O banco responde civilmente no chamado "golpe do motoboy"?

Imagine a seguinte situação hipotética:

João é correntista do Banco XXX e usufrui de um cartão de crédito e débito.

Em 17 de julho de 2018, João foi contatado por telefone por um indivíduo que se identificou como funcionário do Banco XXX. O funcionário disse que estava ligando para confirmar algumas transações efetuadas em seu cartão e que pareciam ser suspeitas.

João desconfiou que pudesse ser fraude e solicitou que o representante do banco confirmasse seus dados, o que foi feito, sendo confirmados todos os seus dados pessoais, como CPF, data de nascimento, endereço e ainda os quatro últimos dígitos do cartão.

Confirmadas as informações, João questionou o motivo da ligação e foi informado que algumas transações não condizentes com o seu perfil foram efetuadas em seu cartão na cidade de Campinas (SP) e foram negadas pelo banco, por questões de segurança.

João negou, então, ter feito as transações e solicitou o cancelamento feito pelo banco.

O funcionário disse que, para fazer esse cancelamento, precisaria de duas providências do consumidor:

• que ele digitasse a senha do cartão no teclado do telefone; e

• que devolvesse o cartão ao banco.

João digitou a senha, mas disse que não seria capaz de devolver o cartão naquele instante. Em resposta, o atendente informou que enviaria um motoboy até a sua residência para recolher o cartão.

João entregou, então, o cartão ao motoboy.

Ocorre que tudo isso era um golpe.

Com o cartão e a senha, a organização criminosa efetuou diversas compras em nome de João, causando-lhe R$ 20 mil de prejuízo.

João ajuizou ação de inexigibilidade de débito cumulada com indenização por danos materiais e morais contra o Banco.

A instituição financeira apresentou contestação e alegou culpa exclusiva de terceiro por fato ocorrido fora das dependências do banco e pugnou pela improcedência da ação.

A ação foi julgada procedente pelo Juízo de origem e confirmada pelo Tribunal de Justiça.

Irresignado, o Banco interpôs recurso especial alegando culpa exclusiva do titular do cartão, situação que implica na exclusão da responsabilidade da instituição financeira.

Para o STJ, o banco deve indenizar o consumidor neste caso?

SIM.

O STJ possui o entendimento no sentido de que a responsabilidade da instituição financeira fica afastada se o evento danoso decorre de transações realizadas com a apresentação física do cartão original e mediante uso de senha pessoal do correntista. Nesse sentido:

Porém, no caso, apesar de o consumidor ter entregue seus cartões a motoboy após telefonema de um suposto funcionário da instituição financeira, o qual detinha conhecimento dos dados pessoais e das informações referentes às suas últimas transações, não há como afastar a responsabilidade da instituição financeira.

Há evidente descumprimento do dever de segurança do banco ao não obstar a realização de compras por cartão de crédito em estabelecimento comercial objeto de suspeita em transações anteriores, na mesma data, e que discrepam do perfil de gastos do consumidor nos meses anteriores.

Por fim, não se pode olvidar que a vulnerabilidade do sistema bancário, que admite operações totalmente atípicas em relação ao padrão de consumo dos consumidores, viola o dever de segurança que cabe às instituições financeiras e, por conseguinte, cristaliza a falha na prestação de serviço.

Em suma:

DOD Plus – o golpe do motoboy

“Golpe do motoboy”

O chamado golpe do motoboy é prática criminosa que tem se popularizado no Brasil. Embora os casos noticiados não sejam necessariamente idênticos, geralmente a vítima recebe uma ligação de quem, conhecedor de seus dados sigilosos, alega ser preposto de instituição bancária.

O estelionatário informa que o cartão da vítima foi clonado e solicita que ela digite sua senha pessoal no teclado do telefone, a fim de realizar um suposto cancelamento do cartão.

Em seguida, é dito que um motoboy irá buscar o cartão da vítima e que ela deve quebrá-lo antes de fazer a entrega, devendo manter o chip ileso. Após a entrega, são efetuadas diversas compras com o cartão da vítima em pouco tempo. Somente então, a vítima percebe que foi alvo de um golpe e busca a instituição financeira para efetivamente cancelar o cartão.

Em que pese os estelionatários saibam de alguns dados pessoais quando entram em contato com suas vítimas, crimes desse tipo, intitulados “golpes de engenharia social” usam mais de técnicas psicológicas de persuasão – como a semelhança com o atendimento bancário verdadeiro – do que de informações secretas para convencer as vítimas.

O STJ entende que a instituição financeira tem o dever de indenizar nos casos de golpe do motoboy?

SIM.

Em primeiro lugar, é importante esclarecer que, para o STJ, o cartão magnético e a respectiva senha são de uso exclusivo do correntista, que deve tomar as devidas cautelas para impedir que terceiros tenham acesso a eles.

Se as transações contestadas forem feitas com o cartão original e mediante uso de senha pessoal, passa a ser do consumidor a incumbência de comprovar que a instituição financeira agiu com negligência, imprudência ou imperícia ao efetivar a entrega de numerário a terceiros (STJ. 3ª Turma. REsp 1.633.785/SP, DJe de 30/10/2017).

Vale ressaltar, contudo, que, embora os consumidores tenham o dever de zelar pela guarda e segurança do cartão magnético e das senhas pessoais, a jurisprudência do STJ consigna que cabe às administradoras, em parceria com o restante da cadeia de fornecedores do serviço (proprietárias das bandeiras, adquirentes e estabelecimentos comerciais), a verificação da idoneidade das compras realizadas com cartões magnéticos, utilizando-se de meios que dificultem ou impossibilitem fraudes e transações realizadas por estranhos em nome de seus clientes, independentemente de qualquer ato do consumidor, tenha ou não ocorrido roubo ou furto (STJ. 3ª Turma. REsp 1.058.221/PR, DJe de 14/10/2011).

