Golpe do Pix e o dever de segurança das instituições financeiras

A relação contratual firmada entre a instituição financeira e o titular da conta bancária é de natureza consumerista, atraindo a aplicação do Código de Defesa do Consumidor (CDC) — Lei nº 8.078/90, conforme Súmula do 297 do STJ: “O Código de Defesa do Consumidor é aplicável às instituições financeiras”.

Da relação de consumo exsurge o princípio da garantia e da adequação, que impõe ao fornecedor o dever de segurança quando introduz qualquer bem e/ou serviço no mercado. A partir desse princípio, espera-se que o bem ou serviço oferecido seja confiável e seguro para atender aos interesses dos consumidores.

Com o desenvolvimento de sistemas eletrônicos e a ampla utilização de operações bancárias por meios tecnológicos, deve-se esperar, no mínimo, que as instituições financeiras garantam a segurança de tais transações.

Se por um lado os bancos se beneficiam com os meios de relacionamento eletrônico — com a diminuição da contratação de funcionários e locais físicos para atendimento de clientes, por exemplo —, por outro, sujeitam-se também ao aparecimento de fraudes eletrônicas, o que reforça o dever de segurança ao consumidor.

A responsabilidade objetiva prevista no artigo 14 do CDC se baseia no risco — criado ou do empreendimento —, advindo da atividade exercida pelo fornecedor, que não toma as devidas precauções e cria um estado de perigo para outrem. Nesta linha, o fornecedor fica obrigado a oferecer serviços seguros a seus clientes, evitando a ocorrência de violações que causem danos aos usuários.

O Tema Repetitivo nº 466 do STJ fixou a tese vinculante de que as instituições financeiras respondem objetivamente pelos danos gerados por fortuitos internos quando se trate de operações bancárias. No mesmo sentido é a Súmula 479 do STJ: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

Quanto à caracterização do que vem a ser “fortuito interno”, a jurisprudência tem evoluído no sentido de reconhecer a responsabilidade da instituição financeira pela falha na prestação do serviço do dever de segurança. Nesse contexto, quando são realizadas operações atípicas, que extrapolem os limites previamente estabelecidos e/ou fora do padrão do correntista/consumidor, é dever da instituição identificar tal fato e adotar as medidas contra o ilícito imediatamente.

Assim, mesmo quando a fraude é praticada por terceiros, a depender do caso, pode-se reconhecer o dever de o banco indenizar o consumidor pela falha na prestação do serviço por falha na segurança, com aplicação da teoria do risco do empreendimento.

Ou seja, mesmo que o ato seja perpetrado por terceiro, nos casos de falha do dever de segurança do sistema bancário em operações eletrônicas, entende-se presente a responsabilidade do banco por fortuito interno, o que afasta a aplicação das excludentes de responsabilidade previstas no artigo 14, §3º, do CDC. Veja-se:

Responsabilidade civil. Caixa Econômica Federal. Fraude. Saque em conta bancária. Danos materiais e morais. Ocorrência. Embora a CEF alegue a ausência de culpa e atribua o evento à culpa exclusiva da vítima, os saques e compras debitados da conta fugiram ao perfil da cliente, pois ocorreram de forma recorrente e em vários terminais, assim, a instituição agiu de forma negligente ao permitir a ocorrência de tais transações, mesmo que, após vários dias, surge a percepção por parte da instituição, de possível fraude ao efetuar o bloqueio do cartão da cliente. Para afastar a responsabilidade civil objetiva da instituição financeira, não basta afirmar que não houve fraude em razão da utilização de cartão magnético e de senha, mas cumpriria à CEF demonstrar, que o cliente permitiu ou facilitou a utilização indevida do cartão bancário, o que não se verificou. A jurisprudência está consolidada no sentido de que as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias, conforme preceitua a Súmula 479 do STJ. Unânime.  (TRF1, Ap 1003044-06.2019.4.01.3904 – PJe, rel. des. federal Rafael Paulo, em sessão virtual realizada no período de 27/10 a 07/11/2023.) [1]

PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DECLARATÓRIA DE INEXIBILIDADE DE DÉBITO. CONSUMIDOR. GOLPE DO MOTOBOY. RESPONSABILIDADE CIVIL. USO DE CARTÃO E SENHA. DEVER DE SEGURANÇA. FALHA NA PRESTAÇÃO DE SERVIÇO.

[…] 3. O propósito recursal consiste em perquirir se existe falha na prestação do serviço bancário quando o correntista é vítima do golpe do motoboy.

4. Ainda que produtos e serviços possam oferecer riscos, estes não podem ser excessivos ou potencializados por falhas na atividade econômica desenvolvida pelo fornecedor.

5. Se as transações contestadas forem feitas com o cartão original e mediante uso de senha pessoal do correntista, passa a ser do consumidor a incumbência de comprovar que a instituição financeira agiu com negligência, imprudência ou imperícia ao efetivar a entrega de numerário a terceiros. Precedentes.

6. A jurisprudência deste STJ consigna que o fato de as compras terem sido realizadas no lapso existente entre o furto e a comunicação ao banco não afasta a responsabilidade da instituição financeira. Precedentes.

7. Cabe às administradoras, em parceria com o restante da cadeia de fornecedores do serviço (proprietárias das bandeiras, adquirentes e estabelecimentos comerciais), a verificação da idoneidade das compras realizadas com cartões magnéticos, utilizando-se de meios que dificultem ou impossibilitem fraudes e transações realizadas por estranhos em nome de seus clientes, independentemente de qualquer ato do consumidor, tenha ou não ocorrido roubo ou furto. Precedentes.

8. A vulnerabilidade do sistema bancário, que admite operações totalmente atípicas em relação ao padrão de consumo dos consumidores, viola o dever de segurança que cabe às instituições financeiras e, por conseguinte, incorre em falha da prestação de serviço. […]

10. Na hipótese, contudo, verifica-se que o consumidor é pessoa idosa, razão pela qual a imputação de responsabilidade há de ser feita sob as luzes do Estatuto do Idoso e da Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos, sempre considerando a sua peculiar situação de consumidor hipervulnerável. 11. Recurso especial provido. (REsp n. 1.995.458/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 9/8/2022, DJe de 18/8/2022.)

Regulamentação do Pix

O Banco Central, através da Resolução BCB nº 1, de 12 de agosto de 2020, instituiu o arranjo de pagamentos Pix e aprovou o seu regulamento, com o dever expresso de as instituições financeiras promoverem medidas de segurança para evitar a prática de fraudes.

Quando o cliente promove a reclamação/contestação da transação fraudulenta, cabe à instituição financeira, por força do disposto no artigo 41-B [2] do regulamento anexo à Resolução BCB nº 1/2020 (incluído pela na Resolução BCB nº 103/2021), promover o mecanismo especial de devolução (MED), com vistas a viabilizar a devolução do valor ao cliente, uma vez que exista fundada suspeita do uso do arranjo para a prática de fraude.

Destaca-se a Instrução Normativa BCB nº 331 de 01/12/2022, que estipula os limites de valores que podem ser transferidos, bem como os turnos. Além de fixar os limites de valores para transações diurnas e noturnas, a IN permite que o consumidor solicite a alteração dos limites, a qual só pode ser efetivada após 24 ou 48 horas da solicitação (artigo 5º Instrução Normativa BCB nº 331 de 01/12/2022) [3]. Trata-se de medida de segurança, para evitar que o consumidor ou terceiro efetue transações que extrapolem o limite do valor do Pix no momento da fraude.

