A culpa é do golpista? - responsabilidade do banco nas fraudes

Introdução

No cenário jurídico brasileiro, vivenciamos o avanço vertiginoso das fraudes bancárias, que, ao longo do tempo, vêm se sofisticando e se tornando cada vez mais presentes na sociedade. Se, em um passado não muito distante, anterior à era digital, os noticiários eram dominados pelas chamadas "saidinhas de banco" e pelos "sequestros relâmpago", hoje observamos uma verdadeira mutação dos agentes criminosos e dos mecanismos utilizados para a perpetração dos golpes.

A transformação digital, embora traga incontáveis facilidades e benefícios à coletividade, também se revela como um terreno fértil para práticas ilícitas, sendo instrumentalizada, na mesma proporção, tanto para o bem quanto para o mal. O crescimento exponencial dos chamados "novos" golpes, que, na realidade, já estão se consolidando no cotidiano, é alarmante. Dados recentes indicam um aumento expressivo nas ocorrências de fraudes como o golpe do Pix, o golpe do motoboy e, mais recentemente, o sofisticado golpe do falso advogado.

Diante desse cenário, impõem-se reflexões necessárias: esse crescimento é fruto exclusivamente do aumento da criminalidade? É consequência da desinformação da sociedade, ainda despreparada para lidar com os riscos digitais? Ou, mais gravemente, decorre da ineficiência, omissão ou desídia das instituições bancárias, públicas e privadas, no dever de garantir segurança eficaz aos seus clientes?

Partindo desse contexto, este artigo propõe uma análise crítica e abrangente sobre a responsabilidade civil dos bancos nas fraudes bancárias, correlacionando-a com os deveres impostos pela LGPD (lei 13.709/18), pelo CDC e pelo CC de 2002. Além disso, busca-se fomentar um debate acerca da suficiência, ou insuficiência, do modelo indenizatório adotado no ordenamento jurídico pátrio, especialmente quando comparado à lógica dos punitive damages, aplicada no sistema jurídico norte-americano e em outros países, cujo caráter punitivo e pedagógico das indenizações visa coibir práticas negligentes, sobretudo na seara das relações de consumo e na proteção de dados sensíveis.

Responsabilidade civil das instituições bancárias

A responsabilidade civil, instituto jurídico de normas e princípios que regem as relações jurídicas da sociedade, deteve grandes mutações. Embora tal instituto tenha se originado nas primeiras civilizações, como Grécia e Babilônia, no cenário brasileiro foi recepcionado inicialmente no Código Criminal de 1830 e posteriormente introduzido no CC de 1916, estendendo-se inclusive à Constituição Federal de 1988, consubstanciando-se nas formas de responsabilidade civil subjetiva e objetiva. Na primeira, exige-se a demonstração de dolo e culpa; na segunda, inexiste a figura da intenção do agente causador, bastando a conduta, o dano e o nexo de causalidade.

No que diz respeito às instituições financeiras, a responsabilidade civil assume contornos ainda mais relevantes, porquanto esses entes operam em um mercado altamente regulado e mantêm relações jurídicas de consumo com milhões de brasileiros. Nesse sentido, o CC de 2002, em seu art. 927 e seguintes, dispõe sobre a obrigação de reparar o dano causado por ato ilícito, enquanto o parágrafo único do mesmo dispositivo consagra a responsabilidade objetiva nas atividades de risco. As instituições bancárias, por sua própria natureza, enquadram-se nessa categoria: a atividade de intermediação financeira e a guarda de recursos alheios é, por excelência, uma atividade de risco, que impõe ao fornecedor o dever de garantir a incolumidade dos ativos e dos dados de seus clientes.

O CDC (lei 8.078/1990) reforça esse entendimento ao estabelecer, em seu art. 14, a responsabilidade objetiva do fornecedor de serviços pelos danos causados aos consumidores em decorrência de defeitos na prestação do serviço. O reconhecimento pelo STJ de que as instituições financeiras estão sujeitas ao CDC, consubstanciado na súmula 297, é marco fundamental nessa discussão. Ademais, a própria súmula 479 do STJ consolidou o entendimento de que as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

Assim, a chamada "culpa do golpista", tantas vezes invocada pelas instituições financeiras como argumento exonerativo de responsabilidade, não encontra acolhida na ordem jurídica vigente quando o ilícito decorre de falha no próprio sistema de segurança disponibilizado pelo banco. O fato de um terceiro executar o golpe não rompe, por si só, o nexo de causalidade entre a falha da instituição e o dano sofrido pelo consumidor. Trata-se, na terminologia consumerista, de fortuito interno: risco inerente e previsível da atividade desenvolvida, que não pode ser transferido ao usuário do serviço.

