O chamado "golpe do boleto" e a responsabilidade civil dos bancos

O CHAMADO “GOLPE DO BOLETO” E A RESPONSABILIDADE CIVIL DOS BANCOS

Rogério Tadeu Romano

I – A SÚMULA 479 DO STJ

À luz dos arts. 5º, XXXII, e 170, V, da CF/88, o Código de Defesa do Consumidor determina o respeito à sua dignidade, saúde e segurança, bem como a proteção de seus interesses econômicos, atendidos, entre outros, o princípio do reconhecimento da sua vulnerabilidade no mercado de consumo (art. 4º, I, do CDC).

A proteção conferida pelo CDC abrange a responsabilidade do fornecedor pela reparação dos danos causados por defeitos relativos à prestação de serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos, independentemente da existência de culpa (art. 14 do CDC).

Na forma do artigo 14, § 1º, II, do Código de Defesa do Consumidor, as instituições financeiras são obrigadas a garantir a segurança de seus serviços, mitigando e assumindo os riscos a eles inerentes.

Os bancos possuem com seus usuários uma relação consumerista, conforme dispõe os arts. 2º e 3º do CDC.

Art. 2º Consumidor é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como destinatário final.

Art. 3º Fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços.

Disse Henza (A responsabilidade civil dos bancos em caso de fraudes e violações de segurança, in Migalhas, em 23.6.23):

“Ademais, os bancos possuem o dever de segurança. Isso quer dizer que todas as informações sigilosas fornecidas pelo usuário, tais como nome completo, CPF, endereço, filiação e outras mais, devem ser armazenadas pelo Banco de modo que nenhum usuário externo sem autorização expressa possa acessá-los. Quando não realiza a devida guarda, também pode ser responsabilizado.

Em síntese, sempre que um cidadão inicia sua relação com a instituição financeira, esta última tem o dever legal de proteger suas informações pessoais e financeiras, bem como adotar medidas para evitar transações suspeitas, as quais fornecem indícios de fraude. Não obstante, efetivada a atividade fraudulenta, é dever da instituição, assim que comunicada pelo usuário, realizar os bloqueios e estornos dos valores transacionados.“

A Segunda Seção do Colendo Superior Tribunal de Justiça publicou a súmula ( 479) com os seguintes dizeres: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."

Acresça-se, outrossim, entendimentos outros do STJ para a responsabilidade civil bancária: (I) assaltos no interior das agências bancárias ( REsp 787.124/RS, Primeira Turma, DJe 22/5/2006); (II) inscrição indevida em cadastro de proteção ao crédito ( REsp 1149998/RS, Terceira Turma, DJe 15/8/2012); (III) desvio de recursos da conta-corrente; (IV) extravio de talão de cheques ( REsp 685.662/RJ, Terceira Turma, DJe 5/12/2005); (V) abertura não solicitada de conta-corrente; (VI) clonagem ou falsificação de cartões magnéticos; (VII) devolução de cheques por motivos indevidos; (VIII) permissão de transações fraudulentas e que fogem ao padrão de consumo do correntista ( REsp 1.995.458/SP, Terceira Turma, julgado em 9/8/2022, DJe 18/8/2022 e AgInt no AREsp 2.201.401/RJ, Terceira Turma, julgado em 29/5/2023, DJe 1/6/2023), entre outros.

Por se tratar de responsabilidade objetiva cabe ao banco comprovar a culpa exclusiva do consumidor ou de terceiros, conforme disposto no art. 22 do CDC.

A Súmula 479 do STJ foi criada no ano de 2012 para fixar a responsabilidade objetiva das instituições financeiras por fraudes e delitos praticados por terceiros (como, por exemplo, abertura de conta-corrente por falsários, clonagem de cartão de crédito, roubo de cofre de segurança ou violação de sistema de computador por crackers), porquanto tal responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno.

A Súmula 28 do STF, criada no ano de 1963, assim dizia:

STF/Súmula 28: O estabelecimento bancário é responsável pelo pagamento de cheque falso, ressalvadas as hipóteses de culpa exclusiva ou concorrente do correntista.

Bem lembrou Alice Saldanha Villar(A reponsabilidade civil dos bancos por fraude e delitos praticados por terceiros em operações bancárias) sobre a parte final desse verbete:

1. Se houver culpa exclusiva do correntista, a responsabilidade da instituição bancária é excluída. Neste caso, será do banco o ônus de provar a culpa exclusiva do correntista.

2. Havendo culpa concorrente do banco e do correntista, partilha-se o prejuízo, ou seja, a instituição bancária será responsável pelo dano causado, mas a culpa do cliente atenua o valor a ser pago pelo banco. Neste caso, será do banco o ônus de provar a concorrência de culpa.

Assim ensinou Roberto Rosas (Direito sumular, 7ª edição, pág. 27):

“No RE 3.876, relatado pelo saudoso Mn. Anibal Freire, o STF decidiu sobre as responsabilidades dos bancos que paga cheque falso ou apresentado mediante ato falso, sem culpa do correntista”.

O tema voltou a ser tratado pelo STF no RE 47.929.

II - REsp 2.077.278.

