Direito do Consumidor Aplicado a Fraudes e Golpes no Sistema Financeiro Bem-vindos a esta aula aprofundada sobre a intersecção entre o Direito do Consumidor e a Responsabilidade Civil das Instituições Financeiras em casos de fraudes e golpes eletrônicos. Com a rápida digitalização dos serviços bancários, os tribunais brasileiros têm enfrentado o desafio de equilibrar a facilidade das transações tecnológicas com o dever de segurança das instituições e o dever de cautela dos próprios correntistas. Nesta aula, abordaremos as teses jurídicas que fundamentam a responsabilidade dos bancos, o conceito de falha na prestação do serviço, as excludentes de responsabilidade e a análise detalhada dos principais golpes atuais (Motoboy, PIX, Falsa Central, Boleto e Leilão Falso). Módulo 1: A Responsabilidade Civil Objetiva e a Teoria do Risco do Empreendimento O ponto de partida para a análise de fraudes bancárias é o Código de Defesa do Consumidor (CDC), que é pacífica e expressamente aplicável às instituições financeiras [STJ - REsp 1.197.929/PR - data do julgamento 24/08/2011]. A responsabilidade civil dos bancos e das instituições de pagamento é objetiva, fundamentada na Teoria do Risco do Empreendimento. Todo aquele que se dispõe a exercer uma atividade lucrativa na seara da prestação de serviços tem o dever de responder pelos defeitos resultantes do seu negócio, independentemente de culpa, sempre que desses defeitos decorrerem prejuízos ao consumidor [STJ - AgInt no AREsp 2.953.630/RJ - data do julgamento 03/03/2026]. A consolidação desse entendimento se deu no julgamento do Tema Repetitivo 466 e na edição da Súmula 479/STJ, que estabelecem: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias" [STJ - REsp 1.197.929/PR - data do julgamento 24/08/2011]. É imprescindível destacar que toda essa compreensão também se aplica integralmente às "Instituições de Pagamento" (como os bancos digitais e emissores de moeda eletrônica), às quais a Lei nº 12.865/2013 (art. 7º) atribui o mesmo dever de processar com segurança as transações dos usuários finais [STJ - REsp 2.222.059/SP - data do julgamento 30/06/2025]. Módulo 2: O Dever de Segurança e as Movimentações Atípicas O dever de segurança abrange tanto a integridade psicofísica quanto a integridade patrimonial do consumidor. Sendo assim, o sistema bancário que admite operações totalmente atípicas em relação ao padrão de consumo tem vulnerabilidades e viola esse dever de segurança, incorrendo em clara falha na prestação do serviço [STJ - REsp 2.052.228/DF - data do julgamento 12/09/2023]. Para identificar possíveis fraudes, os sistemas de proteção (antifraude) dos bancos devem considerar uma série de variáveis e circunstâncias, tais como: As transações que fogem ao perfil do cliente ou ao seu padrão de consumo; O horário e o local em que as operações foram realizadas; O curto intervalo de tempo entre uma e outra transação; A sequência de operações em valores elevados; A contratação de empréstimos atípicos no mesmo dia ou momento imediatamente anterior à realização de transferências suspeitas [STJ - REsp 2.222.059/SP - data do julgamento 30/06/2025]. Exemplo prático: Se um consumidor utiliza a conta como uma poupança, com pouquíssimas movimentações, e de repente o sistema autoriza a contratação de um alto empréstimo e a realização de dezenas de transferências via PIX no mesmo dia, esgotando o saldo, fica cristalizada a deficiência do serviço por validação de operação suspeita [STJ - REsp 2.222.059/SP - data do julgamento 30/06/2025]. Módulo 3: Dinâmica dos Golpes Modernos e a Jurisprudência do STJ Os falsários têm se utilizado das chamadas técnicas de "engenharia social" para ludibriar os consumidores. Abaixo, detalhamos como o STJ tem enquadrado cada modalidade: 3.1. O "Golpe do Motoboy" Neste golpe, o fraudador entra em contato telefônico passando-se por preposto do banco, alerta sobre uma suposta fraude, convence o cliente a digitar ou fornecer a senha e envia um "motoboy" à residência para recolher o cartão. O STJ consolidou que o dano, nesse caso, decorre de causas concorrentes: o fornecimento do cartão e senha pelo consumidor E a falha do banco em não detectar o uso criminoso subsequente [STJ - AgInt no AREsp 2.953.630/RJ - data do julgamento 03/03/2026]. Logo, se as compras feitas pelos golpistas são incompatíveis com o perfil do consumidor (ex: elevado valor financeiro em curto intervalo), o banco responde objetivamente [STJ - AREsp 3.023.633/SP - data do julgamento 23/03/2026]. 