A expansão dos serviços bancários digitais trouxe ganhos evidentes de eficiência, mas também elevou o nível de exposição a fraudes cada vez mais sofisticadas. Nesse contexto, a responsabilidade civil das instituições financeiras passou a ocupar posição central no contencioso, exigindo uma análise técnica mais refinada - especialmente no que se refere à distinção entre fortuito interno e fortuito externo.
De partida, é importante fixar uma premissa: A responsabilidade das instituições financeiras é objetiva, mas não absoluta.
A objetividade decorre do regime do CDC, que impõe ao fornecedor o dever de reparar danos independentemente de culpa, com base no risco da atividade. Esse entendimento foi consolidado pelo STJ por meio da súmula 479, segundo a qual “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.
A súmula, portanto, não estabelece uma responsabilização irrestrita. Ao contrário: Ela delimita o campo de incidência da responsabilidade objetiva ao fortuito interno.
E é justamente nesse ponto que a distinção ganha relevância prática.
O fortuito interno abrange os riscos inerentes à atividade bancária. São eventos que, embora possam envolver atuação de terceiros (como fraudes), estão inseridos no âmbito da prestação do serviço. Exemplos típicos incluem falhas de segurança, vulnerabilidades sistêmicas e transações não reconhecidas pelo consumidor sem validação adequada. Nesses casos, a responsabilidade da instituição é mantida, pois se entende que o evento integra o risco do empreendimento.
Por outro lado, o fortuito externo compreende eventos completamente alheios à atividade da instituição financeira, capazes de romper o nexo causal. Aqui, o dano não decorre de falha do serviço, mas de fatores externos, imprevisíveis e inevitáveis. É nesse cenário que se inserem, com frequência crescente, os golpes baseados em engenharia social.
A jurisprudência recente tem reforçado essa distinção. Em casos envolvendo o chamado “golpe do falso advogado”, por exemplo, os Tribunais vêm reconhecendo que a fraude ocorreu fora do ambiente bancário, sem qualquer comprometimento dos sistemas da instituição. Nestes casos, os consumidores, induzidos por terceiro, realizam voluntariamente as operações, utilizando seus próprios dados (senha e token), confirmação por biometria facial e demais mecanismos de segurança que aperfeiçoam as transações, o que leva ao reconhecimento de fortuito externo, rompendo o nexo causal e afastando o dever de indenizar.
Esse tipo de decisão evidencia um ponto crucial: A súmula 479 do STJ não se aplica indistintamente a toda e qualquer fraude. Sua incidência pressupõe que o evento esteja inserido no âmbito do risco da atividade bancária, isto é, que se trate de fortuito interno.
Quando, ao contrário, verifica-se: Ausência de falha na prestação do serviço; regularidade dos mecanismos de autenticação; e atuação determinante da vítima ou de terceiros; há espaço para o reconhecimento da excludente de responsabilidade prevista no art. 14, §3º, II, do CDC, com o consequente afastamento do dever de indenizar.
Na prática, a delimitação entre fortuito interno e externo exige uma análise casuística rigorosa, que considere não apenas o resultado danoso, mas, sobretudo, a cadeia de eventos que levou à sua ocorrência. A simples existência de fraude não é suficiente para imputar responsabilidade à instituição financeira.
Em um ambiente marcado pela sofisticação das fraudes digitais, essa distinção assume papel estratégico. De um lado, impede a banalização da responsabilidade objetiva; de outro, preserva a proteção do consumidor nos casos em que efetivamente há falha na prestação do serviço.
Mais do que uma construção teórica, o debate sobre fortuito interno e externo tornou-se um dos principais vetores de definição de responsabilidade no contencioso bancário contemporâneo e compreender seus limites é essencial para uma atuação jurídica tecnicamente consistente.