A responsabilidade civil das instituições financeiras: uma análise da jurisprudência do TJRO sobre o fortuito interno em casos de fraudes via Pix

A responsabilidade civil das instituições financeiras: uma análise da jurisprudência do TJRO sobre o fortuito interno em casos de fraudes via pix

Civil liability of financial institutions: an analysis of the jurisprudence of the TJRO on internal fortuitous events in cases of pix fraud

Eliaquin Cardoso Danin Rossendy^[1]
Jucileia Batista de Souza^[2]
Ihgor Jean Rego^[3]

Resumo

O presente artigo tem por objetivo analisar o regime de responsabilidade civil das instituições financeiras em casos de fraudes perpetradas por meio de engenharia social, delimitando as fronteiras entre o fortuito interno e a excludente de culpa exclusiva da vítima no âmbito do Direito do Consumidor. A metodologia adotada consistiu em uma pesquisa qualitativa, de natureza teórico-dogmática, baseada na análise bibliográfica da doutrina clássica de responsabilidade civil e no exame documental da evolução jurisprudencial do Superior Tribunal de Justiça (STJ) e, especificamente, das Câmaras Cíveis e Turmas Recursais do Tribunal de Justiça do Estado de Rondônia (TJRO). Os resultados demonstram que, embora o fornecimento voluntário de credenciais pelo correntista tenda a afastar o nexo de causalidade em situações comuns, a responsabilidade do fornecedor remanesce hígida quando constatada a flagrante atipicidade das movimentações financeiras em relação ao perfil de consumo do cliente. Conclui-se que o dever de segurança imposto às instituições bancárias pela teoria do risco do empreendimento e pela Súmula 479 do STJ transmuda-se em defeito na prestação do serviço sempre que os sistemas de inteligência falham no monitoramento prévio ou demonstram inércia na execução de mecanismos regulatórios impositivos, tais como o Bloqueio Cautelar e o Mecanismo Especial de Devolução (MED) previstos pelo Banco Central. Assim, a negligência do consumidor não chancela a omissão sistêmica da instituição que lucra com a celeridade das plataformas digitais.

Palavras-chave: Responsabilidade Civil Bancária, Engenharia Social, Fortuito Interno, Tribunal de Justiça de Rondônia, Mecanismo Especial de Devolução.

Abstract

This paper aims to analyze the civil liability regime of financial institutions in fraud cases perpetrated through social engineering, delimiting the boundaries between internal fortuitous events and the exclusive fault of the victim defense within the scope of Consumer Law. The methodology adopted consisted of qualitative research, of a theoretical-dogmatic nature, based on a literature review of classic civil liability doctrine and a documentary examination of the jurisprudential evolution of the Superior Court of Justice (STJ) and, specifically, the Civil Chambers and Recursal Turms of the Court of Justice of the State of Rondônia (TJRO). The results demonstrate that, although the voluntary provision of credentials by the account holder tends to sever the causal link in ordinary situations, the supplier's liability remains intact when a blatant atypicality of financial transactions in relation to the client's consumption profile is verified. It is concluded that the duty of safety imposed on banking institutions by the enterprise risk theory and by STJ Precedent 479 mutates into a defect in the service provision whenever intelligence systems fail in prior monitoring or display inertia in executing mandatory regulatory mechanisms, such as the Cautionary Blocking and the Special Refund Mechanism (MED) provided by the Central Bank. Thus, consumer negligence does not validate the systemic omission of the institution that profits from the velocity of digital platforms.

Keywords: Banking Civil Liability, Social Engineering, Internal Fortuitous Event, Court of Justice of Rondônia, Special Refund Mechanism.

1. INTRODUÇÃO

No último século, a sociedade experimentou uma metamorfose profunda, impulsionada pelas sucessivas revoluções digitais. Esse avanço reconfigurou diversos ramos do Direito, com impactos sensíveis nas relações de consumo, especialmente no setor financeiro. Se, por um lado, a agilidade do ambiente digital democratizou o acesso a serviços bancários, por outro, expôs vulnerabilidades críticas: a migração da criminalidade para o campo da Tecnologia da Informação e a fragilidade dos sistemas de segurança institucionais.

