Banco é responsável por vazamentos de dados que resultem em golpe, decide STJ

Colegiado reformou decisão do TJSP e mandou banco considerar valor pago a golpistas, além de devolver parcelas seguintes

A 3ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que bancos são responsáveis pelo vazamento de dados pessoais sigilosos de clientes, utilizados posteriormente por criminosos para a prática de fraudes.

Conforme o processo, a cliente entrou em contato por e-mail com o banco solicitando informações sobre como quitar um contrato de financiamento. Dias depois, ela foi contatada pelo WhatsApp por uma suposta funcionária da instituição e recebeu um boleto no valor de cerca de R$ 20 mil. A cliente pagou o boleto, mas depois descobriu que o documento havia sido emitido por criminosos. Como ela continuava a ser cobrada pelo banco, ela também não deixou de pagar as parcelas seguintes.

Tenha acesso ao JOTA PRO Poder, uma plataforma de monitoramento político com informações de bastidores que oferece mais transparência e previsibilidade para empresas. Conheça!
Ao apreciar o caso, os ministros do STJ reformaram acórdão do Tribunal de Justiça do Estado de São Paulo (TJSP) para restabelecer sentença que condenou o banco BV (BV Financeira SA Crédito Financiamento E Investimento) a considerar a dívida quitada mediante o pagamento do boleto falso e a devolver o valor que foi pago a partir de então, com correção e juros de mora de 1% ao mês.


No acórdão agora reformado, o TJSP havia entendido que o golpe contra a cliente havia sido aplicado por meio de negociações realizadas de maneira informal. O tribunal também considerou que as informações do boleto falso divergiam dos dados constantes do contrato de financiamento e que a consumidora falhou em seu dever de segurança e cautela. Portanto, o banco não deveria ser responsabilizado pela fraude.

O entendimento do STJ sobre o vazamento de dados bancários

A ministra Nancy Andrighi, relatora do recurso da cliente, discordou do TJSP. Ela explicou que, nos termos da tese fixada no julgamento do Tema Repetitivo 466 – que contribuiu para a edição da Súmula 479 do STJ –, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade.

Em relação aos golpes de engenharia social, a relatora comentou que os criminosos costumam conhecer os dados pessoais das vítimas e, com base neles, usam técnicas psicológicas de persuasão – a exemplo da simulação de um atendimento bancário verdadeiro – como forma de atingir seu objetivo ilícito.

“Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada”, ponderou a ministra.

Nesse cenário, a ministra apontou que não poderia ser imputada ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, porque essas informações podem ser obtidas por fontes alternativas. Por outro lado, caso os dados do consumidor sejam vinculados a operações e serviços bancários, a instituição tem o dever de armazenamento e proteção, sob pena de eventual vazamento configurar falha na prestação do serviço.

LGPD
Nancy Andrighi destacou que, nos termos do artigo 44 da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados será irregular quando não fornecer a segurança que o titular espera, considerando-se o resultado e os riscos desse tratamento.

No caso, a ministra reforçou que, segundo as informações dos autos, os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias. A relatora também apontou que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las.

Segundo a relatora, algumas circunstâncias pesam a favor da responsabilização do banco: o estelionatário tinha conhecimento de que a vítima era cliente da instituição financeira, sabia que ela encaminhou e-mail com a finalidade de quitar sua dívida e também possuía dados relativos ao financiamento. Essas informações, sobretudo os dados pessoais bancários, são sigilosas, e seu tratamento incumbe à entidade bancária com exclusividade, concluiu a ministra ao restabelecer a sentença.

Fonte: JOTA

Fale Conosco