Bancos e instituições de pagamento devem indenizar clientes por falhas que viabilizam golpe da falsa central, decide STJ

A Terceira Turma do Superior Tribunal de Justiça (STJ) firmou, por unanimidade, o entendimento de que instituições financeiras e de pagamento devem indenizar clientes vítimas de prejuízos causados por golpes de engenharia social, desde que haja comprovação de falhas em seus mecanismos de proteção de dados ou na identificação de transações atípicas e suspeitas. A decisão de caráter relevante para o Direito do Consumidor e a responsabilidade civil das empresas de risco se deu no julgamento de dois recursos especiais.

A tese consolidada foi aplicada ao analisar casos como o do "golpe da falsa central de atendimento", onde um correntista sofreu um prejuízo expressivo de R$ 143 mil em pagamentos não autorizados, além da contratação de um empréstimo de R$ 13 mil e o pagamento de um boleto de R$ 11 mil na função crédito. O consumidor, ao recorrer ao STJ, alegou falha na prestação de serviços, argumentando que as 14 transações realizadas em um único dia eram totalmente dissonantes de seu perfil de movimentação habitual.

O caso chegou à instância superior após o Tribunal de Justiça de São Paulo (TJ-SP) reformar uma sentença de primeira instância que havia reconhecido a falha de segurança do sistema bancário. No STJ, o relator, ministro Ricardo Villas Bôas Cueva, restabeleceu o dever de indenizar.

SÚMULA 479

O Ministro Cueva destacou que, conforme a Súmula 479 do STJ, as instituições financeiras respondem objetivamente – ou seja, independentemente de culpa – pelos danos decorrentes de "fortuito interno", o que abrange fraudes e delitos praticados por terceiros no ambiente das operações bancárias. Segundo o Código de Defesa do Consumidor (CDC, art. 14, § 3º), esta responsabilidade só pode ser afastada mediante prova de inexistência de defeito no serviço ou culpa exclusiva do cliente ou de terceiros.

Contudo, no caso concreto, o relator pontuou a ausência de prova de que a instituição ré tenha cumprido os requisitos de segurança e, mais importante, que as transações identificadas estavam em "total dissonância com o perfil de consumo do correntista". Para o colegiado, a omissão do sistema de segurança em cancelar ou impedir a conclusão de operações tão atípicas configura um "defeito na prestação do serviço", nos termos do art. 14, § 1º, do CDC, por não fornecer a segurança razoavelmente esperada.

DETECÇÃO DE FRAUDES

O ministro relator enfatizou ainda que, devido ao elevado grau de risco inerente à atividade e ao dever de garantir a segurança das transações, bancos e instituições de pagamento têm a obrigação de aprimorar continuamente seus mecanismos de identificação e prevenção de fraudes.

Tais sistemas, conforme o voto, devem ser capazes de detectar operações que se afastem do padrão habitual do cliente, considerando fatores como valor, horário, local, sequência e o meio utilizado nas transações, bem como a contratação de empréstimos imediatamente antes de pagamentos suspeitos.

A decisão estende a obrigatoriedade de segurança não apenas às instituições financeiras tradicionais, mas também às instituições de pagamento, em razão do dever legal previsto no art. 7º da Lei 12.865/2013 e da aplicação da Súmula 297 do STJ a esse setor.

Em conclusão, o relator sentenciou que "A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras e das instituições de pagamento."