Responsabilidade objetiva por dano decorrente de fraude em operação bancária

A responsabilidade das instituições financeiras por danos decorrentes de fraudes em transações financeiras tem sido objeto de vários debates e ganha ainda mais relevância à medida que a economia brasileira se digitaliza exponencialmente e traz como efeito colateral o aumento substancial de fraudes digitais, inclusive com o uso de ferramentas mais sofisticadas, como deepfakes e inteligência artificial.

A questão chegou mais uma vez ao Superior Tribunal de Justiça, com o julgamento do Recurso Especial (REsp) nº 2.052.228 – DF. A 3ª Turma do STJ fixou o entendimento de que a instituição financeira tem o dever de implementar mecanismos para impedir movimentações financeiras que destoam do perfil do consumidor e respondem objetivamente quando não o fizer. 

A discussão em si não é nova. Responsabilização de instituições financeiras por fraudes é uma disputa recorrente há anos, senão décadas, vide o Tema Repetitivo 466/STJ e a Súmula 479, de 2012, pela qual se consolidou o entendimento de que “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”. 

Os novos contornos da discussão decorrem, especialmente, (1) da facilidade de acesso aos serviços financeiros por meio de aplicativos e outros meios digitais, (2) de novas formatações de fraude, como phishing, e a culpa (ou ausência dela) do consumidor, (3) da existência de mecanismos aptos a identificar transações incompatíveis com o perfil do consumidor.

No caso em questão, o autor alega ter recebido uma ligação de um estelionatário, acreditando erroneamente que se tratava de um funcionário do seu banco. Como resultado, ele se dirigiu a um terminal de autoatendimento e autorizou o aumento do limite de suas transações. Após a realização desse procedimento, o próprio estelionatário firmou contrato de mútuo com o banco via aplicativo, sem que se saiba exatamente como o fraudador teve acesso às credenciais do consumidor. O valor “contratado”, somado ao existente na conta corrente do autor, foi utilizado pelo estelionatário, em um único dia, para realizar compras no cartão de crédito e para quitar, inclusive, obrigações fiscais de outro estado.

O argumento da culpa exclusiva ao consumidor, sob a justificativa de que ele não agiu com cautela e prudência ao obedecer às orientações do estelionatário, foi afastada pelo STJ. Fundamentou-se que a conduta do consumidor se limitou a aumentar seu limite de transações e não incluiu a contratação do empréstimo, nem o pagamento de quantias atípicas. Além disso, a decisão levou em consideração a condição de consumidor hipervulnerável, por se tratar de pessoa idosa. Na leitura da Terceira Turma, nem mesmo seria hipótese de culpa concorrente, o que pode levar à generalidade dos casos à redução do valor indenizável, pois exige-se que o consumidor conscientemente tenha assumido/potencializado o risco de sofrer dano.

Isso sinaliza que a visão do STJ acerca de fraudes de engenharia social tende a ser mais protetiva para o consumidor, isentando ou mitigando a responsabilidade de instituições financeiras apenas quando o consumidor assumir o risco de que determinado ato possa ser uma fraude, mas, negligentemente, opte por não tomar quaisquer cautelas.

Também se entendeu que, por estarem sujeitas ao Código de Defesa do Consumidor, as instituições financeiras, devem fornecer produtos e serviços que não lesem a segurança do consumidor, o que contempla tanto a integridade psicofísica quanto patrimonial (CDC, artigo 8°). Esse dever de segurança desdobra-se no dever de verificar a regularidade e a idoneidade de todas as transações realizadas pelos consumidores, implementando mecanismos que dificultem fraudes perpetradas por terceiros, independentemente das ações dos consumidores.

Assim, pelo julgado, que inclusive segue o posicionamento de outras decisões da 3ª Turma (por exemplo, o REsp 1.995.458/SP), não detectar que uma transação é incompatível com o perfil e padrão de conduta do consumidor é uma falha de segurança que justifica a responsabilização da instituição financeira. No caso concreto, o fato da fraude ter ocorrido mediante diversas operações em sequência, em um curto período de tempo e com valores elevados, foi considerado como suficiente para demonstrar a violação do dever de segurança.

Este e outros casos recentes registrados, como o da empresa de pagamentos on-line que teve que indenizar consumidor por golpe do falso boleto, ou o site que deve indenizar cliente por falso investimento evidenciam a importância das instituições financeiras implementarem mecanismos de segurança eficazes, capazes de identificar comportamentos anômalos de seus clientes e agir de forma proativa na busca por soluções para aprimorar a prevenção de fraudes e gestão de riscos em seus aplicativos e em suas plataformas digitais. 

O cenário é sem dúvidas desafiador e nada trivial; há ampla adesão a serviços financeiros em formatos digitais, inclusive por uma parcela da população antes não bancarizada e novas modalidades de fraudes surgem e se sofisticam rotineiramente, assim, tecnologias de prevenção à fraude adaptativas e baseadas em risco, como é o caso de abordagens inovadoras como a combinação de geolocalização precisa e informações dos dispositivos,  tendem a ser a melhor aliada das instituições financeiras.