REGISTRO DOI: 10.70773/revistatopicos/777083714
RESUMO
O processo de digitalização da economia brasileira tem sido marcado por fraudes realizadas em canais virtuais de atendimento bancário realizadas através da engenharia social que têm causado prejuízos significativos às vítimas. Este trabalho buscou analisar a responsabilidade civil pelos danos ocasionados nesse tipo de fraude, por meio da revisão de literatura e análise jurisprudencial. No item 1 foi feita uma contextualização sobre a digitalização da economia brasileira. No item 2 conceituou-se responsabilidade civil, apresentando seus requisitos e sua função. No item 3 discorreu-se sobre o sistema de responsabilidade civil implementado pelo Código de Defesa do Consumidor, sua aplicabilidade às instituições financeiras e as excludentes de responsabilidade admitidas. No item 4, foi estabelecida uma definição de engenharia social, seus principais vetores de atuação, buscou-se estabelecer a delimitação da responsabilidade civil nas fraudes bancárias eletrônicas à luz da doutrina e jurisprudência atuais, chegando-se à conclusão, no item 5, que o uso da engenharia social tem gerado entendimentos jurisprudenciais e doutrinários diversos e que a Súmula 479 do STJ tem sido equivocadamente aplicada ao caso evidenciando a necessidade de atualização do entendimento sumulado sobre o assunto.
Palavras-chave: fraudes bancárias; canais digitais; responsabilidade civil; engenharia social.
ABSTRACT
The digitalization process of the Brazilian economy has been marked by frauds carried out in virtual banking channels through social engineering that have caused significant losses to victims. This paper sought to analyze civil liability for damages caused by this type of fraud, through a literature review and case law analysis. Item 1 contextualized the digitalization of the Brazilian economy. Item 2 conceptualized civil liability, presenting its requirements and function. Item 3 discussed the civil liability system implemented by the Consumer Defense Code, its applicability to financial institutions, and the exclusions of liability allowed. In item 4, a definition of social engineering was established, its main vectors of action, and an attempt was made to establish the delimitation of civil liability in electronic banking fraud in light of current doctrine and jurisprudence, reaching the conclusion, in item 5, that the use of social engineering has generated different jurisprudential and doctrinal understandings and that Summary 479 of the STJ has been wrongly applied to the case highlighting the need to update the summary understanding on the subject.
Keywords: banking fraud; digital channels; civil liability; social engineering.
1. INTRODUÇÃO
A expansão do acesso à internet e a popularização das ferramentas tecnológicas de informação e comunicação alteraram profundamente a forma como clientes e empresas se relacionam. A economia brasileira tem experimentado um processo acelerado de digitalização nos últimos anos, impulsionado por avanços tecnológicos e pela crescente demanda por serviços digitais. Este movimento tem transformado diversos setores da economia trazendo benefícios significativos, mas também novos desafios, especialmente no que diz respeito à segurança das transações bancárias.
A adoção de tecnologias inovadoras visa aumentar a eficiência e a competitividade das empresas, expandir sua base de clientes e consequentemente seus lucros. Os bancos digitais facilitaram o acesso da população não bancarizada ao mercado financeiro. O sistema de pagamentos PIX popularizou a movimentação virtual de recursos, processando transações financeiras de forma instantânea.
O ambiente digital mostra-se terreno fértil para aplicação de golpes em transações bancárias eletrônicas, que se tornam cada vez mais sofisticados pela atuação de estelionatários especializados em capturar dados sigilosos utilizando-se da chamada engenharia social. Nota-se que a digitalização da economia traz oportunidades, mas exige atenção redobrada à segurança das transações realizadas nos meios virtuais e dos dados disponibilizados nesse ambiente.
Cotidianamente pessoas têm sido impactadas por fraudes financeiras dada a disponibilidade de recursos e facilidade de movimentação de ativos proporcionados por essas tecnologias, e buscam em ações judiciais que as instituições financeiras reparem os danos sofridos.
Neste contexto buscou-se analisar a aplicação da responsabilidade civil às instituições financeiras que disponibilizam a seus clientes canais digitais de atendimento, por danos ocorridos nesses canais oriundos de movimentações bancárias fraudulentas efetivadas com o uso da engenharia social. Para tanto, foi analisada a jurisprudência do Superior Tribunal de Justiça, da Justiça Federal e do Tribunal de Justiça de São Paulo, a doutrina e legislação sobre o tema, especialmente o Código Civil e o Código de Defesa do Consumidor.
2. RESPONSABILIDADE CIVIL E SEUS ELEMENTOS CARACTERIZADORES
Antes de analisar o sistema de responsabilidade civil aplicado às instituições financeiras é necessário conceituar responsabilidade civil e identificar os elementos que a constituem. A palavra "responsabilidade" deriva do verbo latino "respondere" e se refere à obrigação de alguém assumir as consequências jurídicas de suas ações. Está associada à ideia de uma obrigação derivada, um dever jurídico que surge em decorrência de um fato jurídico em sentido amplo. Baseia-se no princípio fundamental de não causar dano a outrem, estabelecendo um limite objetivo à liberdade individual em uma sociedade civilizada.
Responsabilidade no campo do Direito, portanto, é a obrigação derivada de assumir as consequências jurídicas de um fato, que podem variar em reparação dos danos causados – no caso da responsabilidade civil, ou na punição pessoal do agente – no caso da responsabilidade criminal.
