Imagine a seguinte situação
hipotética:
João é
correntista do Banco XXX e usufrui de um cartão de crédito e débito.
Em 17 de julho de 2018, João foi
contatado por telefone por um indivíduo que se identificou como funcionário do
Banco XXX. O funcionário disse que estava ligando para confirmar algumas
transações efetuadas em seu cartão e que pareciam ser suspeitas.
João desconfiou que pudesse ser fraude e
solicitou que o representante do banco confirmasse seus dados, o que foi feito,
sendo confirmados todos os seus dados pessoais, como CPF, data de nascimento,
endereço e ainda os quatro últimos dígitos do cartão.
Confirmadas as informações, João questionou
o motivo da ligação e foi informado que algumas transações não condizentes com
o seu perfil foram efetuadas em seu cartão na cidade de Campinas (SP) e foram
negadas pelo banco, por questões de segurança.
João negou, então, ter feito as
transações e solicitou o cancelamento feito pelo banco.
O funcionário disse que, para
fazer esse cancelamento, precisaria de duas providências do consumidor:
• que ele digitasse a senha do
cartão no teclado do telefone; e
• que devolvesse o cartão ao
banco.
João digitou a senha, mas disse
que não seria capaz de devolver o cartão naquele instante. Em resposta, o
atendente informou que enviaria um motoboy até a sua residência para recolher o
cartão.
João entregou, então, o cartão ao
motoboy.
Ocorre que tudo isso era um
golpe.
Com o cartão e a senha, a
organização criminosa efetuou diversas compras em nome de João, causando-lhe R$
20 mil de prejuízo.
João ajuizou ação de
inexigibilidade de débito cumulada com indenização por danos materiais e morais
contra o Banco.
A instituição financeira apresentou
contestação e alegou culpa exclusiva de terceiro por fato ocorrido fora das
dependências do banco e pugnou pela improcedência da ação.
A ação foi julgada procedente pelo Juízo
de origem e confirmada pelo Tribunal de Justiça.
Irresignado, o Banco interpôs recurso
especial alegando culpa exclusiva do titular do cartão, situação que implica na
exclusão da responsabilidade da instituição financeira.
Para o STJ, o banco deve
indenizar o consumidor neste caso?
SIM.
O STJ possui o entendimento no
sentido de que a responsabilidade da instituição financeira fica afastada se o
evento danoso decorre de transações realizadas com a apresentação física do
cartão original e mediante uso de senha pessoal do correntista. Nesse sentido:
A responsabilidade da instituição financeira deve ser afastada
quando o evento danoso decorre de transações que, embora contestadas, são
realizadas com a apresentação física do cartão original e mediante uso de senha
pessoal do correntista.
STJ. 3ª Turma. AgInt no REsp 1.855.695/DF, Rel. Min. Nancy
Andrighi, julgado em 24/08/2020.
Em relação ao uso do serviço de conta-corrente fornecido pelas
instituições bancárias, cabe ao correntista cuidar pessoalmente da guarda de
seu cartão magnético e sigilo de sua senha pessoal no momento em que deles faz
uso. Não pode ceder o cartão a quem quer que seja, muito menos fornecer sua
senha a terceiros. Ao agir dessa forma, passa a assumir os riscos de sua
conduta, que contribui, à toda evidência, para que seja vítima de fraudadores e
estelionatários.
STJ. 4ª Turma. AgInt no REsp 1.954.042/DF, Rel. Min. Raul
Araújo, julgado em 30/5/2022.
Porém, no caso, apesar de o
consumidor ter entregue seus cartões a motoboy após telefonema de um suposto
funcionário da instituição financeira, o qual detinha conhecimento dos dados
pessoais e das informações referentes às suas últimas transações, não há como afastar
a responsabilidade da instituição financeira.
Há evidente descumprimento do
dever de segurança do banco ao não obstar a realização de compras por cartão de
crédito em estabelecimento comercial objeto de suspeita em transações
anteriores, na mesma data, e que discrepam do perfil de gastos do consumidor
nos meses anteriores.
