Introdução
A presente análise tem como objetivo aprofundar o debate sobre a responsabilidade das instituições financeiras em face de golpes de engenharia social, à luz do Código de Defesa do Consumidor (CDC) e da jurisprudência consolidada do Superior Tribunal de Justiça (STJ). A relevância do tema reside na crescente onda de fraudes eletrônicas que exploram a vulnerabilidade humana para obter dados confidenciais e realizar transações indevidas, causando prejuízos financeiros e emocionais significativos às vítimas.
A Constituição Federal de 1988 estabelece, nos artigos 5º, XXXII, e 170, V, a proteção dos consumidores como um mandamento fundamental, ou seja, matéria de ordem pública.
Concretizando este mandamento, o Código de Defesa do Consumidor (CDC) determina o respeito à dignidade, saúde e segurança dos consumidores, além de proteger seus interesses econômicos.
Entre os princípios norteadores do CDC, destaca-se o reconhecimento da vulnerabilidade do consumidor no mercado de consumo (art. 4º, I, do CDC).
O CDC abrange a responsabilidade do fornecedor pela reparação de danos causados por defeitos na prestação de serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos, independentemente da existência de culpa (art. 14. do CDC). Conforme o art. 14, § 1°, do CDC, o serviço é considerado defeituoso quando não oferece a segurança que o consumidor pode esperar, considerando circunstâncias relevantes, como o modo de fornecimento, o resultado e os riscos que dele se conjecturam, e a época em que foi fornecido.
As instituições financeiras, conforme estabelecido pela Súmula 297 do STJ, estão sujeitas às normas do CDC e devem prestar serviços de qualidade no mercado de consumo.
O dever de qualidade dos fornecedores de serviço é dividido entre o dever de adequação e o dever de segurança.
O dever de adequação refere-se à exigência de que produtos e serviços cumpram os fins esperados, enquanto o dever de segurança implica que produtos ou serviços ofereçam a segurança esperada, sem causar danos aos consumidores, seja física, psicológica ou patrimonialmente.
A engenharia social consiste em técnicas que manipulam pessoas para obter informações confidenciais ou realizar ações específicas, explorando vulnerabilidades humanas em vez de falhas nos sistemas tecnológicos. Exemplos comuns de golpes de engenharia social incluem:
-
Pretexto: o golpista cria uma história fictícia para obter informações da vítima.
-
Phishing: envio de e-mails ou mensagens fraudulentas para enganar vítimas.
-
Vishing (Voice Phishing): golpe realizado por telefone, com o golpista se passando por representante de uma instituição.
-
Baiting: o atacante oferece algo atraente que contém malware.
-
Tailgating ou Piggybacking: o golpista segue alguém autorizado para entrar em uma área restrita.
-
Quizzing e enquetes online: criação de enquetes falsas para coletar informações pessoais.
-
Ataques de “homem no meio”: interceptação da comunicação entre duas partes para roubo ou manipulação de informações.
O art. 8º do CDC permite a comercialização apenas de produtos e serviços que ofereçam riscos razoáveis e previsíveis, não sendo excessivos ou potencializados por falhas do fornecedor.
As instituições financeiras têm o dever de verificar a regularidade e a idoneidade das transações realizadas pelos consumidores, desenvolvendo mecanismos que dificultem fraudes, independentemente de qualquer ato dos consumidores. Fraudes e golpes de engenharia social, geralmente, envolvem diversas operações em sequência, em um curto intervalo de tempo e valores elevados, destoando do perfil do consumidor. Essas transações atípicas devem ser identificadas pelos bancos.
A vulnerabilidade do sistema bancário viola o dever de segurança que cabe às instituições financeiras, acarretando falha na prestação de serviço.
Esta falha permite que golpes causem prejuízos financeiros aos consumidores.
As instituições financeiras devem adotar mecanismos para recusar transações atípicas, comparando-as com o histórico do consumidor em termos de valores, frequência e objeto.
