Uma das mais notórias dúvidas existenciais envolvendo a sétima arte pode ser sintetizada em uma pergunta aparentemente simples: a arte imita a vida ou é a vida que imita a arte?
A resposta para essa indagação, ao que tudo indica, permanece aberta.
Se no início da década de 1970 Paul Newman e Robert Redford davam vida, no cinema, aos personagens Henry Gondorff e Johnny Hooker — dois astutos e carismáticos vigaristas que colocavam em prática um elaborado golpe para ganhar dinheiro —, hoje, passados mais de cinquenta anos, a realidade não parece estar muito distante das telas.
Nos dias atuais, criminosos igualmente engenhosos vêm colocando em prática golpes sofisticados, muitas vezes assumindo o papel de gerentes ou analistas de segurança de instituições financeiras. Munidos de informações surpreendentemente detalhadas sobre os respectivos correntistas — dados que, em tese, deveriam ser sigilosos e rigorosamente protegidos —, esses golpistas entram em contato com as vítimas por telefone, mensagens ou aplicativos como WhatsApp e SMS.
Valendo-se de linguagem técnica típica do ambiente bancário e criando um cenário de urgência ou de suposta fraude em andamento, passam a orientar o cliente a instalar aplicativos, acessar links falsos, escanear QR Codes, informar senhas ou códigos de segurança, ou mesmo realizar transferências para “contas seguras”.
O resultado, infelizmente, é conhecido: transferências fraudulentas de valores, muitas vezes realizadas por meio do sistema PIX, ocasionando prejuízos consideráveis às vítimas, que agem de boa-fé acreditando estar protegendo suas próprias contas.
A esse respeito, o Código Penal brasileiro passou a tratar especificamente desse tipo de fraude com a edição da Lei nº 14.155/2021, que introduziu a figura do chamado estelionato eletrônico.
De acordo com o artigo 171, § 2º-A, do Código Penal, configura-se essa modalidade criminosa quando a fraude é praticada com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos, internet, correio eletrônico ou aplicativos de mensagens.
Apesar disso, para piorar ainda mais esse cenário, muitas instituições financeiras, quando confrontadas com situações dessa natureza, costumam adotar uma postura que lembra o célebre gesto atribuído a Pôncio Pilatos, governador romano da Judeia responsável por autorizar a crucificação de Jesus Cristo: simplesmente “lavar as mãos” diante do ocorrido.
Em regra, os bancos costumam sustentar que as operações foram regularmente autorizadas pelos próprios clientes, mediante o uso de credenciais válidas — senha, token ou biometria — e que, por essa razão, não poderiam ser responsabilizados pelos prejuízos experimentados.
Mas será que esse argumento procede?
A questão, como se percebe, é delicada e insere-se no campo da responsabilidade civil das instituições financeiras.
No ordenamento jurídico brasileiro, as instituições financeiras são consideradas fornecedoras de serviços e, como tal, estão submetidas ao regime jurídico estabelecido pelo Código de Defesa do Consumidor.
O artigo 14 do CDC estabelece que o fornecedor responde objetivamente pelos danos causados aos consumidores em decorrência de defeitos na prestação de serviços.
Em outras palavras, não é necessária a comprovação de culpa do banco. Basta que estejam presentes três elementos fundamentais: o defeito do serviço, o dano e o nexo causal entre ambos.
Esse entendimento, aliás, encontra-se consolidado na jurisprudência dos nossos tribunais. O Superior Tribunal de Justiça, por meio da Súmula 479, fixou a seguinte orientação:
As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
Em termos práticos, isso significa que as fraudes bancárias, de modo geral, são consideradas risco inerente à própria atividade financeira, cabendo às instituições bancárias suportar os riscos decorrentes do funcionamento do sistema que elas próprias exploram.
Nesse contexto, costuma-se distinguir duas situações jurídicas distintas: o fortuito interno e o fortuito externo.
O fortuito interno refere-se aos eventos relacionados aos riscos próprios da atividade do fornecedor, como falhas de segurança, vulnerabilidades do sistema, vazamento de dados ou fraudes que se valem de informações obtidas a partir do próprio ambiente bancário.
