Golpe da falsa central: STJ delimita a responsabilidade dos bancos

Golpe da falsa central: STJ delimita a responsabilidade dos bancos

Entre as fraudes que exploram engenharia social destaca-se o golpe da falsa central de atendimento: criminosos se passam por funcionários de instituições financeiras, usam informações pessoais detalhadas e criam cenários de urgência para induzir a vítima a instalar aplicativos falsos ou fornecer dados sensíveis.

O Superior Tribunal de Justiça (STJ) analisou recentemente essa modalidade de fraude no Recurso Especial nº 2.215.907/SP, fixando critérios objetivos sobre a responsabilidade bancária.

O caso analisado

O correntista, induzido por estelionatários, ligou para um número não oficial, conversou com suposta funcionária e instalou um aplicativo em seu celular. Isso deu acesso a dados que permitiram a realização de um empréstimo fraudulento e transferências via Pix. A comunicação ao banco ocorreu somente no dia seguinte, quando a fraude já estava consumada.

O cliente buscou em juízo a devolução dos valores e indenização por danos morais.

A decisão do STJ

A 3ª Turma, por unanimidade, negou provimento ao recurso e afastou a responsabilidade do banco. O relator, Min. Ricardo Villas Bôas Cueva, afirmou que o caso configura fortuito externo; um ato de terceiro, imprevisível e inevitável para a instituição, aliado ao comportamento voluntário do cliente.

O Tribunal também rejeitou a aplicação automática da Súmula 479/STJ e destacou que impor ao banco responsabilidade por qualquer fraude equivaleria a transformá-lo em “segurador universal”, algo que o sistema jurídico não prevê.

Fundamentação legal

  1. Código de Defesa do Consumidor (CDC)
    • Regra: fornecedores respondem objetivamente por falhas no serviço (art. 14, caput).
    • Exceção: não há responsabilidade se o dano resultar de culpa exclusiva do consumidor ou de terceiros (art. 14, §3º, II).

    ➡ O golpe foi praticado por terceiros e viabilizado pelo comportamento do correntista (instalação de app e fornecimento de dados), rompendo o nexo causal.

  2. Código Civil (CC)
    • Art. 393: caso fortuito/força maior exclui responsabilidade quando estranho à atividade.
    • Art. 403: só há indenização por efeitos diretos da conduta.
    • Art. 927, par. único: o risco da atividade não abrange eventos externos.

    ➡ O banco assume riscos da sua atividade (fortuito interno), mas não responde por fraudes criadas fora do seu sistema (fortuito externo).

  3. Lei Geral de Proteção de Dados (LGPD)
    • Arts. 44 e 45: responsabilidade quando há falha de segurança ou vazamento de dados. No precedente REsp 2.176.783/DF, o STJ aplicou a LGPD para responsabilizar banco em caso de vazamento interno.

    ➡ No golpe da falsa central, não houve vazamento: o consumidor forneceu dados voluntariamente.

Fortuito interno x fortuito externo

O julgamento reforçou a distinção:

  • Fortuito interno: integra o risco da atividade bancária (falhas de sistema, vazamentos, bloqueio ineficiente após aviso). O banco responde.
  • Fortuito externo: decorre de fatores externos e da conduta da vítima (como golpes de engenharia social). O banco não responde.

Assim, a Súmula 479/STJ aplica-se apenas ao fortuito interno, não a casos como o da falsa central.

O papel da engenharia social

As fraudes atuais não dependem apenas de tecnologia, mas de manipulação psicológica. O criminoso explora a confiança e o medo do consumidor para obter dados e viabilizar a fraude.

O STJ reconhece que esse tipo de golpe não pode ser tratado como risco natural da atividade bancária, pois depende da colaboração involuntária da vítima. O dever do banco é prevenir falhas técnicas; o dever do consumidor é não compartilhar dados e comunicar a instituição rapidamente.

Impactos práticos para Bancos, IPs e Fintechs:

  • Fortalecer canais oficiais e sistemas de autenticação.
  • Documentar protocolos de segurança e atendimento, pois o momento da comunicação é decisivo.
  • Investir em campanhas educativas para clientes, especialmente contra engenharia social.

Conclusão

O REsp 2.215.907/SP consolida uma diretriz clara: fraudes de engenharia social, como o golpe da falsa central, configuram fortuito externo. Não há responsabilidade automática dos bancos quando não existe falha de serviço, vazamento de dados ou comunicação em tempo hábil.

O precedente reforça o equilíbrio de responsabilidades: instituições financeiras devem manter sistemas robustos, mas consumidores também precisam agir com cautela. Ao afastar a ideia de que os bancos seriam “seguradores universais” contra qualquer fraude, o STJ fortalece a segurança jurídica e oferece um marco para a prevenção de riscos no ecossistema financeiro digital.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.