A ascensão dos golpes digitais e a vulnerabilidade do consumidor
Em um cenário cada vez mais digitalizado, a agilidade das transações bancárias e a facilidade de acesso a serviços financeiros revolucionaram a forma como lidamos com nosso dinheiro. Contudo, essa evolução tecnológica trouxe consigo um aumento preocupante na sofisticação dos golpes, como o conhecido “golpe da falsa central de atendimento”. Nesses esquemas, criminosos se passam por funcionários de bancos ou instituições financeiras, manipulando vítimas a realizar operações financeiras sob falsos pretextos, muitas vezes resultando em perdas financeiras substanciais.
Diante da crescente complexidade desses ataques, surge uma questão fundamental: quem deve arcar com o prejuízo quando o consumidor é vítima de um “golpe da falsa central”, mesmo tendo “autorizado” as transações sob coação psicológica? O Superior Tribunal de Justiça (STJ) proferiu uma decisão interessante no Recurso Especial nº 2222059 – SP que reforça a responsabilidade das instituições financeiras e de pagamento em proteger seus clientes.

O caso: consumidor vítima de engenharia social e a responsabilidade do Nubank
O caso que chegou ao STJ envolveu um consumidor que foi vítima do “golpe da falsa central de atendimento”. Ele realizou diversas operações financeiras indevidas, incluindo pagamentos que totalizaram R$ 143.210,00, a contratação de um empréstimo de R$ 13.822,14 e o pagamento de um boleto de R$ 11.182,60. O montante total das perdas foi significativo, e todas essas 14 operações ocorreram no mesmo dia, em um curto espaço de tempo, e de maneira totalmente atípica para o perfil de uso da conta do cliente, que era mais utilizada como uma poupança.
Em primeira instância, o juiz reconheceu a falha de segurança do sistema bancário e condenou a instituição de pagamento (Nu Pagamentos S.A., ou Nubank) a indenizar o consumidor. No entanto, o Tribunal de Justiça de São Paulo reverteu essa decisão, argumentando que a instituição não seria obrigada a monitorar todas as transações ou bloquear as que parecessem atípicas.
Foi neste ponto que o caso ascendeu ao STJ, que reverteu a decisão do Tribunal de Justiça, restabelecendo a condenação da instituição de pagamento.

A equiparação de responsabilidade: Bancos Tradicionais e Instituições de Pagamento
Uma das premissas centrais da decisão do STJ é que a responsabilidade pela segurança das transações se estende a todas as entidades que integram o sistema financeiro, incluindo as instituições de pagamento, como fintechs e bancos digitais. O STJ foi claro ao afirmar que: “Toda a compreensão que esta Corte Superior já firmou no tocante às obrigações impostas às instituições bancárias, inclusive no que se refere à incidência do Código de Defesa do Consumidor (Súmula nº 297/STJ), é inteiramente aplicável às instituições de pagamento, às quais também é atribuído o dever de processar com segurança as transações dos usuários finais, por expressa disposição do art. 7º da Lei nº 12.865/2013.”
Isso significa que as instituições de pagamento são regidas pelas mesmas normas de proteção ao consumidor que os bancos tradicionais, e devem responder objetivamente pelos danos gerados por fraudes e delitos praticados por terceiros, conforme a Súmula nº 479 do STJ, que trata da responsabilidade por “fortuito interno”. O “fortuito interno” refere-se a eventos que, embora causados por terceiros, estão ligados aos riscos da própria atividade da instituição.

O dever das Instituições em prevenir fraudes: mecanismos inteligentes e aprimoramento constante
O ponto crucial da decisão reside na exigência de que as instituições financeiras e de pagamento não sejam meros “guichês” de transações, mas sim ativamente responsáveis pela segurança. O STJ destacou que é dever dessas instituições criar e manter mecanismos capazes de identificar e coibir a prática de fraudes, aprimorando-os constantemente.
A Ministra Relatora Nancy Andrighi, em precedentes anteriores e agora reafirmados, já havia sublinhado a necessidade de os bancos desenvolverem meios para dificultar as fraudes, “independentemente de qualquer ato dos consumidores.”
O acórdão lista diversos elementos que os sistemas antifraude devem considerar para identificar operações suspeitas:

“Para a identificação de possíveis fraudes, os sistemas de proteção contra fraudes desenvolvidos pelas instituições bancárias/de pagamento devem considerar i) as transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) o horário e o local em que as operações foram realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a sequência das operações realizadas; v) o meio utilizado para a sua realização; vi) a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos; enfim, diversas circunstâncias que, conjugadas, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada.”

No caso de José Wilson, as operações eram claramente atípicas: grande volume de transações, realizadas no mesmo dia e em curto intervalo, em uma conta com pouquíssima movimentação prévia e utilizada como poupança. A validação dessas operações, mesmo após a vítima ter sido induzida ao erro por um golpista, configura um defeito na prestação do serviço, conforme o Código de Defesa do Consumidor (CDC):

“Se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso, nos termos do § 1º do art. 14 do Código de Defesa do Consumidor.”

A decisão enfatiza que o avanço tecnológico, que gerou maior lucro para as instituições, também exige maior responsabilidade na proteção dos clientes. A tecnologia deve ser uma aliada não apenas na eficiência, mas também na segurança.

O que essa decisão significa para o consumidor?
Esta decisão do STJ é um marco importante na proteção do consumidor e traz implicações diretas:

1. Maior responsabilidade das Instituições: As instituições financeiras e de pagamento não podem mais alegar que não têm obrigação de monitorar e bloquear transações atípicas. A decisão reafirma que a validação de operações suspeitas que fogem ao perfil do cliente demonstra um defeito na segurança do serviço, responsabilizando a instituição.
2. Proteção contra golpes de engenharia social: Mesmo em casos onde o próprio consumidor realiza as transações (induzido pelos golpistas), a falha da instituição em identificar o comportamento fraudulento e atípico pode gerar sua responsabilidade. Isso não significa que o consumidor está isento de cautela, mas que a instituição não pode se eximir de seu dever de segurança.
3. Facilidade na busca por reparação: Se você for vítima de um golpe em que a instituição aprovou operações claramente fora do seu padrão de consumo, essa decisão fortalece seu direito de buscar a reparação pelos danos sofridos.

Como agir se você for vítima de um golpe digital?
Se você, ou alguém que conhece, for vítima de um golpe digital, especialmente um golpe de engenharia social, é crucial agir rapidamente e de forma estratégica:

1. Comunique a fraude imediatamente: Entre em contato com sua instituição financeira (banco, fintech, etc.) o mais rápido possível para relatar a fraude, solicitar o bloqueio de cartões e contas, e tentar reverter as transações. Guarde todos os protocolos de atendimento.
2. Registre um boletim de ocorrência: É fundamental registrar a ocorrência em uma delegacia de polícia, seja física ou online, para que o crime seja investigado.
3. Documente tudo: Reúna todas as provas possíveis: capturas de tela, mensagens, e-mails, extratos bancários, dados dos golpistas (se houver), e qualquer outra informação que possa ajudar a demonstrar o ocorrido e as operações atípicas.

A decisão do STJ no Recurso Especial nº 2222059 – SP representa uma importante vitória para os consumidores brasileiros. Ela estabelece que a segurança é um elemento intrínseco aos serviços financeiros digitais e que as instituições devem aprimorar seus sistemas para acompanhar a evolução dos golpes. Você não deve ser a única vítima de um sistema que falhou em protegê-lo.