Essa conclusão é da 3ª Turma do Superior Tribunal de Justiça, que deu provimento ao recurso especial da vítima de um roubo para determinar que seja indenizada em R$ 1,5 mil por danos materiais e outros R$ 6 mil por danos morais.

No caso, o correntista estava no trânsito quando teve o vidro do carro quebrado e seu celular levado. O criminoso, então, usou o aparelho para acessar o aplicativo do banco e conseguiu, por meio do Pix, tirar R$ 1,5 mil da conta corrente.

O Tribunal de Justiça de São Paulo (TJ-SP) afastou a responsabilidade do banco, pois considerou o roubo fortuito externo e concluiu que não houve prestação de serviço defeituosa. No entanto, por maioria de votos, a 3ª Turma do STJ reformou o acórdão.

Relatora e autora do voto vencedor, a ministra Nancy Andrighi observou que o roubo do celular e as transações feitas pelo aplicativo não podem ser consideradas fortuito externo. Em vez disso, fazem parte do risco do negócio porque ocorrem dentro da órbita de atuação do banco.

Assim, a instituição financeira deve responder pelos danos sofridos pelo cliente porque cabia a ela adotar as medidas de segurança necessárias para impedir as transações via aplicativo de celular.

“A não implementação das providências cabíveis configura defeito na prestação dos serviços bancários por violação do dever de segurança”, afirmou a relatora.

Votaram com a ministra Nancy Andrighi os ministros Humberto Martins, Ricardo Villas Bôas Cueva e Moura Ribeiro.

Súmula 7

Abriu a divergência e ficou vencido o ministro Marco Aurélio Bellizze. Para ele, alterar a conclusão do TJ-SP é inviável porque dependeria de análise de fatos e provas, medida vetada pela Súmula 7 do STJ.

Isso porque há controvérsia sobre a cronologia do aviso do crime ao banco. A sentença citou que a notificação ocorreu no mesmo dia do roubo, mas o acórdão do tribunal de segundo grau tem um voto mencionando que a comunicação ocorreu apenas no dia seguinte.

Além disso, a transação por Pix só seria possível por meio do uso de senha de segurança pessoal e intransferível.

Segundo o ministro Bellizze, o banco tem o dever de impedir apenas operações financeiras que destoem do perfil de movimentação do correntista. Isso não ocorreu no caso, já que o Pix foi de R$ 1,5 mil.

“Nesse contexto, vislumbra-se que as premissas fático-probatórias delineadas pelas instâncias ordinárias, além de controversas, não levam à dedução lógica de que houve falha na prestação de serviço pelo banco, a caracterizar fortuito interno”, afirmou ele.

“Assim, infirmar a moldura dos fatos e das provas do presente feito realizada na origem demandaria o seu revolvimento, o que não se admite em sede de recurso especial, ante o óbice da Súmula 7 do STJ”, concluiu.

Clique aqui para ler o acórdão

REsp 2.082.281

O tratamento inadequado de dados pessoais vinculados a operações e serviços bancários configura falha na prestação do serviço, uma vez que é dever das instituições financeiras manter a segurança dessas informações sigilosas.

Com esse entendimento, a 3ª Turma do Superior Tribunal de Justiça deu provimento a um recurso especial para considerar quitada a dívida de uma correntista que caiu no “golpe do boleto” por causa do vazamento de seus dados pelo banco.

O precedente relatado pela ministra Nancy Andrighi delineia as hipóteses em que os bancos podem ser responsabilizados pelos chamados golpes de engenharia social. E o faz mediante a aplicação da Lei Geral de Proteção de Dados (LGPD).

Em regra, a responsabilização dessas instituições depende do tipo de dado que estava em poder dos criminosos. Se forem informações gerais e que podem ser obtidas por outros meios, mesmo que sejam dados sensíveis, não haverá nexo de causalidade.

É o que ocorre quando os falsários usam nome, sobrenome, estado civil, profissão, endereço, telefone, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou dado biométrico, por exemplo.

Por outro lado, haverá responsabilização do banco quando as informações usadas pelos criminosos estiverem ligadas às operações financeiras. Essas, em regra, são tratadas exclusivamente pelas instituições, a quem cabe o armazenamento em segurança.

“Dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço”, afirmou a relatora.

Eles sabiam de tudo

O caso concreto julgado é o de uma mulher que contratou financiamento de veículo em uma financeira e resolveu quitar a dívida antecipadamente. Ela acessou o site da instituição e, seguindo orientações, enviou e-mail solicitando informações sobre o contrato e o montante devido.

Alguns dias depois, ela foi contatada via WhatsApp por uma funcionária da financeira, que informou que havia 32 parcelas em aberto e enviou um boleto no valor de R$ 19,2 mil. A mulher fez o pagamento, mas depois percebeu que foi vítima de um golpe.

A ação foi julgada procedente em primeiro grau para considerar a dívida quitada. O Tribunal de Justiça de São Paulo (TJ-SP), no entanto, reformou a sentença por entender que a fraude só foi possível devido à falta de diligência da consumidora.

Entre os indícios estão mensagens informais trocadas via WhatsApp e o fato de o boleto indicar banco e beneficiário diferentes do que é visto no contrato de financiamento, além de apresentar um número errado do documento.

Para a ministra Nancy Andrighi, porém, não era de se esperar que a consumidora reparasse nessas inconsistências quando a pessoa que a contatou em nome da financeira tinha em sua posse informações sigilosas a seu respeito.

Os fraudadores sabiam que a mulher era cliente da empresa, que havia encaminhado e-mail com o objetivo de quitar a dívida e tinham dados relativos ao financiamento contratado. São informações sigilosas, que deveriam ser protegidas pela instituição financeira.

“Desse modo, se tais dados chegaram ao conhecimento do criminoso, não há como se afastar a responsabilidade da recorrida pelo seu tratamento indevido — fato do serviço —, elemento que culminou na facilitação do golpe engendrado”, concluiu a relatora.

Clique aqui para ler o acórdão

REsp 2.077.278