Bancos e instituições de pagamento devem indenizar clientes
Fonte: STJ
A Terceira Turma do Superior Tribunal de Justiça (STJ), por unanimidade,
decidiu que os bancos e as instituições de pagamento são responsáveis por
indenizar clientes que sofrerem prejuízos decorrentes de golpes de engenharia
social, quando houver falhas na proteção de dados ou na identificação de
transações suspeitas.
A partir dessa conclusão, o colegiado deu provimento a dois recursos especiais
em que os consumidores afirmaram ter sido vítimas do golpe da falsa central
de atendimento. Em um dos casos analisados, o correntista relatou ter sofrido
um prejuízo de R$ 143 mil em pagamentos indevidos, além da contratação de
um empréstimo de R$ 13 mil e do pagamento de um boleto na função crédito,
no valor de R$ 11 mil.
Ao ingressar com a ação, o consumidor afirmou que fazia pouquíssimas
movimentações por mês em sua conta, o que contrastava com as 14 transações
efetuadas em um único dia, totalmente destoantes de seu perfil de cliente. Após
o juízo de primeiro grau reconhecer a falha na segurança do sistema bancário,
o Tribunal de Justiça de São Paulo reformou a sentença para afastar a
responsabilidade do banco.
Ao STJ, o consumidor sustentou que houve falha na prestação de serviços por
parte do estabelecimento, que não teria adotado as medidas de segurança
adequadas para proteger suas informações pessoais, o que possibilitou o acesso
indevido por terceiros e resultou em danos de natureza patrimonial e moral.
Serviço é defeituoso se não fornece a segurança que dele se espera
O relator do recurso, ministro Ricardo Villas Bôas Cueva, enfatizou que,
conforme a orientação consolidada na Súmula 479, as instituições financeiras
têm responsabilidade objetiva pelos danos decorrentes de fortuito interno,
relacionados a fraudes e delitos praticados por terceiros no âmbito das
operações bancárias.
Segundo o magistrado, tal responsabilidade só pode ser afastada mediante
prova da inexistência de defeito na prestação do serviço ou da ocorrência de
culpa exclusiva do consumidor ou de terceiros, nos termos do parágrafo 3º do
artigo 14 do Código de Defesa do Consumidor (CDC).
Contudo, o ministro afirmou que não houve essa comprovação no caso em
julgamento. De acordo com o juízo de primeiro grau, não ficou evidenciado
que a instituição ré tenha atendido aos requisitos de segurança. Além disso,
foram identificadas transações em total dissonância com o perfil de consumo
do correntista e falhas no sistema de segurança – que não foi capaz de cancelar
ou impedir a conclusão das operações –, não havendo prova de culpa exclusiva
do consumidor.
"Se o serviço não fornece a segurança que dele se pode esperar, levando em
consideração o modo do seu fornecimento e o resultado e os riscos que
razoavelmente dele se esperam, é ele defeituoso, nos termos do parágrafo 1º do
artigo 14 do CDC", disse o relator.
Instituições devem ter mecanismos de identificação e prevenção de fraudes
O ministro ressaltou ainda que, em virtude do dever de garantir a segurança das
movimentações financeiras de seus clientes e do elevado grau de risco que
caracteriza a atividade, compete aos bancos – e às instituições de pagamento –
desenvolver, manter e aprimorar continuamente mecanismos eficazes de
identificação e prevenção de fraudes.
Nesse contexto, Cueva apontou que os sistemas de proteção contra fraudes
dessas instituições devem ser capazes de detectar operações que se afastem do
perfil habitual do cliente ou de seu padrão de consumo, levando em
consideração fatores como valor, horário e local das transações, o intervalo de
tempo entre uma e outra, a sequência e o meio utilizado para sua realização,
bem como a contratação de empréstimos atípicos imediatamente antes de
pagamentos suspeitos.
Instituições de pagamento também têm a obrigação de garantir segurança
Por fim, o ministro esclareceu que os entendimentos firmados pelo STJ –
inclusive quanto à aplicação do CDC (Súmula 297) a tais casos – são igualmente
válidos para as instituições financeiras tradicionais e para as instituição de
pagamento, as quais também têm o dever legal de garantir a segurança no
processamento das transações dos usuários, nos termos do artigo 7º da Lei
12.865/2013.
"A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do
correntista deixa à mostra a existência de defeito na prestação do serviço, a
ensejar a responsabilização das instituições financeiras e das instituições de
pagamento", concluiu.
Leia o acórdão no REsp 2.222.059.