Gagliano e Pamplona Filho (2021, p.39) ao conceituarem Responsabilidade Civil, nos lembram que a noção de responsabilidade pressupõe a atividade danosa de alguém que, atuando a princípio ilicitamente, viola uma norma jurídica preexistente (legal ou contratual), subordinando-se desta forma às consequências do seu ato, consubstanciada na obrigação de reparar. E complementam, que, ao trazer esse conceito para o âmbito do Direito Privado, a responsabilidade civil deriva da agressão a um interesse eminentemente particular, sujeitando o infrator, ao pagamento de uma compensação pecuniária à vítima, caso não possa repor o estado anterior das coisas.
O Código Civil Brasileiro de 2002 estabeleceu dois sistemas gerais de responsabilidade civil. O subjetivo, fundado na culpa do agente, em que o dever de reparar se fundamenta na conduta culposa ou dolosa do agente causador do dano. E o objetivo, em que há o dever de reparar independentemente de culpa, nos casos especificados em lei ou quando a atividade desenvolvida pelo agente, embora lícita, implique por sua natureza risco para os direitos de outrem. É o que se extrai do art. 927 do Código Civil.
A responsabilidade civil tem como elementos: a conduta humana, o dano, o nexo de causalidade entre a conduta e o dano e a culpa, esta apenas nos casos de responsabilidade subjetiva, quando a obrigação de reparar depende da verificação da culpa do agente.
O dano é o elemento central do dever de reparar. Sem a ocorrência de dano não há responsabilidade. Gagliano e Pamplona Filho (2021, p.68) definem dano “como sendo a lesão a um interesse jurídico tutelado – patrimonial ou não -, causado por ação ou omissão de um sujeito infrator.” E ainda ressaltam que “a configuração do prejuízo poderá decorrer da agressão a direitos ou interesses personalíssimos (extrapatrimoniais), a exemplo daqueles representados pelos direitos da personalidade, especialmente o dano moral”
2.1. A Função da Reparação Civil
A doutrina clássica aponta que a reparação civil se encontra revestida de duas funções básicas: a compensatória e a pedagógica.
Na função compensatória encontra-se o seu objetivo básico, a finalidade precípua da reparação civil que é de retornar as coisas ao status quo ante, ou seja, ao seu estado anterior, repondo-se diretamente o bem perdido, ou quando não mais possível, impondo-se o pagamento de uma indenização em importância equivalente ao valor do bem material perdido ou compensatória do direito não redutível pecuniariamente.
A função pedagógica é secundária, e abrange a ideia de punição do ofensor, embora não sendo a finalidade básica, gera um efeito punitivo censurando a ausência de cautela na prática de certos atos, persuadindo o agente a não mais lesionar. Não se limita ao ofensor, tornando público que condutas semelhantes não devem ser toleradas, alcançando indiretamente a sociedade e restabelecendo o equilíbrio e a segurança desejados pelo Direito, função esta que se reveste de cunho socioeducativo.
2.2. Danos Indenizáveis
O dano indenizável é aquele onde há violação a um interesse jurídico patrimonial ou extrapatrimonial de uma pessoa física ou jurídica. Pressupõe agressão a um bem juridicamente tutelado, de natureza material ou não. É necessário que haja certeza da ocorrência do dano, pois somente o dano certo, efetivo, é indenizável, não podendo ninguém ser obrigado a reparar um dano hipotético.
O dano material ou patrimonial é aquele que lesa bens e direitos economicamente aferíveis do seu titular. Por exemplo, o dano sofrido em um veículo é facilmente mensurável pelo orçamento de reparo de uma oficina mecânica. Abrange tanto o dano emergente, que é o efetivo prejuízo experimentado pela vítima, aquilo que ela perdeu em termos patrimoniais, quanto os lucros cessantes, que correspondem àquilo que a vítima deixou de lucrar por força do dano, aquilo que não ganhou. O dano deve ser devidamente comprovado e guardar estrita relação com o ato do devedor, não podendo resultar de causas estranhas ou remotas.
Já o dano moral, lesa direitos cujo conteúdo não é pecuniário, nem redutível a dinheiro, atingindo a esfera personalíssima da pessoa, os chamados direitos da personalidade, tais como vida, integridade física e psíquica, honra, imagem, vida privada, nome, imagem.
Um dos pontos positivos apontados pela doutrina no atual Código Civil brasileiro é o reconhecimento expresso da reparabilidade dos danos morais, ex vi do art. 186 do referido diploma, pelo qual “aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito”. Por fim não podemos deixar de destacar que as indenizações por danos materiais e morais são cumulativas, entendimento consagrado pela Súmula 37 do STJ: “São cumuláveis as indenizações por dano material e moral oriundas do mesmo fato”.
3. O SISTEMA DE REPONSABILIDADE CIVIL IMPLEMENTADO PELO CÓDIGO DE DEFESA DO CONSUMIDOR
A tutela da proteção às relações de consumo foi expressamente incluída no rol de direitos e garantias da Constituição Federal de 1988, em seu art. 5º, XXXII, segundo o qual “o Estado deverá promover na forma da lei a defesa do consumidor”. A Lei 8.078 de 1990 instituiu o Código de Defesa do Consumidor regulamentando a norma constitucional.
A legislação consumerista define consumidor como sendo toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como destinatário final; produto como qualquer bem, móvel ou imóvel, material ou imaterial; e serviço como qualquer atividade fornecida no mercado de consumo, mediante remuneração.