Nesse cenário, o Pix consolidou-se como protagonista da economia brasileira, substituindo gradativamente o papel-moeda e os meios de pagamento tradicionais. Todavia, a celeridade que beneficia o usuário também amplia sua exposição a riscos. O distanciamento físico entre instituição e cliente criou brechas exploradas sistematicamente pelo crime organizado, tornando o Pix um vetor central para práticas ilícitas.

É evidente que o avanço tecnológico impõe um novo paradigma de risco. Se, por um lado, as instituições financeiras ergueram muralhas digitais robustas contra ataques diretos aos seus sistemas, por outro, os criminosos deslocaram o alvo para o usuário final o elo mais vulnerável da corrente. Por meio de manipulação psicológica e simulação de canais oficiais, os fraudadores exploram falhas comportamentais para obter dados e autorizações, revelando o fator humano como o ponto crítico da segurança bancária.

O debate jurídico central, portanto, transcende a técnica e foca na responsabilidade. Questiona-se até que ponto a instituição financeira responde por uma fraude ocorrida fora de seus sistemas internos, mas que utiliza elementos inerentes à sua atividade econômica. A aplicação da Teoria do Fortuito Interno torna-se o divisor de águas deste estudo, buscando determinar quando o risco deve ser absorvido pelo empreendimento, independentemente da discussão sobre a culpa da vítima.

Para explorar os contornos jurídicos que se desdobram dessas relações, os recursos metodológicos adotados neste trabalho consistiram em pesquisa exploratória de natureza documental e bibliográfica, com base na análise de textos legislativos, doutrinários e artigos científicos pertinentes aos ramos do Direito do Consumidor e da Responsabilidade Civil. Ademais, será realizada a análise de decisões judiciais, com ênfase na jurisprudência do Tribunal de Justiça do Estado de Rondônia (TJRO), a fim de compreender o posicionamento adotado pela corte em casos envolvendo fraudes bancárias via Pix.

Por fim, serão apresentadas as considerações finais, nas quais se buscará estabelecer os limites da responsabilidade civil das instituições financeiras em situações de fraudes eletrônicas, contribuindo para o debate jurídico acerca da proteção do consumidor no ambiente digital e da adequada distribuição dos riscos inerentes à atividade bancária.

2. HIPOSSUFICIÊNCIA E VULNERABILIDADE DO CONSUMIDOR

A proteção conferida pelo Código de Defesa do Consumidor parte de uma constatação fundamental: a relação de consumo é, por sua própria natureza, assimétrica. O reconhecimento dessa desigualdade estrutural é o que legitima o tratamento jurídico diferenciado dispensado ao consumidor, fundado no princípio constitucional da isonomia. Nessa perspectiva, conforme leciona Nunes (2012), a vulnerabilidade não constitui um privilégio, mas um instrumento de igualação material entre partes que ocupam posições desiguais no mercado.

Para o autor, a fragilidade do consumidor é uma realidade concreta, e não uma presunção abstrata. Ela decorre, sobretudo, do controle que o fornecedor exerce sobre os meios de produção: é ele quem decide, de forma unilateral, o que produzir, como produzir e quando ofertar. Diante desse poder de conformação do mercado, a suposta "liberdade de escolha" do consumidor já nasce reduzida, restando-lhe, na prática, aderir às condições previamente estabelecidas pelo fornecedor no exercício de sua atividade econômica.

Essa fragilidade, contudo, não se manifesta de modo uniforme. Nunes (2012, p. 129) divide a vulnerabilidade do consumidor entre a dimensão técnica e a econômica, nos seguintes termos:

Essa fraqueza, essa fragilidade, é real, concreta, e decorre de dois aspectos: um de ordem técnica, e outro de cunho econômico. O primeiro está ligado aos meios de produção, cujo conhecimento é monopólio do fornecedor.
[...]
O segundo aspecto, o econômico, diz respeito à maior capacidade econômica que, por via de regra, o fornecedor tem em relação ao consumidor.

A vulnerabilidade técnica revela-se na ausência de conhecimento do consumidor acerca dos atributos do produto ou do serviço, ao passo que a vulnerabilidade econômica traduz a disparidade de força entre os contratantes. Ambas conduzem à mesma conclusão: sem mecanismos de reequilíbrio, o consumidor não dispõe de condições reais de influir nas regras do mercado. Por isso, a tutela legal não institui privilégios injustificados, mas busca restabelecer uma igualdade efetiva, pressuposto, inclusive, da própria estabilidade do sistema econômico, comprometida pela perpetuação do desequilíbrio nas relações de consumo.

Esse entendimento encontra-se positivado na Política Nacional das Relações de Consumo, cujo art. 4º da Lei nº 8.078 (BRASIL, 1990) exige o reconhecimento da vulnerabilidade à condição de princípio reitor no seu inciso I, prevendo o "reconhecimento da vulnerabilidade do consumidor no mercado de consumo".

3. RESPONSABILIDADE CIVIL

Compreendida a posição de desvantagem que o consumidor ocupa na relação de consumo, cumpre examinar o instituto por meio do qual o ordenamento reconduz à esfera jurídica do lesado os prejuízos suportados de forma indevida. A responsabilidade civil constitui, nesse plano, o instrumento técnico de reparação de danos, e sua evolução (do paradigma da culpa ao paradigma do risco) fornece as categorias indispensáveis à compreensão do tema central deste trabalho.

3.1. Conceito e fundamento: a responsabilidade civil como dever jurídico sucessivo

A responsabilidade civil não se apresenta como obrigação autônoma, mas como consequência da inobservância de um dever jurídico anterior. Cavalieri Filho (2023) sustenta que a todo sujeito incumbe um dever jurídico originário, tal sendo abster-se de lesar, cumprir o contrato, observar os deveres gerais de conduta, e cuja transgressão, quando dela resulta dano, faz nascer um dever jurídico sucessivo: o de reparar o prejuízo causado.

A responsabilidade civil é, portanto, esse dever derivado, que pressupõe necessariamente a violação de uma obrigação preexistente, conforme preceitua Cavalieri Filho (2023, p. 1):

Só se cogita, destarte, de responsabilidade civil onde houver violação de um dever jurídico e dano. Em outras palavras, responsável é a pessoa que deve ressarcir o prejuízo decorrente da violação de um precedente dever jurídico. E assim é porque a responsabilidade pressupõe um dever jurídico preexistente, uma obrigação descumprida.

A configuração do dever de indenizar reclama, ademais, um vínculo que ligue a conduta ao resultado lesivo. Farias, Rosenvald e Braga Netto (2023) observam que a imputação da responsabilidade pressupõe a existência de nexo de causalidade entre o comportamento do agente, comissivo ou omissivo, e o dano efetivamente experimentado pela vítima, de modo que apenas os prejuízos causalmente atribuíveis àquela conduta ingressam no âmbito da reparação.

3.2. Da culpa ao risco: responsabilidade subjetiva e responsabilidade objetiva

Em sua concepção clássica, a responsabilidade civil estruturou-se sobre a noção de culpa. Sob esse modelo, denominado responsabilidade subjetiva, o dever de indenizar somente surge mediante a demonstração de que o agente atuou com dolo ou culpa em sentido estrito (negligência, imprudência ou imperícia), nos termos do art. 186 do Código Civil (BRASIL, 2002):“Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.”

Neste contexto, a reparação vincula-se, assim, a um juízo de reprovação da conduta individual. A intensificação das atividades econômicas e a multiplicação dos riscos próprios da sociedade industrial revelaram, todavia, a insuficiência desse paradigma.

Em inúmeras situações, a exigência de prova da culpa conduzia a vítima à ausência de reparação, ainda que o dano fosse manifesto. Diante desse quadro, Facchini Neto (2010) registra que a doutrina promoveu a revisão de dogmas até então consolidados, notadamente o da imprescindibilidade da culpa, abrindo caminho para a difusão das teorias do risco e para a afirmação da responsabilidade objetiva, aquela que prescinde da perquirição da culpa e se contenta com a conduta, o dano e o nexo causal.

O direito positivo brasileiro acolheu esse regime, uma vez que, ao lado da regra geral da responsabilidade subjetiva, o art. 927, parágrafo único, do Código Civil consagrou cláusula geral de responsabilidade objetiva, impondo o dever de reparar, independentemente de culpa, sempre que a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.

