Omissão na responsabilidade civil objetiva em fraude bancária

A transformação digital trouxe um aumento exponencial na quantidade e na sensibilidade dos dados gerenciados por organizações, empresas, plataformas, aplicativos e, especialmente, pelas instituições financeiras. Esse novo cenário exige uma gestão de dados rigorosa e responsável, sob pena de responsabilidade civil no tratamento e proteção dessas informações.

Dito isto, o conceito de responsabilidade civil por omissão no Direito brasileiro, especialmente nas distinções entre omissão genérica e específica, é fundamental para a compreensão de como as entidades podem ser responsabilizadas por danos causados por sua inação. O ilustre Sérgio Cavalieri Filho, em seu Programa de Responsabilidade Civil, apresenta uma distinção clara entre tipos de omissão, que pode ser transposta para o Direito Civil e aplicada em contextos específicos, como a gestão de dados sensíveis em instituições financeiras.

Sérgio Cavalieri distingue omissão genérica e omissão específica com base no dever individualizado de agir. Segundo a teoria, a omissão genérica refere-se a situações em que a omissão decorre de uma falta geral de ação que não é direcionada a impedir um dano específico. Um exemplo clássico é quando um motorista embriagado, sem intervenção específica de terceiros, causa um acidente. Por outro lado, a omissão específica ocorre quando a entidade tem um dever específico de agir para prevenir um dano e falha em fazê-lo. Um exemplo seria a falha de uma autoridade policial em deter um motorista embriagado após identificar sua condição.

Mais especificamente dizendo, as omissões genéricas referem-se à ausência de medidas de segurança e proteção de forma ampla, enquanto as omissões específicas envolvem falhas no cumprimento de requisitos normativos específicos.

Dentro desse contexto, a distinção entre omissões genéricas e específicas torna-se essencial para definir o nível de diligência necessário e a responsabilização adequada das instituições financeiras. Assim, é possível explorar as nuances da responsabilidade civil das instituições financeiras na gestão de dados, enfatizando a importância de práticas diligentes e da correta aplicação das normas vigentes. Ao fazê-lo, busca-se garantir a proteção dos dados em um ambiente cada vez mais digitalizado.

Subjetividade e objetividade

Ato contínuo, no contexto da responsabilidade civil por omissão, a distinção entre omissão genérica e específica, embora crucial, não é suficiente. É necessário também determinar se a responsabilidade em caso de omissão genérica e específica é subjetiva ou objetiva. Neste prisma, Cavalieri oferece uma perspectiva clara sobre essa distinção, que é essencial para compreender como a legislação e a jurisprudência abordam casos de danos causados pela inação, especialmente em contextos complexos como fraudes bancárias e gestão de dados sensíveis.

Ora, considerando que a omissão genérica refere-se a uma falha geral em adotar medidas de precaução que seriam esperadas de qualquer pessoa ou entidade em uma situação similar, tem-se que no caso de uma omissão genérica, é possível afirmar que a responsabilidade de quem se omitiu é geralmente subjetiva, exigindo a prova de culpa ou dolo para responsabilizar o agente. Em outras palavras, para que haja responsabilização por omissão genérica, é necessário demonstrar a culpa ou dolo da entidade ou pessoa, já que a omissão não é direcionada a um risco específico, mas sim a uma falha geral na adoção de medidas de precaução.

Por outro lado, a omissão específica refere-se à falha em adotar medidas concretas exigidas devido a um risco claramente identificado. Portanto, na omissão específica, a responsabilidade da pessoa que se omitiu é objetiva, não sendo necessário provar culpa ou dolo, bastando apenas estabelecer uma relação causal entre a omissão da pessoa e o dano. Dito de outra forma, quando existe um dever específico de agir e esse dever não é cumprido, resultando em uma omissão específica, a responsabilidade é objetiva, dispensando a necessidade de demonstrar dolo ou culpa devido à natureza específica da omissão.

Para ilustrar, vamos aos exemplos: uma instituição financeira tem a obrigação específica de monitorar e bloquear transações suspeitas para evitar fraudes. Se essa instituição identifica uma atividade fraudulenta na conta de um cliente, mas não toma as medidas necessárias para bloquear a transação, e o terceiro sofre um prejuízo financeiro como resultado, a responsabilidade da instituição é objetiva. Não é necessário provar que a instituição agiu com culpa ou dolo; basta demonstrar que houve falha em agir, conforme exigido pelo dever específico de monitoramento, o que causou o dano ao terceiro.

