Instalaram um app e esvaziaram minha conta: quem responde?
No golpe do acesso remoto (mão fantasma), criminosos controlam seu celular e fazem transações. Entenda por que o STJ considera isso falha de segurança do banco.
Bruno Machado
Advogado · OAB/SP nº 360.883
No golpe do acesso remoto — também chamado de “mão fantasma” — criminosos convencem a vítima a instalar um aplicativo no celular e, a partir daí, assumem o controle do aparelho para fazer transferências, contratar empréstimos e esvaziar a conta. A boa notícia é que o Superior Tribunal de Justiça (STJ) entende que isso é falha de segurança do banco, e não culpa da vítima: em decisão de novembro de 2025, determinou que a instituição indenize integralmente o prejuízo, afastando a tese de “culpa concorrente”.
Como funciona o golpe da mão fantasma?
O golpe quase sempre começa com um contato que parece legítimo: alguém liga ou manda mensagem se passando por funcionário ou central do banco, alegando uma “fraude na sua conta” ou a necessidade de “atualizar a segurança”. A vítima é orientada a instalar um aplicativo — apresentado como ferramenta do banco — que, na verdade, é um programa de acesso remoto (conhecido tecnicamente como RAT).
Instalado o aplicativo, o criminoso passa a enxergar e controlar o celular à distância, inclusive o aplicativo do banco já logado. A partir daí, faz transferências por Pix, contrata empréstimos e realiza pagamentos — tudo com a conta da própria vítima, muitas vezes enquanto a tela do celular parece “travada” ou apagada.
Quem responde pelo prejuízo?
Aqui está o ponto central. Mesmo que a vítima tenha sido induzida a instalar o aplicativo, o STJ entende que o banco responde quando falha no seu dever de segurança.
A base é a Súmula 479 do STJ: as instituições financeiras respondem objetivamente pelos danos causados por fraudes de terceiros em operações bancárias. Esse risco é considerado “fortuito interno”, isto é, próprio da atividade bancária — e, por isso, não pode ser transferido ao cliente.
O banco pode dividir o prejuízo comigo?
Foi exatamente essa a tese que o STJ rejeitou. Em 13 de novembro de 2025, a Terceira Turma julgou um caso em que uma cliente, induzida pelo golpe da mão fantasma, teve um empréstimo de R$ 45 mil contratado sem o seu consentimento, além de diversas transações incompatíveis com o perfil da conta. O tribunal de origem havia reduzido a indenização à metade, sob o argumento de “culpa concorrente” da consumidora.
O STJ reverteu essa decisão e condenou o banco a restituir o valor integral. No entendimento do relator, o acesso de terceiros a aplicativos e senhas pessoais não decorre de falta de cautela do correntista, mas da fraude cometida contra ele. Em outras palavras: ser enganado não é o mesmo que ser descuidado.
O que caracteriza a falha do banco?
O elemento decisivo é a atipicidade das operações. Bancos têm sistemas para identificar movimentações fora do padrão do cliente. Quando, de repente, uma conta que mal se movimentava passa a registrar um empréstimo, várias transferências e pagamentos em sequência, em horários incomuns, isso deveria acender um alerta. A ausência desse bloqueio é a falha de segurança que sustenta a responsabilidade da instituição.
O que fazer se você for vítima
- Bloqueie tudo: ligue para o banco e comunique o golpe imediatamente; desligue o aparelho da internet e desinstale o aplicativo suspeito.
- Conteste as transações pelo aplicativo (e acione o MED, se houve Pix).
- Registre boletim de ocorrência — pode ser feito online na delegacia eletrônica.
- Guarde provas: prints das mensagens, registros de ligações, extratos e protocolos de atendimento.
- Busque orientação: se o banco negar a devolução, é possível discutir a responsabilidade dele. O prazo para a ação do consumidor é de 5 anos. Saiba mais na nossa página de Direito Bancário.
Fale conosco
Você foi vítima do golpe do acesso remoto e o banco se recusa a ressarcir? Fale conosco para um atendimento e a análise do seu caso.
Este conteúdo tem caráter informativo e geral e não substitui a orientação jurídica para o caso concreto. Cada caso depende das circunstâncias e das provas disponíveis.
Perguntas frequentes
Fui enganado e instalei o aplicativo. A culpa é minha?
Segundo o STJ, não. Em decisão de novembro de 2025, o tribunal entendeu que a vítima induzida a instalar um aplicativo por alguém que se passou por funcionário do banco não age com culpa concorrente — porque foi vítima de fraude, e não de descuido.
O banco pode me devolver só metade, alegando que eu instalei o app?
O STJ rejeitou exatamente essa tese de divisão do prejuízo. No caso julgado, determinou que o banco indenizasse integralmente o valor, e não pela metade.
Por que o banco responde se quem agiu fui eu?
Porque o banco tem o dever de monitorar operações atípicas. Quando são feitas transações incompatíveis com o seu perfil — como um empréstimo que você nunca contrataria —, há falha de segurança, e a Súmula 479 do STJ impõe responsabilidade objetiva à instituição.
O que devo fazer assim que perceber o golpe?
Ligue para o banco e bloqueie tudo; conteste as transações pelo aplicativo; registre boletim de ocorrência; e guarde prints e comprovantes. Se houve Pix, acione também o MED.
Tenho prazo para entrar com ação contra o banco?
Sim. O prazo para ações do consumidor contra o banco é de 5 anos (art. 27 do Código de Defesa do Consumidor), contado de quando você teve ciência do dano. Não espere para buscar orientação.
Conteúdo informativo. Este texto tem caráter geral e não substitui a orientação jurídica para o caso concreto.