Biometria facial não comprova adesão a empréstimo: impacto para bancos
Decisão reconhece que biometria facial isolada não prova consentimento em empréstimos digitais; reforça dever do banco de segurança e prova robusta.

A decisão concluiu que o uso exclusivo de biometria facial não é meio suficiente para provar que o consumidor aderiu a um contrato de empréstimo, impondo ao banco ônus de demonstrar, de forma robusta, a segurança e a autenticidade da contratação eletrônica. O efeito prático imediato é o reforço da responsabilidade do fornecedor por operações digitais suspeitas, com reflexos sobre diligência na autenticação e produção de prova técnica nos litígios.
Contexto
A digitalização dos serviços financeiros elevou o uso de mecanismos biométricos — inclusive reconhecimento facial — para facilitar contratação e onboarding. Essa mudança trouxe eficiência, mas também riscos: fraudes de usurpação de identidade, deepfakes e ataques à cadeia de autenticação. No plano jurídico, a controvérsia concentra-se em duas vertentes: qual o grau de segurança exigível para considerar válida a manifestação de vontade colhida por meios eletrônicos; e como se distribui o ônus da prova quando o consumidor alega fraude.
As normas centrais envolvem o Código de Defesa do Consumidor (Lei 8.078/1990), que trata da responsabilidade por falhas no serviço e da vulnerabilidade do consumidor; o ordenamento probatório do CPC (Lei 13.105/2015), especialmente quanto ao ônus da prova; e a Lei Geral de Proteção de Dados (Lei 13.709/2018), que impõe deveres de segurança e transparência ao tratamento de dados pessoais sensíveis, como biometria. A decisão situa-se nesse cruzamento entre direito do consumidor, prova eletrônica e proteção de dados, área em que tribunais têm mostrado preocupação com a eficácia real das chamadas autenticações biométricas.
O que foi decidido
A análise firmou que a simples utilização de reconhecimento facial, sem complementação por outros elementos de segurança e sem prova técnica robusta sobre a integridade do processo, não basta para aferir a concordância do titular com a operação de crédito. Em consequência, quando o consumidor demonstra indícios de fraude — por exemplo, contestando a contratação — o banco deve apresentar elementos técnicos e rastreáveis (logs, cadeia de custódia, metadados, protocolo de autenticação multifatorial) que comprovem a aderência ao negócio jurídico.
A decisão enfatiza a necessidade de prova que vá além de um dado biométrico bruto: registro das etapas da autenticação, preservação de evidências digitais, auditoria técnica e medidas de segurança compatíveis com o risco da operação. Na ausência desses elementos, prevalece a responsabilização do fornecedor pelos danos causados pela contratação fraudulenta.
Base normativa e precedentes
- Art. 14, CDC (Lei 8.078/1990) — presunção de responsabilidade do fornecedor por defeitos relativos à prestação de serviços; aplica-se quando há falha de segurança em serviços digitais.
- Lei 13.105/2015 (CPC) — regras sobre ônus da prova (art. 373) e produção de prova pericial, relevantes para a demonstração técnica da autenticidade.
- Lei 13.709/2018 (LGPD) — impõe obrigação de segurança e medidas técnicas adequadas ao tratamento de dados pessoais sensíveis, como biometria, e direitos de acesso e responsabilização.
- Jurisprudência consolidada do tribunal — tendência a exigir prova robusta do fornecedor em contratos eletrônicos contestados pelo consumidor; aplicação restritiva de provas unilaterais quando há indícios de fraude.
Impacto prático
- Para instituições financeiras: obrigação de revisar fluxos de contratação digital, adotando autenticação multifatorial, logs detalhados, mecanismos de detecção de fraude e preservação da cadeia de custódia das evidências. Sistemas que dependam exclusivamente de reconhecimento facial passarão a ser vistos como insuficientes frente ao risco de contestação.
- Para advogados de consumidores: reforço da estratégia probatória ao alegar fraude; possibilidade de inversion of burden de prova fática em face da presunção de vulnerabilidade do consumidor prevista no CDC, exigindo do banco demonstração técnica da segurança do procedimento.
- Para departamentos de compliance e privacy: necessidade de articular requisitos da LGPD com controles de segurança e políticas internas — retention policies, logging e capacidade de auditoria — sob pena de responsabilização por tratamento inadequado de dados sensíveis.
- Para litígios em curso: decisões favoráveis ao consumidor podem ensejar pedidos de tutela de urgência para suspensão de cobranças e restituição de valores; prova pericial técnica sobre autenticidade dos registros digitais tende a ser requisito decisivo.
O que observar
- Prova técnica: tribunais tendem a valorizar perícias que examinem metadados, algoritmos de matching, logs de sessão, certificados digitais, e chain-of-custody. A insuficiência desses elementos pode levar à condenação do banco, inclusive por danos morais.
- Modulação e recursos: decisões nesse campo são passíveis de apelação por bancos, e a uniformização da jurisprudência dependerá de decisões de colegiados superiores; atenção à eventual fixação de parâmetros técnicos por instância superior.
- Risco regulatório: além da esfera civil, a falta de controles pode atrair sanções administrativas relacionadas à LGPD e à regulação do sistema financeiro, exigindo coordenação entre áreas jurídica, TI e segurança.
- Padrão tecnológico mínimo: ainda que não haja um “checklist” legal fechado, a prática defensável combina biometria com fatores adicionais (token, OTP, análise comportamental), monitoramento em tempo real e políticas claras de consentimento e registro.
Em suma, a decisão reforça que a adoção de soluções digitais não exime o fornecedor do dever de demonstrar, com evidências técnicas e integradas, a autenticidade das contratações. A biometria facial passa a ser um elemento entre outros no arcabouço probatório, não a prova final por si só. Para operadores do direito e do mercado, o sinal é claro: segurança jurídica em contratos eletrônicos exige controles técnicos, documentação e transparência, sob pena de responsabilização objetiva ao abrigo do CDC e de responsabilidades correlatas pela LGPD.
Comentários (0)
Seja o primeiro a comentar essa matéria.
Relacionadas em Consumidor
Ver tudo
Guia para atendimento a clientes autistas e os deveres do salão
Um guia orienta atendimentos em salões para clientes autistas; análise discute obrigações legais, adaptações práticas e riscos para prestadores de serviço.

STJ: notificação única sobre SCR basta antes da primeira remessa
A 4ª turma do STJ decidiu que notificação prévia única ao consumidor, anterior à primeira remessa ao SCR, atende a Resolução CMN 5.037/22 e ao art. 43 do CDC.

Apostador cobra R$ 14,9 mi da Blaze e inclui influenciadores
Ação pleiteia R$ 14,9 milhões por saldo supostamente perdido após bloqueio de conta na Blaze; caso traz debate sobre responsabilidade de plataformas e influenciadores.