Explicando de outra forma, a omissão genérica ocorre quando há uma falha em observar um padrão de cuidado razoável esperado em qualquer situação. Exemplos de omissão genérica incluem um motorista que não utiliza o cinto de segurança, violando normas de trânsito, ou um médico que não segue os protocolos durante uma cirurgia, resultando em complicações para o paciente. Nesses casos, a responsabilidade é subjetiva, baseada na negligência ou imprudência.

Por outro lado, a omissão específica envolve a falha em adotar medidas preventivas específicas exigidas pela natureza da atividade exercida. Exemplos incluem a manutenção inadequada de um brinquedo em um parque de diversões, resultando em acidentes, ou a falha de um banco em detectar e impedir a abertura de uma conta com documentos fraudulentos. Aqui, a responsabilidade é objetiva, pois a omissão está diretamente relacionada à prevenção de riscos inerentes à atividade.

Portanto, enquanto as omissões genéricas referem-se à falta geral de ação na proteção de dados, as omissões específicas envolvem a falha em cumprir requisitos normativos específicos. Além disso, é importante diferenciar a responsabilidade subjetiva da objetiva: a omissão genérica geralmente requer prova de culpa ou dolo, enquanto a omissão específica implica responsabilidade objetiva, bastando o nexo causal entre o fato e o dano.

Aplicação às instituições financeiras

Com a diferenciação entre os tipos de omissão e suas respectivas responsabilidades devidamente estabelecida, é possível aplicar essas formulações ao Direito Civil, especialmente no contexto da gestão de dados sensíveis por instituições financeiras. Avançando nessa perspectiva, propomos a utilização de critérios objetivos para facilitar a aplicação prática da teoria em litígios civis, com especial atenção a casos de fraude bancária e vazamento de dados.

A proposta para uma sistematização teórica envolve a definição de critérios objetivos para distinguir se a omissão da instituição financeira é genérica ou específica. Um dos critérios é o dever normativo específico. Por exemplo, uma instituição financeira que não adota medidas de segurança exigidas pela LGPD para proteger dados pessoais de clientes, como a criptografia de informações sensíveis, comete uma omissão específica, pois não cumpre um dever normativo claro. Outro exemplo é um banco que não segue os procedimentos obrigatórios de verificação de identidade dos clientes conforme a Resolução nº 4.753/2019 do Banco Central.

O segundo critério é a previsibilidade do dano. Se uma instituição financeira recebe várias notificações sobre possíveis fraudes em suas transações online, mas não implementa sistemas adicionais de segurança como a autenticação multifator, e clientes sofrem perdas financeiras devido a fraudes, a previsibilidade do dano torna a omissão específica. Outro caso seria quando funcionários de um banco relatam falhas no sistema de segurança que poderiam levar ao acesso não autorizado a contas de clientes, mas a administração ignora esses avisos e, eventualmente, ocorrem invasões às contas.

O terceiro critério é a avaliação da técnica de prevenção. Um exemplo é um banco que possui a tecnologia para monitorar transações em tempo real e identificar atividades suspeitas, mas opta por não utilizá-la devido ao custo. Quando ocorre uma fraude, a falha em adotar essa técnica de prevenção representa uma omissão específica. Outro exemplo seria uma instituição financeira que tem acesso a softwares de proteção contra malware, mas não os implementa, resultando em um ataque de malware que expõe dados sensíveis de clientes.

Outro critério é a causalidade direta. Um banco que não atualiza seus sistemas de segurança cibernética, resultando em um ataque que expõe informações pessoais de clientes, comete uma omissão específica devido à falha direta em atualizar os sistemas. De maneira similar, uma instituição financeira que não realiza verificações de segurança necessárias ao conceder empréstimos online, permitindo que fraudadores utilizem informações falsas, evidencia uma relação causal direta entre a omissão e a fraude bancária.

Por fim, tem-se como critério o dever individualizado de agir. Um exemplo seria um banco alertado por um cliente sobre uma tentativa de acesso não autorizado à sua conta, mas que não toma as medidas necessárias para bloquear a atividade suspeita, configurando uma omissão específica. Outro exemplo é uma instituição financeira informada sobre vulnerabilidades específicas em seu sistema de pagamento online, mas que não as corrige, resultando na exploração dessas falhas por hackers.

