Quem responde pelos golpes? Entenda direitos e deveres no sistema

Pix, participantes diretos e indiretos: Responsabilidade, riscos e deveres 

O Pix, instituído pela resolução 1/20 do Bacen - Banco Central do Brasil, revolucionou o sistema financeiro nacional ao criar um arranjo de pagamentos instantâneos, capaz de realizar transferências em tempo real, 24 horas por dia, todos os dias da semana. Sua rápida adesão ocorreu, principalmente, pela eficiência em comparação aos métodos tradicionais, como TED e DOC, que dependiam de ao menos um dia útil para liquidação ou operavam em horários restritos. Em relação ao cartão de débito, o Pix se destacou por dispensar o uso de cartão físico, bastando o aplicativo bancário para realizar pagamentos. Para o recebedor, a liquidação imediata e sem cobrança de taxas - sendo gratuita para pessoas físicas - impulsionou ainda mais a sua popularização.

A estrutura do arranjo de pagamento Pix é composta pelo SPI - Sistema de Pagamentos Instantâneos, considerado a espinha dorsal do sistema, sendo a plataforma central de liquidação administrada pelo Bacen. Por meio dele, as instituições participantes realizam suas operações financeiras utilizando a Conta PI - Conta de Pagamento Instantâneo, destinada exclusivamente à liquidação de transações via Pix. Outro pilar essencial é o DICT - Diretório de Identificadores de Contas Transacionais, banco de dados que gerencia as chaves Pix (CPF, e-mail, telefone e aleatórias) e permite, além do registro das transações, consultas de segurança para mitigar riscos. Tal ecossistema garante agilidade, eficiência e proteção aos usuários, mas também impõe rigorosas obrigações a todos os participantes. 

Participação direta e indireta no Pix e as vantagens operacionais dos indiretos

O Bacen prevê duas modalidades de integração ao Pix. O participante direto é a instituição com conexão própria ao SPI, que mantém Conta PI, realiza a liquidação direta de suas transações e possui acesso direto ao DICT. Para isso, deve ser autorizada e regulada pelo Bacen, sendo geralmente bancos e grandes instituições financeiras, que possuem estrutura robusta e ampla base de clientes.

O participante indireto, por sua vez, não possui conexão própria ao SPI nem acesso direto ao DICT. Atua mediante contrato com um participante direto, que liquida suas operações e intermedia o acesso ao diretório de chaves. Essa modalidade é especialmente vantajosa para fintechs e instituições de pagamento de menor porte, pois dispensa a manutenção de saldo próprio em Conta PI (evitando a imobilização de capital), não exige estrutura de tesouraria e operação contínua (24/7) e reduz custos de tecnologia e pessoal ao utilizar a infraestrutura do participante direto. Tais condições facilitam a entrada de novas empresas no ecossistema, promovendo competitividade e diversidade de soluções financeiras. Esses participantes se destacaram no mercado por viabilizarem soluções de pagamento em e-commerces, plataformas digitais e serviços financeiros. A expansão dessas instituições, inicialmente sem necessidade de autorização do Banco Central, facilitou o uso de tais entidades para a prática de golpes/fraudes. Isso ocorreu tanto pela adesão simplificada que permitiu o ingresso de empresas fraudulentas no arranjo pix, quanto pela facilidade de constituição de instituição de pagamento voltadas a objetivos ilícitos. Embora não se possa atribuir responsabilidade automática a essas instituições, é notório que figuram como recebedoras em inúmeras transferências fraudulentas, conforme apontam registros em plataformas de reclamações de consumidores lesados. Atualmente, os participantes indiretos correspondem a cerca de 80% das instituições do arranjo.

Para reforçar a segurança no sistema, a resolução Bacen 429/24 estabeleceu um calendário para que participantes do Pix sem autorização do Bacen se regularizem. As exigências incluem a obtenção de autorização prévia do Bacen, a formalização de contrato com participante direto, a comprovação de capital social mínimo de R$ 5 milhões - garantindo solvência - e a adoção de políticas de compliance, com foco na prevenção à lavagem de dinheiro, gestão de riscos, liquidez e segurança cibernética.

Deveres comuns: Responsabilidade e prevenção de riscos

Apesar das diferenças estruturais, todos os participantes - diretos ou indiretos - estão sujeitos a deveres idênticos de prevenção e responsabilidade. Por ser uma modalidade de pagamento instantâneo, a atuação preventiva e preditiva das instituições é indispensável.

