A Terceira Turma do Superior Tribunal de Justiça (STJ), por unanimidade, decidiu que os bancos e as instituições de pagamento são responsáveis por indenizar clientes que sofrerem prejuízos decorrentes de golpes de engenharia social, quando houver falhas na proteção de dados ou na identificação de transações suspeitas.
A partir dessa conclusão, o colegiado deu provimento a dois recursos especiais em que os consumidores afirmaram ter sido vítimas do golpe da falsa central de atendimento. Em um dos casos analisados, o correntista relatou ter sofrido um prejuízo de R$ 143 mil em pagamentos indevidos, além da contratação de um empréstimo de R$ 13 mil e do pagamento de um boleto na função crédito, no valor de R$ 11 mil.
Ao ingressar com a ação, o consumidor afirmou que fazia pouquíssimas movimentações por mês em sua conta, o que contrastava com as 14 transações efetuadas em um único dia, totalmente destoantes de seu perfil de cliente. Após o juízo de primeiro grau reconhecer a falha na segurança do sistema bancário, o Tribunal de Justiça de São Paulo reformou a sentença para afastar a responsabilidade do banco.
Ao STJ, o consumidor sustentou que houve falha na prestação de serviços por parte do estabelecimento, que não teria adotado as medidas de segurança adequadas para proteger suas informações pessoais, o que possibilitou o acesso indevido por terceiros e resultou em danos de natureza patrimonial e moral.
Serviço é defeituoso se não fornece a segurança que dele se espera
O relator do recurso, ministro Ricardo Villas Bôas Cueva, enfatizou que, conforme a orientação consolidada na Súmula 479, as instituições financeiras têm responsabilidade objetiva pelos danos decorrentes de fortuito interno, relacionados a fraudes e delitos praticados por terceiros no âmbito das operações bancárias.
Segundo o magistrado, tal responsabilidade só pode ser afastada mediante prova da inexistência de defeito na prestação do serviço ou da ocorrência de culpa exclusiva do consumidor ou de terceiros, nos termos do parágrafo 3º do artigo 14 do Código de Defesa do Consumidor (CDC).
Contudo, o ministro afirmou que não houve essa comprovação no caso em julgamento. De acordo com o juízo de primeiro grau, não ficou evidenciado que a instituição ré tenha atendido aos requisitos de segurança. Além disso, foram identificadas transações em total dissonância com o perfil de consumo do correntista e falhas no sistema de segurança – que não foi capaz de cancelar ou impedir a conclusão das operações –, não havendo prova de culpa exclusiva do consumidor.
"Se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso, nos termos do parágrafo 1º do artigo 14 do CDC", disse o relator.
Instituições devem ter mecanismos de identificação e prevenção de fraudes
O ministro ressaltou ainda que, em virtude do dever de garantir a segurança das movimentações financeiras de seus clientes e do elevado grau de risco que caracteriza a atividade, compete aos bancos – e às instituições de pagamento – desenvolver, manter e aprimorar continuamente mecanismos eficazes de identificação e prevenção de fraudes.
Nesse contexto, Cueva apontou que os sistemas de proteção contra fraudes dessas instituições devem ser capazes de detectar operações que se afastem do perfil habitual do cliente ou de seu padrão de consumo, levando em consideração fatores como valor, horário e local das transações, o intervalo de tempo entre uma e outra, a sequência e o meio utilizado para sua realização, bem como a contratação de empréstimos atípicos imediatamente antes de pagamentos suspeitos.
Instituições de pagamento também têm a obrigaçãornde garantir segurança
Por fim, o ministro esclareceu que os entendimentos firmados pelo STJ – inclusive quanto à aplicação do CDC (Súmula 297) a tais casos – são igualmente válidos para as instituições financeiras tradicionais e para as instituições de pagamento, as quais também têm o dever legal de garantir a segurança no processamento das transações dos usuários, nos termos do artigo 7º da Lei 12.865/2013.
"A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras e das instituições de pagamento", concluiu.
