Golpe do Pix e Estelionato Digital: Pena e Como se Defender [2026]

“A fraude evolui mais rápido que a legislação. Quando o Direito Penal tipifica uma conduta, o criminoso já inventou três novas.” — Augusto Rossini, Informática, Telemática e Direito Penal

O celular vibra com uma mensagem no WhatsApp. A foto de perfil é de um familiar. O número é diferente, mas a explicação é convincente: “Troquei de celular.” Minutos depois, o pedido: “Preciso que você faça um Pix urgente de R$ 2.800 para pagar um boleto que vence hoje. Amanhã te devolvo.” A vítima transfere. Horas depois, descobre que o familiar nunca enviou aquela mensagem. O dinheiro já foi sacado. O perfil já foi apagado.

Cenas como essa se repetem milhares de vezes por dia no Brasil. Segundo dados do Banco Central, as tentativas de fraude envolvendo o Pix ultrapassaram a marca de 2,5 milhões de registros no primeiro semestre de 2025. O sistema de pagamentos instantâneos, que revolucionou as transferências bancárias no país pela sua rapidez e gratuidade, tornou-se também o canal preferido dos estelionatários pela mesma razão: a transferência é imediata e, uma vez concluída, o dinheiro pode ser sacado ou redistribuído em segundos.

O legislador reagiu. A Lei 14.155/2021 incluiu no Código Penal o tipo qualificado de estelionato por fraude eletrônica (artigo 171, §2º-A), com pena de quatro a oito anos de reclusão e multa, significativamente superior ao estelionato comum (um a cinco anos). O Banco Central, por sua vez, criou o Mecanismo Especial de Devolução (MED), que permite o bloqueio cautelar de valores transferidos por Pix em caso de fraude.

Este artigo aborda o estelionato digital em todas as suas dimensões: os tipos mais comuns de golpes, o enquadramento penal, os mecanismos de recuperação do dinheiro, a responsabilidade do banco, a defesa do acusado e as providências que a vítima deve adotar imediatamente após o golpe.

Tabela de referência rápida: golpes digitais mais comuns

Golpe	Como funciona	Canal principal	Prejuízo médio
Clonagem de WhatsApp	Golpista obtém acesso ao WhatsApp da vítima e pede Pix aos contatos	WhatsApp	R$ 1.000 - R$ 5.000
Falso parente/amigo	Golpista se passa por familiar com “número novo” e pede Pix	WhatsApp	R$ 1.000 - R$ 10.000
Falso funcionário de banco	Golpista liga dizendo que há transação suspeita e induz transferência	Telefone / WhatsApp	R$ 2.000 - R$ 50.000
Phishing bancário	E-mail ou SMS com link falso que captura dados bancários	E-mail / SMS	Variável (acesso à conta)
Falso leilão/venda	Site ou perfil falso anuncia produtos a preços muito abaixo do mercado	Instagram / Sites	R$ 500 - R$ 30.000
Golpe do comprovante falso	Golpista envia comprovante de Pix adulterado como “prova” de pagamento	WhatsApp	Valor do produto/serviço
Falso investimento	Promessa de rendimentos altos e rápidos em investimento inexistente	Redes sociais	R$ 5.000 - R$ 500.000
Sequestro virtual	Golpista liga simulando que tem um familiar refém e exige Pix imediato	Telefone	R$ 2.000 - R$ 20.000

Estelionato digital qualificado: o tipo penal

O estelionato é crime previsto no artigo 171 do Código Penal: “Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento.” Pena: reclusão de um a cinco anos, e multa.

A Lei 14.155/2021 acrescentou o parágrafo 2º-A ao artigo 171, criando a figura qualificada da fraude eletrônica:

“A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se a fraude é cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo.”

Essa qualificadora abrange praticamente todos os golpes digitais: fraudes por WhatsApp, golpes via Pix, phishing, falsos sites de venda, falsos investimentos e sequestro virtual. A pena de quatro a oito anos é quase o dobro do estelionato comum e reflete a opção legislativa de tratar com maior severidade as fraudes que exploram meios eletrônicos.

Agravantes específicas

O parágrafo 2º-B, também incluído pela Lei 14.155/2021, prevê aumento de pena de um a dois terços se o crime for praticado mediante a utilização de servidor mantido fora do território nacional. Essa previsão visa alcançar organizações criminosas que operam a partir de servidores estrangeiros para dificultar o rastreamento.

