Resumo: O presente artigo busca analisar a responsabilidade civil das instituições bancárias em casos de fraudes praticadas mediante spoofing.

Palavras-chave: Direito Civil. Consumidor. Responsabilidade civil. Contratos bancários. Proteção de dados pessoais.   

Sumário: 1. Delimitação do tema; 2. Natureza da relação jurídica material; 3. Responsabilidade civil da instituição bancária; 4. Dever de proteção dos dados pessoais da consumidora (Lei 13.709/2018); 5. Danos patrimoniais; 6. Danos Morais; 7. Conclusão; 8. Referências.

1. DELIMITAÇÃO DO TEMA

O presente trabalho tem por objetivo analisar a responsabilidade civil, ou não, da instituição bancária em casos de fraudes realizadas mediante o artifício do “spoofing”, por meio do qual terceiro mascara o número de telefone e faz com que a rede telefônica apresente ao receptor da chamada o contato oficial da instituição financeira. Com isso, promove-se o disfarce como se a ligação fosse realizada por instrumento confiável, a fim de praticar a fraude, por meio de transferências e contratação de empréstimos bancários.

Em sentido técnico, “o termo spoofing vem do verbo em inglês spoof (imitar, fingir), que em Tecnologia da Informação é um jargão usado para falsificação. Em geral, o termo descreve o ato de enganar um site, um serviço, um servidor ou uma pessoa afirmando que a fonte de uma informação é legítima, quando não é”[1]

De um lado, as instituições financeiras alegam o rompimento do nexo causal, ante o fato de terceiro e a culpa exclusiva da vítima. De outro, os consumidores sustentam a teoria da aparência, boa-fé objetiva e falha no dever de segurança inerente à atividade bancária.

2. DA NATUREZA DA RELAÇÃO JURÍDICA MATERIAL

De início, anote-se que se trata de relação jurídica material de consumo, na medida em que a instituição financeira é fornecedora de serviços bancários, cujo destinatário final é o consumidor, a teor do CDC, arts. 2º, 3º e 17. Em outras palavras, o vínculo entre as partes é de consumo, sendo evidente a hipossuficiência técnica e econômica do cliente diante do fornecedor de serviços bancários.

É que a instituição financeira é quem detém completo conhecimento dos mecanismos e funcionamento de seus sistemas informáticos e de segurança, de forma que compete a ela o ônus de demonstrar a regularidade da operação fraudulenta, nos termos do artigo 6º, inciso VIII do CDC.

Por conseguinte, é inequívoca a natureza de consumo da relação jurídica.

3. RESPONSABILIDADE CIVIL DA INSTITUIÇÃO BANCÁRIA

A responsabilidade civil consiste no dever sucessivo, o qual surge para recompor o dano decorrente da violação de um dever jurídico originário, tendo por elementos a conduta, o nexo causal e o dano[2].

Com efeito, nos termos do art. 14 do CDC, as instituições financeiras respondem, independentemente da existência de culpa, pela reparação dos danos causados ao consumidor por defeitos relativos à prestação do serviço.

Esse também é o entendimento do Superior Tribunal de Justiça (STJ) conforme Súmula 479, uniformizando que as instituições financeiras respondem objetivamente pelos danos gerados por “fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

Nesse sentido, quanto ao defeito do serviço, a regra da distribuição da carga probatória imputa ao fornecedor esse ônus, de modo que caberá à instituição financeira comprovar que o “defeito inexiste ou que o dano decorre de culpa exclusiva do consumidor ou de terceiro” (CDC, art. 14, §3º).

Assim sendo, a responsabilidade da instituição financeira é objetiva, somente podendo ser afastada quando ficar comprovada a existência de fatos que rompem o nexo causal, tal qual a culpa exclusiva do consumidor ou de terceiros.