A jurisprudência do STJ, no Tema Repetitivo 466, que contribuiu para a edição da Súmula 479, estabelece que as instituições bancárias respondem objetivamente por danos causados por fraudes ou delitos praticados por terceiros, como abertura de conta corrente ou recebimento de empréstimos mediante fraude ou uso de documentos falsos, caracterizando-se como fortuito interno (REsp 1.197.929/PR, Segunda Seção, julgado em 24/8/2011, DJe 12/9/2011).
A responsabilidade das instituições financeiras inclui casos de assaltos em agências bancárias (REsp 787.124/RS, Primeira Turma, DJe 22/5/2006), inscrição indevida em cadastro de proteção ao crédito (REsp 1149998/RS, Terceira Turma, DJe 15/8/2012), desvio de recursos, extravio de talões de cheques (REsp 685.662/RJ, Terceira Turma, DJe 5/12/2005), abertura não solicitada de conta-corrente, clonagem ou falsificação de cartões magnéticos, e devolução indevida de cheques, entre outros.
Recentemente, a Terceira Turma do STJ decidiu que os bancos devem responder objetivamente pelo dano sofrido pelas vítimas do golpe do motoboy quando demonstrada a falha na prestação de serviço, por admitir transações que fogem do padrão de consumo do correntista (REsp 1.995.458/SP, julgado em 9/8/2022, DJe 18/8/2022; REsp 2.015.732/SP, julgado em 20/6/2023, DJe 26/6/2023; e AgInt no AREsp 2.201.401/RJ, julgado em 29/5/2023, DJe 1/6/2023). Esta lógica se aplica à contratação fraudulenta de empréstimos por estelionatários, conforme recente decisão no REsp 2.052.228-DF, Rel. Min. Nancy Andrighi, julgado em 12/9/2023 (Info 788).
A Terceira Turma do Superior Tribunal de Justiça (STJ) decidiu que as instituições bancárias devem responder objetivamente pelos danos sofridos pelas vítimas do golpe do motoboy quando demonstrada a falha na prestação de serviço, ao permitir transações que fogem do padrão de consumo do correntista (REsp 1.995.458/SP, julgado em 9/8/2022, DJe 18/8/2022; REsp 2.015.732/SP, julgado em 20/6/2023, DJe 26/6/2023; AgInt no AREsp 2.201.401/RJ, julgado em 29/5/2023, DJe 1/6/2023). Este entendimento também se aplica à contratação fraudulenta de empréstimos por estelionatários, conforme a recente decisão no REsp 2.052.228-DF, rel. Min. Nancy Andrighi, julgado em 12/9/2023 (Info 788).
Por fim, o STJ concluiu que a instituição financeira responde objetivamente por falha na prestação de serviços bancários ao permitir a contratação de empréstimo por estelionatário (STJ, 3ª Turma, REsp 2.052.228-DF, rel. Min. Nancy Andrighi, julgado em 12/9/2023, Info 788).
Diante do exposto, é imperativo que as instituições financeiras adotem medidas de segurança eficazes para evitar fraudes, respondendo objetivamente pelos danos causados aos consumidores, em conformidade com o CDC e a jurisprudência consolidada do STJ.
Conclusão
Em suma, as instituições financeiras têm a responsabilidade objetiva de prevenir e mitigar os riscos de fraudes por engenharia social, garantindo a segurança das transações bancárias e a proteção dos dados dos seus clientes.
A implementação de medidas preventivas robustas, aliada à educação financeira e ao investimento em tecnologia, demonstra o compromisso das instituições com a segurança e a qualidade dos seus serviços, em consonância com o CDC e a jurisprudência do STJ.
Bibliografia
https://www.dizerodireito.com.br/2023/11/a-instituicao-financeira-responde.html
MARQUES, Claudia. Comentários ao Código de Defesa do Consumidor. 3. ed. São Paulo: Revista dos Tribunais, 2022.
GARCIA, Leonardo (Org.). Código de Defesa do Consumidor comentado artigo por artigo. 17. ed. São Paulo: JusPoivm, 2022.
BRASIL. Lei n. 8.078, de 11 de setembro de 1990. Dispõe sobre o Código de Defesa do Consumidor. Diário Oficial da União, Brasília, DF, 13 set. 1990.