O vazamento de dados que deveriam ser mantidos em sigilo afasta a excludente de responsabilidade da Lei 8.078/1990 (Código de Defesa do Consumidor).
Como consequência, impõe-se ao prestador do serviço o dever de ressarcir eventuais prejuízos decorrentes de golpes, ainda que o lesado contribua para o sucesso da fraude revelando suas senhas banco
Essa fundamentação foi adotada pela 19ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo (TJ-SP) ao dar provimento ao recurso de apelação de uma professora de Educação Física e tornar inexigível a cobrança de R$ 14.460,27. O valor se refere a 34 compras feitas em um único dia com cartões de crédito e débito da vítima vinculados ao Banco Itaú.
“Irretorquível a declaração de inexigibilidade de todas as despesas impugnadas pela autora, bem como, quanto aos respectivos consectários da mora”, observou a desembargadora Cláudia Grieco Tabosa Pessoa, relatora do recurso. O juízo da 8ª Vara Cível de Santos havia determinado que cada parte arcasse com metade do prejuízo da fraude.
De acordo com a relatora, não houve manifestação de vontade válida da vítima nas transações realizadas pelos golpistas e o banco, “tampouco, se prontificou a identificar as pessoas responsáveis pelas operações, bem como, não provou que a movimentação intensa e vultosa, em curto espaço de tempo, ajustara-se ao perfil da requerente”.
Cláudia Pessoa acrescentou que os dados pessoais da vítima obtidos previamente pelos envolvidos na fraude foram essenciais para o êxito da fraude, representando essa “quebra do sigilo bancário” descumprimento do dever de segurança por parte do réu. Os desembargadores Nuncio Theophiloneto e Daniela Menegatti Milano seguiram a relatora.
A defesa da instituição financeira sustentou inexistir nexo de causalidade entre os danos alegados e eventual falha na prestação do serviço oferecido, porque os clientes são orientados a zelar pelo sigilo da senha do cartão. Alegou ainda que os prejuízos suportados pela autora decorreram exclusivamente de sua negligência.
O colegiado afastou a tese do banco, considerando inaplicável a excludente de responsabilidade prevista no artigo 14, parágrafo 3º, inciso II, do CDC. Conforme essa regra, “o fornecedor de serviços só não será responsabilizado quando provar […] a culpa exclusiva do consumidor ou de terceiro”.
O acórdão se baseou na teoria do risco da atividade, no reconhecimento da responsabilidade objetiva nas relações de consumo e na Súmula 479 do Superior Tribunal de Justiça (“as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”).
O artigo 927, parágrafo único, do Código Civil diz que “haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”.
Conforme a responsabilidade objetiva inserida no artigo 14, caput, do CDC, “o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos”.
Golpe do motoboy
Segundo o advogado Luiz Fernando Fernandes, em virtude do vazamento de dados, a sua cliente começou a ser vítima bem antes de receber a ligação do estelionatário, que se passou por funcionário da área de segurança do banco. “Além do número de telefone da vítima, ele já sabia o seu nome completo, endereço, CPF e os quatro números finais de seus três cartões”.
Consta da petição inicial que o suposto funcionário perguntou à autora se ela reconhecia uma compra feita com um dos cartões dela em uma loja de Santa Maria (RS), município, aliás, onde nunca esteve. Após responder que não realizou a despesa, a vítima foi informada que se tratava de “clonagem” e, para evitar mais fraudes, os três cartões dela seriam bloqueados.
Em seguida, a ligação foi transferida à “central de atendimento”, sendo a professora orientada a digitar a sua senha para validar o bloqueio. Acreditando no enredo do golpista, a professora atendeu ao pedido. Por fim, ela entregou os cartões a um motoboy, supostamente contratado pelo banco, que foi buscá-los em sua residência.
Após algum tempo, a autora passou a receber diversos avisos de transações desconhecidas. O juiz Dario Gayoso Júnior assinalou na sentença que o banco falhou na fiscalização em tempo real das operações suspeitas e foi “negligente” ao não bloquear as compras que estavam em dissonância com o perfil do consumidor.
Contudo, embora reconhecesse a responsabilidade da instituição bancária, o magistrado ponderou que ela deveria se responsabilizar apenas pela metade do valor do prejuízo devido à “culpa concorrente do consumidor, que entregou o cartão e a senha a um fraudador, o que realmente caracteriza fortuito externo”.
“O vazamento de dados sigilosos serviu de trampolim para o êxito do golpe financeiro”, frisou Fernandes. Segundo ele, inicialmente, ao contrário do que preconiza a Lei Geral de Proteção de Dados (LGPD), informações sensíveis não foram protegidas de acessos não autorizados. Depois, o banco não detectou o “desvio evidente do perfil de gastos da consumidora”.