Inscreva-se
Direito Bancário
Direito Civil
Direito do Consumidor

Quando o banco diz que você autorizou, e a lei diz outra coisa

Quando o cliente perde dinheiro em uma fraude, o banco costuma responder que a operação foi autenticada e encerrar o assunto. A Súmula 479 e decisões recentes do STJ apontam para outra direção: a instituição tem o dever de monitorar e bloquear operações fora do padrão, e responde quando falha.

Por Gutemberg Amorim

Advogado com atuação em Direito Bancário, fraudes financeiras, Direito do Consumidor e proteção patrimonial de vítimas de golpes. OAB/GO 33.567.
  • 4 min de leitura

A frase mais comum que vítimas de fraude bancária escutam é quase sempre a mesma: “A transação foi realizada com o dispositivo cadastrado do cliente, com autenticação válida. Não identificamos falha em nosso sistema.” Para quem acabou de perder R$ 80 mil, R$ 140 mil ou R$ 200 mil, essa resposta é, ao mesmo tempo, devastadora e, em termos jurídicos, insuficiente.

Insuficiente porque responde apenas à pergunta errada. O banco demonstra que houve uma operação autenticada, mas a questão que o Direito coloca é outra: o banco tinha o dever de impedir aquela operação e, ao não impedi-la, incorreu em responsabilidade civil objetiva? A resposta do STJ, consolidada na Súmula 479 e reafirmada em decisões recentes da Terceira Turma, é que sim. Em muitos casos, o banco tem esse dever e, quando falha no seu cumprimento, responde pelo prejuízo.

Fortuito interno: o conceito que transforma o caso

A defesa padrão do banco em casos de fraude bancária é a alegação de fortuito externo: o golpe foi praticado por terceiro, a instituição não teve participação direta, logo não haveria responsabilidade. Mas fraudes contra correntistas não são eventos imprevisíveis para uma instituição financeira. São um risco estatístico, calculado, precificado nas tarifas e seguros bancários. Por isso, a Súmula 479 do STJ é categórica ao estabelecer que as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Responder objetivamente significa responder sem necessidade de prova de culpa: basta demonstrar o dano, a falha no serviço e o nexo entre ambos.

O que o STJ decidiu em setembro de 2023

No REsp 2.052.228/DF (Rel. Min. Nancy Andrighi, 3ª Turma, julgado em 12/09/2023, DJe 15/09/2023), o tribunal assentou que o dever de segurança abrange tanto a integridade psicofísica do consumidor quanto a sua integridade patrimonial, sendo dever da instituição financeira verificar a regularidade e a idoneidade das transações realizadas e desenvolver mecanismos capazes de dificultar fraudes perpetradas por terceiros. Segundo a decisão, a instituição tem o dever de desenvolver mecanismos de segurança que identifiquem e obstem movimentações que destoam do perfil do consumidor, em especial quanto a valores, frequência e objeto. No caso concreto, o consumidor era pessoa idosa, de 75 anos e imigrante digital, razão pela qual a imputação de responsabilidade foi feita à luz do Estatuto da Pessoa Idosa e da Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos, considerada a sua condição de consumidor hipervulnerável.

Três elementos dessa decisão definem a metodologia de análise. O primeiro é que o banco tem o dever ativo de monitorar o padrão transacional de cada cliente e bloquear operações que destoem desse padrão em valor, frequência ou objeto. O segundo é que a facilidade digital amplia, e não reduz, a obrigação de segurança. O terceiro é que a vulnerabilidade do consumidor é fator de gradação da responsabilidade.

A Resolução CMN 4.949/2021 e o dever regulatório

A Resolução CMN nº 4.949/2021 impõe às instituições financeiras obrigações específicas de segurança nas operações, de adequação de produtos ao perfil do consumidor, de transparência no relacionamento e de mecanismos eficazes de controle de operações atípicas. Isso significa que o banco não pode se limitar a disponibilizar um aplicativo funcional. Tem o dever regulatório de garantir que as operações realizadas em seu nome sejam monitoradas, seguras e compatíveis com o histórico de cada cliente.

Os elementos técnicos que decidem o caso

A análise de um caso de fraude costuma se concentrar em quatro frentes:

  • Logs de acesso: o registro de IP, geolocalização e horário exato de cada acesso. Uma transação realizada às duas da manhã, a partir de um IP jamais utilizado pelo titular e de localização incompatível com o seu domicílio, cria um padrão atípico que deveria ter acionado o sistema antifraude.
  • Análise de perfil transacional: quando o histórico do cliente nunca registrou transferências acima de R$ 5 mil e surgem três transferências superiores a R$ 40 mil em doze minutos, o sistema deveria ter bloqueado a operação ou exigido autenticação adicional.
  • Resposta ao MED: a ausência de acionamento do Mecanismo Especial de Devolução pelo banco, após a comunicação da fraude, é em si evidência de falha no protocolo.
  • Tempo de resposta após a contestação: bancos que demoram a bloquear contas depois de notificação formal contribuem para a ampliação do dano.

O que fazer nas primeiras 72 horas

Nas primeiras horas após a descoberta da fraude, algumas providências preservam direitos e provas:

  • Contestar formalmente junto ao banco, por escrito e com protocolo numerado, já que a comunicação apenas oral não cria registro jurídico útil.
  • Solicitar o bloqueio preventivo imediato da conta e o cancelamento de qualquer produto contratado de forma fraudulenta.
  • Acionar o MED junto ao Banco Central nas transações via Pix, sempre exigindo número de protocolo.
  • Registrar boletim de ocorrência com todos os dados disponíveis: valores, horários, destinatários e protocolos de atendimento.
  • Solicitar ao banco, por escrito, os logs completos da operação fraudulenta: IP, geolocalização, dispositivo, horário e biometria utilizada.
  • Consultar o Registrato, no Banco Central, para verificar se foram contratadas outras operações em nome da vítima.

Perguntas frequentes

Se a vítima utilizou a própria biometria, o banco fica isento? Não automaticamente. A biometria autentica o dispositivo, mas não comprova que foi o titular quem realizou a operação. Em casos de acesso remoto ou de engenharia social, a biometria pode ter sido capturada por terceiro, e o banco precisa demonstrar que todo o processo foi seguro.

Qual o prazo para entrar com ação? A prescrição para ações fundadas no Código de Defesa do Consumidor é de cinco anos a contar do conhecimento do dano (art. 27 do CDC). Os logs bancários, porém, têm prazo de retenção limitado, de modo que a preservação de provas deve ser imediata.

O banco devolveu parte do valor; ainda é possível questionar o restante? Sim. O ressarcimento parcial não configura quitação da totalidade do dano, e qualquer documento apresentado pelo banco como condição para esse ressarcimento parcial deve ser analisado antes de ser assinado.

Gutemberg Amorim

Advogado com atuação em Direito Bancário, fraudes financeiras, Direito do Consumidor e proteção patrimonial de vítimas de golpes. OAB/GO 33.567.

Quer escrever para a Lawletter?

Tem uma opinião jurídica, uma análise crítica ou uma reflexão relevante?
Sua análise pode virar coluna na Lawletter

Quero escrever para a Lawletter

As contribuições passam por curadoria editorial antes da publicação.

plugins premium WordPress
Últimas Notícias
Colunas
LL Insights
Artigos
Vozes da Academia
Além do Direito
Apoiadores
Podcast
Inscreva-se

Não perca nenhuma notícia jurídica!

Receba as principais análises e atualizações do direito brasileiro direto no seu e-mail.

Assinar Newletter Gratuita
Talvez mais tarde