A crescente sofisticação das fraudes bancárias tem desafiado não apenas os sistemas de segurança das instituições financeiras, mas também a própria compreensão jurídica acerca da responsabilidade civil nesses casos. Em especial, os chamados golpes de engenharia social - como o “golpe da falsa central telefônica” - evidenciam um cenário em que a atuação do fraudador se aproxima, cada vez mais, dos canais oficiais das instituições, tornando tênue a linha entre erro do consumidor e falha sistêmica do banco.
Recentemente, em julgamento envolvendo fraude bancária, destacou-se como elemento central para afastar a responsabilidade da instituição financeira a constatação de que “as transações foram realizadas com uso de senha pessoal” e mediante credenciais válidas. A partir dessa premissa, concluiu-se pela culpa exclusiva da vítima.
O raciocínio, embora tecnicamente estruturado, revela uma limitação relevante: a análise excessivamente centrada no dado técnico isolado - como logs de acesso, endereços de IP e autenticações - sem a devida contextualização fática e comportamental do evento fraudulento.
Isso porque, no caso concreto, embora reconhecido o uso de credenciais legítimas, não houve enfrentamento aprofundado de elementos igualmente relevantes, como divergência geográfica dos acessos, padrão atípico das transações e, sobretudo, o contexto de indução da vítima mediante contato oriundo de canal aparentemente oficial da instituição financeira.
A leitura estritamente técnica dos registros digitais, dissociada da dinâmica da fraude, conduz a um reducionismo perigoso: presume-se que o uso de senha equivale, automaticamente, à manifestação livre e consciente de vontade do consumidor. Tal premissa ignora o avanço dos mecanismos de engenharia social, que exploram justamente a confiança do usuário nos canais institucionais.
Nesse cenário, a utilização de logs e geolocalização deve ser compreendida como meio de prova - e não como prova absoluta. São indícios que precisam ser analisados em conjunto com o contexto fático, especialmente quando presentes sinais de anormalidade detectáveis pelos próprios sistemas bancários, como acessos simultâneos em localidades distintas, multiplicidade de IPs ou realização de operações em sequência e fora do perfil do cliente.
A ausência dessa análise integrada acaba por deslocar indevidamente o risco da atividade bancária para o consumidor, esvaziando o dever de segurança que fundamenta a responsabilidade objetiva das instituições financeiras.
Não se trata de afastar a possibilidade de culpa do consumidor, mas de compreendê-la sob uma perspectiva mais adequada. Como já lecionava Pontes de Miranda, a chamada “culpa da vítima” deve ser analisada como questão de causalidade, e não como elemento autônomo de exclusão automática da responsabilidade:
“Culpas não se compensam. O ato do ofendido é concausa, ou aumentou o dano. Trata-se de saber até onde, em se tratando de concausa, responde o agente.”
Essa construção é especialmente relevante em fraudes bancárias contemporâneas. Ainda que o consumidor tenha contribuído para o evento - por exemplo, ao fornecer dados sob indução - isso não afasta, por si só, a responsabilidade da instituição, sobretudo quando presentes falhas nos mecanismos de detecção e prevenção.
A análise, portanto, deve ser deslocada do plano da culpa para o plano da causalidade: em que medida a conduta da vítima contribuiu para o dano e, principalmente, se o evento poderia ter sido evitado ou mitigado pelos sistemas de segurança do banco.
Esse debate ganha ainda mais relevância diante da evolução das práticas institucionais e dos parâmetros regulatórios, que exigem das instituições financeiras não apenas a autenticação formal das operações, mas também o monitoramento comportamental, a análise de risco em tempo real e a adoção de medidas preventivas diante de indícios de fraude.
Nesse contexto, a simples validação por senha ou dispositivo autorizado não se mostra suficiente para afastar a responsabilidade do banco, especialmente quando o conjunto probatório aponta para um cenário de fraude sofisticada, com elementos objetivos que deveriam ter sido identificados pelos mecanismos internos de segurança.
A reflexão aqui proposta, alinhada às discussões técnicas desenvolvidas pela SMA, aponta para a necessidade de amadurecimento da análise judicial nesses casos, superando a leitura formalista dos registros digitais e adotando uma abordagem sistêmica, que considere a totalidade do evento fraudulento.
Em última análise, a proteção do consumidor no ambiente digital depende não apenas de sua cautela individual, mas, sobretudo, da efetividade dos sistemas de segurança das instituições financeiras - que, por sua natureza, assumem o risco da atividade e devem responder quando esse sistema falha em situações previsíveis e evitáveis.