A instituição financeira responde pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários, obtidos por criminosos para a prática de fraudes como o “golpe do boleto”. Nesse tipo de estelionato, golpistas se passam por funcionários de um banco e emitem boleto falso para receberem indevidamente o pagamento feito pelo cliente.
Na decisão, a Terceira Turma do Superior Tribunal de Justiça (STJ) reformou acórdão do Tribunal de Justiça de São Paulo (TJSP) e restabeleceu a sentença que condenou um banco a declarar válido o pagamento realizado por meio de boleto fraudado e devolver à cliente parcelas pagas indevidamente em contrato de financiamento.
Segundo o processo, a cliente encaminhou e-mail para o banco solicitando informações sobre como quitar a operação. Dias depois, ela foi contatada pelo WhatsApp por uma suposta funcionária da instituição e recebeu um boleto no valor de cerca de R$ 19 mil. A cliente pagou o boleto, mas depois descobriu que o documento havia sido emitido por criminosos.
Para o TJSP, o golpe contra a cliente foi aplicado por meio de negociações realizadas de maneira informal. O tribunal também considerou que as informações do boleto falso divergiam dos dados constantes do contrato de financiamento e que a consumidora falhou em seu dever de segurança e cautela.
Bancos respondem por danos
Relatora do recurso da cliente, a ministra Nancy Andrighi explicou que, nos termos da tese fixada no julgamento do Tema Repetitivo 466 – que contribuiu para a edição da Súmula 479 do STJ –, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade.
A relatora, em relação aos chamados golpes de engenharia social, comentou que os criminosos costumam conhecer os dados pessoais das vítimas e, com base neles, usam técnicas psicológicas de persuasão – a exemplo da simulação de um atendimento bancário verdadeiro – como forma de atingir seu objetivo ilícito.
“Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada”, ponderou a ministra.
Nesse cenário, a ministra apontou que não poderia ser imputada ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, porque essas informações podem ser obtidas por fontes alternativas. Por outro lado, caso os dados do consumidor sejam vinculados a operações e serviços bancários, a instituição tem o dever de armazenamento e proteção, sob pena de eventual vazamento configurar falha na prestação do serviço.
LGPD
Nancy Andrighi destacou que, nos termos do artigo 44 da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados será irregular quando não fornecer a segurança que o titular espera, considerando-se o resultado e os riscos desse tratamento.
No caso analisado, a ministra reforçou que, segundo as informações dos autos, os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias. A relatora também apontou que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las.
Segundo a relatora, algumas circunstâncias pesam a favor da responsabilização do banco: o estelionatário tinha conhecimento de que a vítima era cliente da instituição financeira, sabia que ela encaminhou e-mail com a finalidade de quitar sua dívida e também possuía dados relativos ao financiamento. Essas informações, sobretudo os dados pessoais bancários, são sigilosas, e seu tratamento incumbe à entidade bancária com exclusividade, concluiu a ministra ao restabelecer a sentença.