Assim decidiu, por unanimidade, a Terceira Turma do STJ, no julgamento do REsp 2.077.278-SP, realizado em 03/10/2023. Do respectivo acórdão, relatado pela Ministra Nancy Andrighi, destaca-se o seguinte:
“Nos termos do art. 14, § 1°, do CDC (Código de Defesa do Consumidor), o serviço é considerado defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração circunstâncias relevantes, como o modo de seu fornecimento, o resultado e os riscos que razoavelmente dele se conjecturam, e a época em que foi fornecido.
A prestação do serviço de qualidade pelos fornecedores abrange o dever de segurança, que, por sua vez, engloba tanto a integridade psicofísica do consumidor, quanto sua integridade patrimonial. Consabidamente, o CDC é aplicável às instituições financeiras (Súmula 297/STJ), as quais devem prestar serviços de qualidade no mercado de consumo.
No entendimento do Tema Repetitivo n. 466/STJ, que contribuiu para a edição da Súmula n. 479/STJ, as instituições bancárias respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros, como, por exemplo, abertura de conta corrente ou recebimento de empréstimos mediante fraude ou utilização de documentos falsos, porquanto tal responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno (REsp n. 1.197.929/PR, Segunda Seção, julgado em 24/8/2011, DJe 12/9/2011).
Especificamente nos casos de golpes de engenharia social, não se pode olvidar que os criminosos são conhecedores de dados pessoais das vítimas, valendo-se dessas informações para convencê-las, por meio de técnicas psicológicas de persuasão – como a semelhança com o atendimento bancário verdadeiro -, a fim de atingir seu objetivo ilícito.
Todavia, para sustentar o nexo causal entre a atuação dos estelionatários e o vazamento de dados pessoais pelo responsável por seu tratamento é imprescindível perquirir, com exatidão, quais dados estavam em poder dos criminosos, a fim de examinar a origem de eventual vazamento e, consequentemente, a responsabilidade dos agentes respectivos.
Assim, para se imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada. Isso porque os dados sobre operações financeiras são, em regra, presumivelmente de tratamento exclusivo pelas instituições financeiras.
Portanto, dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Desse modo, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço (art. 14 do CDC e 43 da LGPD).”
Fonte: STJ (Informativo de Jurisprudência)
(18/10/2023)