CompartilharComentarSiga-nos no
A A
Em que pesem os esforços das instituições financeiras nacionais na área de segurança, parecem ser cada vez mais frequentes as notícias1 sobre o vazamento e acesso ilegal a dados bancários dos consumidores brasileiros.
Em tal contexto, não surpreende que fraudes e golpes bancários tenham se proliferado em velocidade alarmante nos últimos anos. Os estelionatários, organizados em quadrilhas especializadas em fraudes e crimes cibernéticos, municiam-se com os dados bancários de possíveis vítimas (obtidos de forma ilícita) e aplicam uma miríade de golpes.
Neste artigo, trataremos especificamente sobre o golpe da falsa central de atendimento, também conhecido como golpe do falso funcionário, situação na qual, resumidamente, um estelionatário, munido de dados pessoais e bancários da vítima, finge ser um funcionário da instituição financeira na qual o cliente tem conta e, por meio de táticas elaboradas de engenharia social, convence o consumidor a realizar “protocolos de segurança” que culminam com transações fraudulentas e prejuízos astronômicos.
Geralmente, o golpista sabe o nome real do gerente do consumidor, dados sobre agência e conta, possui conhecimento sobre cartões de débito e crédito, etc. Após conquistar a confiança da vítima, o bandido informa que a conta do consumidor está com a segurança comprometida (p. ex., houve invasão, clonagem de cartão, tentativa de acesso indevido ou transações não reconhecidas).
Na sequência, o suposto funcionário do banco solicita a realização de determinados “protocolos” para reverter os supostos riscos de segurança e/ou prejuízos, induzindo a vítima a informar dados sensíveis (tais como senha, token, código de segurança do cartão) ou solicitando a instalação de aplicativos de acesso remoto no celular (p. ex., RustDesk). Há situações nas quais o estelionatário, sob algum pretexto de “segurança”, compele a própria vítima a realizar operações financeiras cujos beneficiários são os bandidos e/ou laranjas associados ao esquema criminoso do golpe da falsa central de atendimento.
Naturalmente, as consequências do golpe da falsa central de atendimento são desastrosas ao consumidor, o qual acaba suportando prejuízos gigantescos, ocasionados por compras a crédito, débito, PIX, saques e empréstimos pessoais, todos realizados mediante fraude.
Frente a tal panorama, indaga-se: qual é a responsabilidade jurídica das instituições financeiras pelos prejuízos causados aos consumidores vítimas do golpe da falsa central de atendimento?
O tema é complexo é será explanado em três frentes: (i) vazamento de dados pessoais e bancários; (ii) autorização de transações destoantes do perfil transacional do cliente; e (iii) abertura e movimentação irregulares de contas bancárias utilizadas por estelionatários e laranjas.
O golpe da falsa central de atendimento e o vazamento de dados bancários.
Quanto ao vazamento de dados pessoais, a experiência forense demonstra que no golpe da falsa central de atendimento, com grande frequência, os estelionatários têm acesso prévio a dados pessoais e bancários da vítima (p. ex., nome do cliente, número de telefone, CPF, endereço residencial, número dos cartões, nome do gerente, agência e conta), a partir dos quais o golpe é orquestrado.
Ora, o art. 1º, caput e § 4º, da LC 105/01 prevê que o sigilo dos dados bancários somente pode ser quebrado mediante ordem judicial:
“Art. 1º As instituições financeiras conservarão sigilo em suas operações ativas e passivas e serviços prestados.º
[…]
§ 4º A quebra de sigilo poderá ser decretada, quando necessária para apuração de ocorrência de qualquer ilícito, em qualquer fase do inquérito ou do processo judicial, e especialmente nos seguintes crimes: […]”
Portanto, não seria justo exigir que o consumidor (especialmente o idoso, que é considerado hipervulnerável) presuma que houve comercialização ou vazamento de suas informações bancárias para terceiros mal-intencionados. Vale dizer: se os estelionatários têm acesso aos dados bancários do cliente – que, segundo a legislação vigente, deveriam ser conservados sob o mais absoluto sigilo pelas instituições financeiras – é patente que há defeito na prestação do serviço bancário, nos moldes do art. 14, § 1º, do CDC.