A Terceira Turma do Superior Tribunal de Justiça (STJ) entendeu que a instituição financeira responde pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários, obtidos por criminosos para a prática de fraudes como o "golpe do boleto". Nesse tipo de estelionato, golpistas se passam por funcionários de um banco e emitem boleto falso para receberem indevidamente o pagamento feito pelo cliente.

Sobre o tema acentuou o portal de notícias do STJ, em 24.10.23:

“A ministra Nancy Andrighi, relatora do recurso da cliente, explicou que, nos termos da tese fixada no julgamento do Tema Repetitivo 466 – que contribuiu para a edição da Súmula 479 do STJ –, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade.

Em relação aos chamados golpes de engenharia social, a relatora comentou que os criminosos costumam conhecer os dados pessoais das vítimas e, com base neles, usam técnicas psicológicas de persuasão – a exemplo da simulação de um atendimento bancário verdadeiro – como forma de atingir seu objetivo ilícito.

"Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada", ponderou a ministra.

Nesse cenário, a ministra apontou que não poderia ser imputada ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, porque essas informações podem ser obtidas por fontes alternativas. Por outro lado, caso os dados do consumidor sejam vinculados a operações e serviços bancários, a instituição tem o dever de armazenamento e proteção, sob pena de eventual vazamento configurar falha na prestação do serviço. “

Nos termos do artigo 44 da Lei Geral de Proteçâo de Dados Pessoais (LGPD), o tratamento de dados será irregular quando não fornecer a segurança que o titular espera, considerando-se o resultado e os riscos desse tratamento.

Se comprovada a hipótese de vazamento de dados da instituição financeira, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Do contrário, inexistindo elementos objetivos que comprovem esse nexo causal, não há que se falar em responsabilidade das instituições financeiras pelo vazamento de dados utilizados por estelionatários para a aplicação de golpes de engenharia social ( REsp 2.015.732/SP, julgado em 20/6/2023, DJe de 26/6/2023).

Os dados sobre operações financeiras são, em regra, presumivelmente de tratamento exclusivo pelas instituições financeiras. No ponto, a Lei Complementar 105/2001 estabelece que “as instituições financeiras conservarão sigilo em suas operações ativas e passivas e serviços prestados” (art. 1º), constituindo dever jurídico dessas entidades “não revelar, salvo justa causa, as informações que venham a obter em virtude de sua atividade profissional” como disse Fabiano Ferreira Furlan (Sigilo bancário, 2008, páginas 21 e 22).

Os dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Desse modo, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço (art. 14 do CDC e 43 da LGPD).

A ministra Nancy Andrighi, em seu voto, trouxe à colação importante informação sobre o chamado “golpe do boleto”:

“As narrativas em torno da dinâmica do “golpe do boleto” são assemelhadas. Durante a execução do contrato de financiamento de veículo ou concessão de crédito, para obter o boleto para pagamento para liquidação antecipada do contrato ou para pagamento de parcela, o (a) consumidor (a) necessita contatar o credor pelos meios virtuais disponibilizados pela Instituição credora, seja pela central de relacionamento, seja pelo site da Instituição credora. Não se sabe quando se inicia a atuação dos fraudadores, se a partir de sítios falsos ou de redirecionamento dos sítios verdadeiros, sendo certo que enviam ao (à) consumidor (a) boleto falso com aparência de verdadeiro por aplicativo de mensagem WhatsApp. O (A) consumidor (a) paga o boleto e depois descobre que é falso, já que o destinatário final é outro, e não o seu credor. O (A) consumidor (a) em alguns dos casos informa apenas seu CPF, e, de posse dele, o fraudador obtém os demais dados (número do contrato, endereço, valor necessário para quitação etc.), indicando que o estelionatário tem acesso aos dados da operação e que há falha na proteção dos dados da operação contratada, os quais deveriam ser protegidos. [...] Como consequência da fraude, além de perder o valor pago através do boleto falso, o (a) consumidor (a) permanece devedor (a) em relação ao contrato de financiamento. O credor, por sua vez, ainda permanece com o crédito e sua garantia. A manter esse estado de coisas, o (a) consumidor (a) acaba arcando sozinho com os prejuízos decorrentes da fraude/golpe, caso não seja reconhecida a responsabilidade da instituição financeira ou de crédito. [...] [P]ondera-se que o fortuito interno não ocorre apenas através dos canais virtuais das instituições, mas também pela utilização de dados das operações de clientes, cuja guarda é de responsabilidade das instituições e seu vazamento evidencia a negligência com cuidados básicos e configura o fortuito interno, atraindo a incidência da Súmula 479 do STJ (CAVALLAZZI, Rosângela Lunardelli; BAUERMANN, Sandra. Comércio eletrônico e mercado digital de crédito: entre riscos, fraudes e exclusão social. Revista de Direito do Consumidor, São Paulo, v. 148, p. 23-41, jul./ago., 2023)."

Essa a conclusão que se tem daquele acórdão:

“Diante do vazamento de dados sigilosos do consumidor, inequívoca é a responsabilidade do fornecedor pelo defeito no serviço prestado. O próprio art. 44 da LGPD, à semelhança do art. 14, § 1º, do CDC, estabelece que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, considerados o modo pelo qual é realizado, o resultado e os riscos que razoavelmente dele se esperam, as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado, entre outras circunstâncias.”