Não há, entre os dois regimes, relação de exclusão. Facchini Neto (2010) esclarece que a coexistência dos modelos subjetivo e objetivo não traduz antinomia, mas instrumental colocado à disposição do julgador para a realização da justiça no caso concreto. Nessa linha, o autor recusa a ideia de que a culpa e o risco constituam fundamentos contrapostos:

O fato é que a teoria da responsabilidade civil comporta tanto a culpa como o risco. Um como o outro devem ser encarados não propriamente como fundamentos da responsabilidade civil, mas sim como meros processos técnicos de que se pode lançar mão para assegurar às vítimas o direito à reparação dos danos injustamente sofridos. Onde a teoria subjetiva não puder explicar e basear o direito à indenização, deve-se socorrer da teoria objetiva. Isto porque, numa sociedade realmente justa, todo dano injusto deve ser reparado (FACCHINI NETO, 2010, p. 26).

3.3. A teoria do risco como fundamento da responsabilidade objetiva

A responsabilidade objetiva é clara ao substituir a culpa pelo risco, contudo, não designa categoria unívoca. Facchini Neto (2010) demonstra que, sob a denominação genérica de responsabilidade objetiva, abriga-se uma pluralidade de construções teóricas, entre as quais se destacam as teorias do risco-proveito e do risco-criado, ao lado da ideia de garantia e da responsabilidade objetiva agravada.

O traço comum a essas vertentes reside na imputação do dever de reparar a quem se encontra em posição de controle ou de aproveitamento da atividade geradora do risco: responde pelo dano, conforme o caso, aquele que dela extrai proveito econômico ou aquele que, por sua atuação, introduz ou incrementa o risco no meio social.

É dessa matriz que deriva a teoria do risco do empreendimento, também referida como risco da atividade, de particular relevância para o regime consumerista. Nunes (2012) sustenta que, sob a garantia constitucional da livre iniciativa, o risco constitui elemento intrínseco e indissociável da exploração econômica. Por essa razão, incumbe ao empreendedor avaliar as variáveis do mercado e suportar, de forma integral, as consequências das falhas eventualmente produzidas por sua atividade, pois a opção pela busca do lucro traz consigo, como contrapartida, a assunção dos riscos correlatos.

Tal assunção, observa o autor, submete-se a um cálculo econômico, o binômio risco/custo, no qual o empreendedor pondera os investimentos em prevenção em face das margens de lucro projetadas. Esse cálculo encontra, porém, limite intransponível na segurança que o mercado de consumo deve oferecer, uma vez que, na lição de Nunes (2012, p. 280), "não se pode compreender qualidade sem o respeito aos direitos básicos do consumidor".

3.4. As excludentes de responsabilidade e o problema da fraude praticada por terceiro

A responsabilidade objetiva não equivale a responsabilidade absoluta. O próprio Código de Defesa do Consumidor delimita as hipóteses em que o fornecedor se exonera do dever de indenizar. Quanto ao fato do serviço, o art. 14, § 3º, estabelece:

§3º O fornecedor de serviços só não será responsabilizado quando provar:
I - que, tendo prestado o serviço, o defeito inexiste;
II - a culpa exclusiva do consumidor ou de terceiro.

Duas observações se impõem quanto ao dispositivo. A primeira diz respeito ao ônus da prova: a demonstração da excludente incumbe ao fornecedor, e não ao consumidor, o que se harmoniza com a hipossuficiência probatória examinada no segundo capítulo. A segunda refere-se ao alcance das causas de exclusão: embora o § 3º não os mencione expressamente, a doutrina e a jurisprudência — a exemplo do entendimento fixado pelo Tribunal de Justiça do Rio Grande do Sul (2025) — reconhecem, por analogia, o caso fortuito e a força maior como causas aptas a romper o nexo de causalidade e, com isso, a afastar a responsabilidade.

É nesse terreno que se concentra a controvérsia central deste estudo. Nas fraudes bancárias, e particularmente naquelas operadas por meio do Pix, a instituição financeira costuma invocar, como excludente, a culpa exclusiva de terceiro, o fraudador, ou a ocorrência de caso fortuito. A solução do litígio depende, então, de uma qualificação prévia: a fraude praticada por terceiro é evento externo e estranho à atividade bancária, capaz de exonerar a instituição, ou constitui risco a ela inerente, que o empreendimento deve absorver? Essa distinção, que opõe o fortuito externo ao fortuito interno e que foi objeto da Súmula 479 do Superior Tribunal de Justiça.