À época da edição da norma consumerista a sociedade brasileira já era predominantemente urbana e concentrada em grandes cidades. A produção e o consumo de massa, marcados pelo ganho de escala priorizando-se quantidade e não a qualidade de produtos e serviços, era uma realidade mercadológica da qual os clássicos institutos de responsabilidade do Direito Civil não eram capazes de regulamentar. Os prejuízos e danos causados por essa relação de consumo em massa estavam se tornando evidentes, e a regulamentação da defesa do consumidor prevista como norma constitucional tinha como desafio adotar um modelo de responsabilização do fornecedor que fosse eficiente e compatível com essa realidade.
O novo diploma legal optou por implementar um sistema de responsabilidade civil objetiva, impondo aos fornecedores de produtos e serviços a obrigação de responderem pela reparação de danos causados aos consumidores por fato ou defeito de produtos ou serviços independentemente da existência de culpa do fornecedor. Esse modelo é fundamentado na teoria do risco da atividade desenvolvida, pelo qual o fornecedor responde pelos riscos de sua atividade, basicamente porque elas possuem fins lucrativos e ele se beneficia desse risco. O enfoque é deslocado da ideia de culpa centrando-se no risco que a atividade pode causar. Em suma, aquele que fornece produto ou serviço no mercado de consumo cria um risco de dano ao consumidor, em se concretizando o dano, terá o fornecedor o dever de repará-lo independentemente de ter agido com culpa ou dolo.
3.1. Os Elementos Caracterizadores da Responsabilidade Civil Objetiva no Código de Defesa do Consumidor
Necessário destacar os elementos que caracterizam a responsabilidade objetiva prevista no Código de Defesa do Consumidor: defeito ou vício do produto ou serviço; evento danoso ou prejuízo causado ao consumidor; relação de causalidade entre o defeito/vício e o evento danoso/prejuízo.
O vício está ligado à inadequação do produto ou serviço para o fim a que se destina, um vício de qualidade que o torna imprestável para a sua finalidade, que lhe diminui o valor, ou em que haja disparidades entre as indicações constantes da oferta/publicidade. É um equipamento eletrônico que não liga, por exemplo.
Já o defeito está ligado à segurança do bem de consumo ou do serviço prestado, quando não oferece a segurança que dele se espera. Podemos citar como exemplo, um celular que explode.
Inicialmente cabe ao consumidor provar o vício ou defeito. Contudo há no CDC regra que visa facilitar a defesa do consumidor em juízo, trata-se da inversão do ônus da prova, prevista no art. 6º, VIII, que não se dá de forma automática, mas a critério do juiz como destinatário da prova, e desde que presentes a verossimilhança das alegações ou a hipossuficiência postulante.
De fato, o consumidor como parte vulnerável na relação jurídica, na maioria das vezes não consegue demonstrar a existência de vício ou defeito do produto ou serviço, dependendo de informações a serem prestadas pelo fornecedor, que é o expert da relação de consumo e detentor das informações técnicas necessárias a demonstração das alegações do consumidor.
3.2. Aplicação do Código de Defesa do Consumidor Às Instituições Financeiras
Não paira dúvida quanto ao enquadramento das instituições financeiras no conceito de fornecedor definido pelo Código de Defesa do Consumidor e a aplicabilidade da legislação consumerista a elas. É o que se observa do § 2º do art. 3º da Lei 8.078/90, ao definir serviço como sendo “qualquer tipo de atividade fornecida no mercado de consumo, inclusive de natureza bancária, de crédito ou securitária”. Entendimento este pacificado desde 2004 com a edição da Súmula nº 297 do STJ: “O Código de Defesa do Consumidor é aplicável às instituições financeiras”.
3.3. As Excludentes de Responsabilidade Civil Previstas no CDC
O sistema de responsabilidade civil objetiva do Código de Defesa do Consumidor admite excludentes de responsabilidade do fornecedor, nas situações previstas no art. 12, § 3º e art. 14, § 3º. Vejamos:
O fornecedor de produtos deverá provar que não colocou o produto no mercado; que embora tenha colocado o produto à disposição do mercado, o defeito não existe; ou que houve culpa exclusiva do consumidor ou de terceiros.
Por sua vez o fornecedor de serviços, onde se enquadram os bancos, precisa provar que tendo prestado o serviço, o defeito não existe; que houve culpa exclusiva do consumidor ou de terceiros.
Note-se que o ônus de provar as excludentes acima é do fornecedor, e que por expressa disposição legal apenas a culpa exclusiva do consumidor ou de terceiro é causa excludente da responsabilidade, sendo a culpa concorrente uma atenuante.
Desta forma, pelo sistema de responsabilidade civil implementado na defesa das relações de consumo, uma vez provado o dano pelo consumidor, a responsabilidade pela reparação não pode ser imputada de forma automática ao fornecedor, podendo ele provar as situações acima que o isentam dessa responsabilidade. Aqui destaca-se que a teoria do risco da atividade adotada pelo Código de Defesa do Consumidor se afasta da teoria do risco integral, sendo, portanto, uma modalidade de risco mitigada.
3.4. A Responsabilidade do Consumidor Fundada na Culpa
Se por um lado, a responsabilidade das instituições financeiras é objetiva, por se aplicar a elas o Código de Defesa do Consumidor, bem como a teoria do risco criado (art. 927, § único do C.C.), a responsabilidade do consumidor é fundada na culpa.
A culpa exclusiva do consumidor pode ser conceituada como uma ação ou omissão que liga o resultado danoso exclusivamente a sua conduta. Para o fim deste trabalho de pesquisa decorre especialmente do descumprimento de cláusulas contratuais.
