Falhas no pagamento por cartão: quem responde, como reverter cobranças e garantir indenização
Contexto e o que são “falhas em sistemas de pagamento por cartão”
O ecossistema de pagamentos por cartão integra emissores (bancos/fintechs do cliente), adquirentes, subadquirentes, gateways, bandeiras, processadores, provedores antifraude e o estabelecimento. A jornada de uma transação envolve autenticação (ex.: chip/PIN, contactless, 3-D Secure 2.0), autorização, captura, compensação (D+X) e eventual liquidação ao lojista. “Falha” abrange indisponibilidade, erros de autorização, duplicidade, estorno não creditado, captura indevida, degradação de performance, timeouts, falhas de tokenização ou de SCA (autenticação forte), vazamento de credenciais e bugs de integração.
- CDC — art. 14 (responsabilidade objetiva do fornecedor por falha de serviço), art. 20 (reexecução do serviço, abatimento ou restituição), art. 6º, III (informação), art. 7º par. único e art. 25 §1º (responsabilidade solidária na cadeia de consumo), art. 42 par. único (repetição do indébito).
- STJ — Súmula 297 (aplicação do CDC a instituições financeiras) e Súmula 479 (banco responde objetivamente por danos de fortuito interno, como fraudes e falhas operacionais).
- Lei 12.865/2013 — institui e regula arranjos e instituições de pagamento sob supervisão do Banco Central.
- LGPD — arts. 46 a 49 (segurança e governança) e art. 48 (comunicação de incidentes de segurança aos titulares e à ANPD quando aplicável).
Tipos comuns de falha e como aparecem para consumidor e lojista
Indisponibilidade do sistema (POS, adquirente, emissor, rede)
Ocorre quando a autorização/captura não consegue ser concluída (time-out) ou o ambiente entra em falha. Para o consumidor, aparece como “transação negada” sem motivo, compras que não finalizam ou espera excessiva. Para o lojista, gera filas, abandono de carrinho e perda de receita. Em ambientes offline, o terminal pode “guardar” transações para posterior envio, aumentando o risco de capturas indevidas.
Duplicidade de lançamento
Falhas de idempotência ou de retry sem controle podem capturar a mesma transação duas vezes. Em compras on-line, botões repetidos, “cliques duplos” e perdas de retorno do gateway sem webhook confiável também geram duplicidade.
Estorno não creditado ou crédito em prazo incorreto
Quando o emissor informa estorno, mas o crédito não aparece na fatura, ou surge apenas como “lançamento a confirmar”. Em débito, o retorno à conta pode acontecer fora do prazo informado; em crédito, pode aparecer só no próximo ciclo.
Autorização ou captura indevida
Pagamento sem consentimento, captura de pré-autorização que deveria expirar, uso fraudulento de cartão (clonado/roubado) apesar de mecanismos de segurança. Em contato por aproximação, falhas de limite por transação sem PIN podem ser exploradas.
Falha de antifraude e de autenticação (3DS 2.0)
Bloqueios injustificados (falsos positivos) ou aprovações indevidas (falsos negativos) expõem o consumidor a chargebacks e o lojista a perdas. A ausência de 3DS em cenários de alto risco desloca responsabilidade para o lojista, conforme regras das bandeiras.
- Fluxo “paguei e não recebi” (ou “paguei duas vezes”).
- Estorno prometido que não aparece na fatura/conta no prazo.
- Transações aprovadas sem confirmação ou com comprovante inconsistente.
- Mensagens repetidas de “sistema indisponível” em horários de pico.
Quem responde na cadeia de pagamentos
Do ponto de vista do consumidor, a regra é a responsabilidade solidária (CDC, art. 7º par. ún. e art. 25 §1º). Isso significa que qualquer integrante da cadeia pode ser acionado para reparar o dano, cabendo a posterior discussão regressiva entre eles. Em termos práticos:
- Emissor Responde por lançamento indevido, estorno não realizado, falhas de detecção de fraude (fortuito interno) e comunicação inadequada com o titular.
- Adquirente/Subadquirente Responde por indisponibilidade do POS/gateway, liquidação ao lojista, duplicidades na captura e integração.
- Bandeira Regras de responsabilização (liability shift) e disputas (chargeback). Coordena padrões técnicos.
- Lojista Dever de informar, comprovar entrega e manter boas práticas antifraude; responde quando há culpa ou descumprimento contratual.
Pela Súmula 479 do STJ, fraudes e falhas operacionais são fortuito interno — risco do negócio, não excludente de responsabilidade. Apenas eventos externos imprevisíveis e inevitáveis (ex.: desastre natural que paralisa toda a infraestrutura por período relevante e comprovado) podem, em tese, mitigar a responsabilidade se comprovado que o fornecedor adotou todas as medidas de prevenção e contingência.
Casuística (mapeamento de cenários, base legal e encaminhamento)
| Cenário | Base legal | Quem responde | Medidas práticas |
|---|---|---|---|
| Compra lançada em duplicidade | CDC arts. 14 e 42; responsabilidade solidária | Emissor + Adquirente/Subadquirente/Gateway | Peça estorno imediato; junte comprovantes. Se não resolver, Consumidor.gov, BCB, Procon e, em último caso, JEC com pedido de repetição em dobro quando cabível. |
| Estorno prometido não creditado | CDC arts. 6º, III; 20; 42 | Emissor (com eventual regresso contra adquirente) | Cobrança formal com prazo; protocolo. Persistindo, reclamações oficiais e pedido de abatimento/devolução. |
| Compras não reconhecidas (fraude) | CDC art. 14; STJ Súmula 479 | Emissor (fortuito interno) e, conforme o caso, lojista | Bloqueio do cartão, contestação, análise antifraude. O ônus de provar regularidade é do fornecedor; consumidor não deve arcar com prejuízo. |
| Indisponibilidade do POS/gateway | CDC art. 20 (qualidade/continuidade) | Adquirente/Subadquirente/Gateway | Plano de contingência (fallback), comunicação transparente e SLA. Lojista pode exigir abatimento de tarifas/indenização por perdas comprovadas. |
| Vazamento de dados do cartão | LGPD arts. 46–48; CDC art. 14 | Controlador/operador (instituição de pagamento/lojista) | Comunicar titulares e ANPD quando cabível; planos de resposta, oferta de monitoramento de crédito e reforço de controles. |
Deveres de informação, suporte e prazos
Além de reparar o dano, os fornecedores devem cumprir dever de informação clara e precisa (CDC, art. 6º, III). Isso inclui detalhar status do estorno, janelas de manutenção e problemas de produção. Na prática, recomenda-se:
- Canal de status público para incidentes (histórico e SLA);
- Alertas proativos em apps e comprovante de reversão/estorno;
- Prazo contratual para estornos (ex.: D+X em débito, próxima fatura no crédito) — o não cumprimento autoriza abatimento/restituição;
- Jornada de chargeback simples, com checklist de documentos e acompanhamento de cada fase.
- Provas Guarde comprovantes, prints do app e número de protocolo.
- Bloqueio Em fraude, bloqueie o cartão e conteste imediatamente.
- Formalize Exija estorno e confirmação por escrito (app/e-mail).
- Escale Se não resolver: Consumidor.gov → BCB → Procon → JEC.
Boas práticas técnicas para reduzir falhas
- Idempotência e chaves de replay em APIs para evitar duplicidades.
- Circuit breakers, filas e retries exponenciais com dead-letter.
- Monitoramento de ponta a ponta (APM, logs correlacionados) com SLOs para autorização e captura.
- 3-D Secure 2.0, tokenização, análise de risco real time e biometria quando disponível.
- Processos de continuidade e DRP (site redundante, fallback on-us, POS store-and-forward com limites e regras).
