Recentemente, a Terceira Turma do Superior Tribunal de Justiça (STJ) decidiu, por meio do julgamento do REsp 2.077.278/SP, que as instituições financeiras são responsáveis por possíveis vazamentos de dados pessoais e sigilosos do consumidor, utilizados por criminosos na realização do “golpe do boleto” – estratégia na qual golpistas, ao se passarem por funcionários do banco, emitem boletos falsos para “pagamento” dos serviços bancários correspondentes.

No caso em questão, a cliente enviou um e-mail ao seu banco para quitar algumas operações. Em seguida, foi abordada por meio do aplicativo WhatsApp por uma suposta colaboradora da instituição financeira, que enviou um boleto para a quitação do financiamento. Entretanto, a dívida em questão nunca foi paga pela cliente, uma vez que se tratava de um boleto direcionado aos próprios golpistas, mantendo-se em débito com o banco.

A Ministra Relatora do processo, Dra. Nancy Andrighi, explicou que, conforme a tese já estabelecida pelo STJ por meio da Súmula 479/STJ, as instituições financeiras são responsáveis, independentemente da existência de culpa, pelos danos causados aos seus clientes devido a fraudes realizadas por terceiros. Essa responsabilidade decorre do risco inerente ao próprio empreendimento bancário, conforme estabelece o art. 14 do Código de Defesa do Consumidor.

Isso ocorre porque a Lei nº 105/2001 determina que as instituições financeiras preservem o sigilo em suas operações ativas e passivas, bem como em seus serviços prestados. Assim, todos os dados pessoais vinculados a operações e serviços bancários são sigilosos, sendo a segurança em seu tratamento e armazenamento responsabilidade das instituições financeiras. Considera-se tratamento irregular quando não é fornecida a segurança esperada pelo consumidor, possibilitando que terceiros tenham contato com informações sigilosas e privilegiadas do consumidor, conforme preceitua o art. 44 da LGPD.

A atribuição dessa responsabilidade à instituição financeira depende da demonstração de nexo de causalidade, ou seja, da ligação entre o golpe aplicado e seu respectivo dano ao consumidor com a conduta e informações armazenadas pela instituição. A instituição bancária não poderia, por exemplo, ser diretamente responsabilizada pelo vazamento de dados básicos cadastrais, como CPF e nome completo, informações que poderiam facilmente ser obtidas por outras fontes sem quaisquer ligações com a instituição.

Portanto, torna-se incontestável a responsabilidade da instituição financeira na reparação dos danos resultantes do “golpe do boleto” quando os criminosos detêm informações confidenciais sobre as atividades bancárias do consumidor, conforme estabelecido no art. 14 do CDC e art. 44 da LGPD.