O modus operandi
O corpus paulista de 2026 consolida uma única família fática sob o slug: a vítima é contatada por WhatsApp, e-mail ou ligação — em regra logo após sofrer ação de busca e apreensão, refinanciar veículo ou celebrar consignado — e recebe boleto de parcela ou "quitação" em nome da financiadora com quem efetivamente mantém vínculo. O fraudador conhece nome, CPF, número de contrato e saldo devedor, porque extraiu dados de consulta pública ao processo ou de correspondente bancário. A vítima paga, tipicamente R$ 3 mil a R$ 42 mil, descobrindo depois que o beneficiário do boleto era PJ estranha (Stone, EBANX, Nubank, PagSeguro, Cora).
A segunda família hipotética — boleto emitido em nome da vítima sem consentimento para obter crédito/fiança — não se materializa no corpus de 137 acórdãos. Há um único caso tangencial (4000614-35.2025, EDP · "denominação semelhante"), fora do eixo bancário. O slug cobre, portanto, a família "pagamento induzido de boleto adulterado".
Variantes observadas
- A · Boleto de quitação/parcela via WhatsApp pós-busca e apreensão. Dominante: 17/30. Fraudador aborda no mesmo dia da liminar, invocando dados do processo. Paradigmas: 1002283-45.2025, 1012666-91.2025, 1002899-72.2025.
- B · Boleto via e-mail corporativo falso. Domínio clonado (yandex, sósias). 1003871-26.2025, 1002858-28.2024 (BMW), 1000855-47.2024 (B2B).
- C · Boleto B2B de fornecedor com denominação semelhante. Empresa paga fornecedor, boleto "sósia" aponta para PJ laranja. 1020632-20.2016, 1003784-12.2025 (farmácia R$ 35k).
- D · Ligação com falso gerente + boleto de "regularização de consignado". Aposentado INSS paga boleto de R$ 15k para supostamente cancelar consignado duplo. 1011447-05.2023, 1000902-86.2023.
- E · Site falso indexado. Vítima busca canal no Google e entra em página clonada. 1128352-13.2024.
Perfil das vítimas
Perfil heterogêneo, com dois arquétipos dominantes: (i) mutuário de financiamento de veículo (Aymoré, Santander, Votorantim, Honda, Volkswagen, BMW, Pan, Daycoval), adulto economicamente ativo que acabou de sofrer busca e apreensão — aí mora o gancho, porque o fraudador prova conhecer o processo; (ii) pequena empresa com rotina de pagamento de parcelas a fornecedor ou financiamento PJ. Subgrupo minoritário: aposentado INSS com consignado, onde o golpe se hibridiza com falsa central (1011447-05.2023). Não há padrão de hipervulnerabilidade etária homogênea — o que distingue o boleto fraudulento de motoboy ou falsa central.
Teses jurídicas que se discutem aqui
- Fortuito Externo · Culpa do Consumidor — banco, muito alta. Vence com boleto via WhatsApp não oficial + beneficiário divergente visível.
- Fortuito Externo · Culpa de Terceiro — banco, alta. Vence com dados obtidos de processo judicial público.
- Fortuito Interno · Vazamento de Dados — consumidor, baixa-média. Vence quando dados só estavam no banco e não havia processo público.
- Falha do Serviço · Súmula 479 — consumidor, baixa. Vence em pagamento no caixa + preposto não conferiu; inércia após alerta.
- Culpa Concorrente 50/50 — misto, média. Banco receptor com KYC falho (Res. BCB 96/2021).
A tese vencedora típica do banco
Fortuito Externo · Culpa do Consumidor (art. 14 §3º II CDC), acompanhada de fortuito externo · culpa de terceiro quando os dados sigilosos vieram de processo judicial público. 17 dos 30 extratos aplicam essa linha.
Construção típica: (i) canal não oficial (WhatsApp, e-mail, site); (ii) beneficiário do boleto visivelmente divergente da credora (Stone, EBANX, PagSeguro, Nubank); (iii) vítima podia conferir e não o fez; (iv) dados sigilosos acessíveis via consulta processual, afastando vazamento; (v) Súmula 479/STJ afastada por inexistência de fortuito interno.