Falha na segurança tecnológica e o dever de proteção

Um dos núcleos centrais do debate reside na qualidade e na eficácia dos sistemas de segurança tecnológica disponibilizados pelas instituições financeiras. É notoriamente sabido que os bancos dispõem de aparatos tecnológicos sofisticados, como IA para análise de comportamento transacional, autenticação biométrica multifatorial e monitoramento em tempo real de operações suspeitas. A pergunta que se impõe, porém, é simples: se tais ferramentas existem, por que as fraudes continuam crescendo em ritmo alarmante?

A resposta, ao menos em parte, pode ser encontrada na lógica econômica que permeia o setor: investir em segurança é custoso, e enquanto o valor pago em indenizações for inferior ao custo de implementação de sistemas mais robustos, as instituições terão pouco incentivo real para elevar seus padrões. Essa racionalidade, embora perversa do ponto de vista social, é absolutamente coerente do ponto de vista do mercado, e é precisamente aqui que o direito deve intervir com maior energia.

A resolução CMN 4.893/21, que dispõe sobre a política de segurança cibernética das instituições financeiras, estabelece diretrizes mínimas que devem ser observadas pelos bancos, incluindo a implementação de controles de acesso, mecanismos de autenticidade e sistemas de detecção de incidentes. A descontínua observância dessas normas ou a sua implementação superficial configura, por si só, falha no serviço, nos termos do art. 14, § 1º, do CDC, atraindo a responsabilidade objetiva da instituição.

Casos emblemáticos ilustram bem essa realidade. O chamado golpe do SIM Swap , no qual criminosos clonam o chip telefônico do cliente para interceptar tokens de autenticação enviados por SMS, há anos é denunciado por especialistas em segurança digital, e ainda assim muitos bancos mantiveram esse método como único canal de validação. Da mesma forma, as operações de transferência via PIX realizadas em valores expressivos, em horários incomuns e para destinatários nunca antes registrados na conta, deveriam acionar, automaticamente, mecanismos de bloqueio preventivo ou de confirmação reforçada. A sua ausência revela a falha que legitima o dever de indenizar.

LGPD e dados bancários: A proteção que ainda não chegou

A LGPD (lei 13.709/18) representa um marco civilizatório no ordenamento jurídico brasileiro, ao estabelecer um regime jurídico estruturado para o tratamento de dados pessoais por agentes públicos e privados. No setor bancário, sua relevância é ainda mais pronunciada: os bancos são, por excelência, grandes coletores e processadores de dados pessoais e financeiros, informações sobre renda, movimentação financeira, hábitos de consumo, localização, histórico de crédito. Dados esses que, se vazados ou mal gerenciados, tornam-se armas nas mãos dos criminosos.

A LGPD impõe ao controlador e ao operador de dados uma série de obrigações, entre as quais se destacam: a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas (art. 46); a comunicação à ANPD - Autoridade Nacional de Proteção de Dados e ao titular em caso de incidente de segurança (art. 48); e o respeito ao princípio da prevenção, que determina a adoção de medidas antecipatórias para evitar o dano antes de sua ocorrência (art. 6º, VIII).

O problema, contudo, reside na efetividade desse arcabouço normativo. A ANPD, criada apenas em 2020 e ainda em processo de maturação institucional, dispõe de estrutura fiscalizatória ainda incipiente diante da dimensão do mercado a ser regulado. As multas previstas na LGPD, de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, são, na prática, baixas para instituições financeiras de grande porte, cujos lucros anuais superam, em muitos casos, dezenas de bilhões de reais. O resultado é que a lei existe, mas o incentivo para o cumprimento irrestrito ainda é insuficiente.

Não raramente, as vítimas de fraudes bancárias tiveram seus dados previamente expostos em vazamentos que envolveram, direta ou indiretamente, as próprias instituições financeiras ou seus parceiros. O golpista que liga para a vítima conhecendo seu nome, CPF, saldo aproximado e últimas operações não é um adivinho, é alguém que teve acesso a informações que deveriam estar protegidas. A responsabilidade por essa exposição, quando originária de falha no sistema de guarda e tratamento de dados, recai sobre o controlador e nele deve permanecer, nos termos dos arts. 42 e 43 da LGPD.