3.2. O "Golpe do Boleto" e o Vazamento de Dados Os dados sobre operações bancárias e saldos devedores são de tratamento sigiloso e exclusivo das instituições (Lei Complementar 105/2001 e LGPD). No "Golpe do Boleto", o estelionatário envia um boleto falso para a vítima, mas com dados precisos sobre o contrato (como número de parcelas em aberto e saldo devedor). O STJ entende que o tratamento inadequado e o vazamento dessas informações sensíveis, que acabam por facilitar a atividade criminosa, configuram claro defeito do serviço, devendo a instituição arcar com os prejuízos sofridos pela vítima que pagou o boleto adulterado [STJ - REsp 2.077.278/SP - data do julgamento 03/10/2023]. 3.3. O "Golpe do Leilão Falso" e Abertura de Contas Fraudadora No golpe do leilão falso, o consumidor arremata um suposto veículo na internet e deposita o valor em uma conta aberta por estelionatários em bancos digitais. A Resolução 4.753/19 do Banco Central impõe às instituições a responsabilidade de verificar e validar rigorosamente a identidade e os documentos dos titulares na abertura de contas digitais. A excessiva facilitação na abertura de contas para "laranjas", sem a devida checagem de prevenção à lavagem de dinheiro, configura falha na prestação do serviço, ensejando o dever do banco que hospedou a conta fraudulenta de ressarcir o consumidor vitimado [STJ - REsp 2.124.423/SP - data do julgamento 14/05/2024]. Módulo 4: A Hipervulnerabilidade do Consumidor A responsabilidade por golpes sofre inflexões quando o consumidor pertence a um grupo hipervulnerável. O STJ possui precedentes fundamentais sobre o tema: Idosos ("Imigrantes Digitais"): A imputação de responsabilidade por golpes envolvendo idosos deve ser interpretada à luz do Estatuto do Idoso e da Convenção Interamericana de Proteção dos Direitos Humanos dos Idosos. Exige-se das instituições redobrado dever de proteção [STJ - REsp 2.052.228/DF - data do julgamento 12/09/2023]. Portadores de Doenças Graves: Tratamentos médicos agressivos (como a quimioterapia para câncer) podem reduzir momentaneamente a capacidade cognitiva do consumidor, caracterizando hipervulnerabilidade, o que pode justificar o afastamento excepcional da tese de "culpa da vítima" [STJ - AREsp 3.023.633/SP - data do julgamento 23/03/2026]. Atenção à exceção: A mera condição de vulnerabilidade decorrente de um tratamento médico, isoladamente, não mitiga a responsabilidade do consumidor pelo dever de guarda de sua senha se a transação não apresentar anomalias ou falhas sistêmicas (exemplo: se a compra foi presencial, com inserção de senha em loja física, parcelada e dentro do limite pré-aprovado) [STJ - REsp 2.155.065/MG - data do julgamento 03/12/2024]. Módulo 5: A Excludente de Responsabilidade (Culpa Exclusiva da Vítima) Embora a proteção consumerista seja ampla, a responsabilidade do banco não é absoluta. O artigo 14, § 3º, inciso II, do CDC afasta a obrigação de indenizar quando ficar provada a culpa exclusiva do consumidor ou de terceiro [STJ - REsp 2.238.532/SP - data do julgamento 09/03/2026]. A Súmula 479 do STJ exige a existência de um fortuito interno (falha da atividade bancária). Quando não há vazamento de dados, falha sistêmica ou burla aos dispositivos de segurança do aplicativo, e o próprio consumidor toma as atitudes que concretizam a fraude, caracteriza-se o fortuito externo que rompe o nexo de causalidade. Casos clássicos de Culpa Exclusiva da Vítima reconhecidos pelo STJ: O consumidor que busca empréstimos fora dos canais oficiais, fornece seus dados em ambientes não seguros na internet e realiza voluntariamente diversas transferências via PIX a favor de pessoas físicas (terceiros desconhecidos), inclusive em montantes muito superiores ao que ele próprio pretendia de empréstimo [STJ - REsp 2.256.973/SP - data do julgamento 11/05/2026]. A consumidora que, mediante engenharia social (falsa central), atende à ligação, confirma dados, e realiza pessoal e voluntariamente as operações utilizando seus aparelhos e credenciais plenamente