As transações financeiras pelas ferramentas de internet estão vinculadas a prestação de serviço de conta corrente. É na conta corrente mantida pelo cliente em uma instituição financeira que transitam os recursos movimentados. Essa relação obrigacional mútua entre cliente e banco é formalizada por contrato, denominado contrato de abertura de conta corrente.
Não há no ordenamento jurídico brasileiro regulamentação específica para tal contrato, caracterizando-se um contrato atípico, conforme previsão do art. 425 do Código Civil.
Trata-se de contrato de adesão, do qual não havendo nenhuma cláusula declarada pela justiça como abusiva, tem força obrigatória entre as partes. Em que pese a impossibilidade da discussão de todas a cláusulas do referido contrato em virtude de sua própria natureza, é um contrato consensual, pois o consumidor tem a opção de não contratar e escolher com quem contrata o serviço de conta corrente.
As principais obrigações contidas nesse tipo de contrato por parte do banco são: entregar exemplar das cláusulas contratuais; disponibilizar senha eletrônica; orientar sobre o uso e conservação da senha; concretizar as operações autorizadas emitindo recibo; impedir a utilização indevida da senha; se responsabilizar perante o cliente pelo uso indevido ou erro. Já por parte do cliente, as principais obrigações são: guardar a senha eletrônica e não a fornecer a terceiros; realizar identificação pessoal quando exigido; manter seus dados cadastrais atualizados, informando ao banco alteração de seu endereço residencial, e-mail e telefone de contato; e comunicar imediatamente a instituição financeira em casos de roubo, furto ou extravio da senha (Nehme, 2022, p.275/324).
Desta forma o consumidor que fornece sua senha eletrônica para terceiros, incorre em descumprimento de cláusula contratual, de modo a atrair para si culpa exclusiva e a responsabilidade por eventual movimentação financeira não autorizada.
4. RESPONSABILIDADE CIVIL NAS FRAUDES BANCÁRIAS ELETRÔNICAS
4.1. O Volume de Transações Financeiras Realizadas em Canais Digitais
Entre 2019 e 2023 as movimentações financeiras efetuadas pelo smartphone apresentaram um crescimento de 251%, representando 70% do total das transações bancárias atuais. No ano de 2023 foram feitas 130,7 bilhões de operações bancárias por meio de telefones celulares (Febraban Notícias, 2024, p.[não paginado]). Se considerarmos ainda as transações feitas nos demais canais digitais, como internet banking e aplicativos de mensagens, o número de operações digitais sobe para 80%. Esses dados nos permitem ter uma ideia do volume financeiro movimentado pelos canais digitais diariamente no Brasil.
A digitalização da economia foi acompanhada pelo crescimento das fraudes em meios digitais, e assim como os dados relativos às transações bancárias acima apresentados, também nos trazem números impressionantes. Segundo a Security Report (2023), os canais digitais registraram 2,8 mil tentativas de fraude por minuto durante o primeiro trimestre de 2023; 42% dos brasileiros afirmam já ter sofrido algum tipo de fraude, e desses, 57% tiverem perda financeira, sendo o prejuízo médio de R$ 2.288,00 por prejudicado. (Valor Investe, 2024 p.[não paginado]).
Sob a perspectiva dos bancos o sistema de transmissão de dados e automação bancária foi criado com a finalidade de ampliar o atendimento em termos de quantidade de clientes e reduzir custos operacionais, e sob a ótica dos clientes proporcionou comodidade pela facilidade de acesso, intuitividade na operacionalização e disponibilidade fora do horário de expediente bancário. Sua expansão foi inclusive incentivada pelo Governo Federal do Brasil com a criação do sistema de pagamentos PIX.
4.2. A Engenharia Social
No sistema de automação bancária as transações financeiras são autorizadas mediante o uso de senha eletrônica pessoal e intransferível, previamente implantada no sistema “on-line” que se caracteriza como elemento de identificação pessoal e chave secreta para autenticação de ordens de movimentação de recursos. Com o constante avanço das ferramentas tecnológicas as senhas numéricas ou alfanuméricas têm sido aos poucos substituídas por outros mecanismos de autenticação, como a biometria das digitais e a biometria facial.
A atuação de estelionatários especializados em capturar dados sigilosos do consumidor para burla dos mecanismos de segurança do sistema de automação bancária tem levado a expressiva realização de transações bancárias fraudulentas causando prejuízos financeiros às vítimas. São pessoas que usam de influência e persuasão, a partir de técnicas psicológicas de convencimento conjugadas com o uso de tecnologia, visando enganar e manipular pessoas para que elas revelem ou entreguem informações que serão utilizadas para aplicar golpes visando benefício financeiro.
Não há um conceito jurídico para o termo engenharia social, mas podemos defini-la como um método sem violência física usado para ganhar a confiança das pessoas com o objetivo de enganar e manipular a vítima para que esta realize ações prejudiciais a si mesma em benefício de outrem. Se compõe de métodos e técnicas de manipulação de pessoas de modo a obter dados que comprometam sistemas computacionais de segurança. Normalmente os golpes são perpetrados por pessoas agindo em associação criminosa, que possuem conhecimento tecnológico, mas que necessitam de alguma informação sigilosa sem a qual não conseguem vulnerar os sistemas de segurança, daí porque o Phishing3 é o principal método de obter esses dados.
