Em recente decisão unânime, a Terceira Turma do Superior Tribunal de Justiça (STJ) estabeleceu que bancos e instituições de pagamento devem indenizar clientes prejudicados por golpes de engenharia social, sempre que houver deficiência na proteção de dados ou na identificação de transações suspeitas.
O entendimento foi firmado a partir da análise de dois recursos especiais, nos quais consumidores relataram terem sido lesados pelo golpe da falsa central de atendimento. Um dos casos envolveu um correntista que sofreu prejuízo de R$ 143 mil em pagamentos não autorizados, além de ter um empréstimo de R$ 13 mil contratado em seu nome e um boleto pago na função crédito no valor de R$ 11 mil.
Na ação, o consumidor destacou que suas movimentações bancárias eram raras, em contraste com as 14 transações atípicas realizadas em um único dia. O juízo de primeiro grau reconheceu falhas no sistema de segurança do banco, porém o Tribunal de Justiça de São Paulo afastou a responsabilidade da instituição. O caso chegou ao STJ sob a alegação de que o banco não teria adotado medidas suficientes para proteger os dados do cliente, facilitando o acesso indevido e resultando em danos patrimoniais e morais.
O relator, ministro Ricardo Villas Bôas Cueva, ressaltou que, conforme a Súmula 479 do STJ, as instituições financeiras respondem objetivamente por danos causados por fraudes e delitos de terceiros relacionados a operações bancárias. Essa responsabilidade só pode ser afastada se houver prova de que não existiu defeito no serviço ou culpa exclusiva do consumidor ou de terceiros, conforme o artigo 14, parágrafo 3º, do Código de Defesa do Consumidor (CDC).
Para o ministro, não ficou demonstrado que o banco cumpriu os requisitos de segurança, pois as operações realizadas destoavam do perfil do cliente e o sistema falhou ao não bloquear ou impedir as transações. Segundo ele, serviços que não oferecem a proteção esperada são considerados defeituosos, nos termos do artigo 14, parágrafo 1º, do CDC.
Cueva também enfatizou que bancos e instituições de pagamento devem manter mecanismos de identificação e prevenção de fraudes, capazes de detectar movimentações incompatíveis com o comportamento habitual do cliente, observando critérios como valor, local, horário, intervalo e meio das transações, além de empréstimos atípicos realizados antes de pagamentos suspeitos.
Além disso, o ministro esclareceu que a responsabilidade e os deveres de segurança também se aplicam às instituições de pagamento, conforme previsto na Lei 12.865/2013 e na Súmula 297 do STJ, que estende o CDC a esses casos.
Concluiu afirmando que a validação de operações suspeitas, destoantes do perfil do consumidor, evidencia falha na prestação do serviço, ensejando a responsabilização das instituições envolvidas.
O julgamento refere-se aos processos REsp 2.222.059 e REsp 2.229.519. O acórdão pode ser consultado no REsp 2.222.059.
Impacto no Dia a Dia dos Advogados
A decisão do STJ reforça a responsabilidade objetiva das instituições financeiras e de pagamento em fraudes bancárias, exigindo que advogados atuantes em Direito do Consumidor e Direito Bancário estejam atentos a novas estratégias de defesa e cobrança de indenizações. Profissionais que representam consumidores passam a contar com sólida jurisprudência para exigir proteção de dados e prevenção eficaz de fraudes, enquanto advogados de instituições precisarão revisar e aprimorar políticas internas de segurança. A medida afeta diretamente departamentos jurídicos de bancos, escritórios especializados em litígios financeiros e todos os advogados que lidam com demandas relativas a golpes bancários e responsabilidade civil.
