O furto mediante fraude e o estelionato são crimes patrimoniais previstos no Código Penal, que distinguem-se justamente pelo comportamento da vítima — no primeiro, o engano serve para burlar a vigilância e subtrair o bem sem consentimento; no segundo, a fraude induz a vítima ao erro para que ela própria entregue o bem ou a vantagem. Essa distinção impacta a tipificação, competência, penas e — do ponto de vista de negócios — o desenho das camadas de controle ao longo da jornada digital.
Nos últimos anos, leis e tribunais ajustaram o tratamento das fraudes online. A Lei 14.155/2021 aumentou penas, criou modalidades específicas de fraude eletrônica tanto no furto mediante fraude quanto no estelionato e também trouxe regras sobre competência territorial.
O STJ (Superior Tribunal de Justiça) tem aplicado esses parâmetros em casos práticos envolvendo crimes digitais e também fixou teses relevantes sobre furto (por exemplo, limites ao princípio da insignificância). E para quem opera produtos financeiros, meios de pagamento, telecom e varejo digital, é importante ter em mente que isso altera riscos, deveres e evidências exigidas em investigação interna e resposta a incidentes.
É por isso que no conteúdo de hoje iremos alinhar conceitos, trazer exemplos de classificação e o que dizem o Código Penal e decisões recentes do STJ sobre o tema. Comecemos pelo furto mediante fraude: o que é, como acontece na prática e por que não se confunde com o estelionato? Confira!
Neste conteúdo você vai ler (Clique no conteúdo para seguir)
O que é furto mediante fraude e como acontece?
Furto mediante fraude é o furto em que o golpista usa um truque para diminuir a vigilância da vítima e levar o bem sem o consentimento dela.
A fraude, aqui, é apenas o meio que facilita a subtração silenciosa; a vítima não entrega nada voluntariamente — diferentemente do estelionato, em que o engano leva a própria vítima a entregar o patrimônio.
No Código Penal, o furto está no art. 155, e a qualificadora “mediante fraude” está no § 4º, II (pena base da qualificadora: 2 a 8 anos de reclusão, além de multa, se o crime é cometido:
II - com abuso de confiança, ou mediante fraude, escalada ou destreza;
Com a Lei 14.155/2021, o legislador tratou de hipóteses específicas de fraude eletrônica no furto, criando o § 4º-B (quando a fraude usa informações obtidas por redes sociais, contatos telefônicos, e-mails fraudulentos ou meio análogo) e o § 4º-C (causas de aumento ligadas a esse contexto). Nessas situações, a pena passa a 4 a 8 anos de reclusão, além de multa — refletindo o incremento de risco dos ambientes digitais:
“Art. 155.
§ 4º-B. A pena é de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.
§ 4º-C. A pena prevista no § 4º-B deste artigo, considerada a relevância do resultado gravoso:
I – aumenta-se de 1/3 (um terço) a 2/3 (dois terços), se o crime é praticado mediante a utilização de servidor mantido fora do território nacional;
II – aumenta-se de 1/3 (um terço) ao dobro, se o crime é praticado contra idoso ou vulnerável.
O STJ entende que saques ou transferências sem consentimento do titular — mesmo com clonagem de cartão/senha ou exploração remota de credenciais — são furto mediante fraude (art. 155, §4º, II), porque não houve entrega voluntária do bem. Esse entendimento aparece em precedentes como o CC 149.752/PI (Terceira Seção, DJe 1/2/2017) e vem sendo aplicado em casos análogos.
Abaixo, trouxemos alguns exemplos de furto mediante fraude. Confira!
1) “Troca de cartão” no caixa + captura de senha
O golpista observa a digitação da senha (ou usa um visor/câmera ocultos), distrai a vítima e substitui o cartão por outro idêntico. Depois, realiza saques e transferências sem qualquer anuência do titular.
Aqui, a fraude serve apenas para reduzir a vigilância e permitir a subtração silenciosa do numerário — não há entrega voluntária do bem. A tipificação recai no art. 155, §4º, II (fraude como qualificadora), e o STJ pacificou que saques/transferências sem consentimento do correntista configuram furto mediante fraude, não estelionato (v.g., CC 149.752/PI).
2) “Account takeover” por credenciais vazadas (phishing, vazamento ou engenharia social)
Com dados já roubados em momento anterior (ex.: phishing), o agente acessa a conta (app/web) e executa transferências ou pagamentos sem interação da vítima.
