Fraudes bancárias: quem indeniza o correntista?

Os números impressionam: de acordo com a Serasa Experian, em julho de 2023, houve uma tentativa de fraude a cada 6,6 segundos, fazendo das fraudes bancárias o assunto mais reclamado de 2023 no Sistema Nacional de Informações de Defesa do Consumidor (Sindec). Apesar de ser um problema mundial, o Brasil se coloca no segundo lugar mais alto desse nada honroso pódio. [1]

Por esse cenário, presume-se que o leitor certamente já foi vítima de alguma espécie de fraude bancária (um cartão clonado, uma conta aberta indevidamente em seu nome, transferências de valores ou empréstimos contraídos sem autorização…) ou, no mínimo, tem algum parente ou amigo próximo que passou por essa situação. Não à toa, tem-se observado uma avalanche de ações judiciais voltadas à reparação dos danos decorrentes de fraudes bancárias.

Pior: mesmo em grande número, as ações judiciais são apenas o remanescente dos casos não solucionados extrajudicialmente.

O portal consumidor.gov.br, administrado pela Secretaria Nacional do Consumidor (Ministério da Justiça), registrou mais de 2,1 milhões de reclamações relativas ao setor bancário, financeiro e de cartões de crédito.

Apesar de a plataforma ter um índice médio de solução em torno de 78%, bastante expressivo, o Conselho Nacional de Justiça ainda registrou, no mesmo ano, em torno de 530.000 ações judiciais tratando de questões relativas às atividades financeiras e de seguros.

Quem deve ser responsabilizado pelos danos dessas fraudes?

A grande questão é: nesses casos, em que um terceiro pratica a fraude, vitimando tanto o consumidor quanto a instituição bancária, quem deve ser responsabilizado e reparar o dano sofrido?

A resposta é clara e direta: contrariando o que costumam sustentar quando demandadas, colocando-se na situação de vítimas, a responsabilidade recai sobre a instituição bancária, independentemente de ela própria ter sido prejudicada pela fraude.

Essa conclusão decorre do artigo 14 do Código de Defesa do Consumidor, segundo o qual o fornecedor do serviço responde, independentemente de culpa, pela reparação dos danos causados aos consumidores em razão dos defeitos relativos à prestação dos serviços. E o artigo 14, § 1º, do CDC considera defeituoso o serviço quando não entregar a segurança que o consumidor poderia esperar, consideradas circunstâncias como o modo de fornecimento, o resultado e os riscos que dele se esperam, e (iii) a época em que foi fornecido.

Praticamente na totalidade das vezes, as fraudes bancárias decorrem de falhas de segurança do fornecedor e, portanto, configuram defeito de serviço. Quanto às duas primeiras circunstâncias do art. 14, § 1º, do CDC (modo de fornecimento, resultados e riscos esperados), acórdãos do TJSP já afirmaram que o aparato eletrônico à disposição dos clientes pelas instituições tem a finalidade de otimizar suas atividades, poupar gastos e agilizar negócios realizados em massa, sendo inadmissível transferir aos consumidores os riscos inerentes à atividade econômica e às escolhas feitas pelas fornecedoras para a oferta dos serviços. [2]

Da mesma forma, a terceira circunstância (a época em que fornecido o serviço) também aponta para a responsabilidade das instituições bancárias. Isso porque os levantamentos feitos pelas instituições especializadas e as inúmeras matérias veiculadas pela mídia revelam os riscos inerentes às atividades bancárias, que as fornecedoras precisam combater, prevenindo as fraudes, não podendo se eximir da responsabilidade por eventuais ocorrências.

O cenário global é de redução do atendimento presencial, ampliando-se o atendimento virtual e os pagamentos digitais, e “os fraudadores estão aumentando e os pagamentos estão sendo processados em segundos, os fraudadores estão criando novas maneiras de roubar os bancos e seus clientes”, razão pela qual “os bancos precisam ser ágeis para responder a novas ameaças e adotar novas abordagens e tecnologias para prever e prevenir fraudes”, como afirma Natalie Faulkner, líder global do setor de fraudes da KPMG Internacional. [3]

O cenário se torna ainda mais desfavorável às instituições bancárias ao saber que os danos decorrentes das fraudes têm aumentado em ritmo mais acelerado do que os investimentos para o gerenciamento desse risco, como relatado por David Hicks, também da KPMG. [4]

Por tudo isso, fornecedores de serviços bancários não podem alegar desconhecimento dos riscos de suas atividades e é deles a responsabilidade de prevenir as fraudes e de reparar os danos sofridos pelos clientes.

O fortuito interno e a excludente de responsabilidade (no singular)

A lei prevê hipóteses restritas para eximir os fornecedores da responsabilidade: caberia a eles a comprovação de que o defeito inexiste ou de que houve culpa exclusiva do consumidor ou de terceiro (CDC, art. 14, § 3º).

Provar que o defeito inexiste é impossível, pois nenhum sistema eletrônico é absolutamente inviolável.[5] Por consequência, no caso de fraudes bancárias, restam inviabilizadas duas das hipóteses legais que excluiriam a responsabilidade do fornecedor: (i) a inexistência do defeito, porque inexiste sistema de segurança absolutamente infalível, e (ii) a culpa exclusiva de terceiro, porque, se o terceiro se aproveitou de uma falha de segurança, é consequência lógica necessária a de que houve defeito do serviço, atraindo de novo a responsabilidade do fornecedor.

Vale destacar que, de acordo com a jurisprudência pacífica, a fraude cometida por terceiro, valendo-se de falha de segurança do sistema eletrônico, configura fortuito interno, enseja a aplicação da Súmula 479 do STJ [6] e, por consequência, implica responsabilidade do fornecedor do serviço defeituoso, condenando à reparação do dano sofrido pelo cliente. [7]

Somente o fortuito externo poderia afastar a responsabilidade do fornecedor. A título de exemplo, podemos citar o cliente deixa o estabelecimento bancário portando valores em espécie e sofre roubo ou furto na via pública. O dano sofrido não tem relação com defeito do serviço prestado pela instituição bancária, que, portanto, não pode ser responsabilizada. [8]

À exceção desses casos em que o dano não tem qualquer relação com o serviço prestado (fortuitos externos), o afastamento da responsabilidade do fornecedor depende da comprovação da única excludente de responsabilidade viável: a culpa exclusiva do cliente, que, provido de todas as informações necessárias, e apesar do pleno funcionamento do sistema de segurança, foram as ações, conscientes e bem informadas do próprio cliente que levaram à ocorrência do fato lesivo. É dizer: caberia ao fornecedor comprovar o que o cliente, livre e informado, consentiu com as transações realizadas e que, por consequência, não houve propriamente falha de segurança ou fraude cometida contra ele.

Como ocorre a reparação do dano?

Configurados o fortuito interno e o defeito do serviço prestado pela instituição bancária, a Súmula 479 do STJ determina a reparação integral do dano, nos termos do artigo 927 do Código Civil.

Para tanto, devem ser analisadas a natureza e a extensão dos danos, a fim de que sejam reparados todos os ocorridos, sejam imateriais ou materiais, abarcando danos emergentes e lucros cessantes.

Quanto aos danos materiais, é imprescindível que a instituição bancária reponha o patrimônio do cliente na integralidade, seja para reaver eventuais valores indevidamente transferidos da conta bancária do cliente (danos emergentes), seja para ressarci-lo dos prejuízos que tenha sofrido em função do defeito do serviço, inclusive das medidas adotadas pela própria instituição bancária ou terceiros credores do cliente, como restrições ou negativação indevida, que tenham prejudicado seus ganhos normais no período (lucros cessantes).

No que diz respeito aos danos morais, no momento da fixação do quantum indenizatório, há de se considerar as condições econômicas das partes para que se produza efeito educativo sobre o fornecedor faltoso, mas não implique enriquecimento sem causa do cliente.

Por fim, ainda na esfera dos danos morais, a reparação requer consideração não apenas para se realizar a compensação pecuniária, que é importante, mas insuficiente. Há de se ter atenção às medidas necessárias para retornar ao status quo ante em todas as frentes, desfazendo-se adequadamente [9] qualquer providência que tenha sido tomada em detrimento do cliente, como medidas de cobrança ou restritivas de direito, a exemplo de negativações junto a serviços de proteção ao crédito (e, no caso, há de se exigir que os históricos retornem ao mesmo estado em que se encontravam antes do defeito do serviço, inadmitindo-se registros que possam prejudicar o score do cliente).

[1] Pesquisa Global sobre Fraude Bancária. Disponível em: https://assets.kpmg.com/content/dam/kpmg/br/pdf/2021/07/pesquisa-global-fraude-bancaria.pdf, acesso em: 17/09/2024;  https://valor.globo.com/empresas/noticia/2023/12/26/para-visa-o-brasil-tem-o-2o-maior-indice-de-fraudes-no-mundo.ghtml, acesso na mesma data.

[2] v.g.: TJSP, Ap. 1009322-29.2020.8.26.0001, rel. Des. Ricardo Pessoa de Mello Belli, j. 25/09/2023.

[3] Pesquisa Global sobre Fraude Bancária. Disponível em: https://assets.kpmg.com/content/dam/kpmg/br/pdf/2021/07/pesquisa-global-fraude-bancaria.pdf, p. 5. Acesso em: 17/09/2024.

[4] Idem, p. 4.

[5] Tanto assim que o TJSP já afirmou a “Inadmissibilidade do argumento de que o sistema de segurança bancário seja absolutamente imune a fraudes”. (Ap. 1011966-37.2014.8.26.0006, rel. Des. Sérgio Shimura, j. 27/01/2016).

[6] Súmula 479/STJ: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”

[7] Por exemplo, todos do TJSP: Ap. 1076493-94.2020.8.26.0100, rel. Des. Fernando Sastre Redondo, j. 05/05/2021; Ap. 1008542-49.2020.8.26.0079, rel. Des. Roberto Mac Cracken, j. 04/02/2022; Ap. 1006358-05.2022.8.26.0127, rel. Des. Vicentini Barroso, j. 01/11/2023; Ap. 1006965-96.2021.8.26.0177, rel. Des. Anna Paula Dias da Costa, j. 24/07/2023; Ap. 1073286-56.2021.8.26.0002, rel. Des. Anna Paula Dias da Costa, j. 04/08/2023 e Ap. 1012274-95.2022.8.26.0005, rel. Des. Fábio Podestá, j. 31/05/2023.

[8] STJ-4ª T., AgInt no AREsp 1.379.845/BA, rel. Min. Raul Araújo, j. 14/05/2024.

[9] Diz-se adequadamente porque, a exemplo da negativação indevida, não basta que a instituição bancária solicite a remoção do nome junto ao serviço de proteção ao crédito; é preciso que o faça da forma correta, pois, a depender da forma que o faz (comunicando que a dívida foi paga, por exemplo), o histórico do cliente permanece com o registro da dívida, prejudicando-o. É fundamental que o histórico retorne ao status quo ante, sem qualquer menção à ocorrência (a instituição bancária precisa reconhecer que se tratou de cobrança indevida), prevenindo-se qualquer prejuízo junto ao mercado.