Golpe do boleto. Vazamento de dados bancários. Responsabilidade da instituição financeira. STJ, REsp 2.077.278, julgado em 03/10/2023, Informativo 791.

Entendimento

A instituição financeira responde pelo defeito na prestação de serviço consistente no tratamento indevido de dados pessoais bancários, quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor.

Hipótese fática

Uma consumidora ajuizou uma ação para pleitear pela reparação dos danos causados em razão de ter sido vítima do chamado golpe do boleto, em que um terceiro, de forma fraudulenta, envia ao cliente da instituição financeira os dados de um boleto para pagamento.

A sentença proferida no primeiro grau de jurisdição acolheu os pedidos formulados.

O Tribunal de Justiça de São Paulo, porém, deu provimento à apelação interposta pela instituição financeira, com o argumento de que o boleto apresentado à consumidora foi enviado por meio de conversa de WhatsApp cujo teor não era convencional, de modo que era perceptível que o caso indicava uma fraude - tanto mais porque o número usado no boleto sequer coincidia com o contrato fechado entre as partes.

A consumidora, então, levou o caso ao STJ por meio da interposição de um recurso especial.

Fundamentos

O STJ traçou as premissas para a resolução do chamado golpe do boleto, em que um terceiro envia ao cliente de uma instituição financeira os dados de pagamento de uma prestação, procedimento que mais tarde se revela falso.

O Tribunal definiu as hipóteses em que é possível responsabilizar a instituição financeira em razão desse quadro de acontecimentos.

O julgamento começou por lembrar a Súmula 479 do próprio STJ, de acordo com qual “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

O fortuito interno se distingue do fortuito externo.

No fortuito interno, embora o evento seja causado por uma circunstância alheia ao comportamento do fornecedor, o ato entra na dinâmica do risco da atividade prestada.

Já o fortuito externo é evento imprevisível e totalmente alheio aos deveres anexos dos fornecedores e aos riscos por eles assumidos.

De todo modo, o STJ definiu o elemento diferenciador nesses casos do golpe do boleto.

A Corte trabalhou com o raciocínio dos dados utilizados. A responsabilidade da instituição financeira vai existir nas hipóteses em que os dados usados na fraude praticada possuem origem bancária.

De acordo com o STJ, “A título exemplificado, se o falsário estiver na posse de dados pessoais cadastrais, como qualificação pessoal (nome, prenome, estado civil e profissão), filiação, endereço e telefone (Decreto 8.771/2016, que regulamenta a Lei 12.965/2014 – Marco Civil da Internet), não se pode pressupor que a informação foi vazada pela instituição financeira, uma vez que tais informações podem ser obtidas por meio de fontes alternativas. Da mesma maneira, os dados pessoais sensíveis (relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, nos termos do art. 5º, II, LGPD) também podem ser obtidos de outras pessoas jurídicas com as quais o consumidor haja se relacionado e consentido especificamente.”

Se, entretanto, a fraude praticada se valeu de dados oriundos do sistema bancário, a responsabilidade deve recair sobre a instituição financeira, tendo em vista a existência do nexo de causalidade entre a conduta praticado e o resultado gerado.

O STJ considerou que os dados bancários devem ser tratados de forma sigilosa, de modo que fica caracterizada uma falha do serviço bancário se um terceiro passa a ter acesso a eles.

A Corte ainda considerou que a falsificação do boleto não precisa ser perfeita, porque não se pode exigir do consumidor uma conferência milimétrica a respeito dos dados apresentados no boleto. Basta, a rigor, uma aparência de conformidade, compatível com o que se espera do homem médio.

O caso ainda trouxe à tona, apenas a título exemplificativo, as diversas situações que o sistema bancário tem sido chamado à responsabilidade. A relevância na citação desses casos está precisamente na função pretendida pela Tech&Jus, de criar uma sistematização completa de precedentes.

Essas hipóteses também trabalham com a lógica do fortuito interno: atos que são praticados por terceiros, mas que, na verdade, estão intimamente relacionados com o risco gerado pela própria atividade bancária. Daí a lembrança do STJ relativamente a: (I) assaltos no interior das agências bancárias (REsp 787.124/RS); (II) inscrição indevida em cadastro de proteção ao crédito (REsp 1.149.998/RS); (III) desvio de recursos da conta-corrente; (IV) extravio de talão de cheques (REsp 685.662/RJ); (V) abertura não solicitada de conta-corrente; (VI) clonagem ou falsificação de cartões magnéticos; (VII) devolução de cheques por motivos indevidos; e (VIII) permissão de transações fraudulentas e que fogem ao padrão de consumo do correntista (REsp 1.995.458/SP).

Nem sempre, porém, a resposta do STJ caminha pela condenação das instituições financeiras.

Há precedentes em que o banco é isento de responsabilidade.

Foi o que sucedeu no REsp 1.898.812, hipótese em que os saques na conta-corrente do autor do processo foram feitos por meio do cartão físico com chip. O Tribunal entendeu que, embora o consumidor estivesse preso ao tempo dos saques efetuados, ele cedeu o uso do cartão a uma procuradora, assumindo, por isso, o risco de que ele caísse nas mãos de terceiro. No mais, não havia qualquer indício de fraude no caso concreto (desse precedente que trazemos como parâmetro de comparação): os saques foram realizados sempre na mesma agência e em horários compatíveis.

Dispositivos

Código de Defesa do Consumidor
Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
§ 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:
I - o modo de seu fornecimento;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - a época em que foi fornecido.
§ 2º O serviço não é considerado defeituoso pela adoção de novas técnicas.
§ 3° O fornecedor de serviços só não será responsabilizado quando provar:
I - que, tendo prestado o serviço, o defeito inexiste;
II - a culpa exclusiva do consumidor ou de terceiro.
§ 4° A responsabilidade pessoal dos profissionais liberais será apurada mediante a verificação de culpa.

Lei 13.709/2018 (Lei Geral de Proteção de Dados)
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.