Por fim, não se pode olvidar que
a vulnerabilidade do sistema bancário, que admite operações totalmente atípicas
em relação ao padrão de consumo dos consumidores, viola o dever de segurança
que cabe às instituições financeiras e, por conseguinte, cristaliza a falha na
prestação de serviço.
Em suma:
A instituição financeira responde civilmente,
caracterizando-se fortuito interno, nos termos do art. 14, § 3º, do CDC, quando
descumpre o dever de segurança que lhe cabe e não obsta a realização de compras
com cartão de crédito em estabelecimento comercial suspeito, com perfil de
compra de consumidor que discrepa das aquisições fraudulentas efetivadas.
STJ. 4ª
Turma. AgInt no AREsp 1.728.279-SP, Rel. Min. Raul Araújo, julgado em 8/5/2023 (Info
776).
DOD Plus –
o golpe do motoboy
“Golpe do motoboy”
O chamado golpe do motoboy é
prática criminosa que tem se popularizado no Brasil. Embora os casos noticiados
não sejam necessariamente idênticos, geralmente a vítima recebe uma ligação de
quem, conhecedor de seus dados sigilosos, alega ser preposto de instituição
bancária.
O estelionatário informa que o
cartão da vítima foi clonado e solicita que ela digite sua senha pessoal no
teclado do telefone, a fim de realizar um suposto cancelamento do cartão.
Em seguida, é dito que um motoboy
irá buscar o cartão da vítima e que ela deve quebrá-lo antes de fazer a
entrega, devendo manter o chip ileso. Após a entrega, são efetuadas diversas
compras com o cartão da vítima em pouco tempo. Somente então, a vítima percebe
que foi alvo de um golpe e busca a instituição financeira para efetivamente
cancelar o cartão.
Em que pese os estelionatários
saibam de alguns dados pessoais quando entram em contato com suas vítimas,
crimes desse tipo, intitulados “golpes de engenharia social” usam mais de
técnicas psicológicas de persuasão – como a semelhança com o atendimento
bancário verdadeiro – do que de informações secretas para convencer as vítimas.
O STJ entende que a
instituição financeira tem o dever de indenizar nos casos de golpe do motoboy?
SIM.
Em primeiro lugar, é importante
esclarecer que, para o STJ, o cartão magnético e a respectiva senha são de uso
exclusivo do correntista, que deve tomar as devidas cautelas para impedir que
terceiros tenham acesso a eles.
Se as transações contestadas
forem feitas com o cartão original e mediante uso de senha pessoal, passa a ser
do consumidor a incumbência de comprovar que a instituição financeira agiu com
negligência, imprudência ou imperícia ao efetivar a entrega de numerário a
terceiros (STJ. 3ª Turma. REsp 1.633.785/SP, DJe de 30/10/2017).
Vale ressaltar, contudo, que, embora
os consumidores tenham o dever de zelar pela guarda e segurança do cartão
magnético e das senhas pessoais, a jurisprudência do STJ consigna que cabe às
administradoras, em parceria com o restante da cadeia de fornecedores do
serviço (proprietárias das bandeiras, adquirentes e estabelecimentos
comerciais), a verificação da idoneidade das compras realizadas com cartões
magnéticos, utilizando-se de meios que dificultem ou impossibilitem fraudes e
transações realizadas por estranhos em nome de seus clientes, independentemente
de qualquer ato do consumidor, tenha ou não ocorrido roubo ou furto (STJ. 3ª
Turma. REsp 1.058.221/PR, DJe de 14/10/2011).
A apuração das condições de uma
transação bancária é prática corriqueira. De acordo com cartilha intitulada “Cartão:
a dica é saber usar”, da Associação Brasileira das Empresas de Cartões de
Crédito e Serviços (Abecs), toda transação com cartão de crédito passa por um
prévio processo de aprovação, no qual são avaliados o limite de crédito, o
vencimento do cartão, a validação da senha e, notadamente, a suspeita de fraude
ou uso indevido por terceiros.
A identificação de possíveis
fraudes engloba o limite de crédito, do valor da compra, o perfil de uso do
correntista, entre outros elementos que, de forma conjugada, tornam possível ao
fornecedor do serviço identificar se determinada transação deve ou não ser
validada.
