Itaú x PagSeguro no STJ: credenciadora paga golpe contra cliente?

Um processo que tramita no Superior Tribunal de Justiça (STJ) entre o Itaú e a PagSeguro pode mudar a forma como bancos, credenciadoras de cartão e vítimas dividem o prejuízo dos golpes financeiros no Brasil. A discussão é técnica, mas o impacto chega direto no bolso do consumidor: se a Corte entender que a empresa que processa o pagamento também tem responsabilidade pela fraude, o caminho para recuperar dinheiro perdido em estelionatos pode ficar mais curto — e os custos das fraudes, hoje quase sempre empurrados para o banco emissor ou para a própria vítima, tendem a ser redistribuídos no sistema.

Neste guia, você vai entender exatamente o que está sendo julgado, por que esse caso é diferente dos outros, qual é o papel de cada empresa em uma transação com cartão, em que situações o consumidor tem direito a ressarcimento e o que muda na prática caso o STJ acolha a tese de responsabilização da credenciadora. A explicação é detalhada porque o tema é novo, e a decisão tende a virar referência para milhares de ações judiciais que hoje acabam sem resposta clara.

O que está em jogo na disputa entre Itaú e PagSeguro no STJ

O ponto central da ação é definir se uma credenciadora — também chamada de adquirente, que é a empresa responsável por processar pagamentos feitos em maquininhas e links de cobrança — deve responder civilmente quando o dinheiro de uma vítima de golpe é transferido, via cartão, para a conta de um estelionatário cadastrado nessa credenciadora.

No caso concreto, o Itaú, banco emissor do cartão do correntista, sustenta que a PagSeguro, na condição de credenciadora que recebeu o pagamento fraudulento, tem parcela de responsabilidade no prejuízo. A PagSeguro, por sua vez, defende que sua atuação é apenas de intermediação técnica entre o lojista (no caso, o golpista cadastrado como vendedor) e o sistema de pagamentos.

O que torna a discussão inédita é que, até agora, a jurisprudência brasileira tende a concentrar a responsabilidade por golpes em duas pontas: o banco emissor (que deve identificar transações suspeitas) e o próprio consumidor (quando há culpa concorrente, como fornecer senha a terceiros). A credenciadora, terceiro elo da cadeia, raramente é chamada para pagar a conta. Se o STJ reconhecer essa responsabilidade, abre-se um caminho jurídico novo — e os impactos vão muito além desse processo específico.

Como funciona uma transação com cartão e qual o papel da credenciadora

Para entender por que essa disputa é importante, é preciso saber quem é quem em uma transação eletrônica. Quando você passa um cartão na maquininha ou paga um link enviado por WhatsApp, o dinheiro percorre uma cadeia de pelo menos quatro participantes:

• Banco emissor: a instituição que emitiu o cartão do consumidor (no caso analisado, o Itaú). É quem aprova ou nega a transação com base no limite, no perfil de gastos e em sinais de fraude.
• Bandeira: empresas como Visa, Mastercard e Elo, que estabelecem as regras do jogo e fazem a ponte tecnológica entre emissor e credenciadora.
• Credenciadora (adquirente): a empresa que oferece a maquininha ou o link de pagamento ao estabelecimento. PagSeguro, Stone, Cielo, Rede e Getnet são exemplos. É ela quem credencia o lojista, faz a checagem cadastral e repassa o dinheiro recebido.
• Estabelecimento (lojista): quem recebe o pagamento. Em um golpe, esse "lojista" é, na verdade, o estelionatário que abriu uma conta de recebimento para captar dinheiro das vítimas.

A tese que chega ao STJ questiona justamente o filtro cadastral dessa credenciadora. Se a empresa permite que um golpista abra uma conta de recebimento com dados frágeis, recebe transferências de vítimas em sequência e ainda assim libera o dinheiro, ela teria, em tese, contribuído para o prejuízo. O argumento se apoia no Código de Defesa do Consumidor e na chamada teoria do risco da atividade — quem lucra com o serviço deve responder pelos riscos que ele cria.

Por que o consumidor deve acompanhar essa decisão de perto

Hoje, quando alguém cai em um golpe — seja o falso atendimento bancário, a falsa central de segurança, o golpe do Pix com QR Code falso ou a clonagem de cartão —, a corrida atrás do dinheiro costuma seguir um roteiro frustrante: a vítima registra boletim de ocorrência, abre reclamação no banco, espera análise interna e, na maioria das vezes, recebe a resposta de que a transação foi autorizada com senha e biometria, portanto não há ressarcimento.

