Golpes e fraudes: limite de responsabilidade das instituições financeiras

Golpes e fraudes têm se tornado cada vez mais comuns e por meios cada vez mais elaborados, quase sempre envolvendo transações financeiras. Mesmo adotando medidas de cautela, é possível que os golpes e fraudes ainda ocorram causando danos ao usuário e às instituições financeiras.

Mesmo com toda atualização legislativa, ainda é uma tarefa árdua responsabilizar os causadores do dano e definir qual a metodologia usar no caso de restituição de valores transferidos indevidamente.

Face à difícil localização e responsabilização dos criminosos e à expansão das técnicas utilizadas por eles, questiona-se se as instituições financeiras têm, por ação ou omissão, alguma responsabilidade pelos prejuízos suportados pelos consumidores em decorrência da prática criminosa.

A súmula n.º 297 do Superior Tribunal de Justiça (STJ), referindo-se ao artigo 3º, §2º, do Código de Defesa do Consumidor (CDC), consignou o entendimento de que o CDC é, sim, aplicável na relação jurídica existente entre a pessoa física correntista e a instituição financeira, de forma que o banco – na qualidade de fornecedor de serviços – responde objetivamente, ou seja, independentemente de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação de seus serviços.

É indiscutível, portanto, que o risco da atividade bancária é inerente à sua própria natureza, especialmente quando se trata de serviços prestados por meios eletrônicos, em que se considera essencial a obrigação de oferecer segurança.

Nesta mesma linha, a súmula n.º 479 do Superior Tribunal de Justiça dispõe que as instituições financeiras respondem objetivamente pelos danos causados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito das operações bancárias.

Qual é o limite da responsabilidade da instituição em caso de fraude financeira?

Atualmente, o entendimento acerca da aplicabilidade do CDC às instituições financeiras é pacificado pelo STJ, inclusive expresso nas súmulas 297 e 479, acima referidas.

Apesar da pacificação da aplicação do CDC nas relações bancárias, pode-se dizer que a internet trouxe ao consumidor uma lembrança da relação de consumo antes da vigência da citada súmula, época em que os riscos do consumo corriam por conta dele.

A finalidade do direito do consumidor é justamente reduzir a desigualdade entre o fornecedor e o consumidor, restabelecendo o equilíbrio entre as partes nas relações de consumo.

Reconhecendo a vulnerabilidade do consumidor, o CDC atribuiu diversos ônus ao fornecedor, a fim de garantir a segurança da relação de consumo e resguardar os direitos do consumidor.

A respeito do tema ensina o jurista Bruno Miragem em seu livro Direito Bancário (2014, p.43. Revista dos Tribunais):

“O direito do consumidor, e a premissa da qual esta parte, de desigualdade fática entre consumidor e fornecedor, impõe então que em matéria de responsabilidade civil decorrente das relações de consumo, adote-se o critério da responsabilidade objetiva, independente da demonstração de culpa. A finalidade é contemplar situações nas quais, em face da vulnerabilidade do consumidor e da ausência de conhecimento sobre a atividade de fornecimento de produtos e serviços, o fornecedor, expert em sua atividade profissional habitual, e que dá causa ao risco em razão da atividade econômica que desenvolve, responda pelos danos que dela sejam decorrentes”.

A culpa exclusiva do consumidor ou de terceiros, prevista como excludente de responsabilidade no inciso III, §3º, do artigo 13 e no inciso II, do §3º do artigo 14, ambos do CDC, se relacionam também com o nexo de causalidade. Desta forma, em linhas gerais, não se pode responsabilizar o fornecedor nos casos em que o fato ensejador do acidente de consumo não foi nenhum defeito no produto ou serviço e sim um ato do consumidor ou de terceiros.

Contudo, cabe esclarecer que nem todo fato de terceiro é causa de exclusão de responsabilidade, apenas quando a conduta foi a causa exclusiva do dano.

O adequado, portanto, seria falar em “fato exclusivo de terceiro”, mas não em “fato de terceiro”. Vale dizer que nem todo fato de terceiro é causa de exclusão de responsabilidade; somente aquele que por si só, exclusivamente considerado, romper o nexo causal entre o aparente agente e o dano sofrido pela vítima, dando origem ao novo nexo causal. Em casos tais, o fato de terceiro, segundo a opinião dominante, equipara-se ao caso fortuito, por seu uma causa estranha à conduta do agente aparente, imprevisível e inevitável.

