PIX desviado ou boleto falso: quem responde pelo prejuízo na empresa? 🔗

Quando uma empresa faz um PIX ou paga um boleto e descobre depois que o fornecedor não recebeu, o problema deixa de ser apenas financeiro e passa a ser, imediatamente, jurídico, contratual e probatório. Em regra, pagar ao fraudador não extingue a dívida, o que significa que a empresa pode sofrer o golpe e continuar sendo cobrada. Mas isso não resolve, por si só, quem deve suportar o prejuízo no final. A responsabilidade pode recair sobre o banco, sobre o fornecedor, sobre a própria empresa pagadora ou até ser compartilhada. O ponto decisivo é reconstruir a trilha da fraude: identificar onde ela começou, quais deveres foram violados e o que pode ser demonstrado com prova concreta.

Há um tipo de prejuízo que dói duas vezes. Primeiro, porque o dinheiro sai da conta. Depois, porque a cobrança continua em aberto. Na prática empresarial, isso costuma acontecer de forma silenciosa e veloz: o financeiro recebe uma cobrança com aparência normal, o pagamento é aprovado, o comprovante aparece na tela e a rotina segue. Minutos ou horas depois, chega a mensagem que muda tudo: o fornecedor não recebeu nada. A partir desse momento, a empresa entra em um terreno incômodo em que cada participante conta a história de um jeito. O banco aponta que a operação foi autenticada. O fornecedor sustenta que a obrigação continua pendente. E a empresa, que agiu acreditando estar pagando corretamente, fica no centro do conflito.

Esse tipo de caso ganhou relevância com a digitalização dos pagamentos, com a velocidade do PIX e com o refinamento das fraudes por engenharia social. O que antes já ocorria com boletos adulterados passou a acontecer também com troca de chave PIX, falsos pedidos de alteração bancária, invasão de e-mails corporativos e uso de contas de passagem abertas para drenagem rápida de valores. Em linguagem simples, o problema não é só que o golpe ficou mais comum; é que ele ficou mais convincente.

Por isso, a pergunta jurídica mais importante não é “quem paga a conta?” de forma abstrata. A pergunta correta é outra: onde a fraude nasceu, quem tinha o dever de impedir esse desvio e o que a prova consegue mostrar sobre isso. Esse ponto muda tudo. Uma operação não autorizada, em que a conta da empresa foi invadida, não é analisada da mesma forma que um pagamento voluntário induzido por fraude. E um pagamento feito a partir de um canal aparentemente legítimo do próprio fornecedor abre uma terceira frente de discussão, completamente diferente das duas anteriores.

Em termos práticos, é possível falar em três matrizes causais mais frequentes. A primeira é a operação não autorizada: alguém invade a conta, usa credenciais indevidamente ou faz o PIX sem comando real da empresa. A segunda é a operação autorizada, mas fraudulenta: a empresa paga voluntariamente, porém foi induzida por boleto adulterado, chave falsa ou pedido fraudulento de mudança de dados bancários. A terceira é o comprometimento do ambiente do fornecedor: o e-mail foi invadido, o canal legítimo foi desviado ou a cobrança falsa chegou com aparência objetiva de autenticidade. O prejuízo pode parecer o mesmo em todos os cenários, mas a resposta jurídica muda bastante conforme a origem da falha.

A Importância de Reconstruir a Trilha da Fraude

Se existe uma tese prática que vale mais do que muitas discussões abstratas, é esta: antes de discutir culpa, reconstrua a trilha da fraude. Em casos assim, quem reage cedo com prova organizada costuma sair em vantagem sobre quem apenas repete que foi vítima. O direito, nesses conflitos, presta muita atenção na cronologia. Quem enviou a cobrança, em qual canal, em que horário, com qual beneficiário, com qual chave, com qual alteração cadastral e com qual confirmação interna. A história do caso não é aquilo que as partes lembram depois; é aquilo que os documentos conseguem contar.

Pagamento ao Credor Putativo e a Validade Jurídica

A lei começa a organizar esse caos a partir de uma regra simples. O Código Civil determina que o pagamento deve ser feito ao credor ou a quem de direito o represente (art. 308, CC). Em regra, portanto, pagar ao fraudador não extingue a dívida. Esse é o segundo choque de muitas empresas: além de perder o valor, elas descobrem que o fornecedor, ao menos em tese, ainda pode cobrar a obrigação.

Mas a história jurídica não termina no art. 308, CC. O próprio Código Civil, no art. 309, CC, admite que o pagamento feito de boa-fé ao chamado credor putativo é válido. Em termos menos técnicos, isso significa que a discussão pode mudar de rumo quando havia uma aparência objetiva de legitimidade. Se a cobrança veio por um canal que parecia autêntico, se os elementos externos eram convincentes e se uma empresa diligente poderia acreditar, de forma razoável, que estava pagando corretamente, há espaço para debate sério sobre a eficácia do pagamento. Isso não é automático, nem decorre apenas da boa intenção de quem pagou. Exige demonstração concreta de que a aparência enganosa era real, consistente e apta a induzir confiança.