Do ponto de vista penal, trata-se de furto mediante fraude eletrônica, incluído pela Lei 14.155/2021 no art. 155, §4º-B (uso de dispositivo eletrônico ou informático), com patamar de pena de 4 a 8 anos, além da multa e eventuais majorantes do §4º-C (p. ex., uso de servidor fora do país).
É o mesmo raciocínio do STJ: não houve entrega voluntária; houve subtração por ardil. Evidências típicas: logs de autenticação, endereços IP, device fingerprint, e a correlação entre alertas de troca de dispositivo e a execução das ordens.
3) Skimming/“overlay” em POS/ATM + uso remoto dos dados
Em ambientes físicos, dispositivos skimmers/overlays copiam trilhas magnéticas/PAN e, com a senha capturada, o autor efetua saques ou ordens de transferência. Ainda que a coleta dos dados tenha ocorrido antes, a subtração do patrimônio se dá sem consentimento no momento da operação — enquadrando-se em furto mediante fraude (art. 155, §4º, II) e, quando há execução pela internet/app, na forma eletrônica (§4º-B).
A jurisprudência da Terceira Seção do STJ consolida que saques ou transferências sem a anuência do titular — inclusive por clonagem de cartão/senha ou pela internet — são furto mediante fraude.
O que é o estelionato? Como o crime acontece na prática?
Estelionato é quando o autor engana a vítima — por meio de um artifício ou ardil (um truque, uma mentira) — para obter vantagem indevida e causar prejuízo. O ponto é que a vítima age voluntariamente: ela entrega o bem/valor ou pratica o ato que a prejudica. Essa definição está no art. 171 do Código Penal e a pena base é de 1 a 5 anos de reclusão, além de multa.
Com os golpes digitais em alta, o tipo penal foi atualizado. A Lei 14.155/2021 criou a modalidade de “fraude eletrônica” no estelionato (art. 171, §2º-A), que ocorre quando o golpista usa informações fornecidas pela própria vítima ou por um terceiro enganado por redes sociais, ligações telefônicas, e-mails falsos ou meios semelhantes. Nesses casos, a pena vai de 4 a 8 anos de reclusão, além de multa. Se o crime usa servidor mantido no exterior, a pena aumenta de 1/3 a 2/3 (§2º-B).
No plano processual, a mesma lei ajustou regras de competência para o estelionato, sobretudo nos casos eletrônicos. O STJ consolidou que só situações específicas mudam a competência (quando a nova lei assim prevê). Fora dessas hipóteses, vale a regra geral: é competente o local do dano — onde o prejuízo se concretiza ou a vantagem é obtida.
Um caso importante é o CC 185.983 (Informativo 736), que definiu a competência no local em que o agente, mediante fraude, obteve serviços pagos pela vítima, salvo quando se aplicam as novas regras da lei. Para times de prevenção e do contencioso, isso influencia como coletar evidências e como coordenar a atuação entre diferentes praças.
Em síntese, se a fraude convence a vítima a entregar o patrimônio, a credencial ou a autorizar a transação, tende a ser estelionato. Se a fraude apenas reduz a vigilância para que o agente subtraia o bem sem consentimento, a tendência é de furto mediante fraude.
Confira agora alguns exemplos desse tipo penal!
1) Boleto ou fatura adulterados (em empresas ou no varejo B2B)
O fraudador envia um boleto “idêntico” ao do fornecedor — mesmo layout, valores e datas — porém com conta de favorecido trocada. O financeiro, induzido ao erro, paga a fatura para o golpista. Como há ato voluntário da vítima (o pagamento), trata-se de estelionato; sendo tudo orquestrado por e-mail, site ou mensageria, incide a fraude eletrônica do §2º-A, com a majorante do §2º-B se houver uso de servidor no exterior.
2) “Comprovante de PIX” ou TED falso em marketplaces e lojas físicas
O golpista envia comprovantes falsificados (imagem/PDF) e pressiona pela liberação imediata do produto. O atendente, convencido, entrega a mercadoria — e só depois percebe que não houve crédito. Como a entrega foi voluntária, o cenário é de estelionato; se o contato/arquivo veio por meios eletrônicos, enquadra-se no §2º-A.
3) “Falso suporte/antifraude” pedindo códigos e autorizações
O criminoso se passa por suporte (do app, banco, gateway) e conduz a vítima a informar OTPs ou autorizar transações “para resolver um problema”. Quem aprova é a própria vítima, induzida pelo roteiro. Aqui, a conduta tende a ser estelionato; se toda a engenharia for digital/telefônica, incide a fraude eletrônica do §2º-A (com a majorante do §2º-B em certos cenários).
