1. Introdução
A crescente sofisticação dos golpes digitais no ambiente financeiro tem exposto, de forma contundente, a fragilidade estrutural de parte dos sistemas de segurança das instituições bancárias e de pagamento. Com destaque para os chamados “golpes de engenharia social”, como o da falsa central de atendimento, o que se verifica é a utilização de estratégias psicológicas altamente persuasivas para induzir os consumidores a erro, resultando em transferências não autorizadas, contratações indevidas e prejuízos vultosos, frequentemente irreversíveis.
O Superior Tribunal de Justiça (STJ), em decisão paradigmática proferida no julgamento do REsp 2.222.059, estabeleceu, por unanimidade, que bancos e instituições de pagamento são objetivamente responsáveis pelos prejuízos causados a consumidores em decorrência de fraudes, sempre que identificadas falhas nos sistemas de segurança ou omissão na prevenção de operações atípicas.
Este artigo propõe uma análise aprofundada do conteúdo jurídico da referida decisão, destacando seus fundamentos normativos, impactos sistêmicos e os contornos da responsabilidade civil objetiva aplicável às instituições financeiras na era digital.
2. O Fortuito Interno e a Responsabilidade Objetiva no Âmbito das Operações Financeiras
O ponto central da decisão do STJ está na consolidação da chamada responsabilidade civil objetiva das instituições financeiras por fortuito interno, tese já assentada pela Súmula 479 da Corte, segundo a qual:
“As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
De acordo com o voto do relator, Ministro Ricardo Villas Bôas Cueva, é irrelevante, para fins de exclusão de responsabilidade, a origem externa da fraude, desde que se comprove que a falha decorreu da ineficiência dos mecanismos internos de segurança da instituição.
A sistemática é reforçada pelo artigo 14 do Código de Defesa do Consumidor (CDC), que impõe ao fornecedor de serviços o dever de responder pelos danos causados ao consumidor independentemente de culpa, exceto se demonstrada a inexistência do defeito ou a culpa exclusiva da vítima ou de terceiro.
“Se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e os riscos razoáveis esperados, é ele defeituoso”, destacou o relator, interpretando o §1º do art. 14 do CDC.
Assim, a falha na identificação de movimentações anômalas, em desacordo com o padrão histórico do cliente, implica não apenas em violação contratual, mas em descumprimento de um dever legal de segurança.
3. O Dever de Vigilância Ativa e a Análise de Perfil Transacional
O voto condutor da decisão sublinha a necessidade de que os sistemas de proteção antifraude sejam proativos e dinâmicos, com capacidade de:
Detectar movimentações incompatíveis com o padrão de consumo do cliente;
Considerar fatores como valor, horário, sequência e local da transação;
Avaliar a contratação de produtos financeiros atípicos imediatamente antes de pagamentos suspeitos.
Esse entendimento não é apenas jurisprudencial. Ele encontra respaldo no dever legal de diligência e segurança previsto no artigo 7º da Lei nº 12.865/2013, que impõe às instituições de pagamento o compromisso de garantir o processamento seguro das transações realizadas por seus usuários.
Em termos práticos, a inércia da instituição em barrar ou submeter a dupla verificação transações de risco não pode ser atribuída ao cliente, sobretudo considerando o notório desequilíbrio técnico e informacional entre as partes envolvidas.
4. Providências Imediatas do Consumidor: Contestação Estruturada e Comunicação Oficial às Instituições Envolvidas
A jurisprudência atual, consolidada pelo Superior Tribunal de Justiça, reforça que a responsabilidade objetiva das instituições financeiras está condicionada à comprovação de falha na prestação do serviço, sobretudo no aspecto da segurança das operações bancárias.
Contudo, essa responsabilização também pressupõe que o consumidor tenha agido com diligência mínima na comunicação da fraude, especialmente por meio de contestação formal e reclamação administrativa perante as instituições financeiras envolvidas. Tal conduta não apenas preserva o direito à reparação, como também consolida o conjunto probatório necessário à demanda judicial futura.