O Papel da Prova e a Responsabilidade Bancária

É justamente aqui que a prova se torna o centro do caso. O Código de Processo Civil distribui o ônus probatório entre as partes (art. 373, CPC), e nas fraudes em pagamentos esse ônus pesa muito mais do que muitos imaginam. A empresa que alega falha do banco precisa mostrar indícios objetivos da falha. A que sustenta comprometimento do ambiente do fornecedor precisa apresentar rastros dessa quebra de segurança. A que invoca sua boa-fé precisa provar a consistência da aparência legítima. Por isso, um print isolado raramente resolve. O que convence é o conjunto: cabeçalho de e-mail, histórico de conversa, comprovante, nome do favorecido, CNPJ ou CPF do recebedor, cronologia dos fatos, registros de contestação, logs, protocolos de atendimento e evidências de alteração cadastral.

Quando o problema está no banco, duas referências jurisprudenciais do Superior Tribunal de Justiça costumam aparecer logo no início da análise. A primeira é a Súmula 297, STJ, que afirma que o Código de Defesa do Consumidor é aplicável às instituições financeiras. A segunda é a Súmula 479, STJ, segundo a qual as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Em português claro, se houve falha de segurança, abertura negligente de conta fraudulenta, autenticação insuficiente, falta de controles razoáveis ou omissão diante de movimentação claramente atípica, a tese contra o banco ganha força.

Aqui, porém, convém um ajuste fino importante. A aplicação do CDC em relações bancárias envolvendo pessoa jurídica não deve ser tratada como reflexo automático em qualquer litígio. A Súmula 297 existe e é relevante, mas, em casos empresariais, a incidência concreta do regime consumerista pode exigir análise da vulnerabilidade e da natureza da relação. Isso não enfraquece a discussão; apenas evita simplificações excessivas.

Também é preciso evitar um erro bastante comum: concluir que o banco sempre indeniza toda fraude porque a operação ocorreu em ambiente bancário. Não é assim. A jurisprudência distingue situações diferentes. Uma coisa é a operação não autorizada, em que a conta foi invadida ou o comando não partiu da empresa. Outra, bem diferente, é a operação formalmente autorizada pelo cliente, mas realizada após indução por engenharia social. Nesse segundo cenário, a responsabilização da instituição financeira não é automática. Ela depende da prova de uma falha específica do serviço: por exemplo, abertura descuidada da conta de destino, ausência de mecanismos compatíveis de prevenção, desconsideração de sinais evidentes de anormalidade ou omissão diante de conta laranja e movimentação suspeita. O direito não decide apenas com base na sensação de injustiça; ele decide a partir da origem da falha e do dever efetivamente violado.

Esse ponto é especialmente relevante em operações via PIX. O sistema trouxe velocidade e eficiência, mas também encurtou o tempo útil para reação. Quando há suspeita de fraude, um mecanismo precisa ser acionado sem demora: o Mecanismo Especial de Devolução, o MED, previsto no Regulamento do Pix e em normas complementares do Banco Central. O MED não é milagre, não garante recuperação integral e não transforma todo golpe em restituição automática. O que ele faz é abrir uma janela operacional para bloqueio e eventual devolução, total ou parcial, se ainda houver saldo disponível na conta recebedora. Na prática, isso significa uma coisa: tratar o episódio como incidente bancário urgente, e não como simples desacordo financeiro a ser resolvido depois.

Há um detalhe que costuma passar despercebido: muitas empresas perdem a chance de usar bem o MED porque gastam tempo demais tentando entender internamente “o que aconteceu” antes de formalizar a contestação. O impulso é compreensível, mas juridicamente perigoso. Primeiro se comunica o banco, se aciona o procedimento cabível, se notifica o fornecedor e se preserva a prova. A reconstrução completa do caso pode vir em seguida. O relógio do dinheiro corre mais rápido do que o relógio das reuniões internas.

O Risco do Fornecedor e o Comprometimento de Canais

Quando a fraude se aproxima mais do fornecedor do que do banco, o raciocínio muda. Se a cobrança falsa veio de um e-mail corporativo comprometido, se houve sequestro da comunicação comercial, se o canal usado tinha aparência real de autenticidade ou se o próprio fornecedor, ainda que sem intenção, criou um ambiente inseguro para transmissão de dados bancários, a responsabilidade dele entra no radar. O Código Civil oferece base suficiente para isso ao tratar do ato ilícito, do abuso de direito e do dever de indenizar (arts. 186, 187 e 927, CC), além do inadimplemento, da boa-fé objetiva e da culpa concorrente (arts. 389, 422 e 945, CC). Em linguagem simples, o fornecedor pode responder quando sua conduta, seu sistema ou seu canal contribuíram para a aparência legítima que induziu o pagamento errado.