- Conformidade com PCI DSS, testes de penetração e table-top de incidentes com simulações de pico.
Relação com o lojista: perdas e deveres
Quando a falha atinge o estabelecimento, a alegação de “problema do banco” não basta. O lojista pode exigir abatimento de tarifas, indenização por perdas comprováveis (ex.: pedidos cancelados por indisponibilidade do gateway) e reexecução do serviço (CDC, art. 20). Cabe ao provedor demonstrar compliance, monitoria e capacidade compatível com o volume (especialmente em datas de pico). O lojista, por sua vez, deve seguir boas práticas (PCI, 3DS quando indicado, comprovante de entrega no e-commerce, avaliação de risco por ticket médio e SKU) para não atrair responsabilidade.
Prezados,
Identifiquei falha no processamento de pagamento por cartão em [data/hora], gerando [duplicidade / estorno não creditado / indisponibilidade].
Solicito correção imediata com estorno/regularização, bem como confirmação por escrito e número de protocolo.
Com fundamento no CDC (arts. 14, 20 e 42), requeiro solução em até [X] dias. Anexo comprovantes e prints do aplicativo/terminal.
[Nome • CPF/CNPJ • Contatos]
Responsabilidade civil e danos
A responsabilidade objetiva (CDC, art. 14) dispensa prova de culpa: basta o defeito do serviço e o dano com nexo causal. Em falhas sistêmicas que impactam consumidores, a jurisprudência admite danos morais em hipóteses como lançamento indevido persistente, negativação decorrente de falha, desvio produtivo (tempo gasto para resolver) e prejuízos relevantes à reputação do lojista. A devolução em dobro (art. 42, par. único) aplica-se quando houver cobrança indevida sem engano justificável. Já os lucros cessantes de lojistas exigem prova robusta do dano (ex.: logs de indisponibilidade e pedidos perdidos).
Governança e conformidade regulatória
Instituições de pagamento e financeiras devem manter gestão de risco operacional, continuidade de negócios, controles de segurança da informação e auditorias. Incidentes com dados pessoais requerem avaliação de risco e, se relevantes, comunicação aos titulares e à ANPD (LGPD, art. 48). O Banco Central supervisiona arranjos e instituições de pagamento (Lei 12.865/2013), podendo impor sanções quando o risco sistêmico e a resiliência operacional não atendem ao padrão esperado.
Formulários confusos, erros silenciosos e ausência de feedback ao consumidor aumentam o risco jurídico. O dever de informar exige clareza em valores, prazos de estorno, status de compra e contatos de suporte.
Boas práticas contratuais (para reduzir litígios)
- SLAs com metas de autorização/captura e multas por indisponibilidade estendida.
- Planos de capacidade para datas especiais (Black Friday, Dia das Mães), janelas de manutenção fora do horário crítico e canário de produção.
- Roteamento inteligente multi-adquirente para e-commerce.
- Cláusulas de notificação de incidentes, auditoria e relatórios pós-incidente.
- Política de chargeback clara, com prazo e documentação simplificada.
Conclusão
Falhas em sistemas de pagamento por cartão são previsíveis em um ecossistema complexo, mas não autorizam a transferência do risco ao consumidor ou ao lojista. Sob o CDC e a jurisprudência consolidada do STJ, a responsabilidade é objetiva e, via de regra, solidária entre os integrantes da cadeia. Cabe às instituições prevenir, detectar e reparar prontamente duplicidades, estornos não creditados, indisponibilidades e fraudes, mantendo comunicação transparente e trilha de auditoria. Para o consumidor, o caminho é formalizar a reclamação, documentar evidências e acionar os canais oficiais quando necessário. Para o lojista, boas práticas técnicas, contratuais e de antifraude reduzem perdas e fortalecem sua posição. Em síntese: resiliência tecnológica, governança e respeito aos direitos são o tripé que minimiza incidentes e litígios, garantindo segurança e confiança no uso do cartão.