A forma de atuação é muito variada e dinâmica, explorando especialmente as emoções das vítimas. Nesse aspecto podemos destacar: curiosidade ao abordar assuntos atrativos para induzir o clique em arquivos ou links maliciosos; vaidade ao ofertar produtos e serviços em condições imperdíveis estimulando a futilidade e consumismo; solidariedade criando falsas campanhas de doação; confiança se utilizando do nome de grandes empesas ou órgãos governamentais; ganância oferecendo falsas oportunidades de altos ganhos em curto tempo; preguiça tirando proveito da negligência dos consumidores; ingenuidade ao explorar o desconhecimento tecnológico das vítimas; e mesmo o medo usando persuasão e convencimento, dentre outros (Febraban, 2020, pp.10/11).
Os principais vetores de ataque às vítimas são: criação de sites e aplicativos de celular falsos que simulam aplicações legítimas de empresas de comércio eletrônico conhecidas onde a vítima irá realizar um cadastro fornecendo dados pessoais e senha; envio de e-mails se passando por empresas ou órgãos governamentais com links de programas maliciosos para monitoramento e captura dos dados sigilosos da vítima; envio de mensagens em aplicativos de comunicação instantânea como WhatsApp, Viber, Telegram, Skype, etc com arquivos maliciosos; captura de informações em redes sociais a partir do perfil público de usuários; ligações telefônicas ou envio de SMS se passando por centrais telefônicas de segurança das instituições financeiras.
Apesar das tentativas de ataque dos engenheiros sociais ocorrerem predominantemente em ambiente virtual, a abordagem pode ocorrer de forma presencial, como nos casos em que os golpistas ficam observando clientes digitarem senhas em terminais de autoatendimento instalados em agências bancárias ou ainda se passam por funcionários dos bancos com o pretexto de prestar ajuda a clientes e com isso realizar troca de cartões ou obter informações relacionadas a contas e senhas.
Em todos os exemplos acima o objetivo é o mesmo, capturar dados pessoais sensíveis, como número de CPF, documento de identificação, número de conta bancária, telefone, endereço residencial, endereço de e-mail, senhas, fotos de rosto, cópia de digitais etc.
4.3. Delimitação da Responsabilidade Civil nas Fraudes Eletrônicas
Conforme Súmula nº 479 do Superior Tribunal de Justiça “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativos a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.
O fortuito interno se refere a um evento imprevisível e inevitável ligado à atividade desenvolvida. Embora não se possa prever o momento em que irá ocorrer, é de se esperar que em algum momento ocorra, por ser um risco inerente à própria atividade. Tartuce (2023, p. 629) define fortuito interno como “aquele que tem relação com o negócio desenvolvido, não excluindo a responsabilização civil”.
Trazendo para o contexto deste estudo, poderíamos dizer que no ambiente bancário, em que milhares de transações financeiras são realizadas diariamente, é de se esperar que alguém tente realizar uma transação fraudulenta em proveito próprio causando prejuízo a terceiro, contudo não sendo possível prever o momento exato em que isso poderá ocorrer.
Seguindo esse raciocínio, as fraudes e delitos praticados em operações bancárias são riscos inerentes à própria atividade das instituições financeiras, motivo pelo qual estas são civilmente responsáveis por eventuais prejuízos experimentados por seus clientes. Nesse sentido, Schreiber (2010, apud Tartuce, p. 629) aponta que:
Reconhece-se certo fato como inevitável, mas se entende que tal fatalidade não deve ser suportada pela vítima. Daí a aplicação da teoria do fortuito interno ser mais intensa no campo da responsabilidade objetiva, onde é de praxe atribuir ao responsável certos riscos que, embora não tenham sido causados pela sua atividade em si, não devem recair tampouco sobre a vítima.
A aplicação da responsabilidade civil objetiva confere maior amplitude às situações que ensejam o dever de indenizar por parte dos fornecedores, em observância à teoria do risco criado. Observa-se que a atividade bancária está envolta de disponibilidade e liquidez de recursos financeiros, o que representa um grau de risco maior do que outras atividades, sendo que o fortuito interno está diretamente ligado ao risco criado pela atividade (Ghani, 2024, p.43).
Em sentido contrário Nehme (2022, pg. 330), para quem o consumidor deve estar atento às tentativas de golpes surgidas nas atuais formas de relação de consumo que foram criadas pelo uso das novas tecnologias da internet. O autor destaca que o uso da engenharia social tem gerado entendimentos jurisprudenciais e doutrinários diversos e que a Súmula 479 do STJ foi editada a partir de precedentes que não guardam relação fática com os golpes aplicados pelos métodos de engenharia social.
Sustenta que a base para a edição da Súmula 479/STJ foi o julgamento em 2011 dos recursos especiais nº 1.199.782/PR e 1.197.929/PR, em que estelionatários realizaram a abertura de conta corrente com documentos materialmente verdadeiros, mas ideologicamente falsos, obtendo acesso a financiamento bancário gerando a inclusão, por inadimplência, em órgãos de proteção do crédito, e onde prevaleceu o entendimento de que o defeito na prestação de serviço era presumido com base na Teoria Objetiva. Afirma que nesses casos a fraude fora direcionada para o próprio banco, que induzido a erro abriu a conta corrente, o que caracterizou o citado defeito na prestação de serviço, gerando um dano reflexo às vítimas, verdadeiras titulares dos dados de qualificação usados pelos golpistas. E, concluindo, assevera que o engenheiro social, diversamente do ocorrido no caso acima, direciona o golpe para o cliente, buscando obter dele as informações de que necessita para efetivar a fraude, e que somente haveria espaço para responsabilizar o banco se fosse demonstrada a violação de seu sistema e a obtenção das informações pessoais por meio dessa violação (Nehme, 2022, pp. 333-337).