Esse raciocínio ganha ainda mais força quando se observa que relações contratuais não se sustentam apenas no texto da obrigação principal. Elas também dependem de deveres laterais de cooperação, lealdade e segurança. Em um ambiente de fraude digital sofisticada, não é irrelevante se o fornecedor tinha protocolo de confirmação de alteração bancária, se utilizava e-mails protegidos, se advertia seus clientes sobre mudanças de conta, se concentrava as comunicações financeiras em canal oficial e se reagiu de forma adequada ao perceber o incidente. Em determinadas situações, inclusive, a discussão pode dialogar com a Lei Geral de Proteção de Dados, especialmente quando o comprometimento do ambiente informacional envolve vazamento, uso indevido ou exposição de dados relevantes para a engenharia social.

Por outro lado, a empresa pagadora nem sempre sairá juridicamente ilesa só porque também foi vítima. Se ela ignorou sinais visíveis de fraude, a distribuição do prejuízo pode mudar. O art. 945, CC, prevê a culpa concorrente, e esse dispositivo aparece com frequência prática quando a empresa aprova pagamento apesar de alertas elementares: mudança abrupta de dados bancários sem confirmação independente, urgência artificial, divergência entre o nome do favorecido e o fornecedor habitual, CNPJ incompatível, ausência de dupla checagem interna ou dispensa de protocolos básicos em nome da pressa. Em casos assim, a análise sai da lógica binária entre vítima e culpado e entra na lógica da repartição de risco.

As Primeiras Horas e a Estratégia Processual

Essa é uma das razões pelas quais a pergunta “afinal, quem paga?” raramente pode ser respondida honestamente no primeiro minuto. Às vezes o banco terá papel central. Em outras, o fornecedor assumirá protagonismo. Em muitas hipóteses, haverá mais de um vetor causal, com responsabilidades concorrentes ou teses alternativas a serem levadas ao Judiciário. O diagnóstico sério não procura um culpado instantâneo; ele procura o ponto exato em que o sistema falhou.

Nesse tipo de crise, as primeiras horas costumam valer mais do que muitos memoriais longos escritos meses depois. O banco de origem e o banco de destino devem ser comunicados imediatamente, com pedido de bloqueio, formalização de contestação e solicitação do MED quando houver PIX. O fornecedor precisa ser notificado por escrito, não apenas por telefone, com exigência de preservação dos registros de comunicação. O boletim de ocorrência deve ser feito sem demora, inclusive porque a Lei nº 14.155/2021 reforçou o tratamento penal do estelionato cometido por meio eletrônico. E a prova digital precisa ser preservada de forma completa: cabeçalhos de e-mail, prints contextualizados, histórico de mensagens, comprovantes, alteração de cadastro, dados da conta destinatária, horário exato das ações e protocolos bancários.

Muitas vezes, a diferença entre um caso recuperável e um caso quase perdido está aí. O dinheiro pode já ter seguido seu curso, mas ainda pode haver saldo remanescente. Os logs podem ainda estar disponíveis, mas podem desaparecer com o tempo. A trilha técnica pode ainda ser acessível, mas pode ser sobrescrita. É por isso que tempo, aqui, não é detalhe. Tempo é ativo jurídico.

Do ponto de vista processual, a estratégia também precisa ser pensada cedo. Dependendo do caso, a demanda pode ser proposta contra o banco, contra o fornecedor ou contra ambos. Em situações urgentes, pode haver espaço para tutela de urgência com base no art. 300, CPC, sobretudo para tentar preservar valores, obter exibição de documentos ou evitar o esvaziamento completo da utilidade do processo. Em certos cenários, a produção antecipada de prova, prevista no art. 381, CPC, pode ser uma ferramenta muito útil para fixar evidências digitais antes que elas se percam. E os arts. 396 a 404, CPC, ajudam a sustentar pedidos de exibição de documentos, logs e registros que estejam com o banco, com o fornecedor ou com terceiros envolvidos na cadeia de comunicação.

Esse é um ponto em que a advocacia técnica realmente muda o jogo. Em casos empresariais mais sensíveis, uma atuação cedo, organizada e cirúrgica — como costuma ser necessário em bancário-contencioso e gestão de crise, inclusive em trabalhos especializados como os desenvolvidos pela LLR Advocacia — pode ter mais valor prático do que uma tese brilhante construída tarde demais. Em outras palavras: não basta ter razão em tese; é preciso proteger a utilidade do caso enquanto ainda existe tempo para isso.