Essa informação importa, pois,
quando os estelionatários estão na posse do cartão de uma vítima, geralmente
são efetuadas diversas operações em sequência, num curtíssimo tempo e em
valores elevados. Em razão desta combinação de fatores, as transações feitas
por criminosos destoam completamente do perfil do consumidor e podem ser
identificadas pelos bancos.
No entendimento do Tema
Repetitivo 466/STJ, as instituições bancárias respondem objetivamente pelos
danos causados por fraudes ou delitos praticados por terceiros - como, por
exemplo, abertura de conta corrente ou recebimento de empréstimos mediante
fraude ou utilização de documentos falsos -, porquanto tal responsabilidade
decorre do risco do empreendimento, caracterizando-se como fortuito interno
(REsp 1.197.929/PR, Segunda Seção, julgado em 24/8/2011, DJe de 12/9/2011.)
Mesma lógica se aplica nos golpes
de engenharia social, pois não há como argumentar que a falta de segurança das
instituições bancárias para criar mecanismos que obstem movimentações atípicas
que aparentem ilegalidade está desassociada da atividade bancária. Em verdade,
somente as instituições financeiras detêm os meios adequados para recusar estas
transações atípicas, uma vez que elas devem ser comparadas com o histórico do
consumidor no que tange a valores, frequência e objeto.
A vulnerabilidade do sistema
bancário, portanto, viola o dever de segurança que cabe às instituições
financeiras e, por conseguinte, incorre em falha da prestação de serviço. E é
precisamente esta falha que permite que o golpe sofrido pela vítima provoque
prejuízos financeiros.
O dever de adotar mecanismos que
obstem operações totalmente atípicas em relação ao padrão de consumo dos
consumidores enseja a responsabilidade do prestador de serviços, que responderá
pelo risco da atividade, pois a instituição financeira precisa se precaver a
fim de evitar golpes desta natureza, cada vez mais frequentes no país.
Em que pese os consumidores não
devam conceder o cartão e a senha a desconhecidos, os bancos, cientes desta
prática, precisam incorporar mecanismos que bloqueiem, ou ao menos dificultem,
que os estelionatários obtenham tamanho lucro em um curtíssimo período.
Não se olvida que para a
ocorrência do evento danoso, isto é, o êxito do estelionato, necessária
concorrência de causas: (I) o consumidor fornecer o cartão magnético e a senha
pessoal ao estelionatário, bem como (II) o banco autorizar transações bancárias
com aparência de ilegalidade por destoarem do perfil de compra do consumidor.
Todavia, a responsabilidade dos
bancos é objetiva, nos termos do art. 14, §3º, do CDC, somente podendo ser
afastada quando houver conduta exclusiva da vítima, o que, conforme
demonstrado, não ocorre na presente hipótese.
Nada obstante, a doutrina de Flavio
Tartuce e Sergio Cavalieri admite a teoria do risco concorrente, segundo a qual
entende-se que, quando se trata de responsabilidade objetiva, a possibilidade
de redução do montante indenizatório em face do grau de culpa do agente deve
ser interpretada restritivamente, devendo ser admitida apenas naquelas
hipóteses em que o agente, por meio de sua conduta, assume e potencializa,
conscientemente, o risco de vir a sofrer danos ao contratar um serviço que seja
perigoso. Exemplos de consciente assunção de riscos a ponto de mitigar os
deveres da responsabilidade objetiva são: nas atividades de saúde, em que o
paciente assume o risco, por ato declarado ou não (vide a questão do
consentimento informado); nos infortúnios que decorrem das diversões e dos esportes
radicais ou perigosos, em que o risco é inerente; nas hipóteses de recall ou
convocação dos consumidores para troca de peças ou produtos, havendo assunção
de risco por parte dos vulneráveis que são comunicados mas não atendem à
chamada dos fornecedores; na problemática jurídica que envolve o cigarro e o
tabagismo, amplamente debatida pela doutrina e pela jurisprudência nacionais na
contemporaneidade, sendo o risco concorrente meio adequado para a atribuição
das responsabilidades de acordo com os riscos assumidos pelos envolvidos.
(TARTUCE, Flavio. Teoria do risco concorrente na responsabilidade objetiva.
Tese de doutorado, USP, 2010).
Nessa lógica, não é razoável
afirmar que o consumidor assumiu conscientemente um risco ao digitar a senha
pessoal no teclado de seu telefone depois de ouvir a confirmação de todos os
seus dados pessoais e ao destruir parcialmente o seu cartão antes de entregá-lo
a terceiro que dizia ser preposto do banco, porquanto agiu em razão da
expectativa de confiança que detinha nos sistemas de segurança da instituição
financeira. Nessas hipóteses específicas, quando comprovadas, inexiste ato
consciente de assunção de riscos apto a afastar a responsabilidade da
instituição financeira.
Por esses motivos, entende a
Terceira Turma deste STJ que o banco deve responder objetivamente pelo dano
sofrido pelas vítimas do golpe do motoboy quando restar demonstrada a falha de
sua prestação de serviço, por ter admitido transações que fogem do padrão de
consumo do correntista (REsp 1.995.458/SP, Terceira Turma, julgado em 9/8/2022,
DJe de 18/8/2022).
Resumindo:
Se comprovada a hipótese de vazamento de dados por culpa da
instituição financeira, será dela, em regra, a responsabilidade pela reparação
integral de eventuais danos. Do contrário, inexistindo elementos objetivos que
comprovem esse nexo causal, não há que se falar em responsabilidade das
instituições financeiras pelo vazamento de dados utilizados por estelionatários
para a aplicação de golpes de engenharia social.
O cartão magnético e a respectiva senha são de uso exclusivo do
correntista, que deve tomar as devidas cautelas para impedir que terceiros
tenham acesso a eles. Se as transações contestadas forem feitas com o cartão
original e mediante uso de senha pessoal, passa a ser do consumidor a incumbência
de comprovar que a instituição financeira agiu com negligência, imprudência ou
imperícia ao efetivar a entrega de numerário a terceiros.
Nos termos da jurisprudência deste STJ, cabe às administradoras,
em parceria com o restante da cadeia de fornecedores do serviço (proprietárias
das bandeiras, adquirentes e estabelecimentos comerciais), a verificação da
idoneidade das compras realizadas com cartões magnéticos, utilizando-se de
meios que dificultem ou impossibilitem fraudes e transações realizadas por
estranhos em nome de seus clientes, independentemente de qualquer ato do
consumidor, tenha ou não ocorrido roubo ou furto.
O dever de adotar mecanismos que obstem operações totalmente
atípicas em relação ao padrão de consumo dos consumidores enseja a
responsabilidade do prestador de serviços, que responderá pelo risco da
atividade, pois a instituição financeira precisa se precaver a fim de evitar
golpes desta natureza, cada vez mais frequentes no país.
Quando se trata de responsabilidade objetiva, a possibilidade de
redução do montante indenizatório em face do grau de culpa do agente deve ser
interpretada restritivamente, devendo ser admitida apenas naquelas hipóteses em
que o agente, por meio de sua conduta, assume e potencializa, conscientemente,
o risco de vir a sofrer danos ao contratar um serviço que seja perigoso.
Não é razoável afirmar que o consumidor assumiu conscientemente
um risco ao digitar a senha pessoal no teclado de seu telefone depois de ouvir
a confirmação de todos os seus dados pessoais e ao destruir parcialmente o seu
cartão antes de entregá-lo a terceiro que dizia ser preposto do banco,
porquanto agiu em razão da expectativa de confiança que detinha nos sistemas de
segurança da instituição financeira.
O banco deve responder objetivamente pelo dano sofrido pelas
vítimas do golpe do motoboy quando restar demonstrada a falha de sua prestação
de serviço, por ter admitido transações que fogem do padrão de consumo do
correntista.
Demonstrada a existência de falha na prestação do serviço
bancário, mesmo que causada por terceiro, e afastada a hipótese de culpa
exclusiva da vítima, cabível a indenização por dano extrapatrimonial, fruto da
exposição sofrida em nível excedente ao socialmente tolerável.
STJ. 3ª Turma. REsp 2.015.732/SP, Rel. Min. Nancy Andrighi,
julgado em 20/6/2023.