Direito comparado: Os punitive damages como instrumento de efetividade

O debate sobre a efetividade das indenizações no combate às práticas negligentes das instituições financeiras conduz, inevitavelmente, à comparação com os sistemas jurídicos que adotaram os chamados punitive damages, ou danos punitivos. No sistema norte-americano, em especial, essa figura jurídica permite que, além da reparação do dano efetivamente sofrido, o julgador arbitre valor adicional de caráter punitivo e dissuasivo, proporcional à gravidade da conduta do réu e à necessidade de se evitar a repetição da prática lesiva.

A lógica subjacente é de clareza cristã: se uma empresa aufere lucro superior ao valor das indenizações que paga, a conduta negligente se torna racionalmente preferível ao investimento em prevenção. Os punitive damages quebram essa equação ao tornar o custo do dano imensamente superior ao benefício obtido com a economia em segurança. O caso BMW of North America v. Gore, julgado pela Suprema Corte americana em 1996, é referência clássica nessa matéria: a Corte reconheceu a validade dos danos punitivos, estabelecendo critérios de proporcionalidade para o seu arbitramento, como o grau de reprovabilidade da conduta, a relação entre o dano punitivo e o dano real, e a diferença entre a condenação e as sanções civis aplicáveis ao caso.

No Brasil, embora os punitive damages não sejam expressamente previstos em lei, a doutrina e parte da jurisprudência já reconhecem a função tri funcional do dano moral, reparar, punir e prevenir, o que abre espaço para uma leitura mais progressista e eficaz da responsabilidade civil nas relações de consumo. O STJ, em diversas oportunidades, fixou indenizações por danos morais em patamares superiores ao mero sofrimento individual, levando em consideração o caráter pedagógico da condenação. Ainda assim, os valores praticados pelos tribunais brasileiros permanecem, em regra, significativamente aquém do necessário para impactar de forma efetiva as políticas internas das grandes instituições financeiras.

O direito britânico, por sua vez, adota os chamados exemplary damages com finalidade semelhante. A União Europeia, embora mais cautelosa em relação à punitiva, evoluiu na direção de sanções administrativas mais severas, especialmente no âmbito do RGPD - Regulamento Geral de Proteção de Dados, cujas multas podem alcançar até 4% do faturamento anual global da empresa infratora , patamar esse que, se adotado no Brasil, representaria uma revolução na proteção de dados sensíveis no setor financeiro.

Conclusão

A culpa, portanto, não é apenas do golpista. Em muitos casos, é também do sistema por tolerá-lo e ser leniente com o mesmo. As instituições bancárias, ao operarem em um mercado de risco elevado e ao deterem sob sua guarda os dados e o patrimônio de milhões de brasileiros, assumem uma responsabilidade que transcende a mera relação contratual: assumem um dever público de segurança.

O ordenamento jurídico brasileiro dispõe de instrumentos aptos a responsabilizar essas instituições, o CDC, o CC, a LGPD e a jurisprudência consolidada do STJ são ferramentas poderosas. O que lhes falta, porém, é o incremento de um componente essencial: a capacidade punitiva e dissuasiva das sanções. Enquanto indenizar for mais barato do que prevenir, a lógica perversa do mercado continuará a preponderar, e as vítimas das fraudes continuarão a arcar, sozinhas, com o preço de uma falha que não lhes pertence.

É necessário, pois, que o debate sobre a incorporação dos danos punitivos ao sistema jurídico brasileiro ganhe corpo e relevância, especialmente nas relações de consumo envolvendo grandes conglomerados financeiros. Mais do que reparar o dano individual, trata-se de transformar o direito em instrumento efetivo de transformação social, devolvendo ao consumidor a segurança que lhe foi subtraída e impondo, ao mercado, o preço justo pela negligência.

___________

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Brasília, DF: Presidência da República, 1990.

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Código Civil. Brasília, DF: Presidência da República, 2002.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018.

BRASIL. Conselho Monetário Nacional. Resolução CMN nº 4.893, de 26 de fevereiro de 2021. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

BRASIL. Superior Tribunal de Justiça. Súmula 297: O Código de Defesa do Consumidor é aplicável às instituições financeiras. Brasília: STJ, 2004.

BRASIL. Superior Tribunal de Justiça. Súmula 479: As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Brasília: STJ, 2012.

STATES UNITED STATES. Supreme Court. BMW of North America, Inc. v. Gore, 517 U.S. 559 (1996).

UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados , RGPD). Jornal Oficial da União Europeia, L 119, 4 maio 2016.