Se o agente usa os dados sem qualquer autorização da vítima (ex.: invade a conta e transfere sozinho), a jurisprudência do STJ classifica como furto mediante fraude, não estelionato!
Para fechar, trouxemos abaixo uma tabela comparativa entre o furto mediante fraude e estelionato. Antes de conferir, guarde uma regra simples:
· Se a fraude só distrai a vítima para o autor pegar o bem sem consentimento, tende a ser furto mediante fraude;
· Se a fraude convence a vítima a entregar o bem ou autorizar a operação, tende a ser estelionato.
|
Critério |
Furto mediante fraude |
Estelionato |
|
Ideia central |
O autor usa um meio enganoso para reduzir a vigilância e subtrair o bem sem que a vítima perceba |
O autor usa um meio enganoso para induzir a vítima ao erro, e ela entrega/autoriza algo que a prejudica |
|
Comportamento da vítima |
Passiva (não consente) |
Ativa (consente induzida pelo engano) |
|
Como a fraude opera |
É um meio para possibilitar a subtração silenciosa |
É o próprio núcleo: enganar para obter a entrega voluntária |
|
Base legal (CP) |
Art. 155 (furto). Qualificadora “mediante fraude”: § 4º, II |
Art. 171 |
|
Pena base |
Furto simples: 1–4 anos; mediante fraude (§4º, II): 2–8 anos e multa |
1–5 anos e multa |
|
Forma eletrônica (Lei 14.155/2021) |
Art. 155, §4º-B: quando a fraude usa meio eletrônico/informático (p. ex., dados obtidos via phishing) Pena: 4–8 anos, e multa; Majorantes no §4º-C |
Art. 171, §2º-A: fraude eletrônica (redes sociais, e-mail, telefone etc.) Pena: 4–8 anos e multa; §2º-B aumenta se usar servidor no exterior |
Como a Serasa Experian pode ajudar sua empresa nessas situações? Entenda!
Em casos de furto mediante fraude e estelionato, muitas vezes, o golpe começa lá atrás — alguém conseguiu dados por phishing ou engenharia social. Para o negócio, o que pesa é o que vem depois: quando o fraudador tenta usar essas informações para abrir contas, assumir perfis, autorizar operações ou receber pagamentos.
É aí que entram as nossas soluções antifraude. Elas ajudam a identificar sinais de risco, pedir comprovações extras quando fizer sentido e reagir rápido — sem atrapalhar a experiência de quem é cliente de verdade. Na prática, oferecemos camadas que se complementam e podem ser combinadas conforme a sua jornada. Entenda:
· Confirmação de identidade (KYC/KYB): valida dados de pessoas e empresas, cruza informações cadastrais e históricos relevantes e atribui níveis de risco na entrada e em atualizações cadastrais. Isso reduz a abertura de contas com identidade falsa ou uso indevido de cadastros reais;
· Risco de dispositivos e contexto: analisa comportamento do aparelho, ambiente e padrão de uso (por exemplo, logins fora do hábito, troca súbita de device, tentativas sequenciais). Útil para account takeover e para reagir a credenciais vazadas — justamente os cenários que antecedem parte dos estelionatos digitais;
· Biometria (com prova de vida): adiciona um fator forte de autenticação em momentos críticos (onboarding, redefinição sensível, transações de alto valor), elevando a barreira quando o sistema percebe comportamento atípico;
· Verificação de documentos: checa autenticidade e consistência de documentos enviados, ajudando a filtrar identidades sintéticas e documentação adulterada sem depender apenas de análise manual;
· Orquestração e decisão: une os sinais anteriores em regras e modelos que mudam de fricção conforme o risco. Na prática, você automatiza “se/então”: manter fluxo sem atrito para baixo risco; solicitar biometria ou comprovação extra no risco médio; e bloquear/prevenir quando o padrão indica forte probabilidade de fraude.
O resultado é uma defesa em camadas: controles que se sobrepõem para reduzir o risco residual caso algum mecanismo falhe. E um ponto importante: essas capacidades não “impedem” phishing, pretexting ou quid pro quo — essas etapas acontecem antes, fora do alcance de qualquer ferramenta. O foco é perceber e reagir quando o fraudador tenta consumar a vantagem usando dados roubados, como ao autorizar transações, trocar de dispositivo ou alterar favorecidos.
Quer aprofundar e mapear quais camadas fazem mais sentido para o seu fluxo? Então, explore o nosso hub de soluções antifraude agora mesmo. Até a próxima!
