No julgamento do REsp 2.077.278, ocorrido em 09/10/2023, a 3ª turma do STJ entendeu que as instituições bancárias respondem pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários, obtidos por criminosos para a prática de fraudes como o “golpe do boleto”.
Sabe-se do crescente número de estelionatos ocorridos na era digital, bem como da existência de golpistas que se passam por funcionários de um banco e emitem boleto falso para receberem indevidamente o pagamento feito pelo cliente.
No caso concreto, trata-se de ação de declaratória de inexigibilidade de débito por vazamento de dados bancários cumulada com indenização por danos morais e repetição de indébito, através da qual a Autora informou que havia solicitado informações acerca da quitação do financiamento via e-mail, tendo sido contatada via WhatsApp para quitação da dívida, oportunidade em que realizou o pagamento do boleto falso, no valor que girou em torno de R$ 20.000,00 (vinte mil reais).
A sentença de primeiro grau condenou o banco a considerar a dívida quitada mediante o pagamento do boleto falso e a devolver o valor que foi pago a partir de então, com correção e juros de mora de 1% (um por cento) ao mês.
No julgamento de segundo grau, entendeu o Tribunal de Justiça de São Paulo (TJSP), que o golpe contra a cliente foi aplicado por meio de negociações realizadas de maneira informal, afastando a responsabilidade do banco com base no fundamento de que os dados do boleto falso divergiam dos dados constantes do contrato de financiamento, imputando a responsabilidade à consumidora que “falhou em seu dever de segurança e cautela”.
A consumidora, então, apresentou recurso especial, tendo o STJ decidido por reformar o acórdão do TJSP, restabelecendo a sentença que condenou o banco a declarar válido o pagamento realizado por meio de boleto fraudado e devolver à cliente parcelas pagas indevidamente em contrato de financiamento.
Nos fundamentos do Recurso Especial, a ministra Nancy Andrighi entendeu que, no caso concreto, houve defeito na prestação do serviço (art. 14 do CDC e art. 44 da LGPD), vez que os criminosos teriam conhecimento de informações e dados sigilosos a respeito das atividades bancárias da consumidora.
Isto é, os estelionatários sabiam que a consumidora era cliente da instituição e havia encaminhado e-mail a fim da quitação da dúvida, além destes terem conhecimento dos dados relativos ao próprio financiamento (quantidade de parcelas em aberto e saldo devedor).
Segundo a Ministra, não poderia ser imputado ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, vez que de fácil acesso. Por outro lado, pontuou que, caso os dados do consumidor sejam vinculados a operações e serviços bancários, a instituição tem o dever de armazenamento e proteção, sob pena de eventual vazamento configurar falha na prestação do serviço.
Assim, seguiu-se o entendimento de que há, portanto, a necessidade de analisar o nexo de causalidade. Isso porque resta imprescindível averiguar a situação fática para analisar quais dados foram vazados, a fim de examinar a origem de eventual vazamento e, por consequente, a responsabilidade das pessoas envolvidas.
Do contrário, pontuou a Ministra Relatora que “inexistindo elementos objetivos que comprovem esse nexo causal, não há que se falar em responsabilidade das instituições financeiras pelo vazamento de dados utilizados por estelionatários para a aplicação de golpes de engenharia social (REsp 2.015.732/SP, julgado em 20/6/2023, DJe de 26/6/2023)”. Por todo o exposto e, de acordo com a recente decisão já transitada em julgado, o STJ firmou o entendimento de que o banco responde pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários, obtidos por criminosos para a prática de fraudes como o “golpe do boleto”.