No entanto, podemos concluir que apenas o fortuito externo é passivo de excluir a responsabilidade do fornecedor nos casos de dano ao consumidor, visto que o produto ou serviço estariam resguardados pela excludente disposta no artigo 14, §3º, I, do CDC, visto que o fato do dano não tem relação à atividade do fornecedor.

Já no fortuito interno, o fato, apesar de imprevisível e inevitável, quando for relacionado à atividade do fornecedor e ocorrido no momento da prestação do serviço, não exclui a responsabilidade do fornecedor, com base no risco do empreendimento.

O risco da atividade do setor bancário

O risco da atividade empresarial ou risco proveito é uma das teorias que visam justificar a existência da responsabilidade civil objetiva, no aspecto de que toda pessoa, pode ser física ou jurídica, ao exercer uma atividade empresarial visando o lucro, cria um risco de danos a terceiros.

O conceito da responsabilidade civil objetiva dispõe que, existindo o dano, o fornecedor ou responsável deve ser responsabilizado a repará-lo independentemente de culpa. Na teoria, a responsabilidade civil aplicada substitui a ideia de “culpa” para “risco”, criando o “risco-proveito” ou risco da atividade empresarial, que se funda no princípio de que é reparável o dano causado a terceiro em consequência do exercício da atividade empresarial lucrativa realizada em benefício do responsável.

Na teoria, o risco da atividade empresarial visa proteger o destinatário ou usuário do produto ou serviço ofertado, evitando que este arque sozinho com prejuízos causados pelos danos decorrentes do exercício em massa dos produtos ou serviços que visam unicamente o benefício lucrativo das empresas.

Um exemplo claro é o entendimento pacificado quanto à responsabilidade civil dos bancos em caso de assalto a clientes dentro da agência bancária ou em suas dependências, em que, apesar de o fato gerador do dano ter sido causado por culpa exclusiva de terceiros, é reconhecida a falha na prestação de serviços do banco sob a justificativa que cabe a este garantir a privacidade e segurança de seus clientes quando realizam operações bancárias.

Porém, a aplicação da teoria do risco da atividade é subjetiva, devendo ser analisada caso a caso a fim de não incumbir ao fornecedor todos os riscos do mercado de consumo, fugindo da “justiça distributiva”. Um bom exemplo quanto à subjetividade da teoria é o entendimento pacificado do STJ no sentido de afastar a responsabilidade do banco em casos de transações financeiras realizadas por terceiro sem autorização, através de cartão pessoal e utilizando a senha do correntista, quando este facilita o acesso a sua senha.

O ato causador do dano foi praticado por terceiro estranho à relação jurídica entre fornecedor e consumidor, podendo vir a ser compreendido como afeto à atividade empresarial desenvolvida pelo banco nos casos em que se demonstrar a ocorrência de falhas nos controles de segurança do banco.

Desta forma, evidencia-se que inexiste uma rígida divisão entre o fortuito interno e externo, abrindo espaço para interpretação acerca da aplicação do fortuito em cada caso concreto.

As fraudes no setor bancário

A fraude possui uma conceituação universal, em que é caracterizada por um ato ilícito ou de má-fé cujo objetivo é obter vantagens indevidas para si ou para outrem.

O setor bancário é uma das atividades empresariais mais atingidas e escolhidas por fraudadores para aplicação de golpes, principalmente de maneira online.

As fraudes financeiras atingem uma parcela relevante dos brasileiros todos os anos, causando diversos prejuízos a consumidores e fornecedores.

Em pesquisa realizada pela Confederação Nacional de Dirigentes Lojistas (CNDL) e pelo Serviço de Proteção ao Crédito (SPC Brasil), mesmo com o aumento de alertas e acesso a informações de segurança para evitar as fraudes, 92% dos entrevistados admitem ter dificuldades para se proteger contra esse tipo de crime, sendo as principais dificuldades: identificar a confiabilidade de um site para transações financeiras; saber identificar a veracidade de boletos; identificar e não responder e-mails e telefonemas que solicitam informações pessoais e financeiras; não abrir mensagens de pessoas desconhecidas ou suspeitas; fazer compras somente em locais confiáveis e não compartilhar dados pessoais nas redes sociais.