O parágrafo 4º do artigo 171 estabelece que a pena é aplicada em dobro quando o crime for praticado contra idoso ou vulnerável. Um golpe do Pix de R$ 5.000 contra pessoa com mais de sessenta anos configura estelionato digital qualificado com pena em dobro: de oito a dezesseis anos de reclusão.

Ação penal: condicionada à representação

A Lei 13.964/2019 (Pacote Anticrime) alterou o parágrafo 5º do artigo 171, tornando a ação penal do estelionato condicionada à representação da vítima, salvo exceções. A vítima de golpe digital deve, além de registrar boletim de ocorrência, representar formalmente contra o autor para que o Ministério Público possa oferecer denúncia.

As exceções são: estelionato contra a administração pública, contra idoso ou vulnerável, e quando praticado com violência ou grave ameaça. Nesses casos, a ação penal é pública incondicionada.

Na prática, a representação geralmente é feita no próprio boletim de ocorrência. O delegado pergunta à vítima se deseja representar, e o registro da manifestação é suficiente. O prazo para representação é de seis meses a contar do conhecimento da autoria do crime (artigo 38 do CPP).

MED: Mecanismo Especial de Devolução do Banco Central

O MED foi instituído pela Resolução BCB n. 103/2021 (atualizada pela Resolução BCB n. 342/2023) e é o principal instrumento administrativo para recuperação de valores transferidos por Pix em caso de fraude. Funciona assim:

Primeiro passo: a vítima registra a contestação no seu banco. A notificação deve ser feita o mais rápido possível, preferencialmente no mesmo dia do golpe. O banco receptor (que detém a conta do golpista) é notificado eletronicamente pelo sistema do Banco Central.

Segundo passo: bloqueio cautelar. Ao receber a notificação, o banco receptor bloqueia os recursos na conta do recebedor. Se o dinheiro ainda estiver lá (ou parte dele), fica indisponível. Se já tiver sido sacado ou transferido para outra conta, o bloqueio não alcança o valor.

Terceiro passo: análise. O banco receptor tem até sete dias corridos para analisar o caso. Pode concluir que houve fraude (e autorizar a devolução) ou que não houve (e desbloquear os recursos).

Quarto passo: devolução. Confirmada a fraude, os valores bloqueados são devolvidos à conta da vítima. Se houver saldo parcial, a devolução é parcial.

Prazo: a vítima tem até oitenta dias a partir da data da transação para registrar a contestação via MED. Após esse prazo, o mecanismo não pode mais ser acionado, restando apenas a via judicial.

Limitações do MED

O MED possui limitações práticas relevantes. A principal é que depende da existência de saldo na conta do golpista. Organizações criminosas sofisticadas pulverizam os valores recebidos em dezenas de contas (chamadas de “contas laranjas”) em questão de minutos, tornando o bloqueio ineficaz se não for feito com extrema rapidez.

Outra limitação: o MED só se aplica a transferências Pix. Fraudes envolvendo TED, boleto bancário, cartão de crédito ou outros meios de pagamento não são abrangidas pelo mecanismo.

Passo a passo para a vítima de golpe digital

A ordem das providências importa. Minutos podem fazer a diferença entre recuperar e perder o dinheiro.

1. Comunicar o banco imediatamente

A primeira providência, antes de qualquer outra, é ligar para o banco ou acessar o aplicativo bancário e registrar a contestação da transferência. Peça expressamente a ativação do MED (Mecanismo Especial de Devolução). Anote o número do protocolo.

2. Registrar boletim de ocorrência

O BO pode ser feito online na maioria dos estados (delegacia eletrônica). Reúna: comprovante da transferência (print do Pix), prints das conversas com o golpista, dados da conta destinatária (nome, CPF/CNPJ, banco, agência, número da conta), e quaisquer outros elementos que identifiquem o autor.

Na maioria das delegacias eletrônicas, há campo específico para “estelionato” ou “fraude eletrônica.” Ao registrar, manifeste expressamente o desejo de representar contra o autor.

3. Registrar reclamação no Banco Central

Acesse o site do Banco Central (bcb.gov.br) e registre reclamação formal contra o banco receptor (o banco que abriga a conta do golpista). Essa reclamação não substitui o MED, mas gera registro administrativo que pode ser útil em eventual ação judicial.

