceiros, determinadas empresas contribuem para a manutenção de um ambiente favorável às irregularidades.

Nesse cenário, a responsabilidade objetiva baseada no fortuito interno, no risco da atividade e nos deveres de segurança qualificados emerge como instrumento relevante, porém não ilimitado, para a caracterização de uma responsabilidade civil objetiva especial¹³, que combine as previsões do art. 14 do CDC, aplicável por força da regra de conexão categórica do art. 45 da LGPD ao caso, mas em irrefutável diálogo de fontes com os preceitos dos arts. 44, parágrafo único, 46 e 49, todos da LGPD.

Em certos casos, como o do Juizado Especial de Vergueiro, a falha do banco se mostra manifesta: não detectar movimentação atípica, ignorar padrões reiterados de fraude e não adotar mecanismos de dupla verificação são omissões incompatíveis com o estado atual da técnica. Em outros, como o de Santos, o alargamento da cadeia de responsabilidade pode ser interpretado como avanço necessário, mas também como perigosa expansão do conceito de fornecedor de fato, fragilizando a previsibilidade jurídica.

O desafio está justamente em calibrar a imputação de maneira proporcional, racional e tecnicamente fundamentada¹⁴. A responsabilidade civil, ao enfrentar golpes dessa natureza, deve evitar tanto o reducionismo que absolve todos os intermediários sob o pretexto de fato de terceiro quanto o maximalismo que transforma todo participante do ecossistema digital em devedor solidário. O equilíbrio reside na análise minuciosa da conduta, ou omissão, de cada agente: se a instituição financeira negligenciou protocolos de segurança conhecidos; se a plataforma permitiu a circulação de perfis fraudulentos notoriamente agressivos; se o sistema de verificação de identidade falhou de modo relevante; se houve, enfim, defeito concreto na prestação do serviço.

Nada disso elimina a necessidade de repressão penal aos autores diretos do golpe. Mas a responsabilização civil, ao contrário de operar como instrumento punitivo, deve funcionar como mecanismo de alocação eficiente dos riscos, internalizando nos agentes que lucram com a atividade digital o custo das externalidades negativas que ela produz. Em tempos de hiperconectividade, o golpe do falso advogado não é mero acidente fortuito; é fenômeno estrutural que exige respostas igualmente estruturais. Cabe ao Direito, com cautela e rigor técnico, construir as balizas dessa imputação, sem dogmatismos, mas com a consciência de que a proteção das vítimas não pode ser abandonada à própria sorte.

________________

1 SOUZA, Bernardo de Azevedo e; JACOB, Raphael Rios Chaia. Golpes digitais: como identificar, prevenir e agir contra ameaças virtuais. São Paulo: Thomson Reuters Brasil, 2023, p. 33-36.

2 MIGALHAS. Banco restituirá cliente vítima de golpe do falso advogado no WhatsApp. Migalhas Quentes, São Paulo, 17 jun. 2025. Disponível aqui. Acesso em: 03 dez. 2025.

3 O entendimento é reforçado, aliás, pela Súmula 479 do STJ: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

4 O golpe do motoboy é uma modalidade de fraude em que criminosos se passam por funcionários do banco e convencem a vítima, geralmente idosa, de que seu cartão foi clonado ou está sob risco iminente. Após instaurar um clima de urgência e medo por meio de telefonemas que parecem legítimos, muitas vezes com dados pessoais obtidos por vazamentos de dados, os golpistas orientam a pessoa a entregar o cartão bancário a um suposto "motoboy do banco", que irá buscá-lo para "cancelamento" ou "perícia". Em posse do cartão e da senha, obtida sob pretexto de "verificação", a quadrilha realiza saques e compras. A jurisprudência recente do STJ tem entendido que, salvo situações excepcionais em que haja culpa exclusiva da vítima, essa fraude constitui fortuito interno, ou seja, risco inerente à atividade bancária, atraindo responsabilidade objetiva das instituições financeiras quando não demonstram mecanismos eficazes de prevenção, autenticação e bloqueio de transações atípicas. Sobre isso, alguns precedentes da Terceira Turma são de imprescindível leitura: (i) REsp 1.995.458/SP, Terceira Turma, julgado em 9/8/2022, DJe 18/8/2022; (ii) REsp 2.015.732/SP, Terceira Turma, julgado em 20/6/2023, DJe 26/6/2023; e (iii) AgInt no AREsp 2.201.401/RJ, Terceira Turma, julgado em 29/5/2023, DJe 1/6/2023.

