TJDF mantém condenação de financeira por fraude com vazamento de dados

A 3ª Turma Recursal dos Juizados Especiais do Distrito Federal manteve a condenação da Capital Consig Sociedade de Crédito Direto S.A. ao ressarcimento integral de uma aposentada que perdeu R$ 24,5 mil em operação de fraude facilitada pelo vazamento de seus dados pessoais e informações contratuais. A decisão reafirma a responsabilidade objetiva das instituições financeiras pelos danos derivados de golpes praticados por terceiros quando há falha comprovada na segurança e sigilo das informações do consumidor.

Contexto

A controvérsia se insere no debate contemporâneo sobre a responsabilidade das instituições financeiras frente aos crescentes riscos de vazamento de dados e fraudes digitais. A jurisprudência dos tribunais superiores já consolidara, antes mesmo da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), que as instituições financeiras respondem objetivamente por delitos cometidos por terceiros no âmbito de suas operações bancárias. Esse entendimento, contudo, ganha especial relevância quando conjugado com as obrigações impostas pela Lei 13.709/2018, que estabelece deveres concretos de proteção, armazenamento seguro e restrição de acesso às informações pessoais.

A conflitiva prática forense anterior concentrava-se na divergência quanto a qual seria a origem exata do vazamento: se interno (culpa da instituição) ou externo (golpe isolado de terceiro). A tendência jurisprudencial recente é a de prestigiar a responsabilidade da instituição quando ela não conseguir demonstrar que implementou medidas de segurança adequadas à natureza sensível dos dados bancários, invertendo substancialmente o ônus probatório.

O que foi decidido

A turma firmou que a Capital Consig incorreu em falha patente na prestação de serviço ao permitir que dados pessoais e contratuais de sua cliente fossem indevidamente difundidos. Os golpistas, munidos não apenas de identificações cadastrais da consumidora, mas também de informações detalhadas sobre o contrato de empréstimo consignado, conseguiram simular representantes legítimos da financeira. Um aspecto crucial identificado pelo tribunal foi que as chamadas fraudulentas exibiam o mesmo número de telefone divulgado no site oficial da instituição, criando aparência de legitimidade que tornava extremamente difícil à vítima identificar a fraude no primeiro contato.

O relator, analisando o conjunto probatório, apontou que a posse concomitante de dados bancários e pessoais, assim como a sofisticação da cilada (replicação do número oficial), indicava falha estrutural no controle de acesso às informações ou, no mínimo, negligência grave na sua proteção. Não houve, portanto, culpa exclusiva da vítima, conforme sustentado pela defesa. Antes, a consumidora agiu razoavelmente ante informações que aparentavam ser originárias da instituição contratante.

Base normativa e precedentes

• Art. 14, CDC (Lei 8.078/1990) — Estabelece a responsabilidade objetiva do fornecedor por defeitos na prestação de serviço, dispensando demonstração de culpa. A proteção de dados integra-se como dever essencial na prestação do serviço financeiro.

• Súmula 479, STJ — "As instituições financeiras respondem objetivamente pelos danos gerados por fraudes e delitos praticados por terceiros no âmbito de operações bancárias." Precedente de jurisprudência pacífica que dispensa prova de culpa direta da instituição.

• Lei 13.709/2018 (LGPD) — Art. 42 impõe ao agente de tratamento o dever de reparar danos decorrentes de violação da segurança dos dados pessoais. O armazenamento e o controle de acesso a informações bancárias são responsabilidade exclusiva da instituição financeira.

• Direito de sigilo bancário — Consolidado na Lei Complementar 105/2001, o sigilo das operações financeiras é direito fundamental do cliente e obrigação primária da instituição.

Impacto prático

A decisão produz efeitos imediatos e amplos para a proteção do consumidor bancário:

• Para vítimas de fraude: A decisão reconhece que consumidores que caem em golpes sofisticados — nos quais os fraudadores possuem dados reais e replicam números oficiais — não são automaticamente culpados, e têm direito ao ressarcimento integral.

• Para instituições financeiras: A condenação reforça a necessidade de investimento em criptografia, controle de acesso rigoroso, segregação de dados sensíveis e monitoramento contínuo de acessos. A defesa de "culpa de terceiro" não é mais escudo suficiente; exige-se comprovação positiva de medidas de segurança adequadas.

• Para o setor regulado: Complementa as exigências do Banco Central quanto à autenticação de operações e canais de comunicação, tornando mais rigorosa a obrigação de confirmar identidades e verificar legitimidade antes de operações de transferência.

• Para seguradoras e resseguros: Pode elevar as exigências de cobertura de responsabilidade civil e crimes cibernéticos para instituições de crédito.

O que observar

Pontos de atenção para operadores do direito e instituições financeiras:

• Força vinculante: Embora a decisão seja de tribunal recursorial (Juizados Especiais), ela reflete jurisprudência consolidada do STJ (Súmula 479) e alinha-se com a LGPD, tornando improvável recurso bem-sucedido à instância superior.

• Próximos passos: A Capital Consig pode ainda interpor Recurso Extraordinário ao STF se alegar violação de direito fundamental, mas a jurisprudência constitucional tende a prestigiar proteção consumerista e direitos de personalidade.

• Regulamentação em curso: O Banco Central vem intensificando resoluções sobre autenticação multifator e padrões de segurança. Decisões como essa criam pressão por standardização ainda mais rigorosa.

• Risco para profissionais: Advogados defensores de instituições financeiras devem estar preparados para inverter a estratégia: ao invés de negar responsabilidade, documentar meticulosamente as medidas técnicas de proteção implementadas. A prova técnica de segurança é agora central, não periférica.

• Janela de modulação: Embora a tese esteja consolidada, futuras decisões podem debater o valor da indenização (se integral, com juros, com multa exemplar) e a eventual limitação de responsabilidade em cenários de golpe extremamente sofisticado ou colusão interna documentada.