A fraude foi conduzida exclusivamente por terceiro estranho à relação de consumo, sem interferência do banco e sem ato imputável ao consumidor — é evento externo puro, imprevisível e inevitável, que rompe o nexo causal com a atividade bancária e afasta a responsabilidade objetiva do art. 14 §3º II CDC.
O argumento canônico
A tese fortuito_externo_culpa_terceiro é a irmã processual de Fortuito Externo · Culpa Exclusiva. Ambas operam sobre o mesmo dispositivo — o art. 14 §3º II do CDC — e chegam ao mesmo resultado (92% pró-banco nesta, 96% naquela), mas com uma diferença dogmática: aqui o papel central é do terceiro fraudador, sem contribuição culposa da vítima. É a tese típica em golpes nos quais o banco é apenas receptor dos valores (falso leilão com conta-laranja na instituição destinatária) ou mero intermediador de pagamento (boleto fraudado via e-mail externo, sem direcionamento oficial).
O argumento tem dois eixos. Primeiro, a ausência total de participação do banco no evento: a fraude foi construída em canal externo (WhatsApp, site espúrio, e-mail spoofado), o banco não emitiu boleto, não direcionou cliente, não teve falha técnica. Segundo, a ausência de nexo entre a mera existência da conta do fraudador e o dano: abrir conta bancária aparentemente regular — mesmo quando o titular depois se revela estelionatário — não é ato ilícito, porque a "reserva mental ilícita" era desconhecida pela instituição (CC art. 110). Quando os dois eixos coexistem, a tese é praticamente invencível.
Tipicamente o caso envolve três atores: consumidor-vítima, fraudador-terceiro, banco receptor da conta-destino. A questão é se o banco receptor tem dever de impedir que sua conta seja usada para crime — e a resposta do TJSP, em 92% das vezes, é não, desde que a abertura da conta tenha sido formalmente regular (com RG, CPF, comprovante de residência). O que distingue os 92% dos 8% (parcial) é exatamente o KYC: quando o banco receptor não comprova a documentação da abertura, o caso migra para Culpa Concorrente 50/50 via falha nas Resoluções BCB 2.025/1993 e 4.753/2019.
O caso paradigmático é o Apel. 1002503-47.2022 — falso leilão com site espúrio (domínio distinto do oficial) + transferência voluntária a conta-laranja + banco apenas mantendo a conta formalmente regular. O Des. Spencer Almeida Ferreira (38ª CDPriv) constrói o que se pode chamar de caso quimicamente puro da tese — o voto é o manual operacional do "triângulo de alheamento".
A tese falha quando o golpe foi conduzido por preposto ou canal oficial do banco — telemarketing da seguradora coligada, correspondente bancário credenciado, SMS alegadamente oficial. Aí o fortuito deixa de ser externo e se torna interno (falha na cadeia de fornecimento), migrando para Falha do Serviço · Súmula 479. Ver casos de correspondente bancário em Apel. 1001191-68.2023 (Jairo Brazil) e Apel. 1018511-07.2025 (Thiago de Siqueira).
