Fraude bancária contra empresa: como agir e responsabilizar o banco

Conta zerada na madrugada, PIX desconhecidos às três da manhã, boleto do fornecedor que pagou para um CNPJ diferente. A fraude bancária contra empresas cresce 80% ao ano — e o banco responde objetivamente por cada centavo desviado dentro de sua plataforma. A lei é clara: o risco do sistema é do banco, não da sua empresa.

80% de crescimento nas tentativas de fraude cibernética contra contas empresariais no último biênio (FEBRABAN 2023)

35% das PMEs brasileiras já relataram perdas financeiras diretas por fraude bancária ou clonagem de dados (CNDL 2022)

80 dias prazo máximo para acionamento do MED (Mecanismo Especial de Devolução do PIX) após a fraude

até R$50k indenizações por danos morais em casos de CCB fraudulenta com bloqueio do CNPJ da empresa

Como funciona a fraude bancária corporativa

A fraude bancária contra a pessoa jurídica caracteriza-se por qualquer movimentação financeira, contratação de dívida ou desvio de recursos realizados na conta da empresa sem o consentimento ou o conhecimento dos sócios administradores. No ambiente corporativo, os ataques são altamente sofisticados — os criminosos não dependem apenas de engenharia social básica:

Malware de captura: infiltra-se silenciosamente nos sistemas empresariais e burla autenticação de dois fatores e tokens de segurança das plataformas bancárias
Boleto adulterado: código de barras de boleto legítimo é alterado, redirecionando o pagamento para conta de laranjas sem que o banco emita alerta de divergência
CCB fraudulenta: quadrilhas falsificam documentos societários e contratam limites de crédito volumosos em nome da empresa, deixando a dívida ativa enquanto os recursos desaparecem
PIX noturno: acessam a conta em horários atípicos e realizam dezenas de transferências antes do sistema antifraude identificar o padrão

Súmula 479 STJ: fortuito interno é risco do banco, não da empresa

O STJ pacificou que as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno — fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Isso significa que a sua empresa não precisa provar que o banco agiu com má-fé: basta comprovar que o desvio ocorreu dentro da plataforma bancária e que gerou prejuízo ao negócio.

Casos reais: o impacto no caixa corporativo

Roberto — transportadora de cargas no interior do Paraná

A transportadora de Roberto mantinha uma linha de capital de giro para despesas emergenciais. Em um final de semana, fraudadores invadiram o ambiente logado da conta PJ — ignorando os dispositivos de segurança do banco — e contrataram o limite total da CCB disponível. O dinheiro foi imediatamente pulverizado para diversas contas externas. Na segunda-feira, a empresa não havia perdido apenas o saldo: estava devendo R$ 300.000 ao banco com juros abusivos rodando diariamente. O banco tentou culpar um suposto vírus na rede da transportadora, eximindo-se da falha do seu próprio sistema antifraude que permitiu transações atípicas na madrugada.

Mariana — construtora em Recife

A controladoria de Mariana recebeu um boleto do fornecedor de cimento com quem operavam há anos — logotipo correto, dados exatos da nota fiscal, valor exato da compra. O pagamento foi aprovado no internet banking. Dias depois, o fornecedor cobrou a dívida. O boleto era falso: o sistema de validação do banco falhou ao permitir a liquidação em favor de um CNPJ completamente diferente do fornecedor original, sem emitir nenhum alerta de divergência. A construtora pagou a conta duas vezes para não paralisar a obra, comprometendo o lucro do trimestre inteiro.

O banco tem obrigação de restituir e indenizar sua empresa

A responsabilidade das instituições financeiras por fraudes é objetiva (CDC Art. 14 + CC Art. 927, §único). O banco não pode repassar o risco ao empresário alegando que as senhas foram comprometidas — é dever da instituição identificar padrões fraudulentos e bloquear preventivamente. Três situações que os tribunais condenam sistematicamente:

Invasão de conta e evasão via PIX ignorando o perfil da empresa

Distribuidora de medicamentos teve a conta zerada por dezenas de PIX na madrugada. O banco negou ressarcimento alegando uso das senhas originais. A justiça condenou sob o argumento de que as transações fugiam completamente do padrão diurno da empresa: determinou a devolução dos R$ 80.000 roubados e condenou a pagar mais R$ 25.000 em danos morais pelo risco de falência imposto ao negócio.

Falha na validação de boleto adulterado

Indústria metalúrgica pagou fatura de energia com código de barras adulterado por malware interceptador. O banco acatou o pagamento sem cruzar os dados do beneficiário real com o CNPJ do emissor legítimo. A sentença condenou o banco a restituir os R$ 45.000 desviados, justificando que a instituição detém a tecnologia exclusiva de processamento e falhou em conferir a integridade da titularidade antes de liquidar o ativo.

CCB fraudulenta com negativação do CNPJ e bloqueio de contas

Quadrilha falsificou documentos societários de uma rede de franquias e contratou CCB de R$ 500.000. Quando a parcela não foi paga, o banco negativou o CNPJ e ajuizou execução, bloqueando as contas reais da empresa. Os juízes desconstituíram a dívida, liberaram as contas e impuseram R$ 50.000 em danos morais punitivos pela negligência documental do banco e pela asfixia brutal ao fluxo operacional legítimo da rede.

