STJ: Falha de segurança bancária afasta culpa concorrente do consumidor em caso de golpe

A Terceira Turma do Superior Tribunal de Justiça (STJ) consolidou, em recente julgamento, um importante precedente para a proteção do consumidor em fraudes bancárias digitais. 

No Recurso Especial nº 2.220.333/DF, a Corte decidiu que falhas no sistema de segurança bancária afastam a possibilidade de reconhecimento de culpa concorrente do consumidor, mesmo quando este é induzido a instalar programas fraudulentos em seu celular.

A decisão reforça a responsabilidade objetiva das instituições financeiras e redefine os limites da atuação do consumidor em golpes de engenharia social, como o chamado “golpe da mão fantasma”.

O caso: “Golpe da mão fantasma” e empréstimo fraudulento

Uma consumidora foi vítima de um golpe em que o fraudador se passou por funcionário do BRB (Banco de Brasília S.A.) e a convenceu a instalar um aplicativo de acesso remoto em seu celular.

 A partir desse acesso, o criminoso contratou um empréstimo de R$ 45 mil e realizou diversas transferências bancárias.

Em primeira instância, o juiz reconheceu que as operações eram completamente fora do perfil de consumo da cliente e condenou o banco a restituir integralmente o valor, além de indenizá-la por danos morais.

O Tribunal de Justiça do Distrito Federal (TJDFT), porém, reformou parcialmente a decisão, reduzindo a indenização pela metade sob o argumento de culpa concorrente, alegando que a cliente contribuiu para o golpe ao permitir o acesso remoto.

CNJ adota autenticação multifator para combater o golpe do falso advogado

A posição do STJ: Banco deve restituir integralmente o prejuízo

O STJ reverteu o entendimento do TJDFT e restabeleceu a condenação integral ao banco. 

Para o relator, ministro Ricardo Villas Bôas Cueva, não é razoável entender que a vítima, ao seguir orientações de uma pessoa que se identificava como funcionária do banco, tenha assumido conscientemente o risco de sofrer danos.

Segundo o voto, a instituição financeira tem o dever de manter mecanismos de segurança eficazes e de identificar movimentações atípicas, principalmente quando destoam do padrão de consumo do cliente. 

Quando o banco falha nesse dever, caracteriza-se defeito na prestação do serviço e a responsabilidade é integral.

O relator destacou ainda que o dever de segurança é parte essencial da relação de consumo e que a validação de operações suspeitas demonstra falha no serviço. 

Assim, a instituição financeira responde 100% pelos prejuízos causados ao consumidor, sem possibilidade de divisão proporcional com base na culpa concorrente.

Segue a ementa do Acórdão:

EMENTA RECURSO ESPECIAL. DIREITO DO CONSUMIDOR. NEGATIVA DE PRESTAÇÃO JURISDICIONAL. NÃO OCORRÊNCIA. INSTITUIÇÃO FINANCEIRA. GOLPE DE ENGENHARIA SOCIAL. ACESSO REMOTO (MÃO FANTASMA). PRESTAÇÃO DE SERVIÇO. DEFEITO CONFIGURADO. CULPA CONCORRENTE. RISCO CONSCIENTE. INEXISTÊNCIA. PREJUÍZOS. DISTRIBUIÇÃO PROPORCIONAL. IMPOSSIBILIDADE. EMBARGOS DE DECLARAÇÃO. CARÁTER PROTELATÓRIO. NÃO CONFIGURAÇÃO. MULTA. AFASTAMENTO. 1. A controvérsia principal dos autos resume-se a saber se é possível considerar a culpa concorrente para fins de distribuição proporcional dos prejuízos, na hipótese em que se constata a existência de falha na prestação de serviço bancário. 2. Não há falar em negativa de prestação jurisdicional se o tribunal de origem motiva adequadamente sua decisão, ainda que de forma sucinta, solucionando a controvérsia com a aplicação do direito que entende cabível à hipótese, apenas não no sentido pretendido pela parte. 3. A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras. 4. A possibilidade de redução do montante da indenização em face do grau de culpa do agente deve ser interpretada restritivamente, devendo ser admitida apenas naquelas hipóteses em que o agente, por meio de sua conduta, assume e potencializa, conscientemente, o risco de vir a sofrer danos. 5. A teoria do risco concorrente mantém relação direta com a tese da responsabilidade pressuposta. Para a sua adequada aplicação, a vítima deveria pressupor, presumir, depreender, suspeitar, pressentir, enfim, inferir que a sua conduta poderia potencializar o risco de sofrer danos. 6. Não é razoável entender que a vítima de um golpe, ao instalar programa de captação dissimulada de dados pessoais em seu dispositivo, sob a orientação de pessoa que dizia ser preposta do banco, assumiu o risco consciente de vir a sofrer danos. 7. Na hipótese em que os embargos de declaração objetivam prequestionar a tese para fins de interposição de recurso especial, deve ser afastada a multa do art. 1.026 do Código de Processo Civil. Súmula nº 98/STJ. 8. Recurso especial provido.

Leia aqui a íntegra do Acórdão.

Fundamentos jurídicos da decisão

O entendimento do STJ baseou-se em princípios consolidados no arts. 104, III, 166, IV e V, e 169 do Código Civil; 6º e 14 do Código de Defesa do Consumidor, e 373, II, do Código de Processo Civil. 

A decisão também reforça a aplicação da Súmula 479 do STJ, segundo a qual:

“Súmula 479/STJ. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”

O ministro Cueva também citou a teoria do risco concorrente, explicando que ela só se aplica quando a vítima age conscientemente de modo a aumentar o risco de dano, o que não ocorre em golpes de engenharia social.

O que muda para os consumidores e para os bancos?

A decisão reforça o entendimento de que a responsabilidade do banco é objetiva e integral em casos de fraude eletrônica resultante de falha no sistema de segurança. 

Ou seja, se a instituição não adota mecanismos eficazes para identificar e barrar operações fora do perfil do cliente, deve arcar integralmente com as perdas.

Entre os deveres reforçados estão:

• Monitorar transações atípicas (como transferências ou empréstimos de alto valor fora do padrão do cliente);
• Adotar sistemas antifraude aprimorados, com inteligência artificial e verificação de comportamento financeiro;
• Educar e orientar os clientes de forma clara sobre práticas seguras de uso digital;
• Aprimorar continuamente os protocolos de autenticação e verificação de identidade.

Para os consumidores, a decisão representa uma ampliação da proteção jurídica frente aos golpes digitais. 

O entendimento reafirma que o erro cometido sob indução fraudulenta não equivale à negligência, e que a vítima não pode ser responsabilizada por uma vulnerabilidade que deveria ser controlada pelo banco.

Crimes Cibernéticos no Brasil: guia jurídico completo para advogados criminalistas

Tendência jurisprudencial: Proteção ampliada contra golpes digitais

A decisão segue uma linha crescente na jurisprudência do STJ, que vem reconhecendo a falha de segurança bancária como causa direta de responsabilidade integral das instituições financeiras. 

Casos semelhantes foram julgados recentemente, como os que tratam do “golpe do motoboy” e do “golpe do falso funcionário”, nos quais o tribunal reafirmou o dever das instituições de impedir operações atípicas e proteger consumidores, especialmente os idosos e hipervulneráveis.

Esse posicionamento acompanha a evolução tecnológica do setor financeiro, reconhecendo que as inovações digitais, embora facilitem o acesso aos serviços, também criam novos riscos que exigem medidas de segurança mais robustas.

Leia também nosso artigo sobre Como usar IA para criar e organizar um banco de teses e jurisprudências