Responsabilidade Bancária: Engenharia Social e Nexo Causal

A Responsabilidade Civil das Instituições Financeiras frente à Engenharia Social e o Nexo Causal

O cenário jurídico brasileiro contemporâneo enfrenta um desafio crescente no que tange às fraudes bancárias, especialmente aquelas perpetradas no ambiente digital. A evolução tecnológica, embora tenha facilitado a vida dos correntistas com a agilidade das transações instantâneas e o acesso remoto, trouxe consigo uma sofisticação nas táticas delituosas. Para o profissional do Direito, compreender a linha tênue que separa a responsabilidade objetiva das instituições financeiras da culpa exclusiva da vítima é essencial para a condução eficaz de litígios nesta área.

A discussão central gravita em torno da aplicabilidade do Código de Defesa do Consumidor (CDC) e da interpretação das excludentes de responsabilidade. Em regra, a responsabilidade dos bancos é objetiva, conforme determina a Súmula 479 do Superior Tribunal de Justiça (STJ). Isso significa que as instituições respondem pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. No entanto, essa responsabilidade não é absoluta e encontra limites precisos na conduta do próprio consumidor.

Quando a fraude ocorre mediante a entrega voluntária de dados sensíveis, senhas ou cartões pelo correntista aos estelionatários, a jurisprudência tende a reconhecer o rompimento do nexo de causalidade. Aprofundar-se neste tema exige uma análise detalhada dos elementos que configuram a falha na prestação do serviço versus a negligência do titular da conta.

O Conceito de Fortuito Interno e a Súmula 479 do STJ

Para dominar a matéria, é imperativo iniciar pela regra geral. A relação entre banco e cliente é, indiscutivelmente, de consumo. Portanto, aplica-se o artigo 14 do CDC, que estabelece a responsabilidade objetiva do fornecedor de serviços. O banco responde pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

A Súmula 479 do STJ consolidou o entendimento de que as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno. O fortuito interno é aquele risco inerente à atividade desenvolvida. Se um hacker invade o sistema do banco e retira valores da conta de um cliente, sem qualquer participação deste, o banco deve indenizar. Isso ocorre porque a segurança do sistema é parte fundamental do serviço bancário. A falha de segurança é, portanto, um defeito do serviço.

No entanto, a advocacia de alto nível requer a habilidade de distinguir o fortuito interno do externo. O fortuito externo é aquele fato que não guarda relação com a atividade do fornecedor, sendo imprevisível e inevitável, rompendo o nexo causal. É neste ponto que a atuação jurídica se torna complexa e onde muitos profissionais buscam especialização, como na Pós-Social em Advocacia Contra Bancos, para entender as nuances probatórias que diferenciam uma falha sistêmica de uma imprudência do usuário.

A Engenharia Social e a Culpa Exclusiva da Vítima

A modalidade de golpe conhecida como “engenharia social” tem alterado o paradigma das decisões judiciais. Nesses casos, não há, necessariamente, uma violação direta do sistema de segurança do banco (como um ataque de força bruta aos servidores). O elo frágil explorado pelos criminosos é o próprio ser humano. O consumidor é induzido a erro, persuadido a entregar suas credenciais, tokens ou a realizar transferências acreditando estar agindo de forma segura ou vantajosa.

Juridicamente, a questão se resolve pela análise do nexo de causalidade. Para que haja o dever de indenizar, deve haver um liame direto entre a conduta do banco (ou a falha do seu serviço) e o dano sofrido. O artigo 14, § 3º, inciso II, do CDC, estabelece que o fornecedor de serviços não será responsabilizado quando provar a culpa exclusiva do consumidor ou de terceiro.

Quando a vítima, ainda que ludibriada, fornece voluntariamente seus dados sigilosos — que, por contrato, tem o dever de guarda e sigilo —, ela assume um papel determinante no evento danoso. Os tribunais superiores têm entendido que, se o sistema do banco funcionou corretamente, exigindo as autenticações de segurança padrão (biometria, senha, token), e foi o cliente quem inseriu essas validações para autorizar a operação em favor do golpista, configura-se a excludente de responsabilidade. O banco, nesta ótica, não teria como impedir a transação que aparentava ser legítima e foi autorizada pelo titular.

A Distinção entre Falha de Segurança e Falha de Cautela

É crucial para o advogado diferenciar a falha de segurança da instituição da falha de cautela do consumidor. Se o golpe ocorre porque o aplicativo do banco permitiu o acesso em um dispositivo não cadastrado sem as devidas verificações, há falha de segurança. Se o golpe ocorre porque o banco permitiu uma transferência vultosa, totalmente fora do perfil do cliente, em horário atípico, sem acionar bloqueios preventivos, pode haver falha de segurança e responsabilidade solidária ou objetiva.

Por outro lado, se a transação está dentro dos limites diários, foi feita pelo dispositivo habitual (o celular do cliente) e com uso da senha pessoal e intransferível, a instituição financeira atua como mero mandatário da ordem de pagamento. Nesse cenário, argumentar a responsabilidade do banco torna-se uma tarefa árdua, pois o sistema de segurança não foi violado; ele foi utilizado conforme projetado, porém, manipulado pela vontade viciada do usuário.

O Dever de Monitoramento e o Perfil de Consumo

Ainda que a entrega dos dados tenha sido feita pela vítima, a discussão jurídica não se encerra automaticamente. Existe uma zona cinzenta que envolve o dever de segurança e monitoramento das instituições financeiras. A Resolução do Banco Central impõe aos bancos a obrigação de manter sistemas de monitoramento e prevenção a fraudes. Isso significa que as instituições devem ser capazes de identificar transações atípicas.

Profissionais que atuam na defesa dos consumidores ou dos bancos devem atentar-se ao “perfil de consumo”. Se um cliente, que movimenta quantias baixas, repentinamente realiza um empréstimo pré-aprovado de alto valor e transfere tudo imediatamente para uma conta desconhecida em outro estado, o sistema antifraude do banco deveria, em tese, disparar um alerta ou bloquear preventivamente a operação para confirmação.

Nesses casos específicos, mesmo que o cliente tenha passado os dados (engenharia social), pode-se arguir a responsabilidade concorrente ou até a responsabilidade do banco por falha no dever de segurança secundário (monitoramento de atipicidade). O argumento é que o banco lucra com a facilitação do crédito e das transações digitais e, portanto, deve arcar com os riscos dessa agilidade quando ela falha em detectar anomalias óbvias. Para entender a fundo essas obrigações regulatórias e a responsabilidade civil no ambiente virtual, o estudo contínuo em áreas correlatas, como visto na Pós-Graduação em Direito Digital, torna-se um diferencial competitivo.

Aspectos Processuais: Inversão do Ônus da Prova

No âmbito processual, a inversão do ônus da prova, prevista no artigo 6º, VIII, do CDC, é um instrumento poderoso, mas não automático ou absoluto para garantir a vitória do consumidor em casos de fraude com entrega de dados. A hipossuficiência técnica do consumidor justifica que o banco prove que seus sistemas são íntegros e que a transação foi autenticada corretamente.

Contudo, uma vez que o banco apresenta os logs de sistema comprovando que a operação foi realizada mediante uso de senha pessoal, biometria e dispositivo confiável (device ID), o ônus pode retornar ao consumidor, ou o juiz pode considerar a prova satisfeita no sentido da culpa exclusiva. O advogado deve estar preparado para impugnar esses logs técnicos, questionando, por exemplo, o tempo da transação, a geolocalização do acesso ou a ausência de bloqueios preventivos diante de movimentação suspeita.

A produção de prova pericial em tecnologia da informação pode ser requerida para verificar se houve, de fato, alguma vulnerabilidade explorada no aplicativo da instituição, ou se a fraude se deu puramente no campo da engenharia social (persuasão da vítima). A ausência de vulnerabilidade tecnológica reforça a tese de culpa exclusiva da vítima.

Dever de Informação e Educação Financeira

Outro ponto de debate jurídico reside no dever de informação. As instituições financeiras têm o dever de alertar ostensivamente seus clientes sobre os golpes mais comuns. A existência de campanhas educativas, avisos no momento do login e restrições de horários para transações noturnas são elementos que os bancos utilizam para demonstrar boa-fé e cumprimento do dever de segurança.

Quando o banco comprova que alertou o cliente — por exemplo, através de pop-ups no aplicativo dizendo “O banco não liga pedindo senha” — e o cliente, ignorando o aviso, fornece a senha a um terceiro por telefone, a caracterização da culpa exclusiva da vítima ganha força robusta. O Direito não pode tutelar a falta de cautela mínima quando a informação foi prestada de forma clara e adequada.

Conclusão

A responsabilidade civil em casos de fraudes bancárias com participação da vítima é um tema complexo que exige do jurista uma análise caso a caso. Não existe uma regra imutável que isente os bancos em todas as situações de engenharia social, nem que os condene automaticamente. O fiel da balança reside na prova do nexo causal e na verificação se houve falha no serviço de segurança (como a não detecção de operações grosseiramente atípicas) ou se o evento decorreu unicamente da negligência do consumidor ao ceder suas credenciais de segurança.