O golpe da falsa central de atendimento e a violação ao perfil de consumo do cliente.
No que tange à violação ao perfil de consumo do cliente, é fato notório que durante o golpe da falsa central de atendimento costumam ser perpetradas transações fraudulentas que movimentam substanciais quantias, em curto intervalo de tempo e de maneira sequencial, não raro em período noturno.
Sem embargo, na maior parte dos casos concretos, este padrão de movimentação é absolutamente incompatível com o perfil transacional do consumidor. Com efeito, uma minuciosa análise do histórico de transações financeiras do cliente (referente aos últimos doze meses anteriores à fraude) frequentemente demonstra que as operações ilegítimas são totalmente destoantes das métricas habituais de gastos da vítima.
Sendo demonstrada a violação ao perfil de consumo no caso concreto, existirá nexo de causalidade entre uma conduta do banco (falha no sistema de segurança antifraudes) e o dano suportado pela vítima, configurando-se, assim, um fortuito interno, inerente à atividade bancária.
Destaque-se que o nexo causal é reforçado pelo fato de que, atualmente, existem diversas ferramentas tecnológicas, algoritmos, sistemas computacionais e inteligências artificiais capazes de mapear o perfil transacional do cliente. Neste panorama, quando são realizadas operações fora daquele perfil (ainda que mediante utilização de senha), a instituição financeira tem capacidade técnica para suspender temporariamente a liquidação da compra ou transferência, até que o consumidor confirme por outro meio a autenticidade daquele gasto atípico (p. ex, via e-mail, SMS, ligação telefônica, WhatsApp, biometria ou reconhecimento facial).
O golpe da falsa central de atendimento e a abertura e movimentação irregulares de contas bancárias.
Em terceiro lugar, as instituições financeiras podem ser responsabilizadas pelos prejuízos advindos do golpe da falsa central de atendimento caso fiquem constatadas irregularidades na abertura e/ou na utilização da conta do estelionatário ou laranja. A abertura da conta será irregular quando violar as normas da resolução 4.753 de 26/9/19, do BACEN, especialmente quanto ao disposto nos arts. 2º, 4º e 7º.
Caso sejam identificadas irregularidades graves nas informações prestadas pelo correntista para abertura da conta (p. ex., uso de documentos falsos ou furtados), o banco pode e deve encerrar o vínculo contratual, nos termos do art. 6º do diploma normativo supramencionado:
“Art. 6º As instituições devem encerrar conta de depósitos em relação a qual verifiquem irregularidades nas informações prestadas, consideradas de natureza grave.”
Aqui, o nexo causal é materializado pela incapacidade do banco em barrar a abertura irregular da conta do estelionatário ou laranja, utilizada como instrumento para a prática de golpes. Em outras palavras: se não houvesse conta bancária irregular para receptar o produto do crime, o golpe da falsa central de atendimento não se materializaria e a vítima não sofreria prejuízos financeiros.
Ademais, no golpe da falsa central de atendimento, é muito comum que a vítima tenha seu dinheiro surrupiado por meio de transações sequenciais via PIX, destinadas a diversas contas de laranjas. Quanto à utilização do PIX, existem outras diretrizes normativas que podem ensejar a responsabilização da instituição financeira pelos prejuízos sofridos pelo consumidor. Confira-se os arts. 88 e 89 da resolução 1 de 12/8/20, do BACEN (“Regulamento do PIX”):
“Art. 88. Ao aderir ao Pix, os participantes declaram estar cientes de que, em decorrência da natureza de suas atividades, estarão sujeitos, em especial, aos seguintes riscos:
I – operacional, conforme definido no inciso I do art. 2º da Circular nº 3.681, de 4 de novembro de 2013, e regulamentação posterior; […]”.
“Art. 89. Adicionalmente ao gerenciamento de risco operacional disposto na Seção I deste Capítulo, os participantes do Pix devem adotar mecanismos robustos para garantir a segurança:
I – do processo de autenticação de usuários pagadores e de identificação de usuários recebedores;
II – dos procedimentos de iniciação do Pix; e
III – do processo de abertura de contas transacionais.”