7 passos imediatos após descobrir a fraude

1

Documente tudo: prints, extratos e comprovantes com dados dos receptores

Use um dispositivo seguro diferente do comprometido. Exporte os extratos em formato digital contendo as transações fraudulentas, horários atípicos e dados das contas receptoras — isso forma a base probatória da ação.
2

Bloqueie a conta PJ afetada e cancele todos os tokens imediatamente

Contate a central de atendimento de fraudes do banco e solicite bloqueio preventivo da conta pessoa jurídica, cancelamento de senhas e tokens vigentes. Anote todos os protocolos e nomes dos atendentes.
3

Exija a abertura imediata do MED — Mecanismo Especial de Devolução

O MED é o instrumento do Banco Central para tentar congelar os valores nas contas dos estelionatários antes do saque final. O prazo é de até 80 dias — mas cada hora conta. Exija a ativação imediata como prioridade absoluta na ligação com o banco.
4

Registre Boletim de Ocorrência na Delegacia de Crimes Cibernéticos

Especifique que a vítima é uma pessoa jurídica, anexe o CNPJ, comprovantes das transferências e o relato da falha de segurança. Pode ser feito online. O BO é peça fundamental no processo judicial.
5

Notifique formalmente a Ouvidoria do banco exigindo devolução em 10 dias

Envie e-mail à Ouvidoria com o BO anexado, exigindo devolução administrativa do capital em prazo máximo de 10 dias úteis. Essa notificação cria o marco temporal da recusa administrativa, essencial para a ação judicial.
6

Redirecione imediatamente os recebimentos para uma conta PJ em outro banco

Abra uma conta PJ secundária em instituição concorrente, transfira a chave PIX e desvie o fluxo de recebíveis de toda a base de clientes para o ambiente saneado. Não continue operando na plataforma comprometida.
7

Acione assessoria jurídica para Ação Indenizatória com pedido de liminar

Organize o acervo documental — extratos, BO, relatórios contábeis do impacto — e leve a uma banca especializada em direito bancário corporativo para ingressar com a ação de restituição imediata e suspensão da cobrança de juros sobre valores fraudulentos.

Erros que destroem o direito de recuperação

Erro 1: manter a conta comprometida em operação

Continuar recebendo depósitos e processando pagamentos na plataforma invadida contamina a cena da fraude e expõe o novo faturamento ao risco de absorção por encargos atrelados à fraude ou a novas invasões. A conta comprometida deve ser imediatamente isolada.

Erro 2: assinar confissão de dívida para limpar o CNPJ

Quando fraudadores contratam um limite no nome da empresa, muitos gestores assinam parcelamentos para limpar o CNPJ e participar de licitações. Juridicamente, assinar termos de renegociação configura anuência com a dívida, enfraquecendo fatalmente a tese de fraude.

Erro 3: focar apenas no valor roubado e ignorar os danos colaterais

Empresas falham em registrar formalmente as multas pagas por atrasar fornecedores, contratos rompidos por falta de mercadoria e notificações de corte de serviço causados pelo rombo. Cada e-mail de cobrança de fornecedor, cada nota fiscal com multa de mora, vale centenas de reais a mais na ação.

Perguntas frequentes

O banco alegou que a culpa foi de um vírus no nosso computador. Perdemos o direito?

Não. Os tribunais entendem que o risco da operação digital pertence à instituição financeira. O banco possui o dever tecnológico de bloquear transferências que fogem do padrão do negócio, mesmo que as senhas tenham sido interceptadas por malwares — mantendo intacta a obrigação de reparar os danos.

Fraudadores contrataram capital de giro no nosso nome. Somos obrigados a pagar os juros?

Não. A empresa deve buscar assessoria jurídica para requerer ordem judicial liminar que force o banco a suspender imediatamente a cobrança das parcelas e juros do contrato fraudulento, protegendo a margem de lucro durante todo o trâmite da ação.

Quanto tempo o banco tem para devolver o dinheiro após a contestação?

Embora existam regulamentações que prevejam prazos de 10 a 30 dias para avaliações de fraudes, os bancos frequentemente negam o ressarcimento corporativo no último dia. A via extrajudicial deve ser superada rapidamente, movendo o pleito para o judiciário se o crédito não retornar ao caixa imediatamente.

O banco pode encerrar nossa conta PJ por entrarmos com ação judicial?

Absolutamente não. O encerramento unilateral de conta corporativa como retaliação por discussões de fraude caracteriza abuso de poder econômico e dano moral autônomo, sujeitando o banco a novas e pesadas sanções financeiras por prejudicar a liberdade de mercado da empresa.

Posso acionar o MED mesmo se a fraude ocorreu dias atrás?

Sim. A regulamentação do Banco Central permite que as instituições solicitem o MED em até 80 dias após o PIX fraudulento. Contudo, quanto mais rápida for a solicitação, maiores as chances de bloquear o dinheiro ainda transitando no sistema antes do saque final pelos criminosos.