A tendência jurisprudencial de afastar a responsabilidade do banco quando há entrega voluntária de dados reforça a necessidade de cautela no uso das ferramentas digitais. Para o advogado, o desafio é identificar se houve falha concomitante da instituição financeira que pudesse ter evitado o dano, transformando a culpa exclusiva em, no mínimo, culpa concorrente.

Quer dominar a advocacia bancária e se destacar na defesa de seus clientes com teses jurídicas robustas? Conheça nosso curso Pós-Social em Advocacia Contra Bancos e transforme sua carreira com conhecimento especializado.

Insights sobre o Tema

A análise aprofundada da responsabilidade civil bancária revela que a tecnologia alterou a natureza do risco. O risco não está mais apenas no cofre físico, mas na credencial digital. O “fortuito externo” está se expandindo para abarcar a conduta humana da vítima que interage com o fraudador fora do ambiente bancário, enquanto o “fortuito interno” fica restrito às falhas tecnológicas do sistema. Isso exige dos advogados uma competência híbrida entre Direito Civil, Consumidor e noções de Tecnologia da Informação para identificar onde termina a segurança do banco e começa a imprudência do cliente. A tese do “desvio de perfil” é, atualmente, a ferramenta mais eficaz para o consumidor tentar reverter a presunção de culpa exclusiva em casos de engenharia social.

Perguntas e Respostas

1. O que diferencia o fortuito interno do fortuito externo em fraudes bancárias?
O fortuito interno refere-se a riscos inerentes à atividade bancária, como falhas no sistema de segurança ou fraudes cometidas por terceiros sem participação do cliente (ex: clonagem de cartão). Nesses casos, o banco responde objetivamente. O fortuito externo é um evento imprevisível e alheio à atividade, como a culpa exclusiva da vítima que entrega sua senha a golpistas, rompendo o nexo causal e isentando o banco de responsabilidade.

2. A Súmula 479 do STJ se aplica quando o cliente fornece a senha?
Em regra, não. A Súmula 479 do STJ trata da responsabilidade objetiva por danos decorrentes de fraudes e delitos praticados por terceiros no âmbito das operações bancárias (fortuito interno). Quando o cliente fornece a senha voluntariamente, a jurisprudência tende a interpretar o fato como culpa exclusiva da vítima (art. 14, § 3º, II, do CDC), o que afasta a aplicação da súmula por configurar fortuito externo.

3. O banco pode ser responsabilizado mesmo se o cliente entregou os dados?
Sim, é possível, mas depende das circunstâncias. Se a transação realizada pelos golpistas fugir completamente do perfil de consumo do cliente (ex: valor exorbitante, horários atípicos, locais diversos) e o sistema de segurança do banco não bloquear a operação preventiva ou temporariamente, pode-se arguir falha na prestação do serviço (dever de monitoramento), configurando responsabilidade objetiva ou, ao menos, culpa concorrente.

4. Como funciona o ônus da prova nesses casos?
Pelo CDC, há a possibilidade de inversão do ônus da prova em favor do consumidor. O banco deve provar que a transação foi realizada mediante uso de credenciais seguras e autênticas e que não houve falha sistêmica. Se o banco apresentar logs técnicos comprovando o uso de senha pessoal e dispositivo habilitado, o ônus de provar que houve falha de segurança ou que o banco deveria ter bloqueado a transação por atipicidade recai sobre o consumidor ou é analisado pelo juiz no conjunto probatório.

5. O que é Engenharia Social no contexto jurídico bancário?
Engenharia Social é a técnica de manipulação psicológica usada por criminosos para induzir as pessoas a realizarem ações ou divulgarem informações confidenciais. Juridicamente, ela é relevante porque desloca o foco da falha tecnológica (sistema do banco) para a conduta da vítima (erro ou engano). Quando o golpe ocorre exclusivamente por engenharia social, sem violação do sistema bancário, a defesa das instituições financeiras baseia-se na culpa exclusiva da vítima para afastar o dever de indenizar.

Aprofunde seu conhecimento sobre o assunto na Wikipedia.

Acesse a lei relacionada em Código de Defesa do Consumidor

Este artigo teve a curadoria da equipe da Legale Educacional e foi escrito utilizando inteligência artificial a partir do seu conteúdo original disponível em https://www.conjur.com.br/2025-dez-16/banco-nao-responde-por-fraude-se-vitima-passou-dados-para-golpistas-afirma-stj/.