4. Preservar todas as provas

Não apague conversas, e-mails, SMS ou qualquer comunicação com o golpista. Faça capturas de tela (screenshots) de tudo: perfil do golpista em redes sociais, anúncios falsos, sites fraudulentos, comprovantes de transferência. Se possível, salve em formato PDF ou imprima.

As provas digitais são essenciais tanto para a investigação policial quanto para eventual ação judicial de indenização. A preservação deve ser imediata, pois perfis e sites falsos costumam ser rapidamente removidos.

5. Consultar advogado

A depender do valor e das circunstâncias, pode ser necessário ajuizar ação cível contra o golpista (se identificado), contra o banco (se houve falha de segurança) ou contra ambos. O advogado avaliará a viabilidade de cada providência e os custos envolvidos.

Responsabilidade do banco: quando o banco responde pelo golpe

A vítima de golpe digital pode ter direito a indenização por parte da instituição financeira quando houver falha no dever de segurança. A Súmula 479 do STJ é clara: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”

Essa responsabilidade objetiva (independente de culpa) se funda no artigo 14 do Código de Defesa do Consumidor e na teoria do risco da atividade. Os bancos lucram com a disponibilização de serviços eletrônicos e assumem os riscos inerentes a esses serviços.

Quando o banco é responsável

A jurisprudência reconhece responsabilidade do banco em diversas situações:

Transação atípica não bloqueada. Se o cliente nunca fez Pix de alto valor e, de repente, transfere R$ 30.000 em uma única operação para uma conta desconhecida, o sistema antifraude do banco deveria sinalizar e, no mínimo, solicitar confirmação adicional. A ausência desse controle pode configurar falha.

Conta laranja mantida em funcionamento. Bancos que mantêm contas utilizadas reiteradamente para receber valores de fraudes, sem providências de bloqueio ou encerramento, podem responder por omissão. A abertura de contas com documentação fraudulenta também configura falha.

Falha no sistema de autenticação. Se o acesso à conta da vítima foi obtido por exploração de vulnerabilidade do sistema do banco (e não por ação da própria vítima), a responsabilidade é do banco.

Quando o banco pode não ser responsável

A responsabilidade pode ser afastada quando a vítima, por conduta própria, facilitou a fraude de forma determinante:

Fornecimento voluntário de senhas e tokens. Se a vítima informou senha, token e código de segurança ao golpista por telefone, parte da jurisprudência entende que há culpa exclusiva da vítima, o que afasta a responsabilidade do banco.

Transferência voluntária. Quando a vítima, por vontade própria (ainda que induzida a erro), realizou a transferência, sem que o golpista tenha acessado a conta, parte dos tribunais entende que não há falha do banco. Essa questão é controversa e está em evolução jurisprudencial.

A análise é sempre casuística. Para avaliar a viabilidade de uma ação contra o banco, recomendamos consultar um advogado que possa analisar as circunstâncias específicas do caso. Sobre indenização por danos morais decorrentes de fraudes bancárias, o escritório possui material de referência.

Defesa do acusado de estelionato digital

O outro lado da questão diz respeito à defesa de quem é investigado ou processado por estelionato digital. A atuação do advogado criminalista nessa área exige conhecimento técnico em duas frentes: direito penal e tecnologia da informação.

Teses defensivas

Ausência de dolo. O estelionato é crime doloso: exige intenção de obter vantagem ilícita mediante fraude. Se o acusado não tinha ciência de que participava de esquema fraudulento (por exemplo, emprestou a conta bancária sem saber que seria utilizada para receber valores de golpes), pode sustentar ausência de dolo.

Conta laranja involuntária. Muitas pessoas cedem suas contas bancárias mediante promessa de remuneração, sem compreender que estão facilitando a lavagem de dinheiro de golpes. Embora a conduta seja reprovável, a defesa pode sustentar ausência de dolo específico de fraudar, especialmente quando o acusado é pessoa de baixa instrução e não se beneficiou de valores expressivos.

Atipicidade por ausência de fraude. O estelionato exige fraude (artifício, ardil, meio fraudulento). Se a transação decorreu de negócio legítimo que não foi cumprido (inadimplência contratual), pode não haver crime. A fronteira entre inadimplência civil e estelionato é tema recorrente na jurisprudência.

Ausência de prejuízo. Se a vítima recuperou integralmente os valores (via MED ou por outra via), parte da doutrina sustenta que o crime não se consumou. Contudo, a posição predominante é de que a consumação ocorre no momento da obtenção da vantagem, sendo a devolução posterior irrelevante para a tipicidade.

