A Terceira Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que bancos e instituições de pagamento têm responsabilidade objetiva em casos de prejuízos causados por golpes de engenharia social, quando houver deficiência na proteção de dados ou na identificação de transações suspeitas. A decisão reforça o dever das instituições financeiras de implementar medidas eficazes de segurança na proteção dos consumidores.
Responsabilidade por falhas na segurança e fraude de engenharia social
O colegiado deu provimento a dois recursos especiais de consumidores vítimas do golpe da falsa central de atendimento. Em um dos processos, o cliente sofreu uma perda de R$ 143 mil, incluindo pagamentos indevidos, contratação de empréstimo de R$ 13 mil e boleto de R$ 11 mil. Ele argumentou que suas movimentações na conta eram mínimas, com poucas transações mensais, o que contrastava com as 14 operações realizadas em um único dia, altamente discrepantes.
Após análise, o STJ manteve a sentença de primeiro grau, que reconheceu falha na segurança do sistema bancário. A primeira instância havia considerado que as instituições de pagamento e bancos tiveram responsabilidade pela ocorrência, enquanto o Tribunal de Justiça de São Paulo havia revertido a decisão, afastando a responsabilidade do banco.
Segurança do serviço é condição essencial, segundo o STJ
O relator do caso, ministro Ricardo Villas Bôas Cueva, destacou que, conforme a Súmula 479, as instituições financeiras possuem responsabilidade objetiva por danos decorrentes de fraudes praticadas por terceiros, relacionadas ao fortuito interno. Essa responsabilidade só pode ser afastada mediante comprovação de ausência de defeito na prestação do serviço ou culpa exclusiva do consumidor ou de terceiros, conforme o artigo 14 do Código de Defesa do Consumidor (CDC).
O ministro acrescentou que, no caso julgado, não havia prova de que o banco adotou medidas suficientes para garantir a segurança dos dados e acessos do cliente. Além disso, identificaram-se transações fora do comum e falhas na segurança do sistema, que não impediu a conclusão das operações ilegais e não evidenciaram culpa exclusiva do consumidor.
Dever de implementar mecanismos antifraude é do sistema financeiro
O relator ressaltou que, devido à elevada complexidade e riscos envolvidos, os bancos e instituições de pagamento devem desenvolver e aprimorar continuamente mecanismos de identificação e prevenção de fraudes. Esses sistemas precisam detectar operações que fujam do padrão habitual de consumo, considerando fatores como valor, horário, local e meio de realização, além de contratações atípicas próximas a transações suspeitas.
Responsabilidade também das instituições de pagamento
O ministro afirmou ainda que as instituições de pagamento possuem o mesmo dever de garantir a segurança nas transações financeiras, conforme a Súmula 297 do STJ. Além disso, reforçou que a validação de operações atípicas e suspeitas evidencia defeito na prestação do serviço, impondo a responsabilização das instituições financeiras e de pagamento.
Para mais detalhes, acesse o acórdão completo do REsp 2.222.059.