Quando o consumidor realiza uma compra com cartão de crédito ou débito e algo dá errado — como lançamentos duplicados, estornos que não retornam ou indisponibilidade do sistema — surge a dúvida: quem é o responsável? Este guia resume as orientações jurídicas e práticas sobre o tema, com foco em direitos do consumidor, deveres das instituições financeiras e medidas para solucionar o problema de forma eficaz.
1. Entenda o que é uma falha de sistema
Falhas podem ocorrer em qualquer etapa da operação de pagamento: autorização, captura, compensação ou estorno. Os erros mais comuns incluem:
- Transações negadas sem motivo ou com “sistema indisponível”.
- Duplicidade de cobrança, especialmente em compras online ou com instabilidade de rede.
- Estornos não creditados dentro do prazo informado.
- Falhas de comunicação entre banco e adquirente (maquininha, app ou gateway).
- Fraudes durante transações, como compras sem consentimento ou cobrança em duplicidade após falha de autenticação.
2. Base legal: quem responde pela falha
De acordo com o art. 14 do Código de Defesa do Consumidor (CDC), o fornecedor responde de forma objetiva por falhas na prestação do serviço. Ou seja, não precisa haver culpa — basta o defeito no sistema e o prejuízo comprovado.
- O banco emissor responde por lançamentos indevidos, estornos não creditados e falhas internas.
- A adquirente (empresa da maquininha) e o gateway de pagamento respondem por instabilidade ou erro na captura de valores.
- O lojista responde apenas quando há negligência direta, como má-fé ou uso de equipamento irregular.
A responsabilidade é solidária entre todos os participantes da cadeia — consumidor pode acionar qualquer um deles para resolver o problema.
3. Passos práticos para resolver
- Verifique a fatura e registre imediatamente o erro (data, valor e estabelecimento).
- Comunique o emissor do cartão e solicite abertura de contestação com número de protocolo.
- Peça estorno formal e acompanhe pelo aplicativo ou extrato digital.
- Se o problema persistir, registre reclamação no Consumidor.gov.br ou Procon.
- Falhas graves podem ser levadas ao Juizado Especial Cível, com pedido de restituição em dobro (CDC, art. 42).
Falhas operacionais não são consideradas “casos fortuitos externos”. O STJ entende que fraudes e indisponibilidades são riscos inerentes à atividade bancária, e, portanto, a instituição financeira deve indenizar o consumidor pelos prejuízos decorrentes.
O cliente não é obrigado a suportar falhas técnicas ou atrasos de integração entre sistemas.
Em caso de negativação indevida por falha de cobrança, cabe também dano moral.
4. Como prevenir e monitorar
- Prefira pagamentos com cartões tokenizados (em carteiras digitais seguras).
- Ative alertas de compra via SMS ou app do banco.
- Evite digitar o cartão em sites sem certificado SSL ou de reputação duvidosa.
- Verifique periodicamente os extratos e limites.
- Desconfie de ofertas de “pagamento rápido” em links externos ou QR Codes não oficiais.
Falhas em pagamentos por cartão são responsabilidade direta das instituições financeiras e empresas da cadeia de pagamento.
O consumidor tem direito à reparação integral, estorno imediato e, quando houver prejuízo moral ou material, à indenização.
O segredo está em documentar tudo: guardar protocolos, comprovantes e prints do aplicativo.
Assim, o problema pode ser resolvido de forma rápida, sem a necessidade de ação judicial — mas com base legal sólida se o banco não cumprir seu dever.
Base técnica e fundamentos legais
As falhas em sistemas de pagamento por cartão são situações em que o consumidor sofre prejuízo por defeito na prestação do serviço bancário ou tecnológico. A legislação brasileira impõe responsabilidade objetiva às instituições financeiras, garantindo ao consumidor o direito à reparação, conforme os fundamentos abaixo.