Ou seja, está inserido no dever de segurança da instituição financeira a estrita observância dos limites diários de transações via Pix, bem como que a alteração de tais limites só pode ser efetivada 24 ou 48 horas após a solicitação. Se não observadas tais regras do Banco Central, resta configurado fortuito interno, a ensejar a responsabilidade civil objetiva do banco, conforme julgados dos Tribunais nesse sentido:

AÇÃO DE RESTITUIÇÃO DE VALORES CUMULADA COM INDENIZAÇÃO. SENTENÇA DE IMPROCEDÊNCIA. APELAÇÃO PARCIALMENTE PROVIDA. CONSUMIDOR. DEFEITO NA PRESTAÇÃO DE SERVIÇOS FINANCEIROS. Ação de indenização fundada em defeito dos serviços bancários. Autora que foi vítima de golpe do PIX. Primeiro, reconhece-se a falha da instituição financeira em que a autora mantinha sua conta corrente. Assim que realizou a transferência bancária e notou o golpe, a autora entrou em contato com o banco destinatário (BRB Banco de Brasília S/A) para buscar o bloqueio da quantia. Naquele momento, terminou informada de que o bloqueio seria possível pela instituição que operacionalizou a transferência – em que a autora mantinha sua conta – PAGSEGURO. E, apesar do pedido da autora, PAGSEGURO e BRB BANCO DE BRASÍLIA agiram de forma ineficiente, um atribuindo ao outro o início do bloqueio, o que redundou na ineficácia da tentativa de consumação do golpe. Esses fatos (incontroversos), eram fundamentos bastante para responsabilização dos réus. E segundo, tem-se que o BRB BANCO DE BRASÍLIA não adotou cautelas para abertura da conta corrente que serviu de instrumento para fraude via PIX, deixando de trazer para os autos prova de ação em conformidade com recomendações do BACEN, em especial confirmação do endereço. Violação do regulamento do PIX (art. 39, 88 e 89) na parte das cautelas e riscos das operações via PIX. Aplicação da Súmula 479 do Superior Tribunal de Justiça. Ressarcimento dos danos materiais no valor de R$ 1.500,00. Danos morais configurados. Montante indenizatório fixado em R$ 8.000,00, que atenderá as funções compensatória e inibitória. Precedentes da Turma julgadora e do TJSP. Ação julgada parcialmente procedente em segundo grau. SENTENÇA REFORMADA. RECURSO PARCIALMENTE PROVIDO. (TJ-SP – AC: 10505845920218260506 SP 1050584-59.2021.8.26.0506, Relator: Alexandre David Malfatti, Data de Julgamento: 22/11/2022, 12ª Câmara de Direito Privado, Data de Publicação: 22/11/2022)

CIVIL. RESPONSABILIDADE CIVIL. INSTITUIÇÃO FINANCEIRA. TRANSAÇÕES REALIZADAS POR TERCEIRO. EXTRAPOLAÇÃO DE LIMITES DIÁRIOS. FORTUITO INTERNO. 1. As disposições do Código de Defesa do Consumidor (Lei n.º 8.078/1990) são aplicáveis às instituições financeiras em relação aos serviços prestados aos seus clientes, na esteira do enunciado da súmula n.º 297 do Superior Tribunal de Justiça (“O Código de Defesa do Consumidor é aplicável às instituições financeiras”). Como corolário lógico, a responsabilidade civil das instituições financeiras é objetiva (artigo 14 do Código de Defesa do Consumidor) e está adstrita aos “danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias” (súmula n.º 479 do Superior Tribunal de Justiça). 2. Configura falha na prestação de serviços ao cliente quando a instituição financeira permite a transferência de valores acima dos limites diários estabelecidos para fins de segurança do sistema bancário. (TRF-4 – AC: 50554300520214047100 RS, Relator: VIVIAN JOSETE PANTALEÃO CAMINHA, Data de Julgamento: 26/07/2023, QUARTA TURMA)

