Quando o próprio consumidor fornece voluntariamente cartão e senha ao estelionatário, sem evidência de falha do banco, configura-se culpa exclusiva do consumidor, afastando a responsabilidade da instituição financeira

Imagine a seguinte situação hipotética:

Regina estava em tratamento contra um câncer.

Ela havia terminado uma sessão de quimioterapia há poucos dias e estava em casa repousando.

Foi então que recebeu a ligação de um número que exibia o nome do banco em seu identificador de chamadas.

A pessoa do outro lado dizia ser da “central de segurança do banco” e informava que havia uma tentativa de compra suspeita no cartão de crédito dela.

Para resolver, disseram que ela deveria ligar para o número no verso do cartão.

“Senhora Regina, como medida preventiva, a senhora precisa entrar em contato imediatamente com nossa central de relacionamento. Por favor, desligue esta chamada e ligue para o número que consta no verso do seu cartão”, orientou o suposto funcionário.

Regina seguiu a orientação e pensou ter ligado para o número no verso do cartão. Ocorre que, apesar de ela não perceber, continuava conectada à ligação anterior. Trata-se de uma técnica que os golpistas usam e que é denominada de “spoofing” ou “golpe da linha cruzada”.

Assim, a falsa central continuava do outro lado, simulando ser o banco.

Durante a ligação, solicitaram que ela instalasse um aplicativo (AnyDesk) para “verificar remotamente o acesso indevido”. Com medo e confusa pelo tratamento recente, ela seguiu as instruções, instalou o programa e permitiu o acesso remoto ao computador.

Uma vez instalado o AnyDesk, os golpistas assumem o controle do dispositivo da vítima (celular ou computador). Eles conseguem:

• ver senhas digitadas;

• acessar aplicativos bancários;

• fazer compras ou transferências com a senha armazenada;

• modificar configurações;

• instalar malwares para capturar mais dados.

Em seguida, a falsa central do banco pediu que ela entregasse seu cartão para um motoboy da “área de segurança” que iria buscar o cartão em sua casa para “análise técnica”.

Ela concordou e o cartão foi entregue. Com o cartão e a senha obtida anteriormente por meio do AnyDesk, os estelionatários realizaram uma compra de R$ 16.899,00, em uma loja física, parcelada em 12 vezes.

Regina, ao descobrir o golpe, registrou boletim de ocorrência e ligou para o banco, mas não conseguiu cancelar a operação.

O banco se recusou a restituir o valor, alegando culpa exclusiva da consumidora, pois ela entregou o cartão e a senha de forma voluntária.

Ação de indenização

Regina ingressou com ação pedindo:

• declaração da inexistência do débito;

• devolução dos valores cobrados;

• indenização por dano moral.

Ela argumentou que sua situação de saúde a tornava especialmente vulnerável e que o banco falhou em seu dever de segurança ao não detectar uma operação atípica e de alto valor que destoava completamente de seu perfil de consumo.

Após tramitar pelas instâncias ordinárias, o caso chegou até o STJ. O Tribunal concordou com os pedidos da autora? Foi reconhecida a responsabilidade do banco?

NÃO. Em um caso semelhante a esse, a 3ª Turma do STJ, por maioria, não concordou com os argumentos da autora.

Vejamos abaixo um resumo das posições que se formaram nos debates:

MINISTROS QUE VOTARAM PELO PROVIMENTO DO RECURSO (A FAVOR DA CONSUMIDORA):

Ministra Nancy Andrighi (Relatora original - voto vencido):

• Hipervulnerabilidade: argumentou que a consumidora, por estar em tratamento de câncer (quimioterapia) na época do golpe, encontrava-se em estado de hipervulnerabilidade, com possível redução da capacidade cognitiva. Esse estado poderia, excepcionalmente, afastar a excludente de responsabilidade por “culpa exclusiva do consumidor”.