Pena e dosimetria. Se a condenação é inevitável, a defesa deve focar na dosimetria, buscando a pena mínima (quatro anos para o tipo qualificado), regime aberto ou semiaberto, e eventual substituição por penas restritivas de direitos. A análise dos prazos de prescrição também é essencial.

Investigação e provas digitais

Casos de estelionato digital envolvem provas técnicas que demandam atenção especial da defesa: laudos periciais em dispositivos eletrônicos, dados de geolocalização, registros de IP, metadados de mensagens, extratos bancários e registros de operadoras de telefonia.

A cadeia de custódia da prova digital (artigos 158-A a 158-F do CPP, incluídos pela Lei 13.964/2019) é requisito de validade. Provas digitais obtidas sem observância da cadeia de custódia podem ser impugnadas. A defesa deve verificar: quem coletou a prova, como foi preservada, se houve acesso intermediário, se o hash dos arquivos foi calculado e preservado.

Golpe do Pix e a questão das contas laranjas

As contas laranjas são elemento central no ecossistema de fraudes digitais. O golpista raramente utiliza conta em seu próprio nome. O fluxo típico é: o dinheiro da vítima é transferido para uma conta laranja, que imediatamente redistribui os valores para outras contas laranjas, que sacam em espécie ou convertem em criptomoedas.

Quem empresta a conta (o “laranja”) pode responder por:

Estelionato em concurso de pessoas (art. 171 c/c art. 29 do CP), se houver prova de que sabia do golpe e aderiu ao plano criminoso.

Associação criminosa (art. 288 do CP), se integrava organização estável dedicada a fraudes.

Lavagem de dinheiro (art. 1º da Lei 9.613/1998), se a cessão da conta serviu para ocultar ou dissimular a origem dos valores.

Na prática, a responsabilização do laranja depende da prova do dolo. Bancos digitais que permitem abertura de conta por selfie e documento, sem verificação presencial, facilitam a criação de contas com documentos de terceiros, gerando situações em que o titular da conta nem sequer sabe que ela existe.

Estelionato digital e concurso de crimes

A prática de golpes digitais frequentemente envolve mais de um tipo penal, configurando concurso de crimes que agrava significativamente a situação do acusado.

Estelionato e invasão de dispositivo informático

Quando o golpista acessa indevidamente o celular ou computador da vítima para obter dados bancários, há concurso entre estelionato digital (artigo 171, §2º-A) e invasão de dispositivo informático (artigo 154-A do CP, incluído pela Lei 12.737/2012 e alterado pela Lei 14.155/2021). A pena do artigo 154-A é de reclusão de um a quatro anos e multa, podendo ser aumentada de um a dois terços se resultar em obtenção de conteúdo privado ou prejuízo econômico.

Estelionato e falsidade ideológica

A criação de perfis falsos em redes sociais ou aplicativos de mensagens para aplicar golpes pode configurar, em tese, falsidade ideológica (artigo 299 do CP) em concurso com estelionato. A questão é debatida na doutrina: parte dos autores sustenta que a falsidade é meio necessário para o estelionato e, pelo princípio da consunção, é absorvida; outra parte defende o concurso formal.

Estelionato e organização criminosa

Golpes digitais de grande escala geralmente envolvem organizações criminosas estruturadas (artigo 2º da Lei 12.850/2013, com pena de três a oito anos). A participação em organização criminosa é crime autônomo, que se soma ao estelionato e a eventuais outros delitos praticados pelo grupo. A prova de vínculo associativo estável é o elemento que diferencia a organização criminosa do mero concurso eventual de agentes.

Estelionato continuado

Quando o agente pratica múltiplos golpes contra vítimas diferentes, com o mesmo modus operandi, pode ser reconhecido o crime continuado (artigo 71 do CP), com aplicação da pena mais grave aumentada de um sexto a dois terços. Para a defesa, o reconhecimento da continuidade delitiva é vantajoso em relação ao concurso material (que soma as penas), pois resulta em pena total menor.

O papel da vítima no processo penal

A vítima de estelionato digital possui papel ativo no processo penal, especialmente após as alterações introduzidas pela Lei 13.964/2019:

Representação. Como o estelionato é, em regra, crime de ação penal condicionada à representação (artigo 171, §5º, CP), a vítima deve manifestar expressamente o desejo de que o autor seja processado. Sem representação, o Ministério Público não pode oferecer denúncia.

