Responsabilidade civil bancária na era da inteligência artificial: Implicações da jurisprudência do STJ sobre fraudes e o imperativo da segurança proativa

A recente orientação da 3ª turma do STJ¹ sobre a responsabilidade institucional em fraudes redefine o patamar do dever de segurança. Este entendimento aplica-se a todo o ecossistema de fraude digital, ultrapassando a mera engenharia social² (como a "Falsa Central").

Ao analisar o REsp 2.222.059/SP, o STJ debruçou-se sobre a responsabilidade civil por fraudes digitais em um processo que envolvia uma Instituição de Pagamento, e não um banco. Este entendimento é de suma importância, pois o STJ equiparou as Instituições de Pagamento às Instituições Financeiras para fins de responsabilização objetiva, estendendo a elas o entendimento consolidado na súmula 479/STJ³.

Embora essa equiparação já fosse uma tendência observada nas instâncias ordinárias, a confirmação pela Corte Superior confere nova e significativa relevância ao tema, impactando todo o ecossistema de pagamentos.

Segundo o STJ, essa incumbência decorre da migração dos crimes físicos para os digitais, bem como do elevado grau de risco inerente à atividade desempenhada pelas instituições financeiras ou de pagamento. Assim, ao exercerem, a todo o tempo, a guarda e a gestão do dinheiro de seus clientes, as instituições assumem o ônus objetivo de garantir a segurança do consumidor, que é um elemento essencial e indelegável do serviço prestado.

A tese defensiva centrada na "culpa exclusiva da vítima" por transações validadas com senha pessoal mostra-se cada vez mais fragilizada. O STJ firma o entendimento de que tal fato torna-se irrelevante se for comprovado que a instituição falhou em seu dever de monitoramento e bloqueio.

Em razão do cenário narrado, a Corte Superior define o padrão técnico mínimo de diligência, segundo o qual os sistemas dessas instituições devem considerar as seguintes circunstâncias para identificar potenciais golpes: i) Transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) O horário e o local em que as operações foram realizadas; iii) O intervalo de tempo entre uma e outra transação; iv) A sequência das operações realizadas; v) O meio utilizado para a sua realização; e vi) A contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos.

O constante aprimoramento tecnológico (IA, Machine Learning, Behavior Analytics) deixou de ser um diferencial para se tornar um dever.

Diante desse novo cenário jurídico e tecnológico, é imperativo que as instituições financeiras e de pagamento revisitem suas estruturas de prevenção e resposta a fraudes, alinhando-se às exigências jurisprudenciais e regulatórias mais recentes. A adoção de mecanismos de segurança proativa - baseados em inteligência artificial, análise comportamental e monitoramento contínuo - deixou de ser mera vantagem competitiva para se tornar requisito de conformidade e mitigação de risco.

_______

1 Acórdão de REsp 2.222.059 - SP (2025/0240118-6)

2 Engenharia social é uma técnica de manipulação utilizada para enganar as vítimas e induzi-las a realizar ações específicas ou a divulgar informações confidenciais. Em vez de explorar falhas em sistemas de computador, por exemplo, a engenharia social explora a confiança e o comportamento humano.

3 As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. (SÚMULA 479, SEGUNDA SEÇÃO, julgado em 27/6/2012, DJe 1/8/2012)