Nessa ordem de ideias, a culpa exclusiva de terceiros, capaz de elidir a responsabilidade objetiva do fornecedor de produtos ou serviços, é somente aquela que se enquadra no gênero de fortuito externo (evento que não tem relação de causalidade com a atividade do fornecedor), e não interno, como no caso de falha do fornecedor em seu dever de segurança.

Portanto, a atuação indevida de terceiro (fraude) não rompe o nexo causal entre a conduta da instituição financeira e os danos aos consumidores, pois se cuida de fortuito interno (teoria do risco da atividade), relacionado os riscos inerentes ao exercício da atividade lucrativa desempenhada pelo banco (CDC, art. 14, §3º, II, e Súmula 479 do STJ)

De outra parte, não se nega que o objetivo do art. 14, §3º, do CDC é conferir maior proteção à pessoa consumidora, que não deve suportar os riscos do negócio, de modo que “explicita a preocupação do legislador de, na sociedade de consumo de massas, conferir maior proteção ao consumidor – parte vulnerável na relação –, estabelecendo que o fornecedor de serviços deve responder pelos riscos derivados de sua atividade econômica mesmo que não atue culposamente”. (STJ, REsp 1875164/MG, Voto da Min. Relatora, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 17/11/2020, DJe 19/11/2020).

Em casos em que se utiliza do artifício do “spoofing”, o fato é que os fraudadores têm os dados pessoais do correntista, inclusive seu contato telefônico. Nessas situações, a relação de chamadas telefônicas efetuadas e recebidas confirma contato a partir de linha que, notoriamente, é o canal oficial das instituições bancárias.

Demais disso, verifica-se que toda a sistemática relativa à realização de operações bancárias por meio da rede mundial de computadores, de terminais de autoatendimento e de dispositivos móveis foi desenvolvida principalmente com objetivo de diminuir custos (com agências e funcionários) e de fomentar lucros.

Logo, quem mais aufere os bônus dessa sistemática deve arcar com os ônus dela decorrentes, assumindo o risco inerente a esse tipo de operação.

Nesse contexto, os estelionatários têm informações sobre os dados bancários do consumidor, de sorte que a teoria da aparência, à luz da boa-fé objetiva, deve incidir em casos tais (CDC, art. 4º, III, parte final).

Acrescente-se, por fim, que situação quase que rotineira para qualquer correntista de banco é o recebimento de ligações, via celular, de prepostos dessas instituições financeiras, para ofertar produtos. Com isso, o consumidor, observando que o número telefônico era o oficial da CEF, não tinha como saber que se tratava de golpe.

A responsabilidade civil, pois, é evidente.

4. DEVER DE PROTEÇÃO DOS DADOS PESSOAIS DA CONSUMIDORA (LEI 13.709/2018)

Como visto, o recebimento, pelo consumidor, de ligação telefônica que partiu de número notoriamente pertencente ao fornecedor e de mensagem de texto indicando acesso suspeito são elementos que atestam, com alto grau de probabilidade, vazamento de dados sensíveis de correntistas, ou mesmo envolvimento de funcionários da instituição bancária.

Pois bem.

A Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) incrementou o dever de guarda pela segurança e sigilo dos dados de seus usuários, o qual se aplica às instituições financeiras. Isso porque o surgimento de novas formas de relacionamento entre clientes e entidades bancárias, notadamente por meio de sistemas eletrônicos e da internet, reforçam a conclusão acerca da responsabilidade objetiva pelos riscos inerentes ao fornecimento de produtos e serviços bancários.

Com efeito, a LGPD tem por fundamentos, entre outros, o respeito à privacidade, a inviolabilidade da intimidade, da honra e da imagem, além da defesa do consumidor. Nesse particular, a LGPD diz ser dado pessoal “informação relacionada a pessoa natural identificada ou identificável” (LGPD, artigo 5º, inciso I), especificando que dado pessoal sensível é o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (LGPD, artigo 5º, inciso II).

