Serviço defeituoso no Código de Defesa do Consumidor.
Nos termos do art. 14, § 1°, do CDC (Código de Defesa do Consumidor), o serviço é considerado defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração circunstâncias relevantes, como o modo de seu fornecimento, o resultado e os riscos que razoavelmente dele se conjecturam, e a época em que foi fornecido.
Aplicabilidade do CDC às instituições financeiras.
A prestação do serviço de qualidade pelos fornecedores abrange o dever de segurança, que, por sua vez, engloba tanto a integridade psicofísica do consumidor, quanto sua integridade patrimonial. Consabidamente, o CDC é aplicável às instituições financeiras (Súmula 297/STJ), as quais devem prestar serviços de qualidade no mercado de consumo.
#Súmula 297-STJ: O Código de Defesa do Consumidor é aplicável às instituições financeiras.
As instituições bancárias respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros.
No entendimento do Tema Repetitivo n. 466/STJ, que contribuiu para a edição da Súmula n. 479/STJ, as instituições bancárias respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros, como, por exemplo, abertura de conta corrente ou recebimento de empréstimos mediante fraude ou utilização de documentos falsos, porquanto tal responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno (REsp n. 1.197.929/PR, Segunda Seção, julgado em 24/8/2011, DJe 12/9/2011).
#Súmula 479-STJ: As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
#Tese Repetitiva – Tema 466-STJ: As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
Dever da instituição financeira de evitar o vazamento de dados pessoais dos correntistas.
Especificamente nos casos de golpes de engenharia social, não se pode olvidar que os criminosos são conhecedores de dados pessoais das vítimas, valendo-se dessas informações para convencê-las, por meio de técnicas psicológicas de persuasão – como a semelhança com o atendimento bancário verdadeiro -, a fim de atingir seu objetivo ilícito.
Todavia, para sustentar o nexo causal entre a atuação dos estelionatários e o vazamento de dados pessoais pelo responsável por seu tratamento é imprescindível perquirir, com exatidão, quais dados estavam em poder dos criminosos, a fim de examinar a origem de eventual vazamento e, consequentemente, a responsabilidade dos agentes respectivos.
Necessidade de averiguação da origem do vazamento dos dados pessoais.
Assim, para se imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada. Isso porque os dados sobre operações financeiras são, em regra, presumivelmente de tratamento exclusivo pelas instituições financeiras.
Portanto, dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Desse modo, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço (art. 14 do CDC e 43 da LGPD).
STJ. REsp 2.077.278-SP, Rel. Ministra Nancy Andrighi, Terceira Turma, por unanimidade, julgado em 3/10/2023, DJe 9/10/2023 (info 791).