Políticas internas, regulamentos externos e distinção

Para aplicar esses critérios em litígios civis, especialmente em casos de fraude bancária e vazamento de dados, basta examinar as políticas internas e o cumprimento dos regulamentos externos que impõem deveres específicos às instituições financeiras. Essa abordagem proporciona uma estrutura sólida para lidar com questões complexas relacionadas à responsabilidade civil das instituições financeiras na gestão de dados sensíveis.

A proposta para uma sistematização teórica envolveu a definição de critérios objetivos para distinguir se a omissão da instituição financeira é genérica ou específica. A distinção é essencial para a adequada aplicação da responsabilidade civil em contextos modernos, como a gestão de dados sensíveis em instituições financeiras. Por meio dos critérios objetivos propostos, pode-se fornecer uma ferramenta analítica robusta para a aplicação prática em litígios civis, facilitando a resolução de casos complexos de fraude bancária e vazamento de dados.

No âmbito do Direito Bancário, é crucial diferenciar entre omissão genérica e específica, pois essa distinção fundamenta a atribuição de responsabilidade civil em casos envolvendo falhas na gestão de dados sensíveis e na proteção dos clientes. A omissão genérica é caracterizada por uma falha ampla e sistêmica na implementação de medidas adequadas de controle e proteção, enquanto a omissão específica refere-se à negligência pontual em cumprir um dever claramente definido.

Um exemplo de omissão genérica é o caso em que um banco não implementa e mantém um sistema robusto de monitoramento de fraudes, resultando em uma série de transações fraudulentas que afetam múltiplos clientes. Essa falha não se limita a um incidente isolado, mas revela uma deficiência contínua e abrangente na vigilância, demonstrando um descuido sistemático na proteção das contas dos clientes. Outro exemplo é quando um banco não proporciona treinamento adequado e contínuo para seus funcionários sobre normas de compliance e melhores práticas bancárias, levando a erros generalizados na execução de políticas de atendimento ao cliente, gestão de riscos e manutenção da confidencialidade das informações dos clientes. Esses casos refletem uma falha abrangente na manutenção de um padrão de conduta operacional.

Por outro lado, a omissão específica em um contexto bancário refere-se ao não cumprimento de um dever ou obrigação claramente definida, ligado a uma ação particular que o banco deveria ter realizado, mas falhou em fazê-lo. Esse tipo de omissão é diretamente associado a uma responsabilidade explícita que foi negligenciada. Um exemplo disso é quando um banco tem a obrigação de realizar verificações de crédito antes de aprovar empréstimos, mas aprova um empréstimo sem conduzir a necessária análise de crédito. Outro exemplo é a falha na notificação de suspeita de fraude. Quando um sistema bancário detecta atividades suspeitas em uma conta de cliente, existe um dever específico de notificar imediatamente o cliente e as autoridades competentes. Se o banco falhar em realizar esta notificação, isso constitui uma omissão específica que pode levar a danos financeiros substanciais para o cliente.

A distinção entre omissão genérica e específica reside no escopo e na particularidade da falha. A omissão genérica é ampla e sistêmica, indicando uma falha abrangente em manter um padrão de cuidado em várias operações ou políticas. Esses casos refletem uma negligência contínua e generalizada que afeta diversos aspectos do funcionamento do banco. Em contraste, a omissão específica é focada e diretamente relacionada a um dever específico que foi ignorado ou negligenciado.

Para diferenciar claramente entre esses tipos de omissão, é necessário considerar os critérios supramencionados: a natureza do dever omitido (se genérico ou específico), a previsibilidade do dano em caso de não cumprimento do dever, a relação causal direta entre a omissão e o dano ocorrido, a especificidade das normas violadas e o grau de conhecimento técnico necessário para evitar a omissão.

Por exemplo, um vazamento de dados pessoais decorrente da falha de um banco em atualizar seus sistemas de segurança pode ser classificado como omissão específica, pois viola um dever específico de implementar atualizações críticas de segurança. Outro exemplo seria a manutenção de contas fraudulentas sem a devida investigação, apesar dos alertas dos sistemas de monitoramento, configurando uma omissão específica ao não agir sobre transações suspeitas.

Em conclusão, a distinção entre omissão genérica e específica é fundamental para a atribuição de responsabilidade civil em casos bancários, clarificando as obrigações legais e promovendo uma cultura de responsabilidade e transparência nas instituições financeiras.

CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 10. ed. São Paulo: Atlas.