Cinge-se a controvérsia a saber se as instituições de pagamento, à semelhança das instituições bancárias, estão obrigadas a desenvolver mecanismos inteligentes de prevenção e bloqueio de fraudes, capazes de identificar comportamentos atípicos e agir rapidamente para evitar prejuízos.
De acordo com a orientação emanada da Súmula n. 479/STJ, as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
Em tais casos, a responsabilidade da instituição financeira somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço bancário ou a culpa exclusiva do consumidor ou de terceiro, a teor do disposto no § 3º do art. 14 do CDC.
Toda a compreensão que esta Corte Superior já firmou no tocante às obrigações impostas às instituições bancárias, inclusive no que se refere à incidência do Código de Defesa do Consumidor (Súmula n. 297/STJ), é inteiramente aplicável às instituições de pagamento, às quais também é atribuído o dever de processar com segurança as transações dos usuários finais, por expressa disposição do art. 7º da Lei n. 12.865/2013.
Portanto, a responsabilidade das instituições de pagamento, e de todos aqueles que integram os denominados arranjos de pagamento, somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiro, a teor do disposto no § 3º do art. 14 do Código de Defesa do Consumidor.
Logo, se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso, nos termos do § 1º do art. 14 do Código de Defesa do Consumidor.
Nesse sentido, a confiança no sistema financeiro digital depende do equilíbrio entre inovação e proteção. A tecnologia que facilitou o acesso aos bancos deve também ser a principal ferramenta na defesa contra os crimes virtuais. Incumbe às instituições prestadoras desses serviços investir no desenvolvimento de mecanismos inteligentes de prevenção e bloqueio de fraudes, capazes de identificar comportamentos suspeitos e agir rapidamente para evitar prejuízos.
Assim, para a identificação de possíveis fraudes, os sistemas de proteção desenvolvidos pelas instituições bancárias/de pagamento devem, sim, considerar i) as transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) o horário e o local em que as operações foram realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a sequência das operações realizadas; v) o meio utilizado para a sua realização; vi) a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos; enfim, diversas circunstâncias que, conjugadas, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada.
Conclui-se, portanto, que, uma vez comprovada a hipótese de vazamento de dados por culpa da instituição financeira ou instituição de pagamento, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Ademais, a validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras e das instituições de pagamento.
Cinge-se a controvérsia a saber se as instituições de pagamento, à semelhança das instituições bancárias, estão obrigadas a desenvolver mecanismos inteligentes de prevenção e bloqueio de fraudes, capazes de identificar comportamentos atípicos e agir rapidamente para evitar prejuízos.
De acordo com a orientação emanada da Súmula n. 479/STJ, as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
Em tais casos, a responsabilidade da instituição financeira somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço bancário ou a culpa exclusiva do consumidor ou de terceiro, a teor do disposto no § 3º do art. 14 do CDC.
Toda a compreensão que esta Corte Superior já firmou no tocante às obrigações impostas às instituições bancárias, inclusive no que se refere à incidência do Código de Defesa do Consumidor (Súmula n. 297/STJ), é inteiramente aplicável às instituições de pagamento, às quais também é atribuído o dever de processar com segurança as transações dos usuários finais, por expressa disposição do art. 7º da Lei n. 12.865/2013.
Portanto, a responsabilidade das instituições de pagamento, e de todos aqueles que integram os denominados arranjos de pagamento, somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiro, a teor do disposto no § 3º do art. 14 do Código de Defesa do Consumidor.
Logo, se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso, nos termos do § 1º do art. 14 do Código de Defesa do Consumidor.
Nesse sentido, a confiança no sistema financeiro digital depende do equilíbrio entre inovação e proteção. A tecnologia que facilitou o acesso aos bancos deve também ser a principal ferramenta na defesa contra os crimes virtuais. Incumbe às instituições prestadoras desses serviços investir no desenvolvimento de mecanismos inteligentes de prevenção e bloqueio de fraudes, capazes de identificar comportamentos suspeitos e agir rapidamente para evitar prejuízos.
Assim, para a identificação de possíveis fraudes, os sistemas de proteção desenvolvidos pelas instituições bancárias/de pagamento devem, sim, considerar i) as transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) o horário e o local em que as operações foram realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a sequência das operações realizadas; v) o meio utilizado para a sua realização; vi) a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos; enfim, diversas circunstâncias que, conjugadas, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada.
Conclui-se, portanto, que, uma vez comprovada a hipótese de vazamento de dados por culpa da instituição financeira ou instituição de pagamento, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Ademais, a validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras e das instituições de pagamento.