Como os relatores articulam
“a fraude perpetrada em 'golpes de falso leilão' configura fortuito externo, hipótese em que a transferência de valores é realizada voluntariamente pelo consumidor, mediante o uso de senhas e dispositivos pessoais sem verificar minimamente a existência e idoneidade da empresa destinatária do valor, o que rompe o liame de causalidade com o serviço financeiro”
“não se verifica, no caso em tela, que o prejuízo reclamado tenha decorrido de fraude praticada mediante falha de segurança do sistema oferecido pelo banco réu, mas sim fortuito externo à sua atividade, consistente em pagamento voluntário realizado pela requerente”
“não tinha o banco requerido como saber da abertura de conta corrente para prática futura de fraudes contra outrem, menos ainda como identificar transferências formal ou eletronicamente regulares, mas relacionadas com negócio fraudulento a que inteiramente alheia a instituição financeira”
“inexistiu qualquer participação do estabelecimento bancário nas movimentações financeiras que foram desenvolvidas a comando da autora, e que implicaram na entrega, de forma totalmente voluntária e inconsequente, de consideráveis valores”
“O fato de ter sido aberta conta bancária junto ao apelante, por terceiro fraudador, por si só, não induz à responsabilização da instituição financeira destinatária dos valores”
As citações evidenciam o padrão argumentativo: o relator não nega a fraude — reconhece que o consumidor foi vítima — mas nega o nexo causal entre a fraude e qualquer conduta do banco. As fórmulas "inteiramente alheia" e "não teve participação" são o carimbo retórico da tese. A posição de Inah Machado — a mais explicitamente tolerante com banco receptor — está em oposição direta ao grupo severo (Alexandre Malfatti na 12ª, Thiago de Siqueira na 14ª, Léa Duarte no Núcleo 4.0-T.IV) que presume falha KYC do receptor. O mesmo caso pode cair 100% banco ou 50/50 dependendo da distribuição — distinção fina mas determinante.
Quando funciona — cenários típicos de acolhida
- Falso leilão com site espúrio — caso "quimicamente puro": domínio distinto do oficial + transferência voluntária a conta-laranja + banco apenas manteve a conta regular. Paradigma: 1002503-47.2022 (Spencer Almeida Ferreira, 38ª).
- Boleto adulterado em e-mail externo — boleto de plano de saúde adulterado por e-mail; banco emissor original sem falha sistêmica interna. Paradigma: 1008767-29.2025 (Rosana Santiso, Núcleo 4.0-T.IV).
- Falso advogado via telefone com dados de processo judicial público — conhecimento do processo não comprova vazamento bancário. Paradigma: 1024870-92.2024 (Simões de Vergueiro, 16ª).
- Falso investimento ou falso empréstimo com taxas pulverizadas no tempo — R$ 36k em 10 dias espalhados não aciona antifraude. Paradigma: 1071408-54.2025 (Santini Teodoro, Núcleo 4.0-T.II).
- Golpe do delivery/brinde com biometria capturada externamente — foto entregue a falso motoboy depois usada para burlar KYC. A 18ª CDPriv (Zanluqui e Ernani Desco Filho) trata cessão de imagem como culpa exclusiva. Paradigmas: 1026450-69.2024 (Ernani Desco Filho) e 1017042-65.2025 (Zanluqui).
- Falso gerente explorando processo de execução público — 6 dias após despacho inicial é compatível com monitoramento oportunista de pautas judiciais, sem vazamento interno. Paradigma: 1006977-02.2024 (Mario Sergio Leite, 22ª).
- Maquininha presencial com engenharia social — 18ª CDPriv (Zanluqui): a captura física do cartão em ponto de venda não é falha sistêmica do banco emissor. Paradigma: 1017042-65.2025.
- Falso leilão com conta-destino em terceiro banco — 31ª CDPriv aplica a tese mesmo quando há duas instituições envolvidas. Paradigma: 1039359-91.2023 (Paulo Ayrosa).
Outros paradigmas recentes
TJSP nega provimento a ambos os recursos e mantém sentença: banco Quero-Quero VerdeCard absolvido por fato exclusivo de terceiro (art. 14, §3º, II, CDC); corréu pessoa física condenado a restituir R$1.200,01 e pagar R$5.000 de dano moral à vítima de Pix com valor errado via WhatsApp.
TJSP reforma sentença e julga improcedente ação contra Sumaré Leilões e Nu Pagamentos em golpe do falso leilão via site espúrio (.net); ausência de nexo causal e Súmula 479/STJ inaplicável.
Golpe da falsa central: Itaú mantido responsável por empréstimo fraudulento (R$19k) e PIX (R$445), mas afastada responsabilidade solidária pelo boleto de R$9.990 pago via Bradesco; danos morais de R$5.000 mantidos pela teoria do desvio produtivo.
