STJ
A Terceira Turma do Superior Tribunal de Justiça (STJ) entendeu que a instituição financeira responde pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários, obtidos por criminosos para a prática de fraudes como o “golpe do boleto”. Nesse tipo de estelionato, golpistas se passam por funcionários de um banco e emitem boleto falso para receberem indevidamente o pagamento feito pelo cliente.
O colegiado reformou acórdão do Tribunal de Justiça de São Paulo (TJSP) e restabeleceu a sentença que condenou um banco a declarar válido o pagamento realizado por meio de boleto fraudado e devolver à cliente parcelas pagas indevidamente em contrato de financiamento.
De acordo com o processo, a cliente encaminhou e-mail para o banco solicitando informações sobre como quitar a operação. Dias depois, ela foi contatada pelo WhatsApp por uma suposta funcionária da instituição e recebeu um boleto no valor de cerca de R$ 19 mil. A cliente pagou o boleto, mas depois descobriu que o documento havia sido emitido por criminosos.
Para o TJSP, o golpe contra a cliente foi aplicado por meio de negociações realizadas de maneira informal. O tribunal também considerou que as informações do boleto falso divergiam dos dados constantes do contrato de financiamento e que a consumidora falhou em seu dever de segurança e cautela.
Bancos respondem por danos causados em fraudes praticadas por terceiros
A ministra Nancy Andrighi, relatora do recurso da cliente, explicou que, nos termos da tese fixada no julgamento do Tema Repetitivo 466 – que contribuiu para a edição da Súmula 479 do STJ –, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade.
Em relação aos chamados golpes de engenharia social, a relatora comentou que os criminosos costumam conhecer os dados pessoais das vítimas e, com base neles, usam técnicas psicológicas de persuasão – a exemplo da simulação de um atendimento bancário verdadeiro – como forma de atingir seu objetivo ilícito.
“Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada”, ponderou a ministra.
Nesse cenário, a ministra apontou que não poderia ser imputada ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, porque essas informações podem ser obtidas por fontes alternativas. Por outro lado, caso os dados do consumidor sejam vinculados a operações e serviços bancários, a instituição tem o dever de armazenamento e proteção, sob pena de eventual vazamento configurar falha na prestação do serviço.
LGPD também prevê responsabilidade por falhas de segurança
Nancy Andrighi destacou que, nos termos do artigo 44 da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados será irregular quando não fornecer a segurança que o titular espera, considerando-se o resultado e os riscos desse tratamento.
No caso analisado, a ministra reforçou que, segundo as informações dos autos, os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias. A relatora também apontou que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las.
Segundo a relatora, algumas circunstâncias pesam a favor da responsabilização do banco: o estelionatário tinha conhecimento de que a vítima era cliente da instituição financeira, sabia que ela encaminhou e-mail com a finalidade de quitar sua dívida e também possuía dados relativos ao financiamento. Essas informações, sobretudo os dados pessoais bancários, são sigilosas, e seu tratamento incumbe à entidade bancária com exclusividade, concluiu a ministra ao restabelecer a sentença.
Leia o acórdão no REsp 2.077.278.