Quando o caso vai para a Justiça, o foco quase sempre recai sobre o banco emissor. A discussão fica em torno de saber se houve falha de segurança, se a transação fugia do padrão do cliente e se o banco deveria ter bloqueado a operação. A credenciadora que recebeu o dinheiro do outro lado raramente é incluída no processo.

Se o STJ entender que a credenciadora também responde, o consumidor passa a ter mais um réu para acionar, o que aumenta a chance de recuperar o valor perdido. E mais: as próprias credenciadoras seriam pressionadas a apertar o cadastro de quem abre conta de recebimento, dificultando a vida dos golpistas na origem.

Esse é um movimento parecido com o que aconteceu nos últimos anos com o Pix. À medida que o Banco Central reforçou regras de identificação, limites e devolução especial (MED), o ambiente ficou menos confortável para fraudes — embora ainda esteja longe do ideal.

O que diz a regulação atual sobre fraudes e ressarcimento

Enquanto o STJ não decide, vale entender o que já está em vigor e protege o consumidor que cai em um golpe.

Código de Defesa do Consumidor (CDC): estabelece a responsabilidade objetiva dos fornecedores de serviços, incluindo bancos e instituições de pagamento. Isso significa que, em casos de fraude considerada previsível dentro da atividade bancária, a instituição responde independentemente de culpa. Esse entendimento já foi consolidado pelo STJ na Súmula 479, que afirma que as instituições financeiras respondem objetivamente pelos danos causados por fraudes praticadas por terceiros no âmbito de operações bancárias.

Mecanismo Especial de Devolução (MED) do Pix: criado pelo Banco Central, permite que a vítima peça ao banco a devolução de valores transferidos por Pix em casos de golpe ou falha operacional. O pedido deve ser feito em até 80 dias, e o banco recebedor tem prazo curto para bloquear e devolver o dinheiro encontrado na conta do golpista.

Resolução do Banco Central sobre prevenção a fraudes: instituições autorizadas a funcionar pelo BC, incluindo bancos digitais, fintechs e credenciadoras, são obrigadas a manter políticas de prevenção a fraudes, monitoramento de transações atípicas e mecanismos de identificação de clientes (KYC — "conheça seu cliente").

O ponto que o caso Itaú x PagSeguro pretende esclarecer é exatamente em que medida o descumprimento dessas obrigações, por parte de uma credenciadora, gera responsabilidade civil direta perante a vítima — e não apenas obrigação regulatória perante o Banco Central.

O que muda na prática se a credenciadora for responsabilizada

Caso o STJ acolha a tese de que a credenciadora responde por golpes praticados por lojistas cadastrados em sua plataforma, três efeitos práticos tendem a aparecer rapidamente:

1. Cadastro mais rigoroso para quem recebe pagamentos. Hoje, é possível abrir uma conta de recebimento em algumas credenciadoras em poucos minutos, apenas com CPF e selfie. Esse modelo democratizou o acesso a maquininhas e links de pagamento — mas também abriu brecha para contas usadas exclusivamente em golpes. Com responsabilização civil no horizonte, a tendência é endurecer a checagem.

2. Monitoramento de transações de entrada. Bancos já monitoram saídas suspeitas (transações fora do padrão do cliente). Se a responsabilidade for estendida, as credenciadoras passariam a monitorar entradas suspeitas — múltiplas vítimas pagando para o mesmo cadastro em curto intervalo de tempo, por exemplo, deveriam acender alerta.

3. Mais um caminho para o consumidor reaver o dinheiro. Em casos comprovados de golpe, a vítima poderia acionar judicialmente não apenas o banco emissor, mas também a credenciadora que recebeu o pagamento do estelionatário. Isso amplia a chance de recuperação efetiva do valor.

Por outro lado, há quem alerte para um efeito colateral: o aumento da burocracia no cadastro pode dificultar o acesso de microempreendedores, autônomos e profissionais informais a meios de pagamento eletrônico — exatamente o público que mais se beneficiou da popularização das maquininhas na última década.

O que o consumidor deve fazer ao cair em um golpe hoje

Independentemente do desfecho no STJ, há um caminho prático que aumenta muito a chance de recuperar o dinheiro perdido em uma fraude. Anote os passos e, se possível, salve este guia.

1. Comunique o banco imediatamente. O contato deve ser feito pelos canais oficiais (aplicativo, telefone do verso do cartão ou agência). Quanto mais rápido, maior a chance de bloquear o valor antes que o golpista saque ou transfira de novo. Anote o número do protocolo.

2. Registre boletim de ocorrência. Pode ser feito on-line, na delegacia eletrônica do seu estado. O BO é exigido por bancos e credenciadoras para análise de ressarcimento e é peça importante em eventual ação judicial.