“a fraude configurou fortuito externo pois decorreu de descuido do próprio autor, que voluntariamente pagou boletos falsos recebidos por WhatsApp sem adotar cautelas básicas de verificação, sem qualquer falha nos sistemas da ré; dados sigilosos eram acessíveis publicamente via processo judicial ajuizado pela própria ré”
“os boletos fraudulentos apresentavam código de barras vinculado a outra instituição (Stone Pagamentos), configurando fato exclusivo de terceiro e culpa exclusiva da vítima, afastando a responsabilidade do banco com base no art. 14, §3º, II, CDC”
Provas que a sustentam: print do WhatsApp/e-mail com número ou domínio não oficial; cópia do boleto mostrando CNPJ do beneficiário estranho à relação; certidão de publicidade do processo de busca e apreensão (afasta vazamento bancário); Enunciado nº 12 SDP/TJSP expressamente invocado.
A tese vencedora típica do autor
Duas linhas minoritárias. (a) fortuito_interno_vazamento_dados quando os dados do contrato são tão específicos (saldo atualizado, data não ajuizada) que só poderiam ter saído do banco; (b) falha_servico_sumula_479 quando o pagamento se fez no caixa da agência e o preposto não conferiu, ou quando o banco permaneceu inerte após alerta formal de fraude.
“reconhecida falha nos serviços prestados pelos bancos-réus ante sua absoluta inércia após comunicação formal de fraude, configurando fortuito interno, pois o risco de fraude é inerente à atividade bancária e não afasta o nexo causal”
“o pagamento do boleto fraudulento foi realizado diretamente no caixa bancário por intermédio de preposto, que tinha obrigação de conferir a correspondência entre o beneficiário indicado no boleto e os dados do sistema, caracterizando fortuito interno e falha na prestação do serviço”
Precedentes-âncora: Súmula 479/STJ · Tema Repetitivo 466 STJ · art. 14 caput CDC · Resolução BCB nº 96/2021 (KYC) para banco receptor.
Defesa típica do banco — o que funciona
A taxa de êxito (57,7%) se explica porque o beneficiário divergente no boleto é prova documental autoevidente da culpa da vítima. O roteiro vencedor: (i) demonstrar canal não oficial de entrega; (ii) juntar o boleto exibindo o CNPJ estranho; (iii) juntar certidão do processo de busca e apreensão para neutralizar vazamento — linha de Santiso (1002283-45.2025) e Zarvos Varellis (1002899-72.2025); (iv) invocar Enunciado nº 12 SDP/TJSP; (v) afastar a Súmula 479 por inexistência de fortuito interno.
Erros recorrentes que custaram caso: inércia após comunicação formal de fraude (1043737-48.2024); pagamento no caixa sem conferência do preposto (1000925-87.2025); e, se banco receptor, ausência de documentação de abertura da conta destinatária — fatal no Núcleo 4.0-T.II de Battaus Neto.
Câmaras e relatores que mais julgam
- Gilberto Franceschini (Núcleo 4.0-T.III) — 7 casos. Misto — 4 banco / 1 consumidor / 2 parcial.
- Dimitrios Zarvos Varellis (38ª + Núcleo 4.0-T.IV) — 5 casos. Pró-banco — tese do processo público como afastamento de vazamento.
- Ricardo Hoffmann (Núcleo 4.0-T.IV) — 4 casos. Pró-banco.
- João Battaus Neto (Núcleo 4.0-T.II) — 4 casos. Cisão banco-origem/banco-destino com KYC · 50/50.
- Mario Sergio Leite (22ª CDPriv) — 3 casos. Pró-banco rigoroso (3/3).
- Alexandre David Malfatti (12ª CDPriv) — 3 casos. pró-consumidor (3/3) — outlier no corpus.
- Cristina Di Giaimo Caboclo (11ª CDPriv) — 3 casos. Pró-banco — "vítima desconfiou e pagou".
Extremos: 37ª CDPriv julgou 6/6 pró-banco; 12ª CDPriv (Malfatti) julgou 5/9 pró-consumidor — maior índice consumidor do corpus.
Discussões e divergências
Eixo 1 — Dados extraídos de processo judicial público. A 38ª e o Núcleo 4.0-T.IV (Zarvos Varellis, Santiso) tratam a publicidade processual como excludente automática do vazamento bancário (1002899-72.2025, 1012666-91.2025). A 12ª (Malfatti) e a 21ª (Paulo Alcides) rejeitam: saldo devedor, parcela corrente e valor exato de quitação não estão no processo, logo vazaram do banco (1069656-84.2024, solidariedade Santander/Aymoré).
Eixo 2 — Banco credor/emissor vs. banco receptor (instituição de pagamento). Cisão objetiva, não propriamente divergência: (a) banco credor (Aymoré, Votorantim, Pan, Honda) é sistematicamente absolvido (1004804-87.2025, 1024084-27.2023); (b) banco receptor responde objetivamente se não comprova KYC (Res. BCB 96/2021) — linha de Battaus Neto em 1003784-12.2025, condenando Acesso Soluções em R$ 35.529 e absolvendo a Credicitrus conta-origem. É a mesma dicotomia pagador-isento/receptor-responsável de marketplace.