De outro lado, a LGPD, em seu artigo 6º, fixa que o tratamento de dados pessoais deverá observar a boa-fé, bem como segurança, com a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” (LGPD, artigo 6º, VII), além do dever de prevenção, com a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais” (LGPD, artigo 6º, inciso VIII).

Sendo assim, constitui dever da instituição financeira, que disponibiliza e lucra com a prestação de serviços por meio de plataforma digital e correspondente bancário, fornecer mecanismos seguros, inclusive com sistemas de detecção antifraude, a fim de coibir transações suspeitas, de forma a evitar danos aos consumidores, sobretudo aquelas que não se adequam ao perfil de utilização/movimentação bancária do cliente, como, por exemplo, a utilização de todo o cheque-especial de correntista, em um só fim de semana.

Nesse contexto, o sistema bancário possui aparato tecnológico para detecção de fraudes, restando caracterizada a falha na prestação do serviço, a qual tem trazido prejuízo aos consumidores.

Por essa razão, havendo fragilização dos dados dos consumidores, porque os estelionatários, de antemão, já tinham os dados do cliente, é de se aplicar os comandos da Lei 13.709/2018, arts. 42 e seguintes, reforçando a responsabilidade da instituição financeira em ressarcir os prejuízos materiais comprovados, de maneira que não há falar em culpa exclusiva da vítima ou fato de terceiro, razão pela qual o nexo entre a conduta e o dano encontra-se, nestas situações, indene de dúvidas.

Por isso, a responsabilidade pelos danos é de rigor.

5.  DANOS PATRIMONIAIS

Configurado o dever de indenizar, a reparação pelos danos materiais afigura-se de rigor.

O Código Civil, em seu artigo 944, diz que a indenização mede-se pela extensão do dano, seja ela patrimonial, de modo a abranger o que efetivamente foi perdido e o que razoavelmente se deixou de lucrar (CC, artigo 402).

Com efeito, as perdas e danos só incluem o prejuízo efetivo e os lucros cessantes por efeito direto da conduta reputada lesante (CC, artigo 403).

Por sua vez, no caso das relações de consumo, o CDC, art. 6º, VI, traz a regra é a de que quem estiver obrigado a reparar um dano deve recompor a situação pessoal e patrimonial do lesado ao estado anterior (status quo ante), para torná-la como era se o evento maléfico não tivesse se verificado, evento esse que impõe ao responsável pelo dano a obrigação de repará-lo.

A reparação, portanto, deve ser integral.

Vê-se, pois, que se trata de risco inerente à atividade econômica desenvolvida pelo setor bancário, configurando, com isso, falha na prestação do serviço.

Assim sendo, se devidamente comprovado o dano material, o consumidor deverá ser indenizado integralmente pelos prejuízos financeiros experimentados.

6.  DANOS MORAIS

O dano moral encontra-se previsto na Constituição Federal (CF), artigo 5º, incisos V e X, e independe de qualquer vinculação com prejuízo material. Assim, o dever de indenizar por danos morais deriva da violação dos direitos da personalidade, caracterizada pela afetação da honra, da integridade psíquica, do bem-estar íntimo, de suas virtudes.

Por isso, o Direito não repara qualquer padecimento, dor ou aflição, mas aqueles que forem decorrentes da privação de um bem jurídico sobre o qual a vítima teria interesse reconhecido juridicamente.

Em resumo, o dano moral consiste na lesão de direitos, com conteúdo não pecuniário, isto é, não avaliáveis comercialmente, lesionando a esfera personalíssima da pessoa humana. Sem dúvida, “o descumprimento de contrato pode gerar dano moral quando envolver valor fundamental protegido pela Constituição Federal de 1988” (CJF, enunciado 411).

Em casos de fraude mediante a utilização do artifício “spoofing”, verifica-se a vulneração de direitos da personalidade dos consumidores, especialmente no (i) compartilhamento não autorizado de dados pessoais da consumidora, (ii) subtração de todo seu saldo bancário, incluindo o cheque especial da conta corrente, bem como o (iii) desvio produtivo de seu tempo, para tentar solucionar extrajudicialmente o problema gerado pela omissão da instituição financeira.

