STJ reforça: falhas em mecanismos de segurança digital geram responsabilidade civil de bancos e instituições de pagamento

A Terceira Turma do Superior Tribunal de Justiça (STJ) decidiu que bancos e instituições de pagamento devem indenizar clientes vítimas de golpes de engenharia social quando houver falhas nos sistemas de segurança ou na detecção de operações atípicas.

A decisão se baseia em um caso emblemático do chamado “golpe da falsa central”, em que criminosos, se passando por atendentes bancários, induziram um cliente a autorizar diversas transações em um único dia, valores e operações totalmente destoantes de seu padrão de uso.

O ministro Ricardo Villas Bôas Cueva, relator do caso, ressaltou que, nos termos do artigo 14 do Código de Defesa do Consumidor e da Súmula 479 do STJ, as instituições financeiras têm responsabilidade objetiva pelos danos causados por fortuito interno — ou seja, riscos próprios da atividade bancária e digital.

Para afastar a responsabilidade, a instituição deve demonstrar ausência de defeito no serviço ou culpa exclusiva do consumidor ou de terceiros. No caso concreto, o STJ entendeu que os sistemas de monitoramento do banco não foram capazes de identificar o padrão atípico das transações e impedir sua conclusão. Como resultado, o serviço foi considerado defeituoso, por não oferecer o nível de segurança que o consumidor razoavelmente espera.

Importante notar que o acórdão estende expressamente esse entendimento às instituições de pagamento, com fundamento no artigo 7º da Lei 12.865/2013, reforçando que o dever de segurança é idêntico ao das instituições financeiras tradicionais.

Essa uniformização é relevante porque o ecossistema de pagamentos digitais, especialmente com o avanço de fintechs, carteiras digitais e meios de pagamento instantâneo, opera em um ambiente de alta exposição tecnológica, no qual a linha entre inovação e vulnerabilidade é tênue.

A decisão do STJ:

1. Reforça o padrão de diligência exigido das instituições que operam transações eletrônicas, impondo que adotem mecanismos robustos de prevenção e resposta a incidentes.
2. Eleva o patamar probatório em demandas judiciais: não basta alegar que o golpe foi cometido por terceiro; é necessário demonstrar a efetividade das ferramentas de segurança e monitoramento.
3. Afeta relações contratuais B2B, sobretudo quando empresas utilizam plataformas de pagamento ou gateways integrados, irradiando responsabilidade e exigindo revisão de compliance e matriz de risco.

Em síntese, o STJ deixa claro que não se trata de responsabilizar o banco pelo golpe em si, mas de reconhecer que a ausência de barreiras tecnológicas adequadas, como análise de comportamento, bloqueio automatizado ou dupla verificação.

O precedente é mais um passo na consolidação de um “dever de diligência digital” das instituições financeiras e de pagamento, cuja omissão pode gerar não apenas responsabilidade civil, mas também repercussões regulatórias e reputacionais.

No contexto, a decisão deixa claro que a segurança digital não é custo operacional, é dever jurídico e ativo estratégico.

Confira a íntegra da decisão.

AUTOR

• Ana Mancuso
• Leticia Moura