4. RESPONSABILIDADE CIVIL NAS RELAÇÕES DE CONSUMO: FUNDAMENTOS E INOVAÇÕES DO CDC

4.1. A Objetivação da Responsabilidade e o Papel do Nexo de Causalidade

Conforme discorrido, o Código de Defesa do Consumidor (CDC) inovou na ordem jurídica vigente à época de sua promulgação, permitindo extrair uma definição própria de responsabilidade. Esta amplifica o conceito de responsabilidade civil tradicional para uma responsabilidade civil nas relações de consumo (CAVALIERI FILHO, 2012, p. 47).

Neste ponto, mesmo nos casos de responsabilidade objetiva, ainda é necessária a comprovação do nexo de causalidade entre a conduta e o dano para a caracterização do dever de indenizar. Contudo, nem todo caso fortuito é capaz de afastar a responsabilidade do fornecedor. Há situações em que, embora o evento seja imprevisível ou inevitável, a causa do dano não é externa à atividade exercida pelo prestador (CAVALIERI FILHO, 2012, p. 47).

4.2. Fortuito Interno e Externo como Critério de Imputação

A título exemplificativo, em casos de atraso de voo por adversidades meteorológicas — questão alheia à aviação e fora do controle das companhias —, a jurisprudência reiteradamente afasta o dever de indenizar, por entender que há o rompimento do nexo causal (RONDÔNIA, 2025).

Contudo, tal sorte não socorre às companhias aéreas quando o motivo do cancelamento decorre de manutenções não programadas. A jurisprudência do STJ é firme no entendimento de que o dever de garantir a segurança das aeronaves é intrínseco à atividade exercida pelas companhias aéreas. Tais condições são chamadas de fortuitos internos: causas que, embora imprevisíveis, não afastam a responsabilidade por não romper o nexo de causalidade com a atividade desenvolvida e integrarem o risco da atividade exercida (BRASIL, 2011).

Este exemplo é cristalino para ilustrar a responsabilidade objetiva incidindo em danos derivados do risco do exercício da atividade empresarial, de sorte que, ainda que o resultado de ambos os casos seja o mesmo (cancelamento/atraso de voo), no segundo caso, verifica-se que não houve total rompimento do nexo de causalidade entre a atividade da empresa aérea e o dano suportado pelo consumidor, importando na responsabilização da cia aérea.

5. A INCIDÊNCIA DO CDC NAS RELAÇÕES BANCÁRIAS E FINANCEIRAS

As relações de consumo são diversas, sendo impossível ao CDC estabelecer um rol taxativo ante as variadas necessidades da coletividade. Não obstante, o Código atraiu expressamente a incidência de suas normas às relações de "natureza bancária, financeira, de crédito e securitária" (Art. 3º, § 2º, CDC), justificando-se pela imprescindibilidade de tais serviços na era do homo economicus. (MIRAGEM, 2016, p. 431)

A aludida previsão foi alvo de irresignação pela Confederação Nacional das Instituições Financeiras (CONSIF), por meio da ADI 2.591. Contudo, o Supremo Tribunal Federal (STF) julgou a ação improcedente, coadunando com o entendimento já sumulado pelo Superior Tribunal de Justiça (STJ), segundo o qual “o Código de Defesa do Consumidor é aplicável às instituições financeiras” (Súmula 297/STJ).

Não há especificidade na atividade bancária que afaste o caráter de fornecedor da instituição ou o de consumidor dos destinatários finais. Conforme preceitua Rizzatto Nunes (2018), o consumidor figura como o elo vulnerável da relação, especialmente em contratos de adesão massificados.

6. A RESPONSABILIDADE OBJETIVA DAS INSTITUIÇÕES FINANCEIRAS: DA SÚMULA 28/STF À SÚMULA 479/STJ

Assim como qualquer fornecedor assume os riscos de sua atividade, as instituições financeiras devem responsabilizar-se objetivamente pelos danos suportados pelos consumidores, prescindindo da perquirição de culpa. Historicamente, o STF já sinalizava essa direção com a Súmula 28 (13/12/1963): "O estabelecimento bancário é responsável pelo pagamento de cheque falso, ressalvadas as hipóteses de culpa exclusiva ou concorrente do correntista."

Embora anterior ao CDC e menos protecionista, a Súmula 28 já buscava resguardar o consumidor, compelindo os bancos a fixarem critérios de segurança mais rígidos. Com o advento do CDC, a "culpa concorrente" perdeu força para afastar a responsabilidade; está agora só é elidida mediante prova de culpa exclusiva da vítima ou de terceiro (Art. 14, § 3º, CDC).