Quando falha — cenários de rejeição
- Banco receptor sem KYC comprovado — reclassifica para Culpa Concorrente 50/50 via falha nas Resoluções BCB 2.025/1993 e 4.753/2019. Padrão do Núcleo 4.0-T.II (Battaus Neto) e da 19ª CDPriv (Jairo Brazil, Mello Belli).
- Falso correspondente bancário credenciado pelo banco — a cadeia de fornecimento vincula o banco. Caso 1001191-68.2023 (Jairo Brazil): a "Aprove Cred" se apresentou como correspondente → fortuito interno.
- Bloco em caso fatiado (troca ATM + empréstimo via app) — o bloco "saque + compra ATM externo" é fortuito externo; o bloco "empréstimo via app sem trilhas do banco" é fortuito interno. Caso híbrido 1006460-49.2025 (Battaus Neto).
- Vazamento demonstrado — dados sigilosos conhecidos pelo golpista — número de contrato + valor de parcela + status de inadimplência = vazamento inferencial. Caso 1003916-97.2023 (Batista Alves). Vide também 1018511-07.2025 (Thiago de Siqueira).
- Golpe conduzido via canal oficial do banco — SMS alegadamente oficial, telemarketing de seguradora coligada — migra para fortuito interno.
- Alto valor com atipicidade aritmética manifesta — volume ou velocidade flagrantemente atípicos afastam a lógica de alheamento: 116 PIX em 3h, 13 TED em 2 dias, 6 empréstimos em 10 min são exemplos paradigmáticos. Acima de R$ 50.000, o banco praticamente não vence no corpus — padrão paradigmas-alto-valor.
- Hipervulnerabilidade etária reconhecida — o
REsp 2.052.228/DFafasta o art. 945 CC em casos de idosos e beneficiários INSS. Paradigmas: Mello Belli (19ª CDP), Núcleo 4.0-T.VII, Migliano Neto (23ª CDP).
Provas e requisitos que pesam
Pró-banco
- Demonstração do domínio externo ou canal não oficial (WhatsApp, e-mail Yandex, site .net em vez de .com.br) — base do "triângulo de alheamento".
- Comprovação formal da abertura da conta-destino (RG, CPF, comprovante de residência, selfie, proof of life, registro SERPRO).
- Documentos das campanhas de conscientização pelo próprio banco — insuficiente isoladamente, mas compõe.
- Comprovante do acionamento do MED após comunicação da fraude, mesmo que sem sucesso — confirma diligência pós-evento.
- Ausência de dados sigilosos específicos usados pelo golpista (valor exato de parcela, número de contrato, status de inadimplência).
Pró-autor (cuja ausência inverte o resultado)
- Documentação KYC do titular da conta-laranja — se o banco receptor é réu e não junta, cai para 50/50.
- Logs do MED acionado tempestivamente — a omissão é tratada como falha pós-transação. Casos: 1011538-16.2024 e 1012569-23.2022 (Jairo Brazil); vide também 1010366-73.2025.
- Ausência de explicação alternativa para dados sigilosos conhecidos pelo golpista — abre brecha para vazamento inferencial e reativa a Súmula 479.
- Hipervulnerabilidade documentada (INSS, BPC/LOAS) — afasta art. 945 CC via REsp 2.052.228/DF.
Outros casos em que o Tribunal rejeitou o fortuito externo
Contra-argumentos eficazes
Fundamentos jurídicos centrais
- CDC art. 14 §3º II — chave dogmática. Excludente de responsabilidade por culpa exclusiva de terceiro.
- CC art. 110 — reserva mental ilícita desconhecida pelo banco na abertura da conta do fraudador.
- CC art. 393 — caso fortuito/força maior. Rompimento do nexo causal.
- Súmula 479/STJ — sempre citada para ser afastada: fortuito externo não é "fraude e delito praticado no âmbito das operações bancárias".