O art. 2º da circular 3.681 de 4/11/13, do BACEN, definiu o risco operacional como sendo a possibilidade de ocorrência de perdas financeiras resultantes de “falhas na identificação e autenticação do usuário final”, “fraudes internas”, “fraudes externas” e “práticas inadequadas relativas a usuários finais”. Dessarte, os bancos assumem o risco operacional de transações realizadas via PIX, especialmente nas hipóteses em comento.
De mais a mais, é de conhecimento geral que as transações perpetradas durante o golpe da falsa central de atendimento têm um único objetivo, qual seja, esvaziar a conta da vítima o mais rápido possível. Este tipo de movimentação é manifestamente fraudulento. Desse modo, a instituição financeira poderá ser responsabilizada juridicamente caso autorize transações fraudulentas via PIX em desacordo com os arts. 39 e 39-B do regulamento do PIX:
“Art. 39. Uma transação no âmbito do Pix deverá ser rejeitada pelo participante prestador de serviço de pagamento do usuário recebedor quando:
I – houver fundada suspeita de fraude;
II – houver problemas na identificação do usuário recebedor;” (grifos nossos).
“Art. 39-B. Os recursos oriundos de uma transação no âmbito do Pix deverão ser bloqueados cautelarmente pelo participante prestador de serviço de pagamento do usuário recebedor quando houver suspeita de fraude.
§ 1º A avaliação de suspeita de fraude deve incluir:
I – a quantidade de notificações de infração vinculadas ao usuário recebedor;
II – o tempo decorrido desde a abertura da conta transacional pelo usuário recebedor;
III – o horário e o dia da realização da transação;
IV – o perfil do usuário pagador, inclusive em relação à recorrência de transações entre os usuários;
V – outros fatores, a critério de cada participante.
§ 2º O bloqueio cautelar deve ser efetivado simultaneamente ao crédito na conta transacional do usuário recebedor. […]
§ 5º Durante o período em que os recursos estiverem bloqueados cautelarmente, o participante prestador de serviço de pagamento do usuário recebedor deve avaliar se existem indícios que confiram embasamento à suspeita de fraude.” (grifos nossos).
Nesta senda, instituições financeiras que albergarem contas irregulares em nome de estelionatários ou laranjas, assim como aquelas que permitirem a instrumentalização do PIX para cometimento de fraudes, poderão ser solidariamente[2 responsáveis pela reparação civil do consumidor lesado pelo golpe da falsa central de atendimento.
A tese explanada neste artigo reflete a posição doutrinária de seu autor e tem sido majoritariamente acolhida pelos tribunais pátrios, embora não haja unanimidade na jurisprudência. Para exemplificar, confira-se ementa de acórdão proferido pelo TJ/SP:
“AÇÃO INDENIZATÓRIA. SENTENÇA DE IMPROCEDÊNCIA. APELAÇÃO DA AUTORA PARCIALMENTE PROCEDENTE. CONSUMIDOR. DEFEITO DO SERVIÇO BANCÁRIO. FRAUDE. TRANSFERÊNCIA DE VALORES. FALHA NO SISTEMA DE SEGURANÇA. GOLPE DA “FALSA CENTRAL DE ATENDIMENTO” DANOS MORAIS RECONHECIDOS. Ação de indenização julgada improcedente. Recurso da autora. Primeiro, reconheço o defeito na prestação dos serviços pelo réu. Responsabilidade do banco réu, ao permitir acesso dos criminosos aos dados da autora, de modo a entrarem em contato via telefone e, por consequência, obterem êxito na concretização do ato ilícito. Vazamento de dados. A consumidora acreditava na credibilidade do contato feito pelo suposto funcionário do TI da instituição financeira. Violação, ainda, do regulamento do PIX (art. 39, 88 e 89) na parte das cautelas e riscos das operações via PIX. Transação que se mostrou suspeita, notadamente pelo elevado valor. Perfil notoriamente desviado. Incidência do art. 14 do CDC com aplicação da Súmula nº 479 do STJ. Precedentes da Turma Julgadora. Segundo, reconheço a existência de danos materiais. Diante do reconhecimento da responsabilidade da ré no evento danoso, de rigor a declaração de inexigibilidade dos empréstimos realizados em nome da autora. Bem como, a restituição dos valores debitados indevidamente da conta da autora (R$ 702,00). E terceiro, reconheço a ocorrência de dano moral. A consumidora experimentou dissabores, transtornos e aborrecimentos advindos não somente da falta de segurança do sistema bancário, mas também do atendimento inadequado recebido. Mesmo em Juízo, o banco réu insistiu numa versão (sem qualquer indício) da participação no evento danoso. Indenização dos danos morais fixada em R$ 5.000,00, parâmetro este ajustado para singularidades do caso concreto, razoável e admitido por esta Turma julgadora em casos semelhantes. Ação julgada parcialmente procedente em segundo grau. SENTENÇA REFORMADA. RECURSOS PARCIALMENTE PROVIDO.”3 (grifos nossos).
Conclusão e recomendação às vítimas do golpe da falsa central de atendimento.
Há muito tempo as instituições financeiras têm plena ciência de que fraudes e golpes bancários são um risco inerente à sua atividade empresarial. Dessarte, se não há repartição dos lucros dessa atividade com os consumidores, também não pode haver repartição dos riscos e prejuízos inerentes a ela (vide súmula 479 do STJ4). É, pois, ônus dos bancos se modernizarem, implementando tecnologias eficazes no combate e na prevenção contra fraudes, tais como o golpe da falsa central de atendimento.
Para aqueles que foram vítimas do golpe da falsa central de atendimento, a recomendação inicial é contestar imediatamente todas as transações fraudulentas perante a instituição financeira responsável pela conta e, na sequência, registrar boletim de ocorrência (crime de estelionato – art. 171 do CP5), o qual será documento essencial em eventual litígio. Se possível, o cliente deverá anotar todos os números de protocolo e guardar todos os documentos relativos à contestação.
Caso a contestação do consumidor seja rejeitada, recomenda-se a contratação de um advogado especialista em fraudes e golpes bancários, o qual poderá avaliar o caso em pormenores e indicar a melhor estratégia jurídica para tentar recuperar pela via judicial os prejuízos sofridos com o golpe da falsa central de atendimento.
_________
1 https://www.cnnbrasil.com.br/economia/financas/caixa-sofre-vazamento-de-dados-vinculados-a-chaves-pix-diz-bc/; https://www.infomoney.com.br/minhas-financas/banco-central-informa-novo-vazamento-de-dados-em-87-368-chaves-pix/ >; < https://www.cartacapital.com.br/economia/banco-central-comunica-novo-vazamento-de-dados-de-chaves-pix/ ; https://g1.globo.com/jornal-nacional/noticia/2024/10/14/aumenta-vazamentos-de-dados-de-chaves-pix-diz-banco-central.ghtml Acessos em 21.01.2025.
2 CDC: “Art. 7° Os direitos previstos neste código não excluem outros decorrentes de tratados ou convenções internacionais de que o Brasil seja signatário, da legislação interna ordinária, de regulamentos expedidos pelas autoridades administrativas competentes, bem como dos que derivem dos princípios gerais do direito, analogia, costumes e eqüidade. Parágrafo único. Tendo mais de um autor a ofensa, todos responderão solidariamente pela reparação dos danos previstos nas normas de consumo.”
3 TJSP. Apelação Cível nº 1001750-25.2023.8.26.0063, 12ª Câmara de Direito Privado, Rel. Alexandre David Malfatti, j. em 15.02.2024.
4 STJ. Súmula 479: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
5 CP: “Art. 171 – Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento […]”.
Heitor José Fidelis Almeida de Souza
Advogado especialista em Direito Civil, Direito do Consumidor e Fraudes Bancárias, bacharel em Direito pela USP e pós-graduado em Direito Empresarial pela FGV-SP.