5 As fraudes via central telefônica, também conhecidas como "golpe da falsa central" ou "golpe do falso atendente", consistem em um esquema de engenharia social no qual criminosos se passam por funcionários do banco, normalmente através de ligações telefônicas que imitam, com grande verossimilhança, os números oficiais da instituição financeira (spoofing). O estelionatário informa à vítima que supostas transações suspeitas foram identificadas e, com base nesse pretexto de "suporte técnico" ou "segurança bancária", induz o consumidor a fornecer dados sensíveis como senhas, códigos de autenticação, tokens, números de cartão ou autorizações, muitas vezes instruindo-o a permanecer na linha, a descartar o cartão ou a entregá-lo a um suposto mensageiro. Uma vez obtidos esses elementos de autenticação, o golpista realiza transferências, compras ou saques em nome da vítima. Tal como a prática anteriormente mencionada, esse tipo de fraude tem sido frequentemente enquadrado pelo STJ como fortuito interno, pois decorre de risco inerente à atividade bancária e da vulnerabilidade estrutural do sistema de atendimento, impondo às instituições financeiras um dever de segurança reforçado e a responsabilidade objetiva quando não demonstram mecanismos eficazes para prevenir movimentações atípicas ou comunicações fraudulentas. Sobre isso, conferir o entendimento firmado no REsp 2.222.059/SP, Terceira Turma, julgado em 07/10/2025, DJe 13/10/2025. Sobre o tema, conferir, ainda SOUZA, Bernardo de Azevedo e; JACOB, Raphael Rios Chaia. Golpes digitais: como identificar, prevenir e agir contra ameaças virtuais. São Paulo: Thomson Reuters Brasil, 2023, p. 133-144.

6 DIÁRIO DE JUSTIÇA. Cliente cai no golpe do falso advogado e processa patrona: "foi a única que acessou dados". 02 dez. 2025. Disponível aqui. Acesso em 03 dez. 2025.

7 TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO - TJSP. Instituições bancárias e de tecnologia indenizarão vítimas de golpe do falso advogado. Notícias TJSP, 16 set. 2025. Disponível aqui. Acesso em: 03 dez. 2025.

8 DATACERTIFY. WhatsApp, fraudes digitais e como coletar provas de forma segura. DataCertify, 22 ago. 2025. Disponível aqui. Acesso em: 03 dez. 2025.

9 Nesse campo, são imprescindíveis as medidas de gerenciamento de incidentes de segurança com dados pessoais, que podem ser bem operacionalizadas por boas práticas de compliance, cf. ROCHA, Henrique. Gestão de crises digitais, incidentes de segurança, comprometimento de dados pessoais e dados financeiros. In: CRESPO, Marcelo (coord.). Compliance no direito digital. São Paulo: Thomson Reuters Brasil, 2020, p. 224-225.

10 OABRS. Golpe do Falso Advogado: OAB/RS reúne empresas de telefonia e propõe medidas de combate. 01 dez. 2025. Disponível aqui. Acesso em 03 dez. 2025.

11 OABPE. OAB-PE ingressa com duas ações civis públicas contra o golpe do falso advogado. 02 dez. 2025. Disponível aqui. Acesso em 03 dez. 2025.

12 CNJ. Acesso em duas etapas a serviços do Judiciário evita golpe do falso advogado. 13 out. 2025. Disponível aqui. Acesso em 03 dez. 2025.

13 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Special strict civil liability in Brazil's General Data Protection Law. Brazilian Journal of Law, Technology and Innovation, v. 2, n. 2, p. 98-128, jul./dez. 2024, p. 120-123.

14 SAMPAIO, Marília de Ávila e Silva. Fraudes bancárias e a proteção de dados do consumidor. In: MARQUES, Claudia Lima; MARTINS, Fernando Rodrigues; MARTINS, Guilherme Magalhães; BESSA, Leonardo Roscoe (coord.). 5 anos de LGPD: estudos em homenagem a Danilo Doneda. São Paulo: Thomson Reuters Brasil, 2023. p. 303.