- Enunciado 12 da Subseção II DP/TJSP — "só há dever de indenizar em boleto falso quando há direcionamento por preposto ou canal oficial".
REsp 2.046.026/RJ(STJ 3ªT, Nancy Andrighi, 13/06/2023) — distinção entre fortuito interno e externo em boleto fraudado.REsp 2.215.907/SP(j. 02/09/2025) — âncora consolidada pós-2025 para fortuito externo.REsp 2.124.423/SP(Nancy Andrighi · KYC) — exige documentação completa do receptor quando réu; invocado tanto pelo banco (cumprimento) quanto pelo autor (descumprimento).REsp 2.220.333/DF(Cueva) — âncora complementar de responsabilidade objetiva do banco.EAREsp 2.715.690/SP— dano moral exige prova específica do abalo; invocado defensivamente pelo banco.REsp 2.052.228/DF— hipervulnerabilidade etária afasta art. 945 CC; contra-argumento estrutural do autor.- Resoluções BCB 2.025/1993 e 4.753/2019 — KYC obrigatório; invocadas tanto pelo banco (cumprimento) quanto pelo autor (descumprimento do receptor).
Variação por câmara / relator
O padrão é relativamente homogêneo: todas as câmaras aplicam a tese em golpes "quimicamente puros" (falso leilão, boleto externo, falso investimento de longa duração). Cinco polos doutrinários concentram a jurisprudência mais densa: a 18ª CDPriv (polo Zanluqui — tolerante com banco em biometria capturada externamente), a 14ª CDPriv (polo César Zalaf — padrão tripartite + inovação "biometria por videochamada coercitiva como fortuito externo"), a 11ª CDPriv (polo José-Wilson — aplicação tradicional sem modulações adicionais), o Núcleo 4.0-T.I (polo Valéria — crítico com dados insuficientes) e a 15ª CDPriv (polo Achile — convergente com 18ª em culpa concorrente).
A 38ª CDPriv é a câmara mais aplicadora fora do Núcleo 4.0 — Spencer Almeida Ferreira é o relator-modelo da tese. A 22ª CDPriv (Mario Sergio Leite, Júlio César Franco) é paradigma de aplicação rigorosa, inclusive em casos de monitoramento de pautas judiciais. Ricardo Pessoa de Mello Belli (19ª CDPriv) domina o REsp 2.124.423/SP e tende a exigir KYC completo quando o banco é receptor — migra o caso para 50/50 quando a documentação está incompleta.
O Núcleo 4.0-T.II (Battaus Neto e Santini Teodoro) é o que mais fragmenta: tende a condenar o banco receptor em 50% quando o KYC é falho. A 19ª CDPriv (Jairo Brazil, Sidney Braga) é a que mais reconfigura a tese para KYC — quando Jairo está no colegiado, o que parecia fortuito externo vira fortuito interno do receptor em 50%. Divergências internas relevantes também em 13ª e 37ª CDP e Núcleo 4.0-T.IV (Léa Duarte × Zarvos).
- 18ª CDPriv88%·0%26
- NJ4.0 T.V DP265%·0%23
- 11ª CDPriv91%·0%22
- NJ4.0 T.II DP252%·5%21
- 16ª CDPriv63%·16%19
- 12ª CDPriv74%·0%19
- 13ª CDPriv65%·6%17
- 20ª CDPriv85%·0%13
- 19ª CDPriv46%·0%13
- 15ª CDPriv75%·0%12
O ônus probatório em jogo
A tese se impõe quando o banco demonstra três vértices do triângulo de alheamento: canal externo do golpe, KYC formal da conta-destino (quando receptor é réu), e ausência de vazamento atribuível. O autor precisa produzir pelo menos um contraponto concreto — dossiê KYC incompleto, dados sigilosos conhecidos pelo golpista, ou correspondente credenciado na cadeia — para romper o alheamento e reativar a Súmula 479.