Phishing – fraudes financeiras no ambiente digital

O termo phishing é proveniente do termo fishing em inglês, que quando traduzido na forma literal ao português se iguala ao verbo pescar, e é utilizado para definir tipos de condutas fraudulentas cometidas em ambientes digitais. Esse tipo de fraude utiliza da engenharia social para enganar a vítima, a fim de obter informações pessoais e confidenciais.

A fraude phishing é normalmente realizada através do envio de uma mensagem de texto, principalmente através do e-mail, fraudando características de um e-mail que poderia de fato ter sido encaminhado por uma instituição financeira, loja ou até mesmo de uma instituição governamental.

Pode ser descrito como exemplos de phishing supostos e-mails de bancos informando a necessidade de download de uma nova atualização do aplicativo mobile ou internet banking para evitar bloqueio da conta ou até mesmo para que o aparelho do cliente fique seguro, evitando fraudes.

Os fraudadores, ao terem acesso aos dados disponibilizados pela própria vítima, acessam livremente o sistema do banco como se fossem o legítimo usuário.

No caso de phishing, ao menos três teorias poderiam ser aplicáveis para responsabilização das partes: a teoria do risco-proveito; culpa exclusiva do consumidor; e a responsabilidade exclusiva de terceiros.

Conclusão

A divergência jurisprudencial existente quanto à responsabilidade das instituições bancárias nos casos de fraude sofridas pelo consumidor, causada por terceiros, traz uma grande insegurança jurídica para a relação de consumo e consequentemente para o setor empresarial.

O CDC foi introduzido na legislação brasileira a fim de garantir maior proteção ao elo mais fraco da relação de consumo, visto que até a entrada em vigor do Código todos os riscos do consumo eram assumidos pelos consumidores, sendo que o fornecedor somente respondia nos casos em que ficavam comprovadas seu dolo ou culpa, o que raramente ocorria.

Na relação de consumo, existe a presunção absoluta da vulnerabilidade do consumidor, independentemente de qualquer questão, sendo desnecessária a sua comprovação. A responsabilidade objetiva trouxe ao ordenamento jurídico a hipótese de se presumir a culpa do fornecedor, mas não deixou de exigir o nexo de causalidade. Dessa forma, inexistindo o nexo causal entre o dano sofrido e o produto, não há de se falar em responsabilidade do fornecedor.

Junto ao CDC, a teoria do risco da atividade empresarial visa proteger o destinatário ou usuário do produto ou serviço ofertado, evitando que este arque sozinho com prejuízos causados pelos danos decorrentes do exercício em massa dos produtos ou serviços que visam unicamente o benefício lucrativo das empresas.

A teoria e o Código se baseiam na “justiça distributiva”, a qual divide entre todas as partes do negócio jurídico os riscos decorrentes da atividade comercial, visto que os benefícios da relação de consumo também são compartilhados.

Entende-se que a responsabilidade objetiva e a teoria do risco-proveito devem ser relativas sempre ao caso concreto, analisadas sob a ótica de um vício ou defeito do serviço e, em especial se esses foram a causa determinante para ocasionar o dano sofrido pelo consumidor, bem como analisadas as atitudes empregadas pelo consumidor para evitar a causa do dano.

Ao atribuirmos ao banco a responsabilidade por todo e qualquer ato decorrente da sua atividade empresarial com base no fortuito interno e risco proveito, estaríamos distorcendo o conceito de justiça distributiva.

Assim, nos casos de fraudes digitais em que ficar constatado que não houve quebra do sistema operacional bancário, bem como que este trouxe ferramentas tecnológicas em seu sistema para proteger o usuário de possíveis tipos de fraudes cibernéticas e que o fraudado foi diretamente o consumidor, não tendo o banco qualquer participação nos meios utilizados pelo fraudador para obter os dados da vítima, como geralmente ocorre nos casos de phishing, o serviço fornecido não teria qualquer vício ou defeito, não sendo aplicável o entendimento constante da súmula n.º 479 do STJ para fins de responsabilização do fornecedor.

Neste caso, a despeito do teor da súmula n.º 479 do STJ, que ampara o usuário vítima, deve-se analisar a extensão da sua conduta para verificar se configura culpa exclusiva da vítima, ocasionando a excludente de responsabilidade do fornecedor.

Se você quer entender mais sobre o assunto, nossa equipe de Direito Bancário está à disposição para contribuir no que for necessário.

Saiba mais sobre nós e acompanhe os nossos conteúdos.