Eixo 3 — Pagamento no caixa + preposto. Roberto Maia em 1000925-87.2025 consolida meio-termo raro: preposto que processa sem conferir divergência gera fortuito interno e solidariedade material, mas dano moral é afastado pela culpa concorrente determinante do canal inicial não oficial.
- NJ4.0 T.IV DP255%·9%11
- NJ4.0 T.III DP260%·10%10
- 12ª CDPriv22%·56%9
- 13ª CDPriv75%·0%8
- NJ4.0 T.II DP263%·13%8
- 23ª CDPriv57%·29%7
- NJ4.0 T.I DP250%·0%6
- 11ª CDPriv83%·0%6
- 37ª CDPriv100%·0%6
- 20ª CDPriv20%·0%5
Validação da categoria
O slug boleto_fraudulento cobre parcialmente: abrange com precisão a família dominante (pagamento induzido de boleto adulterado por canal não oficial), mas não capta a segunda família hipotética — "boleto emitido em nome da vítima sem consentimento para obter crédito/fiança" — inexistente nesta amostra e provavelmente alocada em consignado_nao_contratado ou invasao_conta_emprestimos_fraudulentos.
Sub-categorias sugeridas: boleto_falso_whatsapp_financiamento_veiculo (dominante), boleto_falso_email_b2b_fornecedor, boleto_falso_ligacao_falso_gerente_consignado, boleto_falso_receptor_kyc_falho (eixo de condenação), boleto_falso_dados_processo_publico (eixo de defesa).
Casos limítrofes: 1011447-05.2023 e 1000902-86.2023 têm natureza híbrida com falsa_central_atendimento (ligação precede o boleto).
O ônus probatório em jogo
No boleto fraudulento o ônus é assimétrico e pró-banco: o autor precisa provar que os dados só poderiam vir do banco (excluindo processo judicial público) ou que o preposto do caixa falhou em conferir divergência. O banco, quando credor, basta juntar boleto com CNPJ divergente + certidão de publicidade do processo. Banco-receptor carrega ônus qualificado de dossiê KYC completo.
Como usar isso na prática — defesa do banco
Primeira pergunta ao cliente: banco é credor/emissor, receptor ou intermediário? Para banco credor (Aymoré, Pan, Votorantim, Honda, Volkswagen), a defesa é quase triunfal — 57,7% no corpus, mais alta na 37ª, 22ª, 38ª e Núcleo 4.0-T.IV. Roteiro mecânico: boleto + canal + processo público + Enunciado 12. Pedir majoração recursal (art. 85 §11 CPC), sistematicamente deferida.
Para banco receptor/instituição de pagamento, inverte: sem KYC completo, condenação automática no Núcleo 4.0-T.II (1003784-12.2025, R$ 35.529). Pontos de atenção: (i) jamais permitir pagamento no caixa sem conferência (1000925-87.2025); (ii) responder tempestivamente comunicação de fraude — inércia foi decisiva em 1043737-48.2024; (iii) monitorar 12ª (Malfatti), 21ª (Paulo Alcides) e 19ª (Jairo Brazil) — câmaras que aceitam vazamento bancário apesar do processo público.
Combo probatório — como ler este golpe
A configuração probatória deste golpe tem impacto direto no resultado. A matriz abaixo apresenta os 13 fatores calibrados nos 379 extratos lidos pelo estudo — use-os como checklist para mapear a posição do caso concreto.
Pró-banco
7 fatores · 5+ = banco vence ~90%
- #1Credenciais tecnicamente autenticáveis46%
- #2Logs de autenticação juntados pelo banco (checklist de 8 elementos)36%
- #3Operação dentro do app oficial, não canal externo62%
- #4Demora do autor em reclamar (> 3 meses)21%
- #5Autor não pediu perícia digital57%
- #6Valores dentro/próximos do perfil histórico30%
- #7Comportamento contraditório do autor (usou o dinheiro creditado)★16%
Pró-consumidor
6 fatores · 4+ = consumidor vence ~90%
- #1Valor 3× ou mais acima do limite diário ou do padrão histórico38%
- #2Múltiplas operações em janela curta (< 48h)44%
- #3Padrão radicalmente dissonante do histórico da conta28%
- #4Resgate integral de aplicações financeiras11%
- #5Banco não enviou alerta nem fez bloqueio preventivo49%
- #6Negativação em cima → dano moral in re ipsa OU desconto em verba alimentar (L2)★15%