De fato, julgamentos recentes demonstram entendimentos bem diversificados. No âmbito do Superior Tribunal de Justiça firmou-se entendimento de que as instituições financeiras têm o dever de identificar e impedir movimentações que destoam do perfil do consumidor, especialmente em relação a valores, frequência e objeto, reconhecendo que a ausência de procedimentos de verificação e aprovação de transações atípicas corresponde a defeito na prestação de serviço, sendo que este defeito é o que permite que o golpe sofrido pela vítima provoque prejuízos financeiros (REsp n. 2.052.228/DF, Terceira Turma do Superior Tribunal de Justiça, relatora Min. Nancy Andrighi, j. 12/09/2023).
Mesmo nos casos em que foi comprovada falha na prestação de serviços, há precedentes do próprio STJ admitindo a aplicação da culpa concorrente para mitigação da indenização na responsabilidade objetiva, se evidenciado que o consumidor colaborou com a fraude. Nessas situações o dano material é divido pela metade entre a casa bancária e o consumidor, e não há reconhecimento de existência de dano moral (REsp nº 2.094.978, Quarta Turma do Superior Tribunal de Justiça, Relator Min. João Otávio de Noronha, j. 05 out. 2023).
Na Justiça Federal, a Turma Nacional de Uniformização fixou tese de que, em princípio operações realizadas com uso de cartão e senha configuram quebra do dever contratual de cuidado do cliente e afastam a responsabilidade do banco; contudo não se configura excludente de responsabilidade, independente de prévia comunicação da ocorrência à instituição financeira se, as circunstâncias em que as operações foram realizadas e o perfil do consumidor revelarem fortes indícios de fraude detectáveis pelo banco ou quando não ficar claramente demonstrado o descumprimento consciente pelo consumidor do dever contratual de cuidado no uso de cartão e senha, seja pelo grau de sofisticação dos meios de engenharia social utilizados pelos fraudadores, seja pela condição de hipervulnerabilidade da vítima (Tema 331/TNU, Pedido de Uniformização de Interpretação de Lei nº 5008761-19.2020.4.04.7102/RS).
O Tribunal de Justiça de São Paulo, em sentido oposto, já decidiu que o simples fato de operações financeiras não corresponderem ao perfil de consumo da vítima não justifica pretensão indenizatória. Ao apreciar caso em que a vítima recebeu mensagem SMS comunicando suposta compra em andamento e informando a necessidade de efetuar ligação telefônica para uma falsa central de segurança para contestar a referida compra seguindo os procedimentos orientados pelos golpistas e realizando várias transferências de sua conta para terceiros, reconheceu que o consumidor não agiu com a cautela necessária, de modo que não se estabeleceu nexo de causalidade entre o fato e o serviço prestado pelo banco, sendo inviável a responsabilização da instituição financeira por atos praticados por terceiros de má-fé (Apelação cível n. 1026724-24.2024.8.26.0506, 13ª Câmara de Direito Privado do Tribunal de Justiça do Estado de São Pulo, rel. Des. Nelson Jorge Júnior, j. 07.03.2025).
Contudo há entendimento do mesmo tribunal, em caso análogo, pela aplicação da culpa concorrente determinando a devolução pelo banco de metade dos valores subtraídos da vítima, de forma simples ante a ausência de má-fé da casa bancária, e afastando o dano moral, por se tratar de mero aborrecimento (Apelação cível n. 1006932-95.2024.8.26.0664, 16ª Câmara de Direito Privado do Tribunal de Justiça do Estado de São Paulo, rel. Des. Carlos Eduardo Borges Fantacini, j. 07.06.2025).
Também existem julgados do TJ/SP em consonância com a tese firmada pelo Superior Tribunal de Justiça sobre o dever de monitoramento de transações atípicas com o objetivo de dificultar ou impedir a efetivação de golpes. Situação na qual o próprio consumidor forneceu dados ao estelionatário, através de técnicas de engenharia social, com movimentações, porém, fora do perfil do cliente, situação que afasta sua culpa exclusiva pelo evento (Recurso Inominado n. 0011821-44.2023.8.26.0309, 5ª Turma Recursal Cível do Tribunal de Justiça do Estado de São Paulo, rel. Eduardo Francisco Marcondes, j. 19.12.2024).
Podemos observar pela divergência de julgados a respeito do tema em estudo, que o entendimento sumulado do Superior Tribunal de Justiça não importa na responsabilização da instituição financeira por toda e qualquer fraude ocorrida em seus canais digitais de movimentação financeira, de modo diverso, o que ocorre é uma análise casuística, levando em consideração tanto a conduta da vítima quanto a da instituição financeira (Ghani, 2024, p. 187).
5. CONCLUSÃO
A digitalização da economia brasileira trouxe avanços significativos nos serviços financeiros ampliando o acesso da população a ferramentas de pagamento e gestão de recursos. O uso dessas tecnologias possibilitou a migração das fraudes bancárias, que antes eram direcionadas às instituições financeiras passando agora a ter o próprio cliente como alvo, evidenciando o surgimento de novos riscos. Destaca-se nesse cenário a atuação de estelionatários especializados em capturar dados sensíveis diretamente das vítimas para efetivar operações fraudulentas, a denominada engenharia social.