Prevenção e a Questão da Culpa Concorrente

Se o problema parece complexo depois do golpe, a prevenção mostra que boa parte dessa complexidade poderia ter sido mitigada antes. Protocolos de duplo fator humano para alteração de dados bancários, callback obrigatório para confirmação de conta nova, validação do nome do favorecido antes do PIX, homologação de canais oficiais, treinamento antifraude, cláusulas contratuais específicas sobre comunicação segura e resposta a incidentes, apólice de crimes cibernéticos e revisão periódica do fluxo de pagamentos são medidas que parecem burocráticas até o dia em que um comprovante perfeito esconde um destinatário errado. A partir desse dia, o procedimento que parecia exagerado passa a ser enxergado como mecanismo de sobrevivência operacional.

A prevenção também ajuda por outro motivo: ela reduz o espaço para alegação de culpa concorrente. Quanto mais claros e consistentes forem os controles internos da empresa, mais forte tende a ser sua posição em eventual discussão de responsabilidade. Se a empresa consegue demonstrar que possuía rotina de conferência, critérios de autenticação, segregação de funções, validação de alterações cadastrais e treinamento do financeiro, a narrativa de diligência fica mais robusta. Isso importa não apenas para o Judiciário, mas também para negociações com bancos, fornecedores e seguradoras.

Conclusão

No fim, o empresário percebe que a pergunta certa nunca foi apenas “quem paga?”. A pergunta correta é: quem assumiu o risco do ponto que falhou, quem tinha o dever jurídico de evitar o desvio e o que a prova consegue demonstrar sobre isso. Banco não responde sempre. Fornecedor não responde sempre. Cliente não responde sempre. O direito olha para a origem da fraude, para a qualidade da aparência legítima, para o dever de segurança de cada agente e para a conduta concreta de todos os envolvidos.

A síntese estratégica é simples de formular, embora nem sempre seja simples de executar: ao primeiro sinal de golpe, a empresa deve tratar o episódio como incidente jurídico, bancário e probatório, e não apenas como problema financeiro. Essa mudança de chave é decisiva. Ela altera a chance de recuperação do valor, a capacidade de defesa contra nova cobrança, a qualidade da negociação com o fornecedor e a própria distribuição de responsabilidade no processo.

Nenhum artigo sério sobre o tema deve terminar prometendo respostas automáticas. Fraudes empresariais são profundamente casuísticas, e pequenas diferenças de fato podem mudar toda a tese jurídica. Mas há uma conclusão segura: quanto antes a empresa identificar a origem da fraude, acionar os mecanismos adequados, preservar prova e estruturar sua reação, maior será a sua chance de reduzir o prejuízo e de sustentar uma posição jurídica consistente.

Bibliografia

BANCO CENTRAL DO BRASIL. Resolução BCB nº 1, de 12 de agosto de 2020. Aprova o Regulamento do Pix. Brasília, DF: Banco Central do Brasil, 2020.

BANCO CENTRAL DO BRASIL. Pix. Brasília, DF: Banco Central do Brasil, [2024]. Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/pix. Acesso em: 12 mar. 2026.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Diário Oficial da União: Brasília, DF, 12 set. 1990.

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Diário Oficial da União: Brasília, DF, 11 jan. 2002.

BRASIL. Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil. Diário Oficial da União: Brasília, DF, 17 mar. 2015.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União: Brasília, DF, 15 ago. 2018.

BRASIL. Lei nº 14.155, de 27 de maio de 2021. Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), o Decreto-Lei nº 3.689, de 3 de outubro de 1941 (Código de Processo Penal) e a Lei nº 7.998, de 11 de janeiro de 1990, para tornar mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet. Diário Oficial da União: Brasília, DF, 28 maio 2021.

FEDERAÇÃO BRASILEIRA DE BANCOS. Segurança digital e prevenção a fraudes. São Paulo: FEBRABAN, [2024]. Disponível em: https://portal.febraban.org.br/. Acesso em: 12 mar. 2026.

SUPERIOR TRIBUNAL DE JUSTIÇA. Súmula 297. O Código de Defesa do Consumidor é aplicável às instituições financeiras. Brasília, DF: STJ, [2004]. Disponível em: https://www.stj.jus.br/. Acesso em: 12 mar. 2026.

SUPERIOR TRIBUNAL DE JUSTIÇA. Súmula 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Brasília, DF: STJ, [2012]. Disponível em: https://www.stj.jus.br/. Acesso em: 12 mar. 2026.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Segurança da informação e incidentes de segurança. Brasília, DF: ANPD, [2024]. Disponível em: https://www.gov.br/anpd/. Acesso em: 12 mar. 2026.

Dr. Lucas Lisboa Rodrigues

Advogado inscrito na OAB/DF, nº 73.449