A consolidação desse entendimento culminou na edição da Súmula 479 do Superior Tribunal de Justiça (STJ), segundo a qual “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

O entendimento foi firmado sob o rito dos recursos repetitivos (REsp 1.199.782/PR), solidificando que fraudes bancárias (como abertura de contas com documentos falsos ou clonagem de cartões) integram o risco do empreendimento, não configurando hipótese de exclusão de responsabilidade.

7. FRAUDES BANCÁRIAS NA ERA DIGITAL: PANORAMA E MODALIDADES

Contemporaneamente, com os avanços das inteligências artificiais e o aprimoramento da tecnologia, os meios de perpetuação de fraudes encontram-se demasiadamente diversificados. Não só pela atuação de hackers, uso de malwares e outras formas de invasão do sistema de segurança interno das instituições financeiras.

De certo que o acesso de dados sigilosos dos clientes pela falha na segurança interna dos sistemas das instituições financeiras, não obstante o aprimoramento contínuo destas para a mitigação destas fraudes, continua a ser razão grande parte das fraudes bancárias objeto de demandas judiciais.

7.1. Vulnerabilidades Sistêmicas e a Exploração do Consumidor como Elo Mais Fraco

Contudo, nem mesmo o investimento massivo das instituições financeiras em segurança é suficiente para mitigar o elo mais fraco perquirido pelos golpistas, o qual seja o próprio cliente. Nestes casos, os meios utilizados para a aquisição dos dados necessários para a perpetuação da fraude não se trata de simples uso de malwares ou outra forma de invasão de sistemas; todavia, o uso de artimanhas enganosas e ardis, visando obter a confiança do cliente e, posteriormente, a aquisição de informações necessárias para a concretização dos delitos.

Nestes casos, havendo a participação ativa da vítima na atuação dos falsários, há de se ponderar a responsabilidade das instituições financeiras, tendo em vistas as disposições protetivas do CDC; concentrando-se a análise no entendimento sedimentado pelo Tribunal de Justiça de Rondônia.

8. ENGENHARIA SOCIAL: CONCEITO E MODALIDADES DE GOLPES

Conforme entendimento firmado pelo STJ, nos casos em que o vazamento de dados decorre por conta da instituição financeira, em regra, desta será a responsabilidade em reparar os danos. Tal entendimento está sedimentado no risco operacional, no que se refere na possibilidade da ocorrência de danos provenientes de eventos externos ou de falhas, deficiências ou inadequações de processos internos, pessoas ou sistemas.

A questão fica mais nebulosa quando resta incontroversa a participação da vítima no evento danoso. Conforme discorrido anteriormente, havendo culpa exclusiva da vítima, deve ser afastada a responsabilidade da parte fornecedor de serviços.

Uma das formas mais difundidas de golpes que exploram o elo mais fraco da relação de consumo (o consumidor) é a chamada “engenharia social”. Essa modalidade consiste na utilização de técnicas por parte dos criminosos para manipular psicologicamente a vítima para induzi-la a contribuir com o próprio crime, fornecendo dados, informações sigilosas e ou autorizando transações financeiras.

Nesses casos, podemos citar o Golpe do Falso Funcionário, onde o criminoso se passa por um representante do banco para solicitar dados confidenciais ou induzir a vítima a realizar procedimentos de segurança falsos que, na verdade, transferem valores para terceiros (TJSP, 2026). Há ainda, o conhecido Phishing, que consiste no uso de e-mails, mensagens de texto (smishing) ou chamadas telefônicas (vishing) fraudulentas que direcionam para sites falsos idênticos aos oficiais para capturar credenciais de acesso (TJRO, 2025). Além destes, há vários outros meios empregados pelos agentes delituosos que se aproveitam da vulnerabilidade dos consumidores para a perpetuação das fraudes.

Neste prumo, o entendimento do Tribunal do Estado de Rondônia (TJRO) segue, em regra, no sentido de que a contribuição da vítima para a prática da ação delituosa configura rompimento do nexo de causalidade entre a conduta da instituição financeira e o dano suportado pelo consumidor, tendo em vista que houve o fornecimento voluntário do cliente dos dados que possibilitaram a ocorrência da fraude, a qual não se efetivaria se este houvesse agido com a devida cautela. Nestes casos, é comum que seja reconhecida a isenção de responsabilidade da instituição bancária pelo citado Tribunal Estadual. (TJRO) com base no art. 14, § 3º, inciso II do CDC.