Sub-padrões dentro da tese
A categoria fortuito_externo_culpa_terceiro se sobrepõe com fortuito_externo_culpa_consumidor — os dois slugs aparecem frequentemente no mesmo caso como rótulos alternativos, sem critério objetivo distintivo. Em 15 dos casos curados, a categoria manifestada era culpa_consumidor e a real era culpa_terceiro — ou vice-versa. Uma proposta de consolidação é unificar ambos sob fortuito_externo com qualificadores. Internamente, quatro sub-padrões merecem visibilidade:
- Banco receptor com KYC OK (caso puro) — falso leilão, boleto externo, falso investimento. A defesa é ganha demarcando o triângulo de alheamento. Paradigma: 1002503-47.2022 (Spencer Almeida Ferreira).
- Plataforma digital externa — iFood, marketplace, sites de serviços. Vazamento do terceiro (plataforma), não do banco. Convergência com 18ª CDPriv.
- Processo público explorado — padrão emergente: golpistas monitoram pautas judiciais e usam dados públicos para montar o ardil. Paradigmas: 1024870-92.2024 (Simões de Vergueiro) e 1006977-02.2024 (Mario Sergio Leite).
- Limítrofe com culpa concorrente — quando o KYC do receptor é falho, o caso migra para culpa_concorrente_50_50. A distinção é fina e depende da documentação juntada pelo réu. Confirmar com
REsp 2.124.423/SP(Andrighi · KYC).
Como usar na prática — defesa do banco
Esta é a tese mais facilmente reproduzível do arsenal defensivo bancário, porque depende menos de prova técnica detalhada e mais de demarcação do terreno factual: mostrar que o banco não participou do ardil. Na contestação, o advogado deve construir o "triângulo de alheamento": consumidor transferiu voluntariamente + fraudador atuou em canal externo + banco foi mero processador formal. Se um dos três vértices cai (por exemplo, havia preposto do banco em algum ponto da cadeia), a tese vira fortuito interno.
Do lado do consumidor, a defesa é quase sempre perdedora nesta tese. Os raros casos em que funciona envolvem: ação contra o banco receptor com KYC inexistente (buscar 50% via art. 945 CC + REsp 2.124.423/SP); acionamento do Marco Civil para obter registros de acesso do fraudador; ou demonstração de que o banco credenciou correspondente bancário irregular (1001191-68.2023, Jairo Brazil). Em hipervulnerabilidade etária (INSS, BPC/LOAS), invocar REsp 2.052.228/DF para afastar o art. 945 CC antes mesmo de discutir a tese.
Combo probatório — como ler esta tese
Variante do fortuito externo em que a culpa recai sobre terceiro (golpista) em vez da vítima. Demanda a mesma coluna pró-banco (credenciais + app oficial + checklist técnico), mas o foco probatório desloca-se para demonstrar que a engenharia social se deu totalmente fora do ambiente bancário.
Pró-banco
7 fatores · 5+ = banco vence ~90%
- #1Credenciais tecnicamente autenticáveis46%
- #2Logs de autenticação juntados pelo banco (checklist de 8 elementos)36%
- #3Operação dentro do app oficial, não canal externo62%
- #4Demora do autor em reclamar (> 3 meses)21%
- #5Autor não pediu perícia digital57%
- #6Valores dentro/próximos do perfil histórico30%
- #7Comportamento contraditório do autor (usou o dinheiro creditado)★16%
Pró-consumidor
6 fatores · 4+ = consumidor vence ~90%
- #1Valor 3× ou mais acima do limite diário ou do padrão histórico38%
- #2Múltiplas operações em janela curta (< 48h)44%
- #3Padrão radicalmente dissonante do histórico da conta28%
- #4Resgate integral de aplicações financeiras11%
- #5Banco não enviou alerta nem fez bloqueio preventivo49%
- #6Negativação em cima → dano moral in re ipsa OU desconto em verba alimentar (L2)★15%

