A Terceira Turma do Superior Tribunal de Justiça (STJ) decidiu que a instituição financeira é responsável pelo vazamento de dados sigilosos do consumidor relacionados a operações e serviços bancários.
Esses dados foram obtidos por criminosos para a prática de fraudes, como o “golpe do boleto”, no qual os golpistas se fazem passar por funcionários de um banco, emitindo boletos falsos para indevidamente receber pagamentos dos clientes.
Reformando o acórdão do Tribunal de Justiça de São Paulo (TJSP), o colegiado restabeleceu a sentença que condenou um banco a declarar válido o pagamento efetuado por meio de um boleto fraudulento, obrigando-o a reembolsar à cliente as parcelas pagas indevidamente no contrato de financiamento.
LEIA TAMBÉM: Brasileiros sofrem 208 golpes por hora; alta é de 37,9%
Segundo o processo, a cliente enviou um e-mail ao banco solicitando informações sobre como quitar a operação. Alguns dias depois, uma suposta funcionária da instituição a contatou pelo WhatsApp, enviando um boleto no valor de aproximadamente R$ 19 mil. A cliente efetuou o pagamento, mas posteriormente descobriu que o documento havia sido emitido por criminosos.
O TJSP concluiu que o golpe aplicado contra a cliente ocorreu através de negociações informais. Além disso, o tribunal observou que as informações no boleto falso não correspondiam aos dados no contrato de financiamento e que a consumidora não agiu com a devida segurança e cautela.
Instituições financeiras responsabilizadas por danos resultantes de fraudes de terceiros
A ministra Nancy Andrighi, relatora do recurso da cliente, explicou que, conforme a tese estabelecida no julgamento do Tema Repetitivo 466 – que influenciou a criação da Súmula 479 do STJ –, as instituições bancárias têm responsabilidade objetiva pelos danos resultantes de incidentes internos quando se trata de fraudes praticadas por terceiros. Essa responsabilidade se origina do risco inerente à atividade.
No que se refere aos golpes de engenharia social, a relatora observou que os criminosos geralmente possuem informações pessoais das vítimas e, com base nessas informações, empregam técnicas psicológicas de persuasão. Um exemplo disso é a simulação de um atendimento bancário legítimo, tudo isso como parte de sua estratégia para alcançar seus objetivos ilícitos.
“Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada“, ponderou a ministra.
Nesse contexto, a ministra destacou que não seria adequado atribuir exclusivamente ao banco a responsabilidade por vazamento de informações cadastrais básicas, como nome e CPF, já que esses dados podem ser adquiridos por meio de fontes alternativas. No entanto, quando os dados do consumidor estão ligados a transações e serviços bancários, a instituição é responsável pelo seu armazenamento e segurança. Caso ocorra um vazamento, isso pode ser considerado uma falha na prestação do serviço.
VEJA MAIS: Vazamento do Banco Central leva a exposição de 238 chaves Pix
Previsão de responsabilidade por falhas de segurança segundo a LGPD
Nancy Andrighi enfatizou que, de acordo com o artigo 44 da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados será considerado inadequado se não oferecer a segurança que o titular espera, levando em conta os resultados e os riscos desse processamento.
No caso em questão, a ministra reforçou que, de acordo com as informações apresentadas no processo, os criminosos possuíam informações pessoais da cliente relacionadas às suas atividades bancárias.
Além disso, a relatora observou que, mesmo que o boleto falso apresentasse algumas discrepâncias em relação aos boletos legítimos, não se pode esperar que uma pessoa comum seja sempre capaz de detectá-las.
Conforme a relatora, há diversas circunstâncias que apoiam a responsabilização do banco: o estelionatário estava ciente de que a vítima era cliente da instituição financeira, sabia que ela havia enviado um e-mail com o intuito de quitar sua dívida e também tinha acesso a informações relacionadas ao financiamento.
Estas informações, especialmente os dados pessoais bancários, são confidenciais, e a ministra concluiu que a responsabilidade por seu tratamento recai exclusivamente sobre a entidade bancária, ao restaurar a sentença.
Leia o acórdão no REsp 2.077.278.
Fonte: STJ