• Falha no dever de segurança do banco (nexo causal): a responsabilidade do banco é objetiva (Súmula 479/STJ e Tema Repetitivo 466/STJ), decorrente do risco da atividade. A falha no dever de segurança seria o nexo causal, manifestado por: a) Vazamento ou falha na guarda de dados sigilosos do cliente (pois os golpistas tinham informações iniciais); b) Insuficiência dos atuais protocolos de autenticação dos canais de comunicação (telefone), que permitem fraudes como a simulação de centrais de atendimento e exploração de falhas no sistema de telefonia; c) Incapacidade dos sistemas de detecção de anomalias em identificar a fraude, mesmo com o parcelamento da compra de alto valor (indicando que os criminosos se adaptaram para burlar a segurança).

• Risco da atividade e confiança: o risco de fraudes sofisticadas como o “golpe do motoboy” é inerente à atividade bancária (fortuito interno) e não deve ser transferido ao consumidor, especialmente o hipervulnerável. A falha em aprimorar a segurança mina a confiança no sistema financeiro.

O Ministro Humberto Martins acompanhou a Relatora e também ficou vencido.

MINISTROS QUE VOTARAM PELO DESPROVIMENTO DO RECURSO (A FAVOR DO BANCO):

Ministro Ricardo Villas Bôas Cueva (Relator para o Acórdão - Voto Vencedor):

• Culpa exclusiva do consumidor: principal argumento foi que a consumidora agiu com culpa exclusiva ao fornecer voluntariamente seus dados sigilosos (senha), entregar o cartão físico e permitir acesso remoto ao seu computador, fragilizando a segurança. Essa conduta romperia o nexo causal para a responsabilidade do banco (Art. 14, § 3º, II, do CDC).

• Ausência de defeito na prestação do serviço: argumentou que não houve falha do banco, pois: a) a transação foi realizada presencialmente em loja física, com o cartão original (chip) e a senha pessoal correta; b) não ficou comprovado vazamento de dados sigilosos pelo banco; c) os dados iniciais eram cadastrais e de fácil obtenção, e os dados sensíveis foram fornecidos pela própria consumidora; a operação (compra única, parcelada, dentro do limite) não era necessariamente atípica a ponto de exigir um bloqueio automático pelo sistema de segurança do banco.

• Hipervulnerabilidade: considerou que, embora a situação de saúde fosse delicada, ela não isenta a consumidora do dever de cuidado com seus dados e cartão, especialmente na ausência de falha comprovada do banco. Distinguiu da proteção específica conferida a idosos em outros precedentes.

• Precedentes: citou jurisprudência do STJ que afasta a responsabilidade do banco quando a transação ocorre com cartão original e senha, a menos que se prove negligência da instituição, o que não considerou ter ocorrido no caso.

O Ministros Moura Ribeiro e Antônio Carlos Ferreira acompanharam a divergência.

RESUMINDO:

1) A responsabilidade da instituição financeira no golpe do motoboy depende da concorrência de duas causas: a) o fornecimento do cartão magnético original e senha pessoal ao estelionatário pelo consumidor;

b) a inobservância do dever de segurança pela instituição financeira em alguma etapa da prestação do serviço.

2) A responsabilidade da instituição financeira tem origem no defeito em alguma das etapas da prestação do serviço, como a guarda dos dados sigilosos do consumidor e o aprimoramento dos mecanismos de autenticação dos canais de relacionamento com o cliente e de verificação de anomalias nas operações que fujam do padrão do consumidor.

3) O compartilhamento de dados bancários sigilosos pelo consumidor, após ser convencido de que estava falando com representante do banco, que permite operação fraudulenta realizada em loja física com a utilização do cartão, mediante inserção da senha pessoal e dentro dos limites pré-aprovados, afasta a deficiência na prestação do serviço por parte do banco e caracteriza culpa exclusiva do consumidor.

4) A vulnerabilidade do consumidor em tratamento médico não autoriza, isoladamente, a mitigação de sua responsabilidade quanto ao dever de cuidado com seus dados sigilosos e com o cartão de acesso à conta.

Em suma: