Imagine a seguinte situação
hipotética:
João, residente em Brasília, é
correntista do Banco do Brasil há mais de 15 anos.
Durante esse período, ele nunca
fez qualquer empréstimo com a instituição financeira.
Determinado dia, João recebeu uma
ligação do telefone 4003-3001. O interlocutor se identificou como gerente do
Banco do Brasil e disse que o correntista deveria ir a um caixa eletrônico para
aumentar o limite de transações, afirmando que a conta ficaria bloqueada caso o
procedimento não fosse realizado, o que o impediria de fazer as transações
cotidianas.
Confiando que a ligação era, de
fato, do Banco do Brasil, uma vez que o número era usado pela instituição
financeira, João realizou todos os procedimentos solicitados. Vale ressaltar
que, em momento algum, ele forneceu sua senha bancária ao suposto gerente.
Para a sua surpresa, no dia
seguinte, o correntista recebeu uma ligação do Banco do Brasil, informando que
haviam sido realizadas transações atípicas em sua conta corrente e que havia
sido contratado um empréstimo no valor de R$ 59.183,00, bem como efetuados
pagamentos que somaram o total de R$ 8.820,80. Pelo extrato foi possível
verificar que as transações estavam relacionadas com dívidas contraídas na
cidade de São Paulo.
Imediatamente, João foi até o Banco
relatar o ocorrido.
A instituição financeira abriu um
procedimento interno para averiguação. Ao final, contudo, o Banco negou o
estorno (devolução) dos valores e considerou o empréstimo como válido.
Ação declaratória de
inexistência de débitos cumulada com pedido de indenização
Diante dessa situação, João
decidiu buscar seus direitos e ajuizou ação declaratória de inexistência de
débitos cumulada com pedido de indenização contra o Banco do Brasil.
Argumentou que o banco
negligenciou seu histórico financeiro e que, ao notar que as transações eram suspeitas,
a instituição deveria ter bloqueado as movimentações até a confirmação dos
correntistas de que eram legítimas.
O que decidiu o STJ? A
instituição financeira é responsável por falhas na prestação de serviços
bancários ao permitir a contratação de empréstimo por estelionatário?
SIM.
O Código de Defesa do Consumidor
(CDC) é aplicável às instituições financeiras (Súmula n. 297/STJ), as quais
devem prestar serviços de qualidade no mercado de consumo.
O dever de segurança é noção que
abrange tanto a integridade psicofísica do consumidor, quanto sua integridade
patrimonial. Como consequência, é dever da instituição financeira verificar a
regularidade e a idoneidade das transações realizadas pelos consumidores,
desenvolvendo mecanismos capazes de dificultar fraudes perpetradas por
terceiros, independentemente de qualquer ato dos consumidores.
Veja-se que, nas fraudes e nos
golpes de engenharia social, geralmente são efetuadas diversas operações em
sequência, num curto intervalo de tempo e em valores elevados. Em razão desta
combinação de fatores, as transações feitas por criminosos destoam completamente
do perfil do consumidor e, portanto, podem e devem ser identificadas pelos
bancos.
A conduta das instituições
financeiras de se manter inerte perante a ocorrência de diversas transações
atípicas em poucos minutos concorre para permitir os golpes aplicados em seus correntistas.
Assim, o nexo causal é estabelecido ao se concluir que poderia a instituição
financeira ter evitado o dano sofrido em decorrência dos golpes, caso adotasse
medidas de segurança mais eficazes.
No entendimento do Tema
Repetitivo 466/STJ, que contribuiu para a edição da Súmula 479/STJ, as
instituições bancárias respondem objetivamente pelos danos causados por fraudes
ou delitos praticados por terceiros como, por exemplo, abertura de conta corrente
ou recebimento de empréstimos mediante fraude ou utilização de documentos
falsos, porquanto tal responsabilidade decorre do risco do empreendimento,
caracterizando-se como fortuito interno (REsp 1.197.929/PR, Segunda Seção,
julgado em 24/8/2011, DJe 12/9/2011).
Mesma lógica se aplica à hipótese
em que o falsário, passando-se por funcionário da instituição financeira e após
ter instruído o consumidor a aumentar o limite de suas transações, contrata
mútuo com o banco e, na mesma data, vale-se do alto montante contratado e dos
demais valores em conta corrente para quitar obrigações relacionadas,
majoritariamente, a débitos fiscais de ente federativo diverso daquele em que
domiciliado o consumidor.
Em suma:
STJ. 3ª
Turma. REsp 2.052.228-DF, Rel. Min. Nancy Andrighi, julgado em 12/9/2023 (Info
788).
DOD Plus –
o que são golpes de engenharia social?
A engenharia social refere-se a
técnicas que manipulam pessoas para obter informações confidenciais ou realizar
ações específicas.
O golpista, em vez de tentar
encontrar vulnerabilidades nos softwares ou sistemas dos bancos, usam
engenharia social para explorar vulnerabilidades humanas e, com isso, obter
acesso a informações, sistemas ou locais.
Aqui estão algumas
características e exemplos comuns de golpes de engenharia social:
• Pretexto: o golpista cria uma
história ou cenário fictício para obter informações de uma vítima. Por exemplo,
ele pode se passar por um funcionário do banco e pedir detalhes da conta da
vítima, alegando necessidade de “verificação”.
• Phishing: é uma das formas mais
comuns de engenharia social online. Os atacantes enviam e-mails ou mensagens
que parecem ser de instituições confiáveis, como bancos ou serviços populares,
para enganar as vítimas a fornecer informações pessoais ou clicar em links maliciosos.
• Vishing (Voice Phishing): semelhante
ao phishing, mas realizado por telefone. O golpista pode se passar por um
representante de banco ou outra instituição e pedir à vítima para confirmar
detalhes pessoais.
• Baiting: o atacante oferece
algo atraente para a vítima, como um download gratuito de software, mas o “brinde”
contém malware.
• Tailgating ou Piggybacking: o
golpista segue alguém autorizado para entrar em um edifício ou área restrita.
• Quizzing e enquetes online: golpistas
criam quizzes e enquetes falsas para coletar informações pessoais das vítimas.
• Ataques de “homem no meio”: o
golpista intercepta a comunicação entre duas partes para roubar ou manipular
informações.