Assistência da acusação. A vítima pode se habilitar como assistente de acusação (artigos 268 a 273 do CPP), acompanhando o processo, propondo meios de prova, recorrendo de decisões e requerendo a condenação do réu.

Composição civil. Em audiência preliminar, pode ser proposta a composição civil dos danos. Se a vítima aceitar e o réu cumprir, os efeitos penais podem ser atenuados.

Ação civil ex delicto. Independentemente do processo criminal, a vítima pode ajuizar ação civil de indenização por danos materiais e morais contra o autor do golpe (artigos 63 a 68 do CPP). A sentença penal condenatória transitada em julgado constitui título executivo na esfera civil.

Prescrição do estelionato digital

Os prazos de prescrição do estelionato digital seguem as regras gerais do artigo 109 do Código Penal, calculados com base na pena máxima em abstrato (antes da condenação) ou na pena efetivamente aplicada (após a condenação).

Para o estelionato digital qualificado (pena de 4 a 8 anos), a prescrição da pretensão punitiva é de doze anos (artigo 109, III, CP), contados da data da consumação do crime (momento em que a vítima efetua a transferência).

Se a vítima tem mais de sessenta anos, a pena é aplicada em dobro (8 a 16 anos), e o prazo prescricional sobe para dezesseis anos (artigo 109, II, CP).

Para o autor maior de setenta anos na data da sentença ou menor de vinte e um anos na data do fato, o prazo é reduzido pela metade (artigo 115 do CP).

Prevenção: como não cair em golpes digitais

Embora este artigo tenha foco jurídico, algumas recomendações práticas de prevenção são relevantes:

Desconfie de urgência. Golpes exploram o senso de urgência: “Preciso agora”, “Vence hoje”, “É emergência.” Antes de transferir qualquer valor, ligue para a pessoa por outro canal (chamada de voz, não mensagem) e confirme a identidade.

Ative a verificação em duas etapas do WhatsApp. Essa medida simples impede a clonagem do seu WhatsApp. Vá em Configurações > Conta > Confirmação em duas etapas e cadastre um PIN.

Nunca clique em links de e-mails ou SMS bancários. Bancos não enviam links por e-mail ou SMS para “regularizar” ou “confirmar” dados. Se receber mensagem desse tipo, acesse o aplicativo do banco diretamente (não pelo link) e verifique se há alguma pendência.

Configure limites de transferência. A maioria dos bancos permite fixar limites máximos de Pix por transação e por período. Limite noturno reduzido é especialmente recomendável.

Desconfie de rendimentos extraordinários. Investimentos que prometem retorno de 5%, 10% ou 20% ao mês são fraudes. Sem exceção.

Crimes digitais e competência territorial

A competência para investigação e processamento de crimes digitais é tema processual relevante. O artigo 70 do CPP estabelece que a competência é determinada pelo lugar em que se consumou a infração. No estelionato, a consumação ocorre no local onde a vítima sofreu o prejuízo patrimonial.

A Lei 14.155/2021 acrescentou o parágrafo 4º ao artigo 70 do CPP, estabelecendo que, nos crimes de estelionato cometidos pela internet (dispositivos eletrônicos, conexões telemáticas ou similares), a competência é do domicílio da vítima. Essa regra facilita significativamente o acesso à justiça: a vítima registra ocorrência e acompanha o processo em sua própria cidade, independentemente de onde esteja o golpista.

Para a defesa do acusado, essa regra também tem implicações práticas: se o golpista reside em São Paulo e as vítimas estão espalhadas por dez estados, poderá responder a processos em cada um desses estados, gerando multiplicidade de ações.

O que fazer agora

Se você foi vítima de golpe do Pix ou de qualquer fraude digital, o tempo é fator determinante para a recuperação dos valores. As primeiras horas após o golpe são cruciais para o bloqueio via MED. Além das providências imediatas (banco, BO, Bacen), a avaliação jurídica sobre a responsabilidade do banco e a viabilidade de ação de cobrança ou indenizatória pode ampliar significativamente as chances de ressarcimento.

Se você é investigado por estelionato digital, a defesa técnica especializada é igualmente urgente: a pena de quatro a oito anos exige estratégia defensiva sólida desde o primeiro momento.

O escritório SMARGIASSI Advogado atua em todo o Brasil na orientação de vítimas de fraudes digitais e na defesa criminal de investigados e acusados de crimes eletrônicos.

Fale pelo WhatsApp