habilitadas [STJ - REsp 2.238.532/SP - data do julgamento 09/03/2026]. Nesses cenários, entende o tribunal que sem a colaboração decisiva e ativa da vítima, que autoexpôs seu patrimônio ao risco ignorando orientações básicas de segurança, o evento danoso jamais teria se consumado, isentando a instituição financeira de qualquer reparação. Exercícios: O dever de segurança das instituições financeiras restringe-se à integridade psicofísica do consumidor, de modo que a ocorrência de movimentações patrimoniais atípicas e fora do perfil de consumo do cliente não caracteriza, isoladamente, falha na prestação do serviço bancário. No denominado 'Golpe do Motoboy', a responsabilidade civil da instituição financeira decorre de causas concorrentes, figurando a falha do banco em não detectar o uso criminoso subsequente com compras incompatíveis com o perfil do consumidor. A responsabilidade civil objetiva por fraudes praticadas por terceiros, consolidada na Súmula 479 do STJ sob a ótica do fortuito interno, aplica-se integralmente às 'Instituições de Pagamento' por força do dever de processar com segurança as transações dos usuários finais. No 'Golpe do Boleto', o vazamento ou tratamento inadequado de informações sigilosas e precisas sobre o contrato do consumidor, como o saldo devedor e o número de parcelas, caracteriza defeito na prestação do serviço bancário. A responsabilidade de fiscalização na abertura de contas digitais por meio da Resolução 4.753/19 do Banco Central afasta o dever de indenizar do banco que hospedou a conta fraudulenta no 'Golpe do Leilão Falso', recaindo a obrigação de reparar exclusivamente sobre o site do leilão. A vulnerabilidade decorrente de tratamento médico agressivo, como a quimioterapia para tratamento de câncer, pode mitigar a capacidade cognitiva do consumidor e caracterizar sua hipervulnerabilidade, justificando o afastamento excepcional da excludente de culpa exclusiva da vítima em fraudes bancárias. A condição de hipervulnerabilidade do consumidor decorrente de grave enfermidade é suficiente, por si só, para afastar sua responsabilidade pelo dever de guarda da senha, mesmo que as transações fraudulentas contestadas ocorram de forma presencial e sem qualquer anomalia sistêmica. O estelionato perpetrado por meio de engenharia social através de falsa central telefônica, no qual a vítima pessoal e voluntariamente confirma dados e realiza operações em seus próprios aparelhos habilitados, constitui fortuito interno amparado pela Súmula 479 do STJ. Configura-se a excludente de nexo causal por culpa exclusiva da vítima quando o consumidor busca empréstimos fora dos canais oficiais na internet, expõe seus dados em plataformas inseguras e realiza voluntariamente transferências via PIX de valores elevados a favor de terceiros desconhecidos. A aplicação da Teoria do Risco do Empreendimento às fraudes bancárias impõe às instituições financeiras uma responsabilidade civil de natureza subjetiva, demandando que o consumidor comprove a negligência da instituição na vigilância dos dados para obter indenização por perdas superiores a R\$ 1.000,00. De acordo com o entendimento consolidado na Súmula 479 do STJ, como se caracteriza a responsabilidade das instituições financeiras por danos causados por fraudes praticadas por terceiros no âmbito de operações bancárias? O que diferencia juridicamente o 'fortuito interno' do 'fortuito externo' em casos de fraudes bancárias? Sob a ótica do dever de segurança (Art. 14 do CDC), quando uma transação bancária pode ser considerada fruto de 'serviço defeituoso'? Em situações de 'Engenharia Social' (como o golpe do WhatsApp ou PIX), o que pode afastar a responsabilidade da instituição financeira? Como o 'perfil transacional' do consumidor influencia na análise de falha na prestação de serviço em casos de fraude? Em casos onde estelionatários utilizam dados sigilosos (como saldo devedor ou número de parcelas de um empréstimo) para aplicar golpes, qual é a tendência de responsabilização? Qual é a regra geral de ônus da prova quando uma transação fraudulenta é realizada mediante o uso de senha pessoal do consumidor? No contexto do 'Golpe do Motoboy', por que a entrega voluntária do cartão cortado ao terceiro nem sempre exclui a responsabilidade do banco?