As instituições financeiras são fornecedoras de produtos e serviços, e como tal estão submetidas ao regime de responsabilidade civil objetiva do Código de Defesa do Consumidor, pelo qual devem reparar danos decorrentes de falhas na prestação de seus serviços, independentemente de culpa. Contudo, a responsabilização do banco não é irrestrita pois o sistema jurídico de proteção do consumidor admite hipóteses excludentes da responsabilidade civil, como a culpa exclusiva do consumidor ou de terceiros.
A Súmula 479 do Superior Tribunal de Justiça tem sido invocada equivocadamente para fundamentar a responsabilidade civil bancária em casos de fraudes praticadas por estelionatários diretamente junto às vítimas. Contudo sua aplicabilidade se restringe às fraudes internas (aquelas direcionadas às operações realizadas pela própria instituição financeira).
O Superior Tribunal de Justiça reconhece o dever das instituições financeiras de desenvolver mecanismos eficientes de detecção e bloqueio de transações atípicas. A omissão nesse dever caracteriza falha ou defeito na prestação de serviço e impõe à casa bancária a responsabilidade civil objetiva do Código de Defesa do Consumidor, com a obrigação de ressarcir os danos experimentados pela vítima, não com base no fortuito interno (como previsto na Súmula 479 do STJ), mas pela falha na prestação de serviço.
Em julgamentos recentes do Tribunal de Justiça de São Paulo observa-se dissídio jurisprudencial, que poderia ser sanado ou reduzido pela edição de súmula pelo Superior Tribunal de Justiça que tratasse especificamente de fraudes bancárias eletrônicas concretizadas com uso de engenharia social, ou pelo julgamento de Recurso Especial submetido à sistemática de Recurso Repetitivo representativo de controvérsia.
Enquanto não sobrevém edição de súmula específica, a aplicação da culpa concorrente, também de acordo com precedentes do Superior Tribunal de Justiça, na qual os danos materiais são suportados em partes iguais pela vítima e pela instituição financeira sem o reconhecimento de dano moral, busca equilibrar a proteção da defesa do consumidor com suas obrigações contratuais.
As ações ajuizadas tendo como única tese indenizatória a aplicação da Súmula 479 do STJ podem levar as vítimas a ficarem irressarcidas. É necessário demonstrar ao juiz que as movimentações financeiras realizadas eram incompatíveis com o perfil do cliente, de modo a configurar falha na prestação de serviço, e ainda formular pedido alternativo de aplicação de culpa concorrente visando ao menos o ressarcimento parcial em consonância com os precedentes do Superior Tribunal de Justiça.
Os consumidores precisam estar vigilantes e conscientes acerca dos riscos da utilização de novas tecnologias de movimentação financeira, por isso as instituições financeiras devem investir na orientação dos clientes e da sociedade em geral sobre as melhores práticas de segurança e promover de forma permanente campanhas de prevenção comunicando aos consumidores sobre as mais recentes modalidades de fraudes, assegurando assim o direito básico de informação previsto no CDC.
Esperamos que este trabalho sirva como recurso para futuras pesquisas, ações e reflexões na área da responsabilidade civil associada à segurança digital das transações financeiras, contribuindo para o avanço do debate sobre a necessidade de soluções inovadoras na proteção da defesa do consumidor nestes tempos de digitalização da economia.
REFERÊNCIAS BIBLIOGRÁFICAS
ALMEIDA, Fabrício Bolzan de. Direito do Consumidor – Coleção Esquematizado. 12. ed. São Paulo: SaraivaJur, 2024.
GAGLIANO, Pablo Stolze; PAMPLONA FILHO, Rodolfo. Novo Curso de Direito Civil – Responsabilidade Civil. 19. ed. São Paulo: Saraiva Educação, 2021. 3 v.
GHANI, Najua Samir Asad. A Responsabilidade Civil nas Fraudes Bancárias Eletrônicas: Uma Análise Jurisprudencial. 1. ed. Rio de Janeiro: Lumen Juris, 2024.
MORAES, Alexandre de. Direito Constitucional. 37. ed. São Paulo: Atlas, 2021.
NEHME, Jorge Elias. Responsabilidade Civil Pelo Uso do Cartão Magnético e Senha: Identificação das Responsabilidade do Consumidor e da Instituição Financeira. São Paulo: Dialética, 2022.
TARTUCE, Flávio. Responsabilidade Civil. 5. ed. Rio de Janeiro: Forense, 2023.
BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF, 05 out. 1988. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 10 mar. 2025.
BRASIL. Lei 10.406, de 10 de janeiro de 2022. Institui o Código Civil. Brasília, DF, 10 jan. 2022. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm. Acesso em: 10 mar. 2025.
BRASIL. Lei 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília, DF, 11 set. 1990. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em: 10 mar. 2025.
BRASIL. Superior Tribunal de Justiça. Súmula nº 297. O Código de Defesa do Consumidor é aplicável às instituições financeiras. Brasília, DF: Superior Tribunal de Justiça [2004]. Disponível em: https://scon.stj.jus.br/SCON/sumstj/toc.jsp?livre=%27297%27.num.&O=JT. Acesso em: 11 fev. 2025.
BRASIL. Superior Tribunal de Justiça. Súmula nº 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Brasília, DF: Superior Tribunal de Justiça [2012]. Disponível em: https://processo.stj.jus.br/SCON/sumstj/toc.jsp?sumula=479.num. Acesso em: 10 mar. 2025.
