Contratos bancários digitais e o aumento dos golpes e fraudes: a instituição financeira tem o dever de indenizar a vítima?

Contratar serviços ou adquirir produtos por plataformas online é o novo comum. Se deslocar até uma loja física para adquirir um produto ou até uma agência bancária para efetuar uma transação financeira pode ser considerado um tanto quanto antiquado. Celebrar um contrato com poucos cliques aparenta ser muito mais prático do que se locomover até outro local para discutir cláusulas contratuais e assinar o contrato. E realmente é.

Diversas funcionalidades foram disponibilizadas ao consumidor para que se mantenha conectado e consumindo sem abrir mão do conforto de sua casa. Todavia, como toda evolução traz não só consequências positivas, muito tem se discutido sobre a validade de alguns contratos celebrados em meio eletrônico, especialmente os contratos bancários digitais.

A Kantar IBOPE Media realizou uma pesquisa em 2022 (Target Group Index Flash Financial 2022 - Entre usuários de Internet U30 dias) sobre a relação das pessoas e mercado com o mundo das finanças. No estudo foi apontado que 87% dos brasileiros afirmam fazer todas as suas transações financeiras pelo celular como pagamentos, transferências, recargas de celular e empréstimos.

Na palma da mão, o poder de controle de informações ganhou mais força, mas basta um "clique errado" para que todo esse controle seja perdido e acessado por outras pessoas. Links, arquivos ou mensagens contendo vírus facilmente disseminados no aparelho do usuário concedem acesso ao telefone e a aplicações instaladas, concedendo ao golpista o acesso a informações confidenciais únicas do usuário.

Os golpistas estão se aprimorando e adquirindo a habilidade de ser ainda mais convincentes, e, claro, utilizando das ferramentas tecnológicas disponíveis. Até pouco tempo, era possível identificar uma tentativa de golpe observando erros gramaticais e frases fora de contexto. Recentemente, sobretudo em razão da criação de ferramentas de inteligência artificial generativa como o ChatGPT e Bard, as mensagens são aperfeiçoadas, corrigidas gramaticalmente e redigidas em contextos mais convincentes.

Na medida em que o reconhecimento facial e a biometria surgiram como uma forma de garantir a autenticidade do usuário do aplicativo, também deram espaço para aprimoramento pelos golpistas para pensar em formas de burlar a tecnologia. Até então, com apenas o login e senha para acesso, somente quem detivesse tais informações poderia acessar contas.

Ainda que pareça uma medida altamente segura, a autenticação em aplicativos por meio de selfie e vídeo não escapou da criatividade dos golpistas. Alguns deles têm utilizado a tecnologia deepfake para modificação da imagem do rosto e validar transações. A modificação também da voz por inteligência artificial tem acontecido em diversos casos. Um exemplo é a ligação de golpistas se passando por diretores de empresas e autorizando a realização de transações financeiras ou fingindo ser um filho que pede dinheiro aos pais.

As consequências desses golpes e fraudes têm chegado com frequência ao Judiciário, que tem adaptado o entendimento quanto à responsabilidade da instituição financeira nessas situações. Em alguns tribunais, foi reconhecida a responsabilidade objetiva de determinando banco, sob o fundamento da má prestação de serviços por não ter identificado transações que fugiram do perfil do correntista (v.g. TJSP, Apelação Cível n. 1008973-66.2020.8.26.0602; Rel.: Marino Neto; 11.ª Câmara de Direito Privado, J. 31.10.23; e TJMG, Apelação Cível n. 1.0000.23.037104-9/001, Rel.: Baeta Neves, 17.ª Câmara Cível, J. 18.10.2023).

Outros tribunais, no entanto, entendem que a culpa é exclusiva da vítima ao não tomar as precauções adequadas para evitar golpes, como desconfiar a idoneidade do possível golpista (v.g. TJSC, Apelação n. 5007020-13.2021.8.24.0022, Rel.: Haidée Denise Grin, 7.ª Câmara de Direito Civil, J. 22.6.23; e TJDFT, Acórdão 1773526, 07084744120238070001, Rel.: Fabrício Fontoura Bezerra, 7.ª Turma Cível, J. 18.10.23).

Enquanto os tribunais locais divergem quanto ao dever de indenizar, o STJ se posicionou no sentido de que o armazenamento de informações de maneira inadequada pela instituição financeira, a possibilitar que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço, ensejando a responsabilidade objetiva prevista no art. 14 do CDC e art. 44, parágrafo único, da LGPD: "O tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, notadamente quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor" (v.g. STJ, REsp n. 2.077.278/SP, Rel.: Ministra Nancy Andrighi, Terceira Turma, J. 3.10.23).

Outros fundamentos da decisão foram objeto do Tema Repetitivo 466/STJ e da Súmula 479/STJ: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias".

A decisão proferida pelo STJ, no entanto, não é passível de aplicação a todo tipo de golpe. Até porque, de uma primeira leitura da decisão, tem-se a impressão de que todo golpe aplicado aos correntistas que envolvem os dados pessoais que também estavam em detenção da instituição financeira geram o dever de indenização. Essa interpretação equivocada pode estimular o descuido por parte dos correntistas para não tomarem as cautelas adequadas para a navegação no ambiente digital, sobretudo em aplicativos bancários.

Na realidade, segundo a Ministra Nancy Andrighi, é necessário estabelecer o nexo causal entre o golpe e o possível vazamento de dados pessoais pelo responsável pelo seu gerenciamento. É essencial investigar minuciosamente quais dados estavam sob posse dos golpistas, analisar a origem de possíveis vazamentos na instituição financeira e, por conseguinte, determinar a responsabilidade dos envolvidos.

Uma questão que deve ser ponderada é: a decisão proferida pelo STJ dá um norte sobre a responsabilização após o golpe, mas não menciona o aspecto preventivo em relação às instituições financeiras e aos consumidores, como a cautela dos clientes ao realizar toda e qualquer transação financeira.

O que se espera deste texto não é induzir a não utilização dos aplicativos bancários e o retorno às agências físicas em razão dos riscos do ambiente digital. A pretensão, na verdade, é demonstrar que o acesso facilitado ao ambiente financeiro digital, embora seja uma vantagem prática sobre as agências físicas, ainda é passível de correções e aperfeiçoamento, e que requer cautela.

Com o passar do tempo, direito e tecnologia se conciliarão, ficando mais próximos de atingir uma relação ideal. Não é necessária a criação de inúmeras novas leis que cubram a íntegra das inovações tecnológicas que venham a surgir. Basta, em boa parte dos casos, a interpretação e a complementação das normas já existentes, como já ocorre em relação ao dever de indenizar em casos de golpes e fraudes bancárias, levando em consideração as peculiaridades de cada caso concreto a fim de não lançar desarrazoadamente a responsabilidade somente às instituições financeiras.