4.1 Contestação Estruturada: Um Dever Estratégico do Consumidor
A primeira medida a ser adotada é a contestação formal perante o banco de origem, por meio de protocolo em canal oficial — seja presencialmente, seja pelo SAC, aplicativo ou ouvidoria.
Essa contestação deve ser detalhada e documentalmente fundamentada, contendo:
Relato cronológico do ocorrido;
Cópias de extratos bancários com identificação das transações;
Eventuais prints de conversas, ligações ou abordagens feitas por golpistas;
Indicação do número do boletim de ocorrência;
Registro do prejuízo financeiro total (incluindo valores de transferências, pagamentos de boletos, contratações indevidas etc.).
Importante esclarecer que todas as operações fraudulentas podem e devem ser englobadas na contestação, independentemente da natureza: TEDs, Pix, pagamentos via cartão de crédito, boletos quitados indevidamente, saques não autorizados e até contratação de empréstimos.
Mesmo que o banco tente argumentar que as transações foram “autenticadas eletronicamente”, esse ponto não invalida a contestação, já que a manifestação de vontade do consumidor pode ter sido viciada por erro essencial ou coação decorrente de fraude — como reconhece amplamente a jurisprudência.
4.2 Reclamação Complementar ao Banco de Destino
A atuação do consumidor não deve se restringir ao banco de origem. É fundamental que ele também registre reclamação formal junto ao banco de destino das operações fraudulentas.
Essa medida tem base em resoluções do Banco Central do Brasil, como a Resolução BCB nº 85/2021, que trata da Política de Segurança Cibernética, e a Resolução CMN nº 4.893/2021, que regula a gestão de riscos e a responsabilidade solidária em casos de falha de controle.
Tais normas impõem às instituições financeiras o dever de:
Monitorar a origem e a destinação das transferências;
Identificar a autenticidade das informações cadastrais do titular da conta recebedora;
Detectar movimentações atípicas que possam indicar uso indevido de contas para fins ilícitos.
Portanto, ao comunicar a fraude também à instituição que recebeu os valores, o consumidor fortalece a tese de que houve conivência por omissão ou falha sistêmica, seja na criação da conta de destino, seja na negligência ao validar movimentações de risco.
Além disso, essa comunicação interrompe a cadeia de inércia institucional e pode fomentar o estorno voluntário ou bloqueio judicial de valores remanescentes.
4.3 Registro nos Órgãos de Defesa do Consumidor e Reclamações Regulatórias
Complementarmente, recomenda-se que o consumidor:
Registre a ocorrência nos canais do Banco Central (www.bcb.gov.br/acessoinformacao/reclamacoes);
Abra reclamação na plataforma consumidor.gov.br, vinculando banco de origem e destino;
Acione o Procon estadual ou municipal, com pedido de mediação e fornecimento de cópia da contestação feita aos bancos.
Tais medidas não substituem a via judicial, mas reforçam o arcabouço de provas da negligência institucional, o que poderá ser decisivo em ações futuras de indenização por danos materiais e morais.
5. Instituições de Pagamento e o Dever Equivalente de Segurança
Com a expansão das fintechs e demais instituições de pagamento autorizadas pelo Banco Central, o ecossistema financeiro brasileiro passou a contar com novos arranjos que oferecem serviços como contas digitais, transações via Pix, emissão de cartões e concessão de crédito. Não obstante a modernização do setor, essas entidades não estão isentas dos deveres legais de proteção do consumidor, em especial no que tange à segurança dos dados e das operações financeiras.
O artigo 7º da Lei nº 12.865/2013 impõe às instituições de pagamento a obrigação de assegurar:
“(…) o adequado funcionamento do sistema de pagamentos, com a observância de padrões mínimos de segurança, confiabilidade, interoperabilidade e eficiência operacional.”
O STJ reconhece expressamente que o regime de responsabilidade objetiva e as diretrizes do Código de Defesa do Consumidor se aplicam também a essas instituições, conforme consolidado na Súmula 297.