3. Em caso de Pix, peça o MED. O pedido é feito diretamente no aplicativo do banco, na opção de contestação de transação. O prazo é de até 80 dias a contar da operação fraudulenta.

4. Reúna provas. Prints de conversas, comprovantes, áudios e e-mails do golpista são fundamentais. Eles ajudam a demonstrar que houve fraude e não autorização espontânea.

5. Reclame no Banco Central e no consumidor.gov.br. Esses canais formais aumentam a pressão sobre a instituição e geram registro oficial da reclamação, que pode ser usado em processo.

6. Se o banco negar o ressarcimento, procure a Justiça. Em ações de até 40 salários mínimos é possível usar o Juizado Especial Cível, sem necessidade de advogado para o valor de até 20 salários mínimos. A Súmula 479 do STJ é forte argumento a favor do consumidor.

Como se proteger dos golpes mais comuns enquanto a Justiça decide

O melhor ressarcimento é o que não precisa ser pedido. Por isso, vale reforçar as práticas de proteção que reduzem drasticamente o risco de cair em fraudes financeiras:

• Desconfie de qualquer contato que peça urgência. Golpistas trabalham com pressão de tempo: "sua conta será bloqueada", "há uma compra suspeita", "transfira agora para um cofre de segurança". Banco nenhum opera assim.
• Nunca instale aplicativos a pedido de "atendentes". O golpe do acesso remoto cresceu muito: o criminoso pede para você instalar um programa que dá controle do celular a ele. Banco oficial nunca solicita isso.
• Confira o nome de quem vai receber o Pix. Antes de confirmar, verifique se o nome do destinatário bate com a pessoa ou empresa esperada. Pequenas alterações no nome são sinal clássico de golpe.
• Use limites diferenciados para Pix noturno e para transferências. O Banco Central permite que o cliente configure limites menores fora do horário comercial, dificultando saques expressivos em caso de fraude.
• Ative todas as notificações. Receber alerta em tempo real de cada transação dá chance de bloquear o cartão ou pedir o MED antes que o dinheiro suma de vez.
• Cuidado com QR Codes de origem desconhecida. O QR Code pode esconder dados de pagamento diferentes do que aparenta. Sempre confira o valor e o destinatário antes de confirmar.

O que esperar dos próximos capítulos do caso

O julgamento entre Itaú e PagSeguro no STJ tem potencial para se tornar um marco na responsabilidade civil dos meios de pagamento no Brasil. Mesmo que a decisão final ainda demore, qualquer voto público dos ministros tende a influenciar as instâncias inferiores e a estratégia jurídica dos bancos, credenciadoras e consumidores.

No curto prazo, três frentes devem se movimentar em paralelo:

• Reguladora: o Banco Central pode antecipar novas exigências de prevenção a fraudes para credenciadoras e instituições de pagamento, independentemente do desfecho judicial.
• Mercado: bancos emissores devem reforçar a tese de corresponsabilidade da cadeia em ações judiciais já em curso, tentando dividir o prejuízo das fraudes.
• Consumidor: deve continuar usando os mecanismos atuais (MED, CDC, Súmula 479, reclamação no Banco Central) para buscar ressarcimento, sem aguardar a decisão do STJ.

Conclusão: por que essa briga importa para quem nunca ouviu falar dela

O consumidor comum dificilmente se interessa por uma disputa entre dois gigantes do sistema financeiro. Mas o resultado desse processo pode chegar à sua vida no pior momento possível: quando você ou um familiar perde dinheiro em um golpe e precisa decidir contra quem entrar na Justiça.

Hoje, o caminho é praticamente único: brigar com o banco emissor. Amanhã, se a tese de responsabilização da credenciadora for aceita pelo STJ, o consumidor passa a ter mais alternativas — e o sistema como um todo é forçado a fechar as portas que hoje deixam os golpistas operarem com tanta facilidade.

Enquanto o julgamento não termina, a melhor estratégia continua sendo prevenir, agir rápido quando o golpe acontece e conhecer os direitos garantidos pelo Código de Defesa do Consumidor, pela Súmula 479 do STJ e pelas resoluções do Banco Central. Esses três pilares já garantem proteção real — e, com a decisão da Corte, podem ficar ainda mais fortes.

---

Referências

• Jota — matéria sobre a disputa entre Itaú e PagSeguro no STJ acerca da responsabilidade civil de credenciadoras por golpes contra correntistas.
• STJ — Súmula 479: responsabilidade objetiva das instituições financeiras por fraudes de terceiros em operações bancárias.
• Banco Central — Mecanismo Especial de Devolução (MED) do Pix, com prazo de até 80 dias para solicitação, e normas de prevenção a fraudes e KYC aplicáveis a instituições de pagamento.