202311.13

STJ: Banco responde por vazamento de dados que resultou em ‘golpe do boleto’

Ministros revertem decisão do TJSP e afirmam que LGPD prevê que o tratamento de dados será irregular quando não fornecer a segurança que o titular espera

A 3ª Turma do Superior Tribunal de Justiça (STJ) entendeu que os bancos respondem pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários, obtidos por criminosos para a prática de fraudes como o “golpe do boleto”. Nesse tipo de estelionato, golpistas se passam por funcionários de uma instituição financeira e emitem boleto falso para receberem indevidamente o pagamento feito pelo cliente.

Os ministros reformaram acórdão do Tribunal de Justiça de São Paulo (TJSP) e restabeleceram a sentença que condenou um banco a declarar válido o pagamento realizado por meio de boleto fraudado e devolver à cliente parcelas pagas indevidamente em contrato de financiamento.

De acordo com o processo, a cliente encaminhou e-mail para o banco solicitando informações sobre como quitar a operação. Dias depois, ela foi contatada pelo WhatsApp por uma suposta funcionária da instituição e recebeu um boleto no valor de cerca de R$ 19 mil. A cliente pagou o boleto, mas depois descobriu que o documento havia sido emitido por criminosos.

Para o TJSP, o golpe contra a cliente foi aplicado por meio de negociações realizadas de maneira informal. O tribunal também considerou que as informações do boleto falso divergiam dos dados constantes do contrato de financiamento e que a consumidora falhou em seu dever de segurança e cautela.

Fraudes

A ministra Nancy Andrighi, relatora do recurso da cliente, explicou que, nos termos da tese fixada no julgamento do Tema Repetitivo 466 – que contribuiu para a edição da Súmula 479 do STJ –, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade.

Em relação aos chamados golpes de engenharia social, a relatora comentou que os criminosos costumam conhecer os dados pessoais das vítimas e, com base neles, usam técnicas psicológicas de persuasão – a exemplo da simulação de um atendimento bancário verdadeiro – como forma de atingir seu objetivo ilícito.

“Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada”, ponderou a ministra.

Nesse cenário, a ministra apontou que não poderia ser imputada ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, porque essas informações podem ser obtidas por fontes alternativas. Por outro lado, caso os dados do consumidor sejam vinculados a operações e serviços bancários, a instituição tem o dever de armazenamento e proteção, sob pena de eventual vazamento configurar falha na prestação do serviço.

LGPD

Nancy Andrighi destacou que, nos termos do artigo 44 da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados será irregular quando não fornecer a segurança que o titular espera, considerando-se o resultado e os riscos desse tratamento.

No caso analisado, a ministra reforçou que, segundo as informações dos autos, os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias. A relatora também apontou que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las.

Segundo a relatora, algumas circunstâncias pesam a favor da responsabilização do banco: o estelionatário tinha conhecimento de que a vítima era cliente da instituição financeira, sabia que ela encaminhou e-mail com a finalidade de quitar sua dívida e também possuía dados relativos ao financiamento. Essas informações – sobretudo os dados pessoais bancários com exclusividade, concluiu a ministra ao restabelecer a sentença (REsp 2.077.278).

(Com informações do STJ).

Fonte: https://valor.globo.com/legislacao/noticia/2023/10/24/stj-banco-responde-por-vazamento-de-dados-que-resultou-em-golpe-do-boleto.ghtml

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analíticos".
cookielawinfo-checkbox-functional	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Funcionais".".
cookielawinfo-checkbox-necessary	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Necessários".
cookielawinfo-checkbox-performance	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Performance".
viewed_cookie_policy	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.