• Art. 6º, III – Direito básico do consumidor à informação adequada e clara sobre produtos e serviços.
• Art. 14 – Responsabilidade objetiva do fornecedor pelos danos causados por defeitos relativos à prestação dos serviços, independentemente de culpa.
• Art. 20 – Em caso de falha na execução do serviço, o consumidor pode exigir reexecução, restituição do valor pago ou abatimento proporcional.
• Art. 25, §1º – Todos os integrantes da cadeia respondem solidariamente pelo prejuízo.
• Art. 42, parágrafo único – O consumidor cobrado indevidamente tem direito à restituição em dobro do valor pago.
• Art. 186 – Aquele que causar dano a outrem, ainda que por omissão, comete ato ilícito.
• Art. 927 – Aquele que causar dano fica obrigado a repará-lo, havendo ou não culpa, quando a atividade implicar risco ao consumidor.
• Art. 393 – O devedor não responde por caso fortuito ou força maior, exceto se houver previsão contratual — importante na distinção entre fortuito interno e externo.
• Institui e disciplina as instituições de pagamento e os arranjos de cartão sob supervisão do Banco Central do Brasil.
• Determina que as instituições mantenham controles operacionais e de segurança compatíveis com a complexidade do serviço.
• O descumprimento pode resultar em sanções administrativas e obrigação de ressarcimento ao consumidor afetado.
• Art. 46 – Agentes de tratamento devem adotar medidas de segurança para proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas.
• Art. 48 – Incidentes de segurança que possam acarretar risco ao titular devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD) e ao consumidor.
• Falhas que envolvem dados de cartão exigem comunicação formal e medidas de mitigação imediatas.
• Súmula 297 – O Código de Defesa do Consumidor é aplicável às instituições financeiras.
• Súmula 479 – As instituições financeiras respondem objetivamente pelos danos causados por fortuito interno relativo a fraudes e delitos praticados no âmbito de operações bancárias.
• Jurisprudência consolidada estabelece que a falha no sistema de pagamento é considerada fortuito interno, sendo obrigação da instituição reparar os prejuízos do consumidor.
• Resolução CMN nº 4.753/2019 – Dispõe sobre a política de segurança cibernética e requisitos para continuidade de negócios de instituições financeiras.
• Circular nº 3.909/2018 – Exige que instituições adotem planos de contingência e comunicação eficiente em falhas operacionais.
• Resolução BCB nº 196/2021 – Reforça a transparência e responsabilidade das instituições de pagamento frente a falhas de sistema.
• Procon e Consumidor.gov.br – Canais oficiais de denúncia e solução de conflitos envolvendo falhas de serviço financeiro.
• Fortuito interno – Relaciona-se à atividade de risco da empresa (ex.: pane de sistema, erro de integração, fraude em rede interna). Não isenta responsabilidade.
• Fortuito externo – Fatos totalmente alheios à operação (ex.: desastre natural, ataque cibernético massivo imprevisível) — só exclui a responsabilidade se comprovada a inevitabilidade e ausência de negligência na prevenção.
Encerramento técnico
As falhas em sistemas de pagamento por cartão devem ser tratadas como defeitos na prestação de serviço, conforme o CDC e a jurisprudência do STJ. O consumidor não pode ser penalizado por erros operacionais, falhas tecnológicas ou duplicidades causadas por bancos, adquirentes ou bandeiras.
Quando a instituição financeira não corrige o problema de forma ágil e transparente, configura descumprimento contratual e dano moral presumido em muitos casos. O ressarcimento integral, a restituição em dobro (se houver cobrança indevida) e a indenização são medidas previstas em lei.
Por fim, recomenda-se que as empresas do setor mantenham planos de contingência, auditorias técnicas periódicas e protocolos de comunicação com o consumidor em situações de falha. Transparência e responsabilidade técnica são pilares para garantir a confiança no sistema financeiro e a proteção efetiva do usuário.