Contexto 

No caso concreto analisado pelo STJ, o consumidor ajuizou ação declaratória de inexigibilidade de débito por vazamento de dados bancários cumulada com ação indenizatória por danos morais e materiais contra a instituição financeira, porque sofreu golpe via Whatsapp em nome da instituição.

Em resumo, foram realizadas tratativas, via Whatsapp, para que o consumidor realizasse pagamento de parcelas atrasadas de contrato de financiamento de veículo. O boleto foi enviado por terceiros fraudadores e houve pagamento por parte do consumidor. 

O consumidor ajuizou a ação objetivando que a instituição financeira responda por falha na prestação de serviços bancários em razão de vazamento de dados que facilitou a aplicação de golpe. 

O banco responde pelo golpe aplicado?

Para responder essa pergunta, é relevante relembrar o que o STJ decidiu quando julgou o Tema Repetitivo 466.  

Ao apreciar situação em que houve inclusão indevida de consumidores em cadastros de proteção ao crédito, em razão de fraude praticada por terceiros, o STJ firmou a seguinte tese: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

A responsabilidade civil é objetiva quando se trata de fortuito interno. Portanto, independe de dolo ou culpa. 

Mas e o que é fortuito interno?

O fortuito interno é circunstância que determina a responsabilidade da empresa por risco que decorre da sua própria atividade e está relacionado à organização da empresa em si. Para o STJ, o fortuito interno não exclui a obrigação do fornecedor indenizar o consumidor. 

Por outro lado, o fortuito externo exclui a responsabilidade do fornecedor, porque o fato ocorrido não está relacionado à organização da empresa em si, ou seja, não tem qualquer ligação com a atividade desenvolvida. 

Logo, o que o STJ decidiu ao julgar o Tema Repetitivo 466 é que o fornecedor tem responsabilidade objetiva - independentemente de ter dolo ou culpa na conduta - quando se trata de fortuito interno. 

Nos golpes de engenharia social, aplica-se a tese fixada pelo STJ no Tema Repetitivo 466? 

Os golpes de engenharia social, em resumo, são golpes utilizados para manipular pessoas com a finalidade de que forneçam informações pessoais e confidenciais. O intuito é iludir a pessoa para que, de boa vontade, entregue as informações necessárias ou garanta acesso a determinado sistema.

Há casos em que os criminosos têm prévia informação sobre alguns dados pessoais.  

No caso do golpe do falso boleto, essa é a técnica utilizada. Os criminosos utilizam da persuasão para que a vítima acredite que se trata de verdadeiro atendimento bancário.

Segundo o STJ, se os criminosos estão em poder de determinados dados pessoais antes mesmo de aplicarem o golpe, é necessário que se verifique a origem do vazamento desses dados pessoais. Se a origem do vazamento desses dados for o próprio sistema bancário, trata-se de fortuito interno e a instituição bancária responde pelos danos causados ao consumidor. Nessa hipótese, aplica-se a tese firmada pelo STJ no Tema Repetitivo 466. 

Segundo entendeu a Corte, se o vazamento ocorre pelo sistema do banco, havendo armazenamento inadequado que possibilita que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, há falha na prestação do serviço (art. 14 do CDC e 43 da LGPD).

Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

§ 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes […] 

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Nos termos do art. 14, § 1°, do CDC (Código de Defesa do Consumidor), o serviço é considerado defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração circunstâncias relevantes, como o modo de seu fornecimento, o resultado e os riscos que razoavelmente dele se conjecturam, e a época em que foi fornecido.

A prestação do serviço de qualidade pelos fornecedores abrange o dever de segurança, que, por sua vez, engloba tanto a integridade psicofísica do consumidor, quanto sua integridade patrimonial. Consabidamente, o CDC é aplicável às instituições financeiras (Súmula 297/STJ), as quais devem prestar serviços de qualidade no mercado de consumo.

No entendimento do Tema Repetitivo n. 466/STJ, que contribuiu para a edição da Súmula n. 479/STJ, as instituições bancárias respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros, como, por exemplo, abertura de conta corrente ou recebimento de empréstimos mediante fraude ou utilização de documentos falsos, porquanto tal responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno (REsp n. 1.197.929/PR, Segunda Seção, julgado em 24/8/2011, DJe 12/9/2011).

Especificamente nos casos de golpes de engenharia social, não se pode olvidar que os criminosos são conhecedores de dados pessoais das vítimas, valendo-se dessas informações para convencê-las, por meio de técnicas psicológicas de persuasão - como a semelhança com o atendimento bancário verdadeiro -, a fim de atingir seu objetivo ilícito.

Todavia, para sustentar o nexo causal entre a atuação dos estelionatários e o vazamento de dados pessoais pelo responsável por seu tratamento é imprescindível perquirir, com exatidão, quais dados estavam em poder dos criminosos, a fim de examinar a origem de eventual vazamento e, consequentemente, a responsabilidade dos agentes respectivos.

Assim, para se imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada. Isso porque os dados sobre operações financeiras são, em regra, presumivelmente de tratamento exclusivo pelas instituições financeiras.

Portanto, dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Desse modo, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço (art. 14 do CDC e 43 da LGPD).