CÍVEL. DANOS MATERIAIS E MORAIS. TRANSFERÊNCIA POR MEIO DE PIX DE R$ 29.990,00, PRATICAMENTE ZERANDO A CONTA DA AUTORA. FALHA NOS SISTEMAS DE SEGURANÇA DA CAIXA. INÉRCIA DA RÉ QUE NÃO INFORMOU A ADOÇÃO DE QUALQUER MEDIDA DE SEGURANÇA ANTE A MOVIMENTAÇÃO ATÍPICA REALIZADA NA CONTA DO AUTOR, NÃO INFORMOU QUAIS OS LIMITES DIÁRIOS DE MOVIMENTAÇÃO POR OPERAÇÃO E NEM DEMONSTROU TER ADOTADO QUALQUER PROVIDÊNCIA PARA O BLOQUEIO DE VALORES NA CONTA DESTINATÁRIA. MANTER SENTENÇA DE PARCIAL PROCEDÊNCIA. (TRF-3 – RI: 01196811920214036301, Relator: MARCIO RACHED MILLANI, Data de Julgamento: 04/12/2022, 8ª Turma Recursal da Seção Judiciária de São Paulo, Data de Publicação: 09/12/2022)

Assim, se a instituição financeira não adota as medidas necessárias para garantir a segurança nas operações eletrônicas (ex.: transações que fogem do padrão do consumidor e fora dos limites de transferência diários por meio de Pix), impõe-se o dever de ressarcimento de danos materiais — devolução em dobro do valor retirado indevidamente da conta bancária do consumidor (artigo 42 do CDC). Além disso, a falha na prestação do serviço bancário ofende a boa-fé objetiva, com o consequente dever de indenizar por danos morais ao cliente [4].

[1]No mesmo sentido: TRF4, AC 5071276-33.2019.4.04.7100, TERCEIRA TURMA, Relator CÂNDIDO ALFREDO SILVA LEAL JUNIOR, juntado aos autos em 24/10/2023; TRF4, APELAÇÃO CÍVEL Nº 5020813-82.2022.4.04.7100, 3ª TURMA, DESEMBARGADOR FEDERAL ROGER RAUPP RIOS, POR UNANIMIDADE, JUNTADO AOS AUTOS EM 19.09.2023

[2] Art. 41-B. O Mecanismo Especial de Devolução é o conjunto de regras e de procedimentos operacionais destinado a viabilizar a devolução de um Pix nos casos em que exista fundada suspeita do uso do arranjo para a prática de fraude e naqueles em que se verifique falha operacional no sistema de tecnologia da informação de qualquer dos participantes envolvidos na transação.

[3] Art. 5º  A solicitação de aumento do limite de que trata o inciso I do § 2º do art. 3º pode ser acatada, a critério do participante.

Parágrafo único.  A resposta à solicitação para aumentar o valor do limite disponibilizado e a sua efetiva alteração, caso acatada pelo participante, deve ser dada entre 24 e 48 horas após a solicitação.

[4] AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS E MATERIAIS. Fraude bancária. Transferências via Pix não reconhecidas pelo autor e que fogem ao seu perfil de consumo. Falha na prestação de serviços configurada. Responsabilidade objetiva do réu, nos termos dos arts. 3º, § 2º, e 14 do CDC. DANOS MATERIAIS. Caracterização. Dever de restituição do saldo que o autor efetivamente mantinha em conta. Mantida a devolução em dobro, conforme tese firmada em recurso repetitivo do STJ – EAREsp nº 676.608. DANOS MORAIS. Indenização fixada em R$ 10.000,00, em patamar adequado aos princípios da proporcionalidade e da razoabilidade. MULTA COMINATÓRIA. Fixação em tutela de urgência. Natureza coercitiva e inibitória das astreintes. Possibilidade de readequação para periodicidade mensal e limitação do quantum. Admissibilidade, a fim de se evitar enriquecimento sem causa. Sentença reformada em parte. Recurso parcialmente provido. (TJ-SP – AC: 10078162820228260266 Itanhaém, Relator: Flávio Cunha da Silva, Data de Julgamento: 15/09/2023, 38ª Câmara de Direito Privado, Data de Publicação: 15/09/2023)

No mesmo sentido:  TJ-GO – Apelação Cível: 05960578620198090149 TRINDADE, Relator: Des(a). ITAMAR DE LIMA, Data de Julgamento: 01/03/2021, 3ª Câmara Cível, Data de Publicação: DJ de 01/03/2021.