BRASIL. Superior Tribunal de Justiça. Recurso Especial nº 2.052.228/DF. Relator: Min. Nancy Andrighi. Data de Julgamento: 12 set. 2023. Disponível em: https://processo.stj.jus.br/processo/pesquisa/?tipoPesquisa=tipoPesquisaNumeroRegistro&termo=202203664852&totalRegistrosPorPagina=40&aplicacao=processos.ea. Acesso em: 06 mar. 2025.
BRASIL. Superior Tribunal de Justiça. Agravo no Recurso Especial nº 2.056.005/SE. Relator: Min. Humberto Martins. Data de Julgamento: Sessão Virtual de 12 mar. 2024 a 18 mar. 2024. Disponível em: https://processo.stj.jus.br/processo/pesquisa/?tipoPesquisa=tipoPesquisaNumeroRegistro&termo=202300629786&totalRegistrosPorPagina=40&aplicacao=processos.ea. Acesso em: 06 mar. 2025
BRASIL. Superior Tribunal de Justiça. Recurso Especial nº 2.094.798/SP. Relator: Min. João Otávio de Noronha. Data de julgamento: 05 out. 2023. Disponível em: https://processo.stj.jus.br/processo/dj/documento/mediado/?tipo_documento=documento&componente=MON&sequencial=210811516&tipo_documento=documento&num_registro=202303103423&data=20231005&formato=PDF
BRASIL. Conselho da Justiça Federal. Pedido de Uniformização de Interpretação de Lei nº 5008761-19.2020.4.04.7102/RS. Relator: Monique Marchioli Leite. Data de Julgamento: 07 ago. 2024. Disponível em: https://eproctnu.cjf.jus.br/eproc/externo_controlador.php?acao=processo_seleciona_publica&num_processo=50087611920204047102&eventos=true&num_chave=&num_chave_documento=&hash=59e90e7e407ff51ddb1d7df708da34e3. Acesso em: 08 mar. 2025.
Brasileiros perdem R$ 2.200, em média, em golpes, aponta pesquisa. Valor Investe. Rio de Janeiro, 25 jun. 2024. Disponível em: https://valorinveste.globo.com/produtos/servicos-financeiros/noticia/2024/06/25/brasileiros-perdem-r-2200-em-media-em-golpes-aponta-pesquisa.ghtml. Acesso em: 06 fev. 2025.
Canais digitais registram 2,8 mil tentativas de fraude por minuto no começo de 2023. Security Report. 05 dez. 2023. Disponível em: https://securityleaders.com.br/canais-eletronicos-registram-28-mil-tentativas-de-fraude-por-minuto-no-primeiro-trimestre-de-2023/. Acesso em: 06 fev. 2025.
FEBRABAN. Engenharia Social: Saiba como evitar possíveis armadilhas e se proteger de golpes. 2020. Disponível em: https://cmsarquivos.febraban.org.br/Arquivos/documentos/PDF/cartilha_eng_social_atualizada_20.pdf. Acesso em: 06 mar. 2025.
SÃO PAULO (estado). Tribunal de Justiça do Estado de São Paulo. Apelação Cível nº 1026724-24.2024.8.26.0506. Apelante/apelada: Aila dos Santos Lima. Apelante/apelado: NU Pagamentos S/A. Relator: Des. Nelson Jorge Júnior. Data de Julgamento: 07 mar. 2025. Disponível em: https://esaj.tjsp.jus.br/cjsg/getArquivo.do?cdAcordao=18965464&cdForo=0. Acesso: 08 mar. 2025.
SÃO PAULO (estado). Tribunal de Justiça do Estado de São Paulo. Apelação Cível nº 1006932-95.2024.8.26.0664. Apelante: Fatima Aparecida Fuentealba Fernandes. Apelado: Banco Bradesco S/A. Relator: Des. Carlos Eduardo Borges Fantacini. Data de Julgamento: 07 jun. 2025. Disponível em: https://esaj.tjsp.jus.br/cjsg/getArquivo.do?cdAcordao=19320275&cdForo=0. Acesso: 08 jun. 2025.
SÃO PAULO (estado). Tribunal de Justiça do Estado de São Paulo. Recurso Inominado nº 0011821-44.2023.8.26.0309. Recorrente: Banco Bradesco S/A. Recorrido: Marcio Rogerio Batista. Relator: Eduardo Francisco Marcondes. Data de Julgamento: 19 dez. 2024. Disponível em: https://esaj.tjsp.jus.br/cjsg/getArquivo.do?cdAcordao=1924758&cdForo=9061. Acesso em 29 mar. 2025.
Transações bancárias pelo celular crescem 251% em cinco anos e hoje representam 7 a cada 10 do total. Febraban Notícias. São Paulo, 26 jun. 2024. Disponível em: https://portal.febraban.org.br/noticia/4146/pt-br/. Acesso em: 06 fev. 2025.
1 Graduando em Direito, Centro Universitário de Santa Fé do Sul – SP, UNIFUNEC. E-mail: [email protected]
2 Mestre em Direito, Docente do Centro Universitário de Santa Fé do Sul – SP, UNIFUNEC. E-mail: [email protected]
3 Phishing é uma forma de cibercrime onde criminosos se passam por entidades legítimas para enganar pessoas a fornecer informações pessoais, como senhas, número de cartões de crédito etc., através de comunicações eletrônicas que parecem partir de uma fonte confiável, normalmente com links que levam a sites falsos ou instalam programas espiões no celular, tablet ou computador da vítima. O termo surgiu pelo fato de os criminosos irem pescar com uma atraente isca as vítimas no vasto oceano da internet.