RESUMO: O presente artigo busca analisar o chamado “Golpe do Motoboy”, crime que se intensificou durante a pandemia e que tem como principais vítimas os idosos, verificando-se as circunstâncias que ensejam ou não a responsabilidade das instituições financeiras pelos golpes sofridos pelos clientes, que muitas vezes têm grandes prejuízos financeiros por conta da complexa engenhosidade da prática criminosa. Promove-se, assim, uma análise à luz da responsabilidade civil sobre as circunstâncias que permitem a efetivação do crime.

Palavras-chave: “Golpe do Motoboy”. Falha na prestação do serviço de segurança financeira. Responsabilidade civil das instituições bancárias.

ABSTRACT: This article seeks to analyze the so-called “Motoboy Scam”, a crime that intensified during the pandemic and whose main victims are the elderly, verifying the circumstances that give rise or not to the responsibility of financial institutions for the scams suffered by customers, who often suffers large financial losses due to the complex ingenuity of criminal practice. This promotes an analysis in the light of civil liability regarding the circumstances that allow the crime to be carried out.

Keywords: “Motoboy scam”. Failure to provide the financial security service. Civil liability of banking institutions.

1. INTRODUÇÃO

Inicialmente, cabe destacar que o chamado golpe do motoboy não guarda semelhança com os casos em que o cliente, com negligência, simplesmente deixa a senha anotada junto com o cartão de débito/crédito, que é posteriormente furtado/roubado ou mesmo perdido, viabilizando que um terceiro de má-fé saque valores de sua conta por ter tido prévio e facilitado acesso à senha.

Ao revés, o golpe tratado neste artigo é perfectibilizado com base em complexa engenhosidade criminosa, que só se efetiva em decorrência da falha na prestação de serviços de segurança, tanto da instituição financeira, que permite o vazamento de dados sigilosos do cliente aos fraudadores (o que gera verossimilhança à abordagem, já que o criminoso informa dados bancários sigilosos), e da operadora de telefonia (que permite que a ligação do cliente “fique presa” após a primeira ligação, gerando o sinal de desligar e de nova chamada, como se efetivamente estivesse ligando para o número oficial do banco, quando, na verdade, a linha estava presa, sendo desviada para a central clandestina dos estelionatários).

Outrossim, ao ligar para o número oficial da instituição financeira, sem saber que a linha estava presa, os fraudadores se utilizam de um software que simula o ambiente sonoro da instituição financeira, com as mesmas músicas, opções de direcionamento do atendimento a partir do número do teclado, o que, a princípio, afasta a possibilidade de a vítima saber que não conversava efetivamente com um funcionário do banco do qual é cliente.  

Assim, estabelecido sucintamente o quadro fático e os contornos básicos que delineiam a forma com que o golpe é praticado, cabe analisar a responsabilidade da instituição financeira.

2. RESPONSABILIDADE CIVIL E A APLICAÇÃO DO CÓDIGO DE DEFESA DO CONSUMIDOR AO CASO DO GOLPE DO MOTOBOY

A estrutura normativa do Código de Proteção e Defesa do Consumidor é direcionada para a responsabilização do fornecedor pelos riscos implicados nos produtos e serviços ofertados ao mercado.

É o que se extrai do art. 6º, incisos I e III, quando cuida dos direitos básicos do consumidor; do art. 8º, quando trata da proteção à saúde e segurança do consumidor; do art.12 e seu § 1º, inciso II, e art. 14 e seu § 1º, inciso II, quando disciplina a responsabilidade pelo fato do produto e do serviço; e do art. 31, quando versa sobre oferta de produtos e serviços.

Tratando-se de relação de consumo, a responsabilidade da instituição bancária deve ser analisada sob a ótica consumerista, conforme disposto no art. 14 do CDC, in verbis:

Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

§ 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:

I - o modo de seu fornecimento;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - a época em que foi fornecido.

Da leitura atenta do dispositivo em evidência conclui-se que o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços.

Nas lições de Sérgio Cavalieri Filho (Filho, Sergio C. Programa de Responsabilidade Civil. Disponível em: Minha Biblioteca, (16th edição). Grupo GEN, 2023, p. 563):

Que dever a lei impõe ao fornecedor de produtos e serviços? Ora, o contraposto do risco é a segurança. Quando se fala em risco do consumo pensa-se logo em segurança. Risco e segurança andam juntos, são fatores que atuam reciprocamente na vida moderna cuja atividade primordial é driblar riscos. Onde há risco tem que haver segurança; há íntima relação entre esses dois fatores, como vasos comunicantes. A vida moderna é cada vez mais arriscada; a cada novo invento, a cada novo avanço tecnológico novos riscos são gerados para a sociedade. E quanto mais a sociedade é exposta a perigo, maior se torna a necessidade de segurança. Logo, o dever jurídico que se contrapõe ao risco é o dever de segurança que a lei estabelece, implícita ou explicitamente, para quem cria risco para outrem.

Com efeito, se o causador do dano pode legitimamente exercer uma atividade perigosa, a vítima tem direito (subjetivo) à incolumidade física e patrimonial em face desses riscos. Decorre daí um direito subjetivo de segurança para quem fica exposto aos riscos criados pela atividade perigosa e o dever de segurança para quem a exerce, cuja violação justifica a obrigação de reparar sem nenhum exame psíquico ou mental, sem apreciação moral da conduta do autor do dano.

A segurança material e moral constitui, portanto, um direito subjetivo do indivíduo, garantido pela ordem jurídica. Quanto maior o risco, maior será o dever de segurança. E foi justamente esse dever que o Código do Consumidor estabeleceu no § 1º do seu art. 12. Criou o dever de segurança para o fornecedor, verdadeira cláusula geral – o dever de não lançar no mercado produto com defeito –, de sorte que se o lançar, e este der causa ao acidente de consumo, por ele responderá independentemente de culpa. Tudo quanto é necessário para a existência da responsabilidade é ter o produto causado um dano. Trata-se, em última instância, de uma garantia de idoneidade, um dever especial de segurança do produto legitimamente esperado. Portanto, para quem se propõe fornecer produtos e serviços no mercado de consumo a lei impõe o dever de segurança; dever de fornecer produtos seguros, sob pena de responder independentemente de culpa (objetivamente) pelos danos que causar ao consumidor. Aí está, em nosso entender, o verdadeiro fundamento da responsabilidade do fornecedor.

Constata-se, portanto, que o ordenamento jurídico é taxativo quanto à responsabilidade objetiva dos fornecedores, de forma que é despiciendo perquirir sobre a culpa da instituição financeira para a ocorrência do crime, cabendo apenas verificar se houve falha na prestação de seus serviços, bem como se há nexo de causalidade com os danos sofridos pelos clientes.

Frente aos fatos descritos (“modus operandi”) e o complexo protetivo acima citado, não há falar em fato exclusivo de terceiro e quebra do nexo de causalidade.

Isso porque os bancos, ao desempenhar atividade empresarial consideravelmente lucrativa, e ao mesmo tempo perigosa, têm ciência de que as fraudes são um risco ínsito ao seu negócio, razão por que não podem suscitar, em defesa, a ocorrência de fortuito externo, maiormente quando há um nexo entre a falha na segurança do serviço prestado e o dano causado.

Nesse diapasão, a atuação de fraudadores nos serviços bancários é não apenas esperável, como previsível. Isso posto, tem-se que a ação de hackers e estelionatários não configura força maior ou fortuito externo, tendo em vista que é necessário que as instituição financeiras, que exercem atividade de extremo risco, impeçam a ação dos criminosos e evitem a ocorrência de prejuízos aos clientes, nos termos do parágrafo único do artigo 393 e do parágrafo único do art. 927, ambos do Código Civil.

Por isso, deve-se partir da premissa de que se não há repartição de lucros com os clientes, igualmente não pode ocorrer repartição de riscos e prejuízos, o que é decorrência lógica da teoria do risco do empreendimento.

Dessarte, a instituição financeira responde objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros em seu âmbito de atuação, tendo em vista que a responsabilidade decorre do próprio risco do empreendimento, caracterizando-se, pois, como fortuito interno, e não como fortuito externo.

Esse, inclusive, é o entendimento cristalizado no enunciado sumular 479 do Tribunal da Cidadania:

“as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

Nesse passo, o golpe do motoboy está umbilicalmente ligado aos riscos da atividade desenvolvida pelo fornecedor, uma vez que a ocorrência de fraudes e delitos contra o sistema bancário, dos quais resultam danos aos clientes, configura fortuito interno, em decorrência do risco do empreendimento. Nessa linha decidiu o Superior Tribunal de Justiça no REsp 1197929/PR.

Ademais, conforme bem destacou a Ministra Nancy Andrighi em recente julgado, que trata do golpe em apreço:

“na jurisprudência do STJ, há tempos se compreende que a atividade bancária, por suas características de disponibilidade de recursos financeiros e sua movimentação sucessiva, tem por resultado um maior grau de risco em comparação com outras atividades econômicas” (REsp 1.995.458/SP).

Pela pertinência, cabe ressaltar que no golpe do motoboy o modus operandi dos estelionatários tem como um dos principais elementos que confere verossimilhança ao golpe o fato de que os criminosos têm acesso a vários dados pessoais e sigilosos do cliente previamente ao contato telefônico, é dizer, a vítima é induzida a erro porque o criminoso, passando-se por funcionário do banco, exterioriza uma série de informações bancárias pessoais e sigilosas que trazem a verossimilhança necessária para a prática delituosa.

Dessa forma, se o art. 1º, caput e § 4º, da Lei Complementar 105/2001, preveem que o sigilo dos dados bancários somente pode ser quebrado mediante ordem judicial, não seria razoável se exigir do cliente que adivinhasse ou mesmo suspeitasse que houve comercialização de suas informações bancárias ou que foram colhidas pela ação de hackers, o que só é possível por conta da falha na prestação de serviços da instituição financeira. 

Assim, induvidoso que o quadro fático excede as possibilidades de percepção do homem médio, máxime quando se constata que a quase totalidade das vítimas são pessoas idosas, que não possuem os conhecimentos tecnológicos das novas gerações, sendo, por sua própria condição de idoso, um hipervulnerável, na feliz expressão utilizada pelo Superior Tribunal de Justiça. 

Dessarte, se os criminosos tiveram prévio acesso aos dados bancários dos clientes, configurado está o defeito na prestação do serviço, nos moldes do art. 14, § 1º, do CDC, uma vez que a instituição bancária não forneceu a segurança necessária na proteção ao sigilo dos dados.

Assim, o vazamento de dados bancários e sigilosos é peça central, se não a mais importante, no golpe do motoboy, uma vez que somente a partir da obtenção desses dados prévios, não salvaguardados pelas instituições bancárias, é que os criminosos conseguem transmitir verossimilhança quanto às informações prestadas ao cliente, que acredita estar realmente conversando com efetivo funcionário do banco, ainda mais porque ligou, do seu telefone, para o número oficial da instituição financeira da qual é cliente, sem saber que sua linha estava presa. 

Nesse passo, o delito só é viabilizado pelo vazamento de dados das vítimas, decorrente da falha nos sistemas de segurança das instituições financeiras, o que configura “fato do serviço”, atraindo a responsabilidade objetiva prevista no art. 14 do CDC, uma vez que sem a obtenção das informações confidenciais bancárias do autor o crime não se concretizaria, do que exsurge a falha na prestação do serviço e o consequente nexo de causalidade entre o defeito e o dano causado ao cliente. 

Soma-se que nos termos da Lei 13.709/2018 - Lei Geral de Proteção de Dados (LGPD – arts. 42 e 44) – os bancos devem zelar pela segurança e sigilo dos dados dos seus clientes, além de sempre aperfeiçoar os seus sistemas de segurança.

Pela necessidade de maiores cuidados e proteção com os dados pessoais, por meio de emenda constitucional tal direito passou a constar expressamente no rol de direitos fundamentais do art. 5º da CR/88, conforme o inciso LXXIX, que assim prevê: “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Conforme bem ensinam Gustavo Tepedino, Aline de Miranda Valverde Terra e Gisela Sampaio da Cruz Guedes (Tepedino, Gustavo, et al. Fundamentos do Direito Civil: Responsabilidade Civil. v.4. Disponível em: Minha Biblioteca, (4th edição). Grupo GEN, 2023, p. 296):

A proteção dos dados pessoais coloca-se, na atualidade, como aspecto fundamental da liberdade em sua nova face – a liberdade informática, na feliz expressão de Vittorio Frosini. A privacidade não mais se limita ao “right to be let alone”, forjado no final do séc. XIX por Warren e Brandeis, mas traduz, conforme argutamente afirmou o professor Stefano Rodotà, “o direito de manter o controle sobre suas próprias informações”. Abandona-se a perspectiva estática em favor da compreensão dinâmica da privacidade. Tais questões demandam a previsão de instrumentos específicos de controle que se afastem da lógica patrimonialista do direito civil clássico.

O desenvolvimento eletrônico das relações humanas – hoje considerada realidade irreversível – torna inafastável o fornecimento de informações pessoais. A ausência de instrumentos para disciplinar o uso e a integridade dos dados de cada pessoa, sobretudo aqueles considerados sensíveis, impede o pleno exercício da liberdade, diante do papel predominante da informação para as escolhas individuais. Uma lei geral de proteção de dados pessoais que leve em conta os diversos valores existenciais alcançados pela circulação das informações, prevendo ferramentas específicas de controle, afigurava-se, por isso mesmo, indispensável para garantir – e fomentar – essa nova face da privacidade.

Sancionada em 14 de agosto de 2018 e comumente chamada de “Lei Geral de Proteção de Dados” (ou “LGPD”, sigla que já se incorporou no vocabulário dos especialistas), a Lei n.º 13.709 dispõe sobre a proteção e o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. Seu principal objetivo é a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Em 2022, a Emenda Constitucional nº 115 incluiu a proteção de dados no rol do art. 5º da Constituição, isto é, entre os direitos e garantias fundamentais.

Em acréscimo, destaca-se o entendimento de Bruno Miragem sobre a responsabilidade pelo tratamento irregular de dados pessoais (Miragem, Bruno. Responsabilidade Civil. Disponível em: Minha Biblioteca, (2nd edição). Grupo GEN, 2021, p. 495/496):

A responsabilidade pelos danos causados pelo tratamento irregular de dados se encontra disciplinada em capítulo próprio (Seção III, cap. VI). Em relação aos danos causados em razão do tratamento indevido de dados pessoais, é necessário que se compreenda a existência de um dever de segurança imputável ao segurador como agente de tratamento de dados (seja como controlador, seja como operador de dados), que é segurança legitimamente esperada daqueles que exercem a atividade em caráter profissional, e por esta razão presume-se que tenham a expertise suficiente para assegurar a integridade dos dados e a preservação da privacidade de seus titulares.

A responsabilidade dos agentes de tratamento decorre do tratamento irregular dos dados pessoais do qual resulte o dano. Exige-se a falha do controlador ou do operador, que caracteriza o nexo causal do dano. Contudo, não se deve perquirir se a falha se dá por dolo ou culpa, senão que apenas sua constatação é suficiente para atribuição da responsabilidade, inclusive com a possibilidade de inversão do ônus da prova em favor do titular dos dados (art. 42, § 2º).

Em relação aos danos causados em relação ao tratamento indevido de dados pessoais, é necessário que se compreenda a existência de um dever de segurança imputável aos agentes de tratamento (controladores e operadores de dados), que é segurança legitimamente esperada daqueles que exercem a atividade em caráter profissional, e por esta razão presume-se que tenham a expertise suficiente para assegurar a integridade dos dados e a preservação da privacidade de seus titulares. Daí porque a responsabilidade dos agentes de tratamento decorre do tratamento indevido ou irregular dos dados pessoais do qual resulte o dano. Exige-se a falha do controlador ou do operador, que caracteriza o nexo causal do dano. Contudo, não se deve perquirir se a falha se dá por dolo ou culpa, senão que apenas sua constatação é suficiente para atribuição da responsabilidade, inclusive com a possibilidade de inversão do ônus da prova em favor do titular dos dados, nas mesmas hipóteses de hipossuficiência e verossimilhança que a autorizam no âmbito das relações de consumo (art. 42, § 2º, da LGPD).

O art. 44 da LGPD define que “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: I – o modo pelo qual é realizado; II – o resultado e os riscos que razoavelmente dele se esperam; III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.” A técnica legislativa empregada na LGPD aproxima-se daquela adotada pelo CDC ao disciplinar o regime do fato do produto e do serviço, em especial na definição dos critérios a serem considerados para determinação do atendimento ao dever de segurança.

Note-se que a regra coloca em destaque a questão relativa aos riscos do desenvolvimento, uma vez que delimita a extensão do dever de segurança àquela esperada em razão das “técnicas de tratamento de dados disponíveis à época em que foi realizado”. Isso é especialmente relevante considerando a grande velocidade do desenvolvimento da tecnologia no tratamento de dados, e os riscos inerentes, em especial as situações de vazamento e acesso não autorizado de terceiros aos dados armazenados pelo controlador ou pelo operador. Nestas hipóteses trata-se de definir em relação ao controlador e operador dos dados, se seria possível identificar um dever de atualização técnica imputável, e nestes termos, eventual adoção de novas técnicas que permitam o uso indevido do dado, especialmente por terceiros, venha a caracterizar espécie de risco inerente (fortuito interno), que não exclui sua responsabilidade pelos danos que venham a suportar os titulares dos dados; ou se delimitação quanto às técnicas disponíveis à época em que foi realizado o tratamento exclui eventual responsabilização do controlador e do operador pelo desenvolvimento tecnológico que permita obtenção de dados ou tratamento indevido por terceiros, desviado da finalidade originalmente prevista. Em outros termos, trata-se de situar, em relação à responsabilidade pelos danos causados em relação ao tratamento indevido de dados, qual o lugar dos riscos do desenvolvimento, considerando, neste caso, a própria previsibilidade de uma atualização e avanço técnico em atividades vinculadas à tecnologia da informação, mais veloz do que em outras atividades econômicas.

Em relação aos danos causados em relação ao tratamento indevido de dados pessoais, é necessário que se compreenda a existência de um dever de segurança imputável aos agentes de tratamento (controladores e operadores de dados), que é segurança legitimamente esperada daqueles que exercem a atividade em caráter profissional, e por esta razão presume-se que tenham a expertise suficiente para assegurar a integridade dos dados e a preservação da privacidade de seus titulares. Daí porque a responsabilidade dos agentes de tratamento decorre do tratamento indevido ou irregular dos dados pessoais do qual resulte o dano. Exige-se a falha do controlador ou do operador, que caracteriza o nexo causal do dano. Contudo, não se deve perquirir se a falha se dá por dolo ou culpa, senão que apenas sua constatação é suficiente para atribuição da responsabilidade, inclusive com a possibilidade de inversão do ônus da prova em favor do titular dos dados, nas mesmas hipóteses de hipossuficiência e verossimilhança que a autorizam no âmbito das relações de consumo (art. 42, § 2º, da LGPD).

O art. 44 da LGPD define que “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: I – o modo pelo qual é realizado; II – o resultado e os riscos que razoavelmente dele se esperam; III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.” A técnica legislativa empregada na LGPD aproxima-se daquela adotada pelo CDC ao disciplinar o regime do fato do produto e do serviço, em especial na definição dos critérios a serem considerados para determinação do atendimento ao dever de segurança.

Note-se que a regra coloca em destaque a questão relativa aos riscos do desenvolvimento, uma vez que delimita a extensão do dever de segurança àquela esperada em razão das “técnicas de tratamento de dados disponíveis à época em que foi realizado”. Isso é especialmente relevante considerando a grande velocidade do desenvolvimento da tecnologia no tratamento de dados, e os riscos inerentes, em especial as situações de vazamento e acesso não autorizado de terceiros aos dados armazenados pelo controlador ou pelo operador. Nestas hipóteses trata-se de definir em relação ao controlador e operador dos dados, se seria possível identificar um dever de atualização técnica imputável, e nestes termos, eventual adoção de novas técnicas que permitam o uso indevido do dado, especialmente por terceiros, venha a caracterizar espécie de risco inerente (fortuito interno), que não exclui sua responsabilidade pelos danos que venham a suportar os titulares dos dados; ou se delimitação quanto às técnicas disponíveis à época em que foi realizado o tratamento exclui eventual responsabilização do controlador e do operador pelo desenvolvimento tecnológico que permita obtenção de dados ou tratamento indevido por terceiros, desviado da finalidade originalmente prevista. Em outros termos, trata-se de situar, em relação à responsabilidade pelos danos causados em relação ao tratamento indevido de dados, qual o lugar dos riscos do desenvolvimento, considerando, neste caso, a própria previsibilidade de uma atualização e avanço técnico em atividades vinculadas à tecnologia da informação, mais veloz do que em outras atividades econômicas.

Outro ponto que demanda destaque é que no golpe do motoboy os criminosos realizam diversas transações com o cartão da vítima em um pequeno espaço de tempo, transações estas que destoam do perfil de consumo do cliente, tanto pelo volume de transações, como pelo dos valores sacados, que em regra são feitos até se atingir o limite de saques/empréstimos diários.

Nessa linha, transações discrepantes com o perfil do consumidor, permitidas pelo banco sem nenhum tipo de alerta e proteção eficaz, igualmente configuram uma falha na prestação do serviço.

Isso porque a ocorrência de movimentações atípicas deve ser inibida pelo sistema antifraudes das instituições bancárias, configurando falha no sistema de segurança a ausência de efetivas medidas de bloqueio, fato este que também consubstancia a responsabilização objetiva do banco.

Ressalta-se que em recentes julgados o Superior Tribunal de Justiça, no caso do golpe do motoboy, entendeu que estava presente a responsabilidade civil da instituição bancária exatamente pela falha na segurança do banco em evitar as transações atípicas em relação ao padrão de consumo do cliente, assim como por não possuir efetivos e concretos meios de segurança para evitar transações de alto valor realizadas em curto espaço de tempo. Ademais, destacou o Tribunal da Cidadania que deve se levar em conta a situação de hipervulnerabilidde do idoso, que é a vítima preferencial do golpe do motoboy. Veja-se:

CONSUMIDOR. PROCESSUAL CIVIL. RECURSO ESPECIAL. AÇÃO DECLARATÓRIA DE INEXISTÊNCIA DE DÉBITOS. DEVER DE SEGURANÇA. FRAUDE PERPETRADA POR TERCEIRO. CONTRATAÇÃO DE MÚTUO. MOVIMENTAÇÕES ATÍPICAS E ALHEIAS AO PADRÃO DE CONSUMO. RESPONSABILIDADE OBJETIVA DA INSTITUIÇÃO FINANCEIRA. RECURSO CONHECIDO E PROVIDO.

