STF: Bancos e instituições de pagamento devem indenizar clientes por falhas que viabilizam golpe da falsa central

O Superior Tribunal de Justiça (STJ) decidiu que bancos e instituições de pagamento devem indenizar clientes vítimas do chamado “golpe da falsa central”, quando houver falhas de segurança que possibilitem a ação criminosa. 

A decisão foi proferida pela Terceira Turma, sob relatoria do ministro Ricardo Villas Bôas Cueva, e reforça o dever das instituições financeiras de garantir a proteção dos dados e das transações de seus clientes.

O que é o golpe da falsa central?

O golpe da falsa central ocorre quando criminosos se passam por atendentes de bancos ou instituições financeiras, utilizando informações pessoais da vítima (como CPF, número de conta e dados de transações) para ganhar credibilidade. 

Por telefone, e-mail ou aplicativos de mensagem, os golpistas induzem a pessoa a realizar transferências ou fornecer códigos de autenticação, muitas vezes sob o pretexto de “bloquear” uma operação suspeita.

Essas informações são geralmente obtidas por meio de vazamentos de dados ou falhas no sistema de segurança das instituições. 

O golpe tornou-se comum com o avanço dos meios digitais, especialmente com o uso do Pix e de plataformas de pagamento eletrônico.

Quebra de Sigilo Bancário: Requisitos, Jurisprudência e Atuação do Advogado

Entendimento do STJ sobre a responsabilidade das instituições financeiras

De acordo com o STJ, os bancos e instituições de pagamento têm responsabilidade objetiva, nos termos do artigo 14 do Código de Defesa do Consumidor (CDC). 

Confira o referido dispositivo na íntegra:

Art. 14 do CDC. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

     § 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:

     I – o modo de seu fornecimento;

     II – o resultado e os riscos que razoavelmente dele se esperam;

     III – a época em que foi fornecido.

     § 2º O serviço não é considerado defeituoso pela adoção de novas técnicas.

     § 3° O fornecedor de serviços só não será responsabilizado quando provar:

     I – que, tendo prestado o serviço, o defeito inexiste;

     II – a culpa exclusiva do consumidor ou de terceiro.

     § 4° A responsabilidade pessoal dos profissionais liberais será apurada mediante a verificação de culpa.

Isso significa que devem responder pelos danos causados aos clientes independentemente de culpa, sempre que houver falha na prestação do serviço que tenha contribuído para o golpe.

O ministro Ricardo Villas Bôas Cueva destacou que as instituições possuem dever legal de segurança e devem adotar mecanismos eficazes para prevenir fraudes e invasões aos sistemas. 

Quando há falhas que permitem o acesso indevido a dados de clientes, a instituição é considerada responsável solidária pelo prejuízo financeiro sofrido.

Segue a ementa do Acórdão:

EMENTA RECURSO ESPECIAL. DIREITO DO CONSUMIDOR. DISPOSITIVOS CONSTITUCIONAIS. VIOLAÇÃO. ANÁLISE. IMPOSSIBILIDADE. INSTITUIÇÃO DE PAGAMENTOS. GOLPE DE ENGENHARIA SOCIAL. FALSA CENTRAL DE ATENDIMENTO. OPERAÇÕES REALIZADAS. CIRCUNSTÂNCIAS. ANÁLISE. NECESSIDADE. PRESTAÇÃO DE SERVIÇO. DEFEITO CONFIGURADO. 

1. A controvérsia dos autos resume-se a saber se as instituições de pagamento, à semelhança das instituições bancárias, estão obrigadas a desenvolver mecanismos inteligentes de prevenção e bloqueio de fraudes, capazes de identificar comportamentos atípicos e agir rapidamente para evitar prejuízos. 

2. Nos termos do art. 105, III, da Constituição Federal, não compete a esta Corte o exame de suposta violação de dispositivos constitucionais, ainda que para fins de prequestionamento, sob pena de invasão da competência atribuída ao Supremo Tribunal Federal. 

