Banco é responsável por vazamentos de dados que resultem em golpe, decide STJ
Colegiado reformou decisão do TJSP e mandou banco considerar valor pago a golpistas, além de devolver parcelas seguintes
A 3ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que bancos são responsáveis pelo vazamento de dados pessoais sigilosos de clientes, utilizados posteriormente por criminosos para a prática de fraudes.
Conforme o processo, a cliente entrou em contato por e-mail com o banco solicitando informações sobre como quitar um contrato de financiamento. Dias depois, ela foi contatada pelo WhatsApp por uma suposta funcionária da instituição e recebeu um boleto no valor de cerca de R$ 20 mil. A cliente pagou o boleto, mas depois descobriu que o documento havia sido emitido por criminosos. Como ela continuava a ser cobrada pelo banco, ela também não deixou de pagar as parcelas seguintes.
Ao apreciar o caso, os ministros do STJ reformaram acórdão do Tribunal de Justiça do Estado de São Paulo (TJSP) para restabelecer sentença que condenou o banco BV (BV Financeira SA Crédito Financiamento E Investimento) a considerar a dívida quitada mediante o pagamento do boleto falso e a devolver o valor que foi pago a partir de então, com correção e juros de mora de 1% ao mês.
No acórdão agora reformado, o TJSP havia entendido que o golpe contra a cliente havia sido aplicado por meio de negociações realizadas de maneira informal. O tribunal também considerou que as informações do boleto falso divergiam dos dados constantes do contrato de financiamento e que a consumidora falhou em seu dever de segurança e cautela. Portanto, o banco não deveria ser responsabilizado pela fraude.
O entendimento do STJ sobre o vazamento de dados bancários
A ministra Nancy Andrighi, relatora do recurso da cliente, discordou do TJSP. Ela explicou que, nos termos da tese fixada no julgamento do Tema Repetitivo 466 – que contribuiu para a edição da Súmula 479 do STJ –, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade.
Em relação aos golpes de engenharia social, a relatora comentou que os criminosos costumam conhecer os dados pessoais das vítimas e, com base neles, usam técnicas psicológicas de persuasão – a exemplo da simulação de um atendimento bancário verdadeiro – como forma de atingir seu objetivo ilícito.
“Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada”, ponderou a ministra.
Nesse cenário, a ministra apontou que não poderia ser imputada ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, porque essas informações podem ser obtidas por fontes alternativas. Por outro lado, caso os dados do consumidor sejam vinculados a operações e serviços bancários, a instituição tem o dever de armazenamento e proteção, sob pena de eventual vazamento configurar falha na prestação do serviço.
LGPD
Nancy Andrighi destacou que, nos termos do artigo 44 da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados será irregular quando não fornecer a segurança que o titular espera, considerando-se o resultado e os riscos desse tratamento.
No caso, a ministra reforçou que, segundo as informações dos autos, os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias. A relatora também apontou que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las.
Segundo a relatora, algumas circunstâncias pesam a favor da responsabilização do banco: o estelionatário tinha conhecimento de que a vítima era cliente da instituição financeira, sabia que ela encaminhou e-mail com a finalidade de quitar sua dívida e também possuía dados relativos ao financiamento. Essas informações, sobretudo os dados pessoais bancários, são sigilosas, e seu tratamento incumbe à entidade bancária com exclusividade, concluiu a ministra ao restabelecer a sentença.
Procurado pelo JOTA, o Banco BV informou que não comentará a decisão do STJ.
Fonte: JOTA