A inadequada manipulação de informações pessoais vinculadas a transações e serviços bancários é considerada uma violação na prestação do serviço, pois é responsabilidade das instituições financeiras garantir a confidencialidade desses dados sensíveis. Recentemente, a 3ª Turma do Superior Tribunal de Justiça emitiu uma decisão favorável em um recurso especial, no qual uma cliente caiu no “golpe do boleto” devido ao vazamento de seus dados por parte do banco.

A jurisprudência estabelece diretrizes para determinar quando os bancos podem ser responsabilizados por golpes de engenharia social, usando como base a Lei Geral de Proteção de Dados (LGPD).

Em termos gerais, a responsabilidade das instituições financeiras depende do tipo de informação em posse dos criminosos. Se forem dados genéricos que poderiam ser obtidos de outras fontes, mesmo que sejam considerados sensíveis, não haverá uma conexão causal. Isso ocorre quando os fraudadores utilizam informações como nome, sobrenome, estado civil, profissão, endereço, telefone, origem racial ou étnica, crença religiosa, orientação política, filiação a sindicatos, informações de saúde ou dados biométricos, por exemplo.

No entanto, os bancos podem ser responsabilizados quando os dados usados pelos criminosos estão relacionados às operações financeiras. Geralmente, essas informações são exclusivamente tratadas pelas instituições, que têm o dever de armazená-las com segurança.

A ministra relatora afirmou que “dados pessoais vinculados a operações e serviços bancários são sigilosos, e é responsabilidade das instituições financeiras garantir seu tratamento seguro. O armazenamento inadequado dessas informações, que permite que terceiros tenham acesso a elas e causem prejuízos aos consumidores, constitui uma falha na prestação do serviço”.

No caso específico que foi julgado, uma mulher contratou um financiamento de veículo em uma financeira e optou por quitar a dívida antecipadamente. Ela seguiu as instruções do site da instituição e enviou um e-mail solicitando informações sobre o contrato e o valor devido. Poucos dias depois, uma funcionária da financeira entrou em contato via WhatsApp, informando que havia 32 parcelas em aberto e enviando um boleto de R$ 19,2 mil. A cliente efetuou o pagamento, mas posteriormente percebeu que havia sido vítima de fraude.

O tribunal de primeira instância considerou a dívida quitada, mas o Tribunal de Justiça de São Paulo (TJ-SP) revogou a sentença, argumentando que a fraude ocorreu devido à falta de cautela da consumidora. Alguns indícios incluíam a troca de mensagens informais via WhatsApp e inconsistências no boleto, como o banco e o beneficiário indicados, que eram diferentes dos do contrato de financiamento, além de um número incorreto do documento.

Não era razoável esperar que a cliente percebesse essas discrepâncias, uma vez que a pessoa que a contatou em nome da financeira possuía informações confidenciais sobre ela. Os fraudadores tinham conhecimento de que a mulher era cliente da empresa, que havia enviado um e-mail para quitar a dívida e que tinham informações sobre o financiamento contratado. Essas informações são sigilosas e deveriam ser protegidas pela instituição financeira.

Portanto, se esses dados chegaram ao conhecimento dos criminosos, a responsabilidade da financeira não pode ser descartada devido ao tratamento inadequado dessas informações, o que facilitou a fraude.