3. De acordo com a orientação emanada da Súmula nº 479/STJ, as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. 

4. Toda a compreensão que esta Corte Superior já firmou no tocante às obrigações impostas às instituições bancárias, inclusive no que se refere à incidência do Código de Defesa do Consumidor (Súmula nº 297/STJ), é inteiramente aplicável às instituições de pagamento, às quais também é atribuído o dever de processar com segurança as transações dos usuários finais, por expressa disposição do art. 7º da Lei nº 12.865/2013. 

5. A responsabilidade das instituições de pagamento, e de todos aqueles que integram os denominados arranjos de pagamento, somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiro, a teor do disposto no § 3º do art. 14 do Código de Defesa do Consumidor. 

6. Constitui atribuição das instituições financeiras, e de todas aquelas que participam dos denominados arranjos de pagamento, criar mecanismos capazes de identificar e coibir a prática de fraudes e de mantê-los em constante aprimoramento, em virtude do dever de gerir com segurança as movimentações de dinheiro dos seus clientes e do elevado grau de risco da atividade por elas desempenhada. 

7. Se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso, nos termos do § 1º do art. 14 do Código de Defesa do Consumidor. 

8. Uma vez comprovada a hipótese de vazamento de dados por culpa da instituição financeira ou instituição de pagamento, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Hipótese descartada no caso concretamente examinado. 

9. Para a identificação de possíveis fraudes, os sistemas de proteção contra fraudes desenvolvidos pelas instituições bancárias/de pagamento devem considerar i) as transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) o horário e o local em que as operações foram realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a sequência das operações realizadas; v) o meio utilizado para a sua realização; vi) a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos; enfim, diversas circunstâncias que, conjugadas, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada. 

10. A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista deixa à mostra a existência de defeito na prestação do serviço, a ensejar a responsabilização das instituições financeiras e das instituições de pagamento. 

11. Hipótese em que a) todas as operações bancárias, em um total de 14 (quatorze), foram realizadas no mesmo dia; b) a conta era utilizada como uma espécie de poupança, com pouquíssimas movimentações, e c) as transações realizadas fogem do perfil de consumo do correntista. 

12. Recurso especial provido.

Leia aqui a íntegra do Acórdão.

Quais são os critérios para a indenização?

A decisão da Terceira Turma estabeleceu que a obrigação de indenizar ocorre quando  a falha do sistema ou o vazamento de informações permitir o golpe.

Ou seja, não basta o banco alegar que o cliente agiu imprudentemente; é necessário comprovar que não houve nenhuma vulnerabilidade ou omissão de segurança.

A indenização deve abranger:

• Restituição integral dos valores transferidos indevidamente;
• Danos morais, quando demonstrado abalo emocional ou constrangimento decorrente da fraude;
• Correção monetária e juros legais desde a data do prejuízo.

Parecer Jurídico: um guia completo

Quais foram os argumentos acolhidos pelo STJ?

O colegiado reconheceu que o golpe da falsa central é um risco inerente à atividade bancária, e que as instituições devem antecipar-se a esse tipo de fraude.

Entre os principais fundamentos da decisão estão:

• A existência de falhas de segurança que permitiram aos golpistas obter informações sigilosas dos clientes;
• O dever de vigilância e prevenção das instituições financeiras sobre transações atípicas;
• A aplicação da Súmula 479 do STJ, segundo a qual os bancos respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros no âmbito de operações bancárias.

O ministro Cueva ressaltou que o dever de segurança se intensifica no ambiente digital, em razão da assimetria informacional entre instituições e consumidores. 

Dessa forma, os bancos, por deterem a tecnologia e os meios de controle, devem adotar ferramentas capazes de detectar operações suspeitas e proteger o cliente contra fraudes previsíveis.

Precedentes e base legal

A decisão reafirma o entendimento consolidado pelo STJ em casos de fraudes eletrônicas, aplicando o mesmo raciocínio utilizado em situações de phishing, clonagem de cartões e transferências indevidas via Pix.