Logo, não se cuida de mero aborrecimento, pois o constrangimento e aborrecimento são sempre manifestos.

Registre-se, por fim, que constatada a violação dos direitos da personalidade do consumidor, tem-se por imperiosa a definição do quantum indenizatório, que deverá ser fixado em 2 (duas) etapas (STJ, REsp 710.879/MG, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 01/06/2006, DJ 19/06/2006, p. 135).

Na primeira etapa, deve-se chegar a um valor básico para a indenização, tendo em vista os interesses jurídicos lesados, que nesses casos, são a integridades psíquica e patrimonial, a tranquilidade e a honra subjetiva. Por sua vez, na segunda etapa, têm-se em consideração as circunstâncias do caso concreto, para fixação definitiva do valor da indenização, atendendo à determinação legal de arbitramento equitativo pelo juiz.

Finalmente, a doutrina especializada ensina que a indenização dever ter por escopo a punição e persuasão para que a prática danosa não se repita. De fato, o caráter punitivo da indenização resulta da desídia e omissão do fornecedor, de modo que “[a] função da indenização não é satisfazer a vítima, mas servir de freio ao “infrator” para que ele não volte a incidir no mesmo erro”[3].

Respeitados esses parâmetros, a condenação pelos danos extrapatrimoniais experimentados é medida impositiva, com o fim de reforçar a pedagogia indenizatória, especialmente para que o sistema bancário reforce seus mecanismos de segurança.

7. CONCLUSÃO

Viu-se que, pela utilização do spoofing, a atuação de grupos criminosos não rompe o nexo causal entre a conduta omissiva da instituição financeira e os danos suportados pelos consumidores, vítimas de fraude bancária, na medida em que se trata de verdadeiro fortuito interno, inerente à atividade bancária (CDC, art. 14, §3º, II, e Súmula 479 do STJ).

Sem dúvida, observou-se que a culpa de terceiros, idônea a afastar a responsabilidade do fornecedor de serviços bancários, é aquela que se amolda ao fortuito externo, isto é, evento que não tem nexo de causalidade com a atividade bancária.

Por isso, verificou-se que constitui dever da instituição financeira ofertar mecanismos de segurança para a realização de operações bancárias, de maneira a evitar danos aos usuários do serviço, principalmente a utilização fraudulenta de dados pessoais dos consumidores.

Demais disso, registrou-se que é dever do fornecedor informar adequadamente seus consumidores, especialmente no que diz respeito aos meios verificação/prevenção de fraudes (CDC, art. 6º, III). Em razão disso, o descumprimento deste dever configura grave falha de serviço, a implicar a responsabilização das instituições financeiras pela conduta omissiva.

Por fim, anotou-se que a LGPD trouxe à baila o dever das instituições financeiras em zelar pela segurança e sigilo dos dados de seus clientes.

Conclui-se, pois, pela responsabilização das instituições bancárias em casos de fraudes praticadas mediante spoofing.

4 REFERÊNCIAS

BRASIL, SUPERIOR TRIBUNAL DE JUSTIÇA (STJ), REsp 1875164/MG, Voto da Min. Relatora, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 17/11/2020, DJe 19/11/2020

______, STJ, REsp 710.879/MG, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 01/06/2006, DJ 19/06/2006, p. 135.

CAVALIERI FILHO, Sergio. Programa de responsabilidade civil. São Paulo, Atlas, 2014, p. 2.

GOGONI, Ronaldo. O que é spoofing? Disponível em https://tecnoblog.net/responde/o-que-e-spoofing/. Acesso em 22/03/2023.

NUNES, Luiz Antônio Rizzatto. Curso de direito do consumidor. 2. Ed. São Paulo: Saraiva, 2005, p. 317