1. Ação declaratória de inexistência de débitos, ajuizada em 14/8/2020, da qual foi extraído o presente recurso especial, interposto em 21/6/2022 e concluso ao gabinete em 17/2/2023.

2. O propósito recursal consiste em decidir (I) se a instituição financeira responde objetivamente por falha na prestação de serviços bancários, consistente na contratação de empréstimo realizada por estelionatário; e (II) se possui o dever de identificar e impedir movimentações financeiras que destoam do perfil do consumidor.

3. O dever de segurança é noção que abrange tanto a integridade psicofísica do consumidor, quanto sua integridade patrimonial, sendo dever da instituição financeira verificar a regularidade e a idoneidade das transações realizadas pelos consumidores, desenvolvendo mecanismos capazes de dificultar fraudes perpetradas por terceiros, independentemente de qualquer ato dos consumidores.

4. A instituição financeira, ao possibilitar a contratação de serviços de maneira facilitada, por intermédio de redes sociais e aplicativos, tem o dever de desenvolver mecanismos de segurança que identifiquem e obstem movimentações que destoam do perfil do consumidor, notadamente em relação a valores, frequência e objeto.

5. Como consequência, a ausência de procedimentos de verificação e aprovação para transações atípicas e que aparentam ilegalidade corresponde a defeito na prestação de serviço, capaz de gerar a responsabilidade objetiva por parte da instituição financeira.

6. Entendimento em conformidade com Tema Repetitivo 466/STJ e Súmula 479/STJ: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias".

7. Idêntica lógica se aplica à hipótese em que o falsário, passando-se por funcionário da instituição financeira e após ter instruído o consumidor a aumentar o limite de suas transações, contrata mútuo com o banco e, na mesma data, vale-se do alto montante contratado e dos demais valores em conta corrente para quitar obrigações relacionadas, majoritariamente, a débitos fiscais de ente federativo diverso daquele em que domiciliado o consumidor.

8. Na hipótese, inclusive, verifica-se que o consumidor é pessoa idosa (75 anos - imigrante digital), razão pela qual a imputação de responsabilidade há de ser feita sob as luzes do Estatuto do Idoso e da Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos, considerando a sua peculiar situação de consumidor hipervulnerável.

9. Recurso especial conhecido e provido para declarar a inexigibilidade das transações bancárias não reconhecidas pelos consumidores e condenar o recorrido a restituir o montante previamente existente em conta bancária, devidamente atualizado.

(REsp n. 2.052.228/DF, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 12/9/2023, DJe de 15/9/2023.) [Destaquei]

AGRAVO INTERNO NO AGRAVO EM RECURSO ESPECIAL. AÇÃO INDENIZATÓRIA. FRAUDE BANCÁRIA. "GOLPE DO MOTOBOY". USO DE CARTÃO E SENHA. MOVIMENTAÇÕES ATÍPICAS. FALHA NA PRESTAÇÃO DO SERVIÇO. CONCORRÊNCIA DE CAUSAS. CONFRONTO DA GRAVIDADE DAS CULPAS. CONSUMIDORAS IDOSAS -HIPERVULNERÁVEIS. INEXIGIBILIDADE DAS TRANSAÇÕES BANCÁRIAS NÃO RECONHECIDAS. AGRAVO INTERNO DESPROVIDO.

1. Malgrado os consumidores tenham a incumbência de zelar pela guarda e segurança do cartão pessoal e da respectiva senha, é também dever da instituição financeira verificar a regularidade e a idoneidade das transações realizadas, a ponto de dificultar as fraudes, independentemente de qualquer ato dos consumidores.

2. Ademais, consoante destacado pela Ministra Nancy Andrighi no julgamento do REsp 1.995.458/SP, tratando-se de consumidor idoso, "a imputação de responsabilidade há de ser feita sob as luzes do Estatuto do Idoso e da Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos, sempre considerando a sua peculiar situação de consumidor hipervulnerável".

3. Situação concreta em que foi constatada a falha da instituição financeira que não se cercou dos cuidados necessários para evitar as consequências funestas dos atos criminosos em conta-corrente de idosas, mormente diante das evidentes movimentações bancárias absolutamente atípicas, em curto espaço de tempo.

4. Agravo interno desprovido.

(AgInt no AREsp n. 2.201.401/RJ, relator Ministro Marco Aurélio Bellizze, Terceira Turma, julgado em 29/5/2023, DJe de 1/6/2023.) [Destaquei]

Nessa linha de intelecção, a responsabilidade objetiva das instituições financeiras também advém da falha no sistema de segurança, que não inibe, por meio do sistema antifraudes, a ocorrência de movimentações atípicas e destoantes do perfil de consumo do cliente, na linha do que decidiu o STJ no julgamento do REsp n. 1.995.458/SP.

Correlacionando o CDC e a LGPD para se verificar a natureza da responsabilidade civil, assim ensinam Gustavo Tepedino, Aline de Miranda Valverde Terra e Gisela Sampaio da Cruz Guedes (Tepedino, Gustavo, et al. Fundamentos do Direito Civil: Responsabilidade Civil. v.4. Disponível em: Minha Biblioteca, (4th edição). Grupo GEN, 2023, p. 315):

O Código de Defesa do Consumidor atribui ao fornecedor responsabilidade objetiva, e dedica ao tema duas seções específicas: (i) a que regula a responsabilidade civil pelo fato do produto ou do serviço (arts. 12 a 17); e (ii) a que rege a responsabilidade civil pelo vício do produto ou do serviço (arts. 18 a 25). Em ambos os casos, o legislador estabeleceu a prescindibilidade da comprovação de culpa do responsável legal, dispensando a análise da concreta conduta do agente ofensor para que se imponha o dever de indenizar; para tanto, faz-se necessária apenas a presença de defeito, dano e nexo causal.