Além do art. 14 do CDC, o julgamento considerou:

• Súmula 479/STJ: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
• Lei nº 12.965/2014 (Marco Civil da Internet), que impõe o dever de proteção de dados pessoais e registros de conexão.

Impacto da decisão no sistema financeiro

A decisão do STJ tem repercussão direta sobre o setor bancário.

A partir desse entendimento:

• Os bancos devem revisar seus protocolos de segurança, aprimorando mecanismos de autenticação e monitoramento de transações atípicas;
• As instituições de pagamento digital passam a ter o mesmo dever de proteção dos bancos tradicionais;
• Clientes vítimas de golpes da falsa central poderão recorrer à Justiça com base na responsabilidade objetiva e no dever de reparação integral.

Exemplos práticos de falhas que geram responsabilidade

A jurisprudência consolidada pelo STJ aponta como falhas indenizáveis:

• Ausência de mecanismos de autenticação segura (como duplo fator de verificação ou confirmação biométrica);
• Negligência na detecção de transações suspeitas, realizadas em valores elevados ou fora do padrão do cliente;
• Vazamento ou exposição indevida de dados pessoais que permitem aos golpistas simular contato legítimo;
• Não bloqueio imediato de operações fraudulentas após o aviso do cliente;
• Omissão na comunicação de incidentes de segurança, descumprindo o dever de transparência.

Esses pontos refletem o entendimento de que a prevenção é parte essencial da prestação de serviço financeiro, e que falhas nesse dever configuram defeito de segurança, nos termos do artigo 14 do CDC.

Proteção do consumidor e orientação do STJ

O tribunal reiterou que os consumidores não podem ser responsabilizados por fraudes sofisticadas que exploram vulnerabilidades tecnológicas e informações internas das instituições.

O ministro Cueva destacou que os bancos devem adotar políticas de governança digital e compliance compatíveis com o volume de operações e com o risco de fraude.

Ele também lembrou que, ao aceitar o risco de atuar em ambiente digital, as instituições assumem a obrigação de gerenciar esse risco de forma eficiente, protegendo os dados dos clientes.

Importância da decisão para o consumidor digital

O julgamento reflete a preocupação do STJ em atualizar a aplicação do Código de Defesa do Consumidor à era digital, considerando a crescente dependência de meios eletrônicos para operações bancárias.

Com a decisão, o consumidor passa a contar com maior respaldo judicial para exigir indenização quando houver falha de segurança ou descuido na guarda de seus dados.

Além disso, o precedente pode incentivar melhorias sistêmicas de segurança cibernética e maior transparência nas comunicações entre bancos e clientes, contribuindo para reduzir a incidência desse tipo de golpe.

Resumo sobre a decisão

• Bancos e instituições de pagamento têm responsabilidade objetiva por falhas que viabilizem o golpe da falsa central.
• O dever de indenizar abrange danos materiais e morais, conforme o caso.
• Falhas de segurança, vazamento de dados e ausência de mecanismos de prevenção caracterizam defeito na prestação do serviço.
• A Súmula 479 do STJ aplica-se integralmente às fraudes eletrônicas e digitais.
• O cliente não pode ser culpabilizado quando o golpe decorre de vulnerabilidades do sistema bancário.

STJ responsabiliza instituições financeiras por fraudes digitais

O STJ decidiu que bancos e instituições de pagamento devem indenizar clientes vítimas do golpe da falsa central sempre que houver falhas na segurança que permitam a ação dos criminosos.

O entendimento reforça a responsabilidade objetiva das instituições financeiras e o dever de garantir a integridade dos dados e operações de seus clientes, reafirmando a proteção do consumidor frente aos riscos digitais do sistema financeiro moderno.

Essa decisão marca um importante avanço na jurisprudência brasileira sobre fraudes bancárias digitais, ao reconhecer que a segurança da informação é elemento essencial da prestação de serviço financeiro — e que sua violação gera o dever de reparar integralmente o dano causado ao consumidor.

Leia também nosso artigo sobre Como Buscar Jurisprudência com IA de Forma Rápida e Inteligente