Já o fortuito externo diz respeito a acontecimentos totalmente alheios à atividade da instituição financeira, como eventos absolutamente imprevisíveis, violência armada ou situações em que se verifica a culpa exclusiva da vítima.
Somente nessas hipóteses excepcionais é que se admite, em tese, a exclusão da responsabilidade do banco.
Diante desse cenário, tem predominado nos tribunais brasileiros o entendimento segundo o qual as instituições financeiras devem ressarcir os correntistas vítimas de fraudes, especialmente quando se verificam circunstâncias como:
- emprego de engenharia social convincente;
- utilização de dados reais do cliente;
- plausibilidade da fraude apresentada;
- ausência de mecanismos eficazes de alerta ou bloqueio;
- realização de operações claramente atípicas.
São exemplos comuns dessas situações a realização de transferências de elevado valor, a execução de diversas transações em sequência, a mudança abrupta do padrão de movimentação da conta ou a realização de operações incompatíveis com o histórico financeiro do correntista.
Nessas hipóteses, se o banco deixa de bloquear ou ao menos alertar o cliente sobre tais movimentações, os tribunais tendem a reconhecer a existência de falha na prestação do serviço, circunstância que pode gerar o dever de indenizar.
Vale observar, ainda, que a utilização indevida de dados pessoais em golpes dessa natureza também pode indicar falhas na proteção de informações sensíveis, o que suscita discussões adicionais à luz da Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018), que impõe às empresas o dever de adotar medidas eficazes de segurança e proteção de dados.
Embora a regra geral seja favorável ao consumidor, há situações, contudo, em que a responsabilidade do banco pode ser afastada.
Isso ocorre, por exemplo, quando se verifica a culpa exclusiva da vítima, situação que pode estar presente quando o próprio cliente, de forma consciente ou extremamente negligente, fornece suas credenciais de segurança ou realiza voluntariamente transferências a terceiros desconhecidos, mesmo diante de alertas claros da instituição financeira.
Ainda assim, é importante destacar que cada caso deve ser analisado de acordo com suas circunstâncias específicas, não sendo raro que os tribunais afastem a alegação de culpa exclusiva quando o golpe revela alto grau de sofisticação.
Diante de uma fraude dessa natureza, surge então uma pergunta inevitável: o que fazer?
A primeira providência é agir com rapidez.
Diante da constatação de uma movimentação fraudulenta, o correntista deve comunicar imediatamente o banco, com o objetivo de tentar bloquear operações, rastrear valores ou reduzir os prejuízos.
A segunda medida recomendável consiste no registro de boletim de ocorrência, detalhando o ocorrido e indicando, tanto quanto possível, os prejuízos suportados.
Em seguida, inicia-se uma etapa igualmente importante: buscar uma solução administrativa perante à instituição financeira.
É verdade que, na prática, muitas instituições bancárias costumam negar inicialmente qualquer tipo de ressarcimento, alegando tratar-se de operação regularmente autorizada mediante o uso correto de senha ou outros mecanismos de autenticação.
Ainda assim, essa tentativa de solução amigável é recomendável, inclusive para demonstrar a boa-fé e os esforços do cliente em resolver o problema sem recorrer imediatamente ao Poder Judiciário.
A esse respeito, cumpre observar que os tribunais brasileiros têm reiteradamente afirmado que a simples utilização da senha não é suficiente, por si só, para afastar a existência de fraude, sobretudo quando se verifica a atuação de criminosos especializados em técnicas de engenharia social.
Persistindo a negativa de ressarcimento, não restará alternativa ao correntista senão buscar a tutela do Poder Judiciário, por intermédio de um advogado, com boas chances de êxito.
Afinal, como visto, a responsabilidade das instituições financeiras nesse tipo de situação é, em regra, objetiva, sendo afastada apenas em circunstâncias excepcionais nas quais se comprove efetivamente a culpa exclusiva da vítima.
Em um cenário no qual as fraudes eletrônicas se tornam cada vez mais sofisticadas, espera-se que as instituições financeiras adotem mecanismos igualmente sofisticados de prevenção e segurança.
Pois, em última análise, quem explora profissionalmente o sistema financeiro também deve assumir os riscos inerentes à própria atividade que desenvolve.
José Ricardo Armentano / advogado na MORAD ADVOCACIA EMPRESARIAL