A Lei 15.397/2026 entrou em vigor com dois efeitos principais: tipificou a fraude bancária como crime autônomo no Código Penal e aumentou penas de estelionato, furto, roubo e receptação, com foco em condutas praticadas pela internet, por celular, via Pix, WhatsApp e contas laranja. Para quem caiu em golpe, a pergunta direta é: isso ajuda a recuperar o dinheiro?
A resposta técnica é que fraude bancária crime trata da punição do golpista. Recuperar o valor permanece sendo discussão cível, geralmente contra a instituição financeira, com base na Súmula 479 do STJ. São duas frentes paralelas, não substitutivas. A nova lei endurece o lado penal. A devolução do dinheiro depende da responsabilidade objetiva do banco e da prova do caso concreto.
Este post explica o que muda com a Lei 15.397/2026, por que a vítima precisa pensar em dois caminhos jurídicos simultâneos e quando vale procurar advogado.
O que a Lei 15.397/2026 efetivamente alterou
A Lei 15.397, de 30 de abril de 2026, publicada no DOU em 05/05/2026, alterou o Decreto-Lei 2.848/1940 (Código Penal). O texto integral está disponível no portal do Planalto: Lei nº 15.397/2026.
Três pontos práticos da norma:
- Criação do tipo penal de fraude bancária, com previsão expressa no art. 171, § 2º-A, do Código Penal (incluído pela Lei 15.397/2026): pena de reclusão de 4 a 8 anos e multa para fraudes cometidas com uso de redes sociais, contatos telefônicos, e-mail fraudulento, duplicação de dispositivo eletrônico ou aplicação de internet, além de meios análogos. O texto abrange diretamente golpes por Pix e WhatsApp que envolvam indução a erro da vítima ou de terceiro.
- Majoração da pena do estelionato (caput), que passou a ser de reclusão de 1 a 5 anos e multa.
- Endurecimento das penas de furto, roubo, receptação e latrocínio.
A norma também alcança o uso de contas laranja, ponto sensível em golpes de Pix, em que o valor circula por várias contas de terceiros antes de chegar ao destinatário final. A tipificação reforça a possibilidade de responsabilização criminal dos titulares dessas contas, e não apenas do autor intelectual do golpe.
Punir o golpista é uma coisa. Receber o dinheiro de volta é outra
Esse é o ponto que costuma gerar confusão na vítima. A esfera penal e a esfera cível têm objetivos distintos.
A esfera penal aplica pena ao autor do crime. Mesmo com a Lei 15.397/2026, persiste a dificuldade prática de identificar o golpista, localizá-lo, processá-lo e executar eventual condenação. O processo criminal não devolve dinheiro de forma automática. Existe a possibilidade de reparação civil dentro da sentença penal condenatória (art. 387, IV, do Código de Processo Penal), mas depende de o autor ser identificado e ter patrimônio.
A esfera cível discute o ressarcimento e, na prática, é o caminho mais eficaz da vítima. A ação costuma ser proposta contra a instituição financeira, não contra o golpista. A base é a Súmula 479 do STJ:
“As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
A consulta oficial à súmula está disponível no portal do STJ. O entendimento é consolidado: fraude de terceiro é fortuito interno da atividade bancária, ou seja, risco do negócio, não da vítima.
Como funciona a responsabilidade do banco em golpe por Pix e WhatsApp
A defesa padrão das instituições financeiras é alegar culpa exclusiva da vítima: foi ela quem passou a senha, transferiu por vontade própria, autorizou o Pix. Em golpes simples, essa tese eventualmente prospera. Em golpes sofisticados, a jurisprudência tem caminhado em sentido oposto.
Casos em que tribunais têm reconhecido falha do banco:
- Operação atípica não bloqueada (Pix de valor alto, em horário incomum, para destinatário sem histórico).
- Falsa central de atendimento usando dados que só o banco detinha (vazamento ou falha no sistema).
- Empréstimo contratado por terceiro em segundos, sem qualquer mecanismo de validação reforçada.
- Conta laranja aberta no próprio banco sem diligência mínima de cadastro.
O argumento técnico é que o sistema de segurança falhou em camadas que cabia ao banco controlar. Não importa que a vítima tenha digitado a senha sob engano: o dever de segurança da instituição financeira é objetivo e abrange o risco de fraude por terceiros.
O que diz a jurisprudência
O STJ pacificou a matéria com a Súmula 479. O Tema Repetitivo 466, firmado no REsp 1.197.929/PR (Segunda Seção, julgado em 24/8/2011), reconheceu a responsabilidade objetiva das instituições financeiras nos casos de fraudes praticadas por terceiros: o fundamento é o risco do empreendimento, e o evento é classificado como fortuito interno.
A tese tem sido aplicada em golpes contemporâneos:
- Pix transferido após ligação de falso gerente.
- Empréstimo consignado contratado por terceiro com dados vazados.
- Transferências em sequência após clonagem de WhatsApp.
A defesa do banco baseada em culpa exclusiva da vítima exige prova concreta. Não basta a alegação de que houve digitação de senha. Tribunais têm exigido demonstração de que o sistema não tinha como detectar o caráter atípico da operação, o que raramente se sustenta em fraudes envolvendo valores expressivos e destinatários sem histórico.
A Lei 15.397/2026 não altera esse cenário cível, mas reforça o discurso de que se trata de criminalidade grave, com efeito argumentativo indireto.
O que a vítima precisa fazer nas primeiras 72 horas
A reação rápida define a chance de recuperação. Quatro medidas imediatas:
1. Boletim de ocorrência. Pode ser feito online em quase todos os estados. Descreva valores, horários, destinatário do Pix e modo de abordagem do golpista. Esse documento alimenta a investigação criminal e instrui a ação cível.
2. Comunicação formal ao banco. Por escrito, com protocolo, exigindo o registro da contestação e o acionamento do MED (Mecanismo Especial de Devolução) do Pix, regulado pelo Banco Central. O prazo é de até 80 dias do lançamento. O MED só funciona se o dinheiro ainda estiver na conta do destinatário. A consulta sobre o mecanismo pode ser feita no site do Banco Central.
3. Bloqueio cautelar de operações. Pedido de bloqueio do app, troca de senhas, revisão de dispositivos cadastrados, contestação de eventuais empréstimos relâmpago contratados pelo golpista.
4. Conservação de provas. Prints de conversa, números de protocolo, gravações de ligação, extratos. Quanto mais documentado o golpe, maior a sustentação técnica da ação contra o banco.
A reclamação no Banco Central e na plataforma consumidor.gov.br também é recomendada. Não substitui ação judicial, mas registra a recusa do banco em devolver o valor.
Diferença prática entre golpe por Pix e golpe por WhatsApp
Embora a Lei 15.397/2026 trate ambos sob a mesma lógica de fraude digital, a estratégia jurídica varia.
| Tipo de golpe | Quem operou a transação | Tese central contra o banco |
|---|---|---|
| Falso gerente / falsa central (Pix) | A própria vítima, sob engano | Falha de segurança, vazamento de dados, operação atípica não bloqueada |
| Clonagem de WhatsApp (Pix a falso parente) | A própria vítima, sob engano | Operação atípica para destinatário sem histórico |
| Empréstimo relâmpago contratado por terceiro | O golpista, com acesso ao app | Falha objetiva de autenticação |
| Pix por aproximação ou QR code falso | A própria vítima, sob engano | Falha de validação do beneficiário |
A análise técnica do tipo de golpe define a tese cível, os documentos necessários e a viabilidade do pedido. Não existe modelo único.
Quando vale procurar advogado
Há situações em que a vítima resolve sozinha. O MED do Pix, quando acionado nas primeiras horas, frequentemente recupera o valor sem necessidade de ação judicial, especialmente se o dinheiro ainda está na conta do destinatário. Reclamações administrativas via Banco Central e consumidor.gov.br também resultam em devoluções em parte dos casos, sobretudo quando o banco percebe falha clara no próprio sistema.
A judicialização passa a ser necessária quando:
- O banco recusa formalmente a devolução alegando culpa exclusiva da vítima.
- Houve contratação de empréstimo por terceiro e a instituição cobra as parcelas.
- O valor é expressivo e o MED não funcionou.
- A fraude envolve cadeia de contas laranja abertas no próprio banco.
- O dano material vem acompanhado de inscrição em cadastro de inadimplentes.
Nesses cenários, a ação cível discute responsabilidade objetiva, devolução do valor, eventual dano moral pela falha no dever de segurança e baixa de restrições indevidas. A análise técnica do caso, com revisão de extratos, protocolos e padrão de operações, define a tese e a viabilidade.
A Lei 15.397/2026 reforça o lado penal. O lado cível, que é o que devolve dinheiro, continua sendo construído caso a caso, com base na Súmula 479 do STJ e na jurisprudência sobre falha de segurança bancária.
Vítima de golpe não é coautora do crime por ter sido enganada. É vítima de falha que envolve, em maior ou menor medida, o sistema bancário. A nova lei reconhece a gravidade da conduta. Cabe à vítima exigir, na esfera adequada, o reflexo dessa gravidade no ressarcimento.