Mecanismos de prevenção a fraudes e falhas sistêmicas foram previstos desde a criação do Pix. A resolução Bacen 1/20, em seu art. 32, inciso V, estabelece que as instituições respondem objetivamente por falhas no gerenciamento de riscos, devendo adotar medidas para evitar fraudes e incidentes. Essa obrigação justifica a possibilidade de rejeição de transações suspeitas e bloqueios preventivos de forma preditiva, mecanismos estes autorizados pela normativa que não comprometem a agilidade do Pix, mas evitam que a instantaneidade do sistema se torne atrativa para criminosos

Já para situações em que a fraude ou falha já ocorreu, foi criado o MED - Mecanismo Especial de Devolução, que permite a restituição de valores ao usuário em casos de golpes ou problemas sistêmicos, entretanto, dados de 2024 apontam que menos de 10% das solicitações resultaram em devolução efetiva, pois criminosos dispersam rapidamente os valores em múltiplas contas. Assim, a atuação preventiva/preditiva das instituições é ainda mais crucial. Muitos participantes indiretos, contudo, recusam-se a adotar medidas proativas, alegando serem "meros intermediadores". Tal justificativa não procede, visto que possuem meios técnicos e normativos para agir preventivamente e acionar o MED, inclusive por intermédio do participante direto.  

Por sua vez, quando a instituição participante acione o MED dentro do prazo regulamentar e, no momento da tentativa de bloqueio ou estorno, não haja saldo disponível na conta de destino, afasta-se a responsabilidade civil da instituição. Nessa hipótese, a medida foi adotada de forma tempestiva e o insucesso decorreu de circunstância alheia ao seu controle, não caracterizando falha na prestação do serviço. Importante destacar ainda que o MED não se aplica às situações de desacordos entre comprador e vendedor sobre a entrega ou a qualidade do produto/serviços, pois esses casos não configuram fraude ou falha operacional apta a justificar o bloqueio cautelar previsto na regulamentação.

DICT e a omissão dos participantes

O Bacen disponibiliza o DICT como ferramenta de segurança, permitindo consultas para identificar infrações anteriores vinculadas a chaves Pix e outros indicadores de risco antes da liquidação. Todavia, muitos participantes negligenciam essa funcionalidade, permitindo que contas fraudulentas operem livremente até bloqueio posterior. Essa omissão pode caracterizar falha de serviço, nos termos do CDC. 

Responsabilidade do participante recebedor e dever de colaboração

Nos termos do art. 41-I da resolução Bacen 1/20, o participante recebedor, direto ou indireto, que rejeita injustificadamente a notificação de infração destinada a bloquear ou devolver valores em caso de fraude, assume responsabilidade pelos recursos não restituídos. Tal disposição reforça o dever de colaboração ativa para a segurança do sistema, sob pena de responsabilidade civil.

O Manual do DICT, em seu tópico 17.3, autoriza o participante indireto a solicitar devoluções em caso de fundada suspeita de fraude, por meio do participante direto com quem mantém contrato. Já o tópico 18.2 assegura acesso a informações de segurança do DICT, também via participante direto. Portanto, não há justificativa legal para a inércia dos participantes indiretos sob alegação de "ingerência". 

Responsabilidade civil e o fortuito interno

Doutrina e jurisprudência convergem para reconhecer que falhas de segurança e prevenção no Pix configuram fortuito interno, que não afasta a responsabilidade civil. Segundo o ministro Luis Felipe Salomão do STJ, o fortuito externo ocorre quando o evento é imprevisível, inevitável e estranho à organização da empresa, afastando a responsabilidade. Já o fortuito interno, "apesar de também ser imprevisível e inevitável, relaciona-se aos riscos da atividade, inserindo-se na estrutura do negócio" (REsp 1.450.434). Tal entendimento é reforçado nos casos de fraude pela súmula 479 do STJ, segundo a qual "as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias", e pelo enunciado 14 do TJSP, que reconhece a quebra da legítima expectativa de segurança do consumidor como falha de serviço nos termos do CDC.

Assim, todos os participantes do arranjo Pix, diretos ou indiretos, respondem solidariamente por danos decorrentes de fraudes e falhas preventivas, devendo adotar políticas robustas de gerenciamento de riscos, uso efetivo do DICT e cooperação ativa nos processos de contestação e devolução, assegurando a integridade do sistema e a proteção dos consumidores. 

Em caso de problemas, procure um especialista

Em situações de negativa de devolução, omissão ou falhas por parte de instituições participantes do Pix, é fundamental que o consumidor busque orientação com advogado especializado em direito bancário e fraudes financeiras, a fim de adotar as medidas cabíveis, garantir a reparação de prejuízos e responsabilizar os envolvidos.