A intensificação da digitalização dos serviços bancários, especialmente com a popularização de ferramentas como internet banking e pagamentos instantâneos (Pix), transformou significativamente a relação entre instituições financeiras e consumidores. Se, por um lado, tais avanços ampliaram o acesso e a eficiência dos serviços, por outro, aumentaram exponencialmente os riscos de fraudes digitais, o que impõe novos desafios ao Direito, sobretudo no campo da responsabilidade civil.

No ordenamento jurídico brasileiro, a responsabilidade das instituições financeiras encontra fundamento, primordialmente, no Código de Defesa do Consumidor. Nos termos do art. 3º, §2º, as atividades bancárias são consideradas serviços, o que atrai a incidência das normas consumeristas. Assim, aplica-se a responsabilidade objetiva prevista no art. 14 do CDC, segundo a qual o fornecedor responde independentemente de culpa pelos danos causados por defeitos relativos à prestação dos serviços.

O conceito de defeito do serviço, conforme dispõe o §1º do referido artigo, está diretamente ligado à expectativa legítima de segurança do consumidor. Nesse sentido, serviços bancários devem oferecer mecanismos eficazes de proteção contra fraudes, especialmente em um ambiente digital sabidamente vulnerável.

A jurisprudência do Superior Tribunal de Justiça consolidou essa compreensão por meio da Súmula 479, que estabelece: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias." A noção de fortuito interno é central nesse debate.

Trata-se de evento previsível e inerente ao risco da atividade econômica desenvolvida pelo fornecedor. No caso das instituições financeiras, as fraudes eletrônicas — incluindo phishing, engenharia social e golpes envolvendo transferência de valores — integram o risco do empreendimento, não podendo ser consideradas fatos imprevisíveis aptos a afastar a responsabilidade.

Sob essa perspectiva, a responsabilidade dos bancos decorre da teoria do risco do empreendimento, segundo a qual aquele que aufere lucro com determinada atividade deve suportar os riscos a ela inerentes. Assim, falhas nos sistemas de segurança, ausência de mecanismos eficazes de detecção de transações atípicas ou mesmo deficiência na autenticação de usuários configuram defeito na prestação do serviço.

A jurisprudência recente do STJ tem reiterado esse entendimento, especialmente em casos envolvendo o chamado "golpe do motoboy", nos quais consumidores são induzidos a entregar seus cartões e senhas a terceiros. Nesses casos, a Corte tem reconhecido a responsabilidade das instituições financeiras, entendendo que houve falha na prestação do serviço, seja pela ausência de bloqueio de operações suspeitas, seja pela insuficiência de mecanismos de prevenção a fraudes.

Outro ponto relevante diz respeito às fraudes praticadas por meio de engenharia social, nas quais o próprio consumidor, induzido em erro, realiza operações em favor de terceiros. Embora, em um primeiro momento, tais situações possam sugerir culpa exclusiva da vítima, o STJ tem adotado uma abordagem mais protetiva, reconhecendo que cabe às instituições financeiras implementar sistemas capazes de identificar comportamentos atípicos e interromper transações potencialmente fraudulentas.

Nesse contexto, ganha destaque o dever de segurança, que integra o conteúdo da obrigação contratual bancária. Tal dever não se limita à proteção física das operações, mas abrange também a segurança informacional e tecnológica, exigindo constante atualização dos sistemas de proteção, monitoramento de transações e educação dos consumidores.

Contudo, a responsabilidade das instituições financeiras não é absoluta. O próprio art. 14, §3º, do CDC prevê hipóteses de exclusão, notadamente quando o fornecedor comprova: (i) a inexistência do defeito ou (ii) a culpa exclusiva do consumidor ou de terceiro. A jurisprudência do STJ tem aplicado essas excludentes de forma criteriosa.

Em casos envolvendo fornecimento voluntário de dados sensíveis — como senhas, códigos de verificação ou autenticação —, tem-se reconhecido a possibilidade de afastamento da responsabilidade, desde que demonstrado que a instituição adotou todas as medidas de segurança adequadas. Da mesma forma, em situações envolvendo contas digitais utilizadas por fraudadores, o STJ tem decidido que a responsabilização do banco depende da comprovação de falha nos procedimentos de abertura e verificação da conta. Se a instituição comprova o cumprimento das normas regulatórias, especialmente aquelas impostas pelo Banco Central e relacionadas à prevenção à lavagem de dinheiro (Lei nº 9.613/98), afasta-se o dever de indenizar.

No âmbito das fraudes via Pix, a jurisprudência ainda está em consolidação, mas já se observa uma tendência de análise casuística. Embora não haja responsabilidade automática das instituições financeiras, tem-se reconhecido o dever de indenizar quando evidenciada falha nos mecanismos de segurança, como ausência de limites de transação, falta de autenticação reforçada ou omissão na identificação de operações incompatíveis com o perfil do cliente. Ademais, destaca-se o papel da boa-fé objetiva, prevista no art. 422 do Código Civil, como parâmetro interpretativo das relações contratuais.

Tanto o banco quanto o consumidor devem agir com lealdade e cooperação. Assim, comportamentos negligentes por parte do consumidor podem influenciar na distribuição da responsabilidade, inclusive com a aplicação da teoria da culpa concorrente. Diante desse cenário, verifica-se que a jurisprudência brasileira tem buscado equilibrar dois valores fundamentais: a proteção do consumidor e a necessidade de não transformar as instituições financeiras em garantidoras universais contra qualquer tipo de fraude.

Conclui-se, portanto, que a responsabilidade dos bancos em fraudes digitais deve ser analisada à luz do caso concreto, considerando-se: (i) a existência de falha na prestação do serviço; (ii) a adequação dos mecanismos de segurança adotados; (iii) a previsibilidade da fraude; e (iv) a conduta do consumidor. A tendência atual aponta para o fortalecimento do dever de segurança das instituições financeiras, em consonância com a evolução tecnológica e o aumento dos riscos digitais, sem afastar a necessidade de comportamento diligente por parte dos usuários.

Trata-se, portanto, de um campo em constante evolução, que exige atualização permanente dos operadores do Direito. Conclui-se, portanto, que a responsabilidade dos bancos em fraudes digitais não é absoluta, mas depende da análise do caso concreto, especialmente quanto à existência de falha na segurança do sistema bancário e à conduta das partes envolvidas.

O cenário atual demonstra uma tendência de fortalecimento da proteção ao consumidor, sem afastar a necessidade de cautela e diligência por parte dos usuários dos serviços financeiros.

Sobre o autor:

Caroline Pollo Advogada em Direito Processual Civil e Direito Bancário Pós-graduada em Direito Penal e Processo penal

Sobre o escritório:

Fundado em 2003, o VIGNA ADVOGADOS ASSOCIADOS possui sede em São Paulo e está presente em todo o Brasil com filiais em 15 estados. Atualmente, conta com uma banca de mais de 280 advogados, profissionais experientes, inspirados em nobres ideais de justiça. A capacidade de compreender as necessidades de seus clientes se revela em um dos grandes diferenciais da equipe, o que permite desenvolver soluções econômicas, ágeis e criativas, sem perder de vista a responsabilidade e a qualidade nas ações praticadas.