A apuração das condições de uma transação bancária é prática corriqueira. De acordo com cartilha intitulada “Cartão: a dica é saber usar”, da Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs), toda transação com cartão de crédito passa por um prévio processo de aprovação, no qual são avaliados o limite de crédito, o vencimento do cartão, a validação da senha e, notadamente, a suspeita de fraude ou uso indevido por terceiros.

A identificação de possíveis fraudes engloba o limite de crédito, do valor da compra, o perfil de uso do correntista, entre outros elementos que, de forma conjugada, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada.

Essa informação importa, pois, quando os estelionatários estão na posse do cartão de uma vítima, geralmente são efetuadas diversas operações em sequência, num curtíssimo tempo e em valores elevados. Em razão desta combinação de fatores, as transações feitas por criminosos destoam completamente do perfil do consumidor e podem ser identificadas pelos bancos.

No entendimento do Tema Repetitivo 466/STJ, as instituições bancárias respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros - como, por exemplo, abertura de conta corrente ou recebimento de empréstimos mediante fraude ou utilização de documentos falsos -, porquanto tal responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno (REsp 1.197.929/PR, Segunda Seção, julgado em 24/8/2011, DJe de 12/9/2011.)

Mesma lógica se aplica nos golpes de engenharia social, pois não há como argumentar que a falta de segurança das instituições bancárias para criar mecanismos que obstem movimentações atípicas que aparentem ilegalidade está desassociada da atividade bancária. Em verdade, somente as instituições financeiras detêm os meios adequados para recusar estas transações atípicas, uma vez que elas devem ser comparadas com o histórico do consumidor no que tange a valores, frequência e objeto.

A vulnerabilidade do sistema bancário, portanto, viola o dever de segurança que cabe às instituições financeiras e, por conseguinte, incorre em falha da prestação de serviço. E é precisamente esta falha que permite que o golpe sofrido pela vítima provoque prejuízos financeiros.

O dever de adotar mecanismos que obstem operações totalmente atípicas em relação ao padrão de consumo dos consumidores enseja a responsabilidade do prestador de serviços, que responderá pelo risco da atividade, pois a instituição financeira precisa se precaver a fim de evitar golpes desta natureza, cada vez mais frequentes no país.

Em que pese os consumidores não devam conceder o cartão e a senha a desconhecidos, os bancos, cientes desta prática, precisam incorporar mecanismos que bloqueiem, ou ao menos dificultem, que os estelionatários obtenham tamanho lucro em um curtíssimo período.

Não se olvida que para a ocorrência do evento danoso, isto é, o êxito do estelionato, necessária concorrência de causas: (I) o consumidor fornecer o cartão magnético e a senha pessoal ao estelionatário, bem como (II) o banco autorizar transações bancárias com aparência de ilegalidade por destoarem do perfil de compra do consumidor.

Todavia, a responsabilidade dos bancos é objetiva, nos termos do art. 14, §3º, do CDC, somente podendo ser afastada quando houver conduta exclusiva da vítima, o que, conforme demonstrado, não ocorre na presente hipótese.

Nada obstante, a doutrina de Flavio Tartuce e Sergio Cavalieri admite a teoria do risco concorrente, segundo a qual entende-se que, quando se trata de responsabilidade objetiva, a possibilidade de redução do montante indenizatório em face do grau de culpa do agente deve ser interpretada restritivamente, devendo ser admitida apenas naquelas hipóteses em que o agente, por meio de sua conduta, assume e potencializa, conscientemente, o risco de vir a sofrer danos ao contratar um serviço que seja perigoso. Exemplos de consciente assunção de riscos a ponto de mitigar os deveres da responsabilidade objetiva são: nas atividades de saúde, em que o paciente assume o risco, por ato declarado ou não (vide a questão do consentimento informado); nos infortúnios que decorrem das diversões e dos esportes radicais ou perigosos, em que o risco é inerente; nas hipóteses de recall ou convocação dos consumidores para troca de peças ou produtos, havendo assunção de risco por parte dos vulneráveis que são comunicados mas não atendem à chamada dos fornecedores; na problemática jurídica que envolve o cigarro e o tabagismo, amplamente debatida pela doutrina e pela jurisprudência nacionais na contemporaneidade, sendo o risco concorrente meio adequado para a atribuição das responsabilidades de acordo com os riscos assumidos pelos envolvidos. (TARTUCE, Flavio. Teoria do risco concorrente na responsabilidade objetiva. Tese de doutorado, USP, 2010).

Nessa lógica, não é razoável afirmar que o consumidor assumiu conscientemente um risco ao digitar a senha pessoal no teclado de seu telefone depois de ouvir a confirmação de todos os seus dados pessoais e ao destruir parcialmente o seu cartão antes de entregá-lo a terceiro que dizia ser preposto do banco, porquanto agiu em razão da expectativa de confiança que detinha nos sistemas de segurança da instituição financeira. Nessas hipóteses específicas, quando comprovadas, inexiste ato consciente de assunção de riscos apto a afastar a responsabilidade da instituição financeira.

Por esses motivos, entende a Terceira Turma deste STJ que o banco deve responder objetivamente pelo dano sofrido pelas vítimas do golpe do motoboy quando restar demonstrada a falha de sua prestação de serviço, por ter admitido transações que fogem do padrão de consumo do correntista (REsp 1.995.458/SP, Terceira Turma, julgado em 9/8/2022, DJe de 18/8/2022).

Resumindo: