O fundamento da responsabilidade
O CDC se aplica às instituições financeiras (Súmula 297 do STJ) e considera defeituoso o serviço que não oferece a segurança que o consumidor pode legitimamente esperar. Esse dever de segurança abrange a integridade patrimonial do cliente e inclui a guarda adequada dos seus dados bancários, que são sigilosos e, em regra, de tratamento exclusivo dos bancos.
Pela Súmula 479, fruto do Tema 466, os bancos respondem objetivamente por fraudes praticadas por terceiros, pois o risco é inerente ao empreendimento (fortuito interno). Quando o armazenamento inadequado de dados permite que criminosos os utilizem para dar credibilidade ao golpe do boleto, configura-se falha na prestação do serviço, nos termos do art. 14 do CDC e do art. 43 da LGPD.
O ponto decisivo: a origem do vazamento
A responsabilização não é automática. O STJ exige que se apure com exatidão quais dados estavam em poder dos criminosos, para identificar a origem do vazamento. Só se imputa responsabilidade ao banco se a fonte do tratamento indevido for o próprio sistema bancário.
Como dados sobre operações financeiras são presumivelmente de tratamento exclusivo das instituições, o conhecimento dessas informações pelos golpistas pesa contra o banco. Ainda assim, o nexo de causalidade depende da hipótese concreta, e os tribunais examinam a prova caso a caso.
Pesquise a jurisprudência completa
Busque decisões sobre este e outros temas em dezenas de tribunais brasileiros.
Pesquisar jurisprudência