3. DA INEXISTÊNCIA DE CULPA EXCLUSIVA DO CORRENTISTA

Outro ponto relevante é que não há falar em culpa ou fato exclusivo da vítima, nem em excludente do nexo de causalidade no caso do golpe do motoboy. 

Isso se dá porque a empreitada criminosa só se torna possível por meio de engenhosidade tecnológica complexa, que só traz verossimilhança ao cliente, tornando o golpe bem-sucedido, em decorrência da falha na prestação do serviço da instituição bancária.

Como se expôs, apenas com o vazamento de dados sigilosos do cliente e a ausência de bloqueio das movimentações suspeitas, por falha do banco, e a interceptação e desvio da ligação feita para o número oficial da instituição financeira para a central clandestina dos criminosos, é que a situação se torna factível, induzindo o idoso a erro, no caso um erro completamente justificável pelas circunstâncias específicas do caso concreto e pela hipervulnerabilidade da pessoa idosa.  

Nessa linha, a Turma de Uniformização dos Juizados Especiais do Tribunal de Justiça do Distrito Federal e Territórios, ao se defrontar com o caso do golpe do motoboy, analisando o pedido de uniformização de interpretação de lei cível n. 0701855-69.2020.8.07.9000, afastou a suposta culpa exclusiva da vítima, por força da complexa engenharia social necessária para a realização do golpe, ressaltando que o fato de as instituições financeiras até os dias de hoje ainda usarem o telefone para diversas transações, em que o cliente é obrigado a digitar suas senhas, fortalece a verossimilhança da situação para o cliente, contribuindo para a ocorrência do golpe, razão por que não se pode falar em negligência do cliente.

Após a referida decisão, a Turma de Uniformização dos Juizados Especiais do Tribunal de Justiça do Distrito Federal e Territórios fixou o enunciado sumular 28:

“As instituições financeiras respondem pelos danos decorrentes de fato do serviço nas fraudes bancárias conhecidas como “golpe do motoboy”, em que o consumidor, supondo seguir instruções de preposto do banco, e utilizando-se dos instrumentos de comunicação por ele fornecidos, entrega o cartão de crédito/débito a terceiro fraudador que o utiliza em saques e compras.”

Ademais, como bem ressaltou a Ministra Nancy Andrighi, em seu voto no REsp 1.995.458/SP, deve também ser considerada a especial condição das vítimas do golpe do motoboy, no caso os idosos, já que:

“o consumidor é pessoa idosa, razão pela qual a imputação de responsabilidade há de ser feita sob as luzes do Estatuto do Idoso e da Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos, sempre considerando a sua peculiar situação de consumidor hipervulnerável”.

Nesse diapasão, somente com a falha na prestação do serviço pelas fornecedoras é que esse crime se perfectibiliza, razão por que não cabe a alegação de culpa exclusiva da vítima, já que sem essas falhas esse golpe não ocorreria.

4. DA EXISTÊNCIA DE DANO MATERIAL E MORAL

Em face da falha na prestação do serviço, e do nexo de causalidade entre fato do serviço e os danos sofridos pelo correntista, surge a responsabilidade objetiva da instituição financeira, que, por isso, deve responder pelos prejuízos materiais e morais sofridos pelo cliente.

Os danos materiais se reparam pela restituição dos valores indevidamente subtraídos das contas dos clientes vitimados pelo golpe, devidamente corrigidos.

Quanto aos danos morais, estes surgem da própria situação experienciada pelo correntista, a qual sobeja o mero dissabor das situações cotidianas.

Reitera-se que as vítimas usualmente são pessoas idosas, hipervulneráveis, que são vítimas de um crime complexo por força da falha na prestação do serviço das instituições financeiras, a qual, além do prejuízo financeiro imediato, traz consigo um conjunto de problemas decorrentes, como a necessidade de procurar um órgão policial, contestar as transações indevidas, que sempre são indeferidas, sendo obrigado, por isso, a buscar a salvaguarda do Poder Judiciário para assegurar a reparação dos direitos que foram violados, somado à própria frustração e sofrimento interno por ter sido induzido a erro por conta das vicissitudes do sistema de segurança da instituição financeira.

Nesse sentido, Pablo Stolze Gagliano e Rodolfo Mário Veiga Pamplona destacam a responsabilidade civil das instituições financeiras (Gagliano, Pablo, S. e Rodolfo Mário Veiga Pamplona Filho. Novo curso de direito civil: responsabilidade civil. v.3. Disponível em: Minha Biblioteca, (22nd edição). SRV Editora LTDA, 2024. p. 141):

Quando optamos por depositar ou investir as nossas economias no banco A, e não no banco C, fazemos, dentre outros motivos, pela confiança que temos em seu sistema de segurança.

Afinal de contas, se assim não fosse, continuaríamos guardando as nossas economias no colchão.

Nessa linha de intelecção fica claro que, em havendo a subtração de bens ou valores, deverá a instituição suportar o prejuízo, mormente em se considerando a sua responsabilidade objetiva, nos termos do Código de Defesa do Consumidor.

Em verdade, o banco pode ser considerado, no caso, depositário de tais valores, devendo empregar todos os esforços e meios para a sua guarda e conservação.

Na mesma linha cabe destacar os ensinamentos de Sérgio Cavalieri Filho, ao tratar da responsabilidade das instituições financeiras nos casos de fraude (Filho, Sergio C. Programa de Responsabilidade Civil. Disponível em: Minha Biblioteca, (16th edição). Grupo GEN, 2023, p. 500):

Forçoso é reconhecer, à luz desses princípios, que a falsificação ou adulteração de cheque do correntista, ou qualquer outra modalidade de estelionato que leve o banco a pagar indevidamente alguma quantia ao falsário, é perpetrada contra o banco, e não contra o correntista. O dinheiro indevidamente entregue ao estelionatário é do banco, a ele cabendo, portanto, suportar o prejuízo, segundo o milenar princípio res perit domino.

Aqui não há, portanto, que se falar em culpa de qualquer das partes, sendo, também, indiferente ser ou não grosseira a falsificação. O que importa é saber quem sofreu o dano, sendo indiscutível que, quer se trate de crime praticado mediante violência (roubo, latrocínio), quer de ilícito perpetrado através de fraude, a vítima é o banco, não podendo transferir o seu prejuízo para o cliente. O dinheiro subtraído, repita-se, ou entregue por engano, é do banco, e res perit domino.

[...]

Em síntese, a responsabilidade objetiva da instituição financeira decorre de uma violação ao dever contratualmente assumido de gerir com segurança as movimentações bancárias de seus clientes. Como já ressaltado, esse foi o posicionamento albergado pela Corte Superior de Justiça por ocasião do julgamento do REsp 1.199.782/PR. Dessarte, a ocorrência de fraudes ou delitos contra o sistema bancário, dos quais resultam danos a correntistas ou a terceiros, insere-se na categoria doutrinária de fortuito interno, porquanto fazem parte do próprio risco do empreendimento, atraindo, portanto, a responsabilidade objetiva do estabelecimento bancário.

Em complemento, Bruno Miragem destaca o risco inerente à atividade bancária e a responsabilidade por danos decorrentes da violação do dever de segurança (Miragem, Bruno. Responsabilidade Civil. Disponível em: Minha Biblioteca, (2nd edição). Grupo GEN, 2021, p. 456-457):

Há a compreensão de que a atividade bancária, em especial por se caracterizar pela disponibilidade e liquidez de recursos financeiros e por sua movimentação sucessiva, tem por resultado maior grau de risco comparativamente a outras atividades. Da mesma maneira, novas formas de relacionamento entre cliente e banco, em especial por intermédio de sistemas eletrônicos e, mais especificamente, da internet (internet banking), corroboram a conclusão sobre o elevado risco inerente à atividade bancária.

É esse entendimento que, pela interpretação de certos eventos danosos a clientes/ consumidores e terceiros vítimas e sua causa, deixa de admitir a possibilidade de exclusão da responsabilidade dos bancos mediante a demonstração de fato de terceiro. Ou mesmo impõe interpretação restritiva quanto à noção de caso fortuito, distinguindo entre o fortuito interno e o fortuito externo, e conferindo apenas a este último a aptidão para exclusão da responsabilidade mediante quebra do nexo causal.

[...]

No caso do dever geral de segurança previsto no CDC, note-se que abrange a segurança pessoal e patrimonial dos consumidores. É, portanto, dever exigível tanto em relação à proteção da integridade psicofísica dos consumidores e terceiros que se relacionem de qualquer modo com a instituição financeira quanto em relação ao patrimônio do consumidor. São indenizáveis os danos causados pela própria instituição bancária ou por terceiros a bens e direitos, independentemente de estarem vinculados ou não à prestação contratual específica exigível da instituição financeira.

Acresça-se que em decorrência do fato do serviço, que não prestou a segurança devida, os correntistas também sofrem abalo moral, já que não tinham dúvidas de que tratavam com funcionários da instituição bancária, tendo em vista que os supostos prepostos possuíam dados sigilosos, acrescido do fato de que ligaram para o número oficial da instituição financeira constante do cartão bancário.

Outrossim, em regra, são retirados altos valores de natureza alimentar das contas dos idosos, que ficam desamparados e, muitas vezes, perdem a parca economia de uma vida de trabalho, sem a mínima segurança de que as instituições financeiras restituirão os valores subtraídos, até porque sempre negam as contestações abertas, o que, por óbvio, provoca transtornos substanciais ao idoso, atingindo aspectos ínsitos à sua personalidade, que também merece a devida proteção do sistema jurídico.  

Nesse plano de ideias, no julgamento de ação sobre o golpe do motoboy pelo Tribunal de Justiça do Estado do Rio de Janeiro, o Desembargador Carlos José Martins Gomes bem fundamentou sobre o cabimento do dano moral:

“[...] verifica-se que o réu não logrou demonstrar a existência de fatos impeditivos, modificativos ou extintivos do direito autoral, devendo ser mantida a sentença de procedência parcial do pedido, inclusive no que diz respeito ao dano moral, sendo certo que a desídia da parte ré em socorrer o autor, que já sofrera o abalo de ter caído em um golpe, extrapola os aborrecimentos do cotidiano e fere os direitos da personalidade” (TJRJ, 0186458-59.2019.8.19.0001 - APELAÇÃO. Des(a). CARLOS JOSÉ MARTINS GOMES - Julgamento: 30/03/2021 - DÉCIMA SEXTA CÂMARA CÍVEL).

5. CONCLUSÃO

Como exposto, constata-se que no golpe do motoboy a falha na prestação do serviço se dá antes e durante a ocorrência do fato, tanto na falha da proteção do sigilo dos dados do cliente, como na falha do sistema de prevenção a fraudes, que não identifica as transações fora do perfil comportamental do cliente, falhas essas sem as quais o dano não ocorreria.