No julgamento do REsp 2.222.059, a Corte foi enfática ao estender a responsabilidade não apenas aos bancos tradicionais, mas também às empresas que operam como intermediárias em pagamentos eletrônicos, ressaltando que todas compartilham o mesmo dever de proteção patrimonial do consumidor. A ausência de uma estrutura bancária clássica não exime a obrigação de identificar fraudes, bloquear transações suspeitas e monitorar riscos operacionais.
6. A Consolidação da Hipervulnerabilidade Digital do Consumidor
A jurisprudência recente tem evoluído para reconhecer o conceito de hipervulnerabilidade digital, especialmente em situações de engenharia social, nas quais o consumidor é induzido a agir contra seus próprios interesses por meios sofisticados de manipulação.
A atuação dos golpistas — que imitam com perfeição linguagem institucional, logomarcas, fluxos de atendimento e até mesmo números de telefone corporativos — tira proveito de lacunas técnicas na autenticação de identidade e da ausência de barreiras de segurança por parte das instituições.
Em tal cenário, o consumidor, mesmo com razoável grau de instrução, torna-se presa fácil diante da assimetria de informações e da confiança natural depositada no ambiente bancário.
A resposta judicial adequada, portanto, deve ser guiada pela perspectiva da vulnerabilidade ampliada, levando-se em conta não apenas a relação de consumo, mas a assimetria tecnológica e informacional, que impõe às instituições o ônus de agir preventivamente e de forma proativa na gestão de riscos digitais.
7. Implicações Econômicas e Regulatórias da Inércia Institucional
A omissão das instituições financeiras e de pagamento na detecção e prevenção de fraudes não acarreta apenas consequências jurídicas em processos cíveis, mas impactos econômicos e sistêmicos relevantes.
Primeiramente, o ônus financeiro das indenizações recai sobre o sistema bancário como um todo, elevando custos operacionais, comprometendo a confiança do mercado e, em última instância, podendo levar a sanções administrativas por parte do Banco Central, em caso de descumprimento das resoluções que regulam a segurança cibernética.
Em segundo lugar, a reincidência de fraudes praticadas em determinados arranjos de pagamento pode indicar falhas estruturais de compliance, ensejando a atuação da Comissão de Valores Mobiliários (CVM) e até mesmo procedimentos de responsabilização por parte do Ministério Público e do Sistema Nacional de Defesa do Consumidor.
Ademais, a multiplicação de ações judiciais individuais por consumidores lesados expõe a fragilidade dos sistemas atuais de monitoramento transacional, evidenciando que a inércia institucional gera prejuízos não apenas individuais, mas coletivos e macroeconômicos.
8. Conclusão e Perspectivas Sistêmicas
A decisão proferida pelo Superior Tribunal de Justiça no REsp 2.222.059 representa um marco de maturidade na proteção dos consumidores no ambiente financeiro digital, ao reconhecer que a atividade bancária moderna exige muito mais do que autenticação técnica: exige vigilância, prevenção e responsabilidade institucional constante.
A responsabilidade objetiva das instituições financeiras e de pagamento, especialmente diante de operações atípicas e desvios de perfil de consumo, deve ser tratada como uma extensão do dever de boa-fé objetiva e do princípio da confiança, pilares da moderna teoria contratual e da proteção do consumidor em ambiente digital.
À luz das resoluções do Banco Central, da Lei nº 12.865/2013, do Código de Defesa do Consumidor e da jurisprudência do STJ, resta claro que o consumidor não pode ser penalizado pelas falhas do sistema financeiro. Cabe às instituições antecipar-se ao risco, mitigar vulnerabilidades e tratar cada operação com o grau de diligência que a era digital impõe.
Com esse precedente, reforça-se a necessidade de que as instituições revisem seus protocolos internos de segurança, capacitem seus agentes e implementem sistemas inteligentes de análise comportamental, não apenas como obrigação legal, mas como imperativo de credibilidade institucional perante a sociedade.