Por isso, o principal elemento que traz verossimilhança ao golpe é o fato de que os fraudadores têm acesso a vários dados pessoais e bancários do cliente previamente ao contato telefônico, ou seja, a vítima só fica suscetível ao golpe quando o estelionatário, passando-se por funcionário do banco, divulga uma série de informações pessoais e bancárias do cliente, as quais, segundo a legislação vigente, devem ser conservadas sob o mais absoluto sigilo pela instituição financeira, nos termos do art. 1º, caput e § 4º, da LC 105/2001.

Dessa forma, o vazamento de dados bancários e sigilosos do cliente é pressuposto fundamental no chamado golpe do motoboy, já que é somente a partir da obtenção desses dados prévios, indevidamente não protegidos pela instituição financeira, que os criminosos conseguem transmitir verossimilhança quanto às informações prestadas às vítimas, que creem estar conversando com efetivos funcionários dos bancos.

Assim, o vazamento ou venda de dados de clientes decorre de falha nos sistemas de segurança das instituições financeiras, o que configura nítida falha na prestação dos serviços, atraindo a responsabilidade objetiva estampada no art. 14 do CDC.

Além da falha na proteção do sigilo dos dados do cliente, também se verifica que há falha do sistema de prevenção a fraudes, que não identifica as transações fora do perfil comportamental do cliente.

Os golpistas realizaram múltiplas transações com o cartão da vítima em curto lapso temporal, as quais destoam do perfil de consumo do cliente, seja pelo volume de transações, seja pelo montante sacado.

Nesse passo, compras e gastos discrepantes com o perfil do consumidor - quando autorizadas pelo banco sem nenhum tipo de alerta eficaz (v.g., mensagem por SMS ou WhatsApp, ligação telefônica ou bloqueio preventivo) – igualmente consubstanciam uma falha na prestação do serviço. Isso porque a ocorrência de movimentações atípicas deveria ser obstada pelo sistema antifraudes das instituições financeiras, que não são capazes de detectar e bloquear transações financeiras destoantes do perfil de consumo do correntista, configurando falha no sistema de segurança da instituição bancária e, por conseguinte, falha na prestação do serviço, fato este que também enseja a responsabilização objetiva do fornecedor.

Dessarte, a atuação de estelionatários nos serviços bancários oferecidos em massa é fato esperável e de todo previsível. Sendo assim, é indiscutível que a ação de fraudadores não configura força maior ou fortuito externo, uma vez que é não só possível, como necessário, evitar ou impedir seus efeitos e o prejuízo aos clientes, nos termos do parágrafo único do artigo 393 do Código Civil. Assim, como não há repartição de lucros com os consumidores, também não pode haver repartição de riscos e prejuízos, o que consubstancia consequência lógica e jurídica da teoria do risco do empreendimento.

Por conta disso, as instituições financeiras respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros em seu âmbito de atuação, uma vez que sua responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno, e não como fortuito externo, não tendo cabimento a alegação de culpa ou fato exclusivo da vítima, nem em excludente do nexo de causalidade.

Ademais, por importante, ressalta-se que à luz do inciso II do § 3º do art. 14 do Código de Defesa do Consumidor, apenas a culpa exclusiva da vítima afasta o nexo de causalidade e a responsabilidade objetiva dos fornecedores, o que inocorre no caso do golpe do motoboy, que se vale de engenhosidade tecnológica complexa que apenas se efetiva pela falha na prestação do serviço disponibilizado pelo fornecedor.

Dessa forma, deve-se privilegiar a teoria da aparência e a boa-fé do correntista, sendo despropositada a alegação de culpa exclusiva da vítima, tendo em vista que, sem a falha na prestação dos serviços da instituição financeira, que não fornece a segurança necessária, esse golpe não se perfectibilizaria, daí a existência de nexo de causalidade entre os danos sofridos pelo cliente e o serviço defeituoso prestado pelo fornecedor.

Por fim, frente à falha na prestação do serviço e o nexo de causalidade desta falha com os danos sofridos pelo cliente, tem-se como consequência a responsabilidade objetiva da instituição financeira, que deve responder pelos prejuízos materiais e morais sofridos pelos correntistas, como exposto alhures.

BIBLIOGRAFIA:

Filho, Sergio C. Programa de Responsabilidade Civil. Disponível em: Minha Biblioteca, (16th edição). Grupo GEN, 2023.

Gagliano, Pablo, S. e Rodolfo Mário Veiga Pamplona Filho. Novo curso de direito civil: responsabilidade civil. v.3. Disponível em: Minha Biblioteca, (22nd edição). SRV Editora LTDA, 2024.

Miragem, Bruno. Responsabilidade Civil. Disponível em: Minha Biblioteca, (2nd edição). Grupo GEN, 2021.

Tepedino, Gustavo, et al. Fundamentos do Direito Civil: Responsabilidade Civil. v.4. Disponível em: Minha Biblioteca, (4th edição). Grupo GEN, 2023.

REsp n. 1.197.929/PR, relator Ministro Luis Felipe Salomão, Segunda Seção, julgado em 24/8/2011, DJe de 12/9/2011.

REsp n. 1.995.458/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 9/8/2022, DJe de 18/8/2022.

AgInt no AREsp n. 2.201.401/RJ, relator Ministro Marco Aurélio Bellizze, Terceira Turma, julgado em 29/5/2023, DJe de 1/6/2023.

REsp n. 2.052.228/DF, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 12/9/2023, DJe de 15/9/2023.

TJRJ, 0186458-59.2019.8.19.0001 - APELAÇÃO. Des(a). CARLOS JOSÉ MARTINS GOMES - Julgamento: 30/03/2021 - DÉCIMA SEXTA CÂMARA CÍVEL.

Pedido de Uniformização de Interpretação de Lei Cível n. 0701855-69.2020.8.07.9000 da Turma de Uniformização dos Juizados Especiais do Tribunal de Justiça do Distrito Federal e Territórios.