Importa citar relevante julgado no qual foi reconhecida a culpa exclusiva da vítima como causa excludente da responsabilidade da instituição financeira pela ocorrência da fraude bancária:

A análise probatória demonstra que a própria consumidora forneceu seus dados bancários a terceiros, seguindo instruções recebidas em contato telefônico fraudulento, circunstância que caracteriza culpa exclusiva e quebra do dever de cautela.
A ausência de demonstração de falha nos sistemas de segurança da instituição financeira, aliada à conduta imprudente da consumidora, afasta o nexo causal necessário à responsabilização civil do banco.
Tendo a consumidora fornecido voluntariamente suas informações pessoais e seguido os passos indicados pelos fraudadores, fragilizou a segurança de sua conta, permitindo a realização das transações questionadas.
A instituição financeira não responde civilmente por contratação fraudulenta realizada por terceiro quando demonstrada a culpa exclusiva do consumidor, hipótese apta a afastar a responsabilidade objetiva prevista no art. 14 do Código de Defesa do Consumidor. (TJRO, 2025).

8.1. A Atipicidade das Transações como Dever de Vigilância Bancária

As instituições financeiras têm implementado, de maneira massiva, inovações tecnológicas em seus sistemas internos, a fim de automatizar e conferir celeridade à prestação de serviços financeiros. Tais inovações, se por um lado democratizam o acesso aos serviços bancários, por outro, vulnerabilizam os consumidores perante golpistas que se aproveitam dessa facilidade e simplicidade para a perpetração de delitos bancários.

Conforme entendimento consolidado do STJ, as inovações tecnológicas e a implementação de mecanismos de automação devem vir acompanhadas do aprimoramento de instrumentos de prevenção e mitigação de fraudes, capazes de identificar comportamentos suspeitos e destoantes do perfil do cliente, bem como de atuar de maneira célere a fim de evitar prejuízos.

Assim, ainda que haja contribuição da vítima para a concretização da fraude bancária, mediante o fornecimento de dados pessoais e sigilosos essenciais à prática delituosa, é possível reconhecer a responsabilidade das instituições financeiras e das instituições de pagamento, tendo em vista o dever de segurança inerente à atividade desempenhada.

Tal entendimento encontra respaldo no art. 14, § 1º, do Código de Defesa do Consumidor, segundo o qual: “O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes [...]”.

Conforme anteriormente exposto, considerando a essencialidade dos serviços bancários, bem como o dever de segurança inerente à atividade e os riscos dela razoavelmente esperados, a contribuição da vítima para a prática do ilícito não afasta, por si só, a responsabilidade da instituição financeira quando comprovada falha em seus mecanismos internos de segurança.

Nesse contexto, emerge a responsabilidade das instituições financeiras de mapear o perfil de consumo e a natureza das movimentações de seus clientes. Tal dever de fiscalização pressupõe a implementação de sistemas capazes de identificar padrões comportamentais que individualizam o uso da conta pelo titular. Consequentemente, ao detectar transações que destoem de maneira evidente o histórico identificado, incumbe à instituição o dever de cautela, devendo adotar medidas imediatas para mitigar possíveis fraudes e assegurar a incolumidade patrimonial do consumidor.

Nesse sentido, o Tribunal de Justiça do Estado de Rondônia reconheceu que:

3. O banco, mesmo ciente do perfil financeiro da autora, não aplicou barreiras de segurança adequadas para evitar a transação atípica, o que configura defeito na prestação do serviço, conforme o art. 14 do CDC. No entanto, a devolução simples dos valores é devida, uma vez que não há indícios de má-fé da instituição financeira, mas sim de negligência.
[...]

4. Embora a autora tenha contribuído para o evento ao confirmar seus dados via telefone, o banco, na condição de fornecedor de serviços financeiros, tem o dever de desenvolver mecanismos de segurança que identifiquem operações fraudulentas, respondendo pelos riscos de sua atividade. (RONDÔNIA, 2024).

Os aspectos supramencionados alicerçam-se na teoria do risco do empreendimento, uma vez que a constante inovação tecnológica é impulsionada pelos objetivos comerciais das instituições financeiras.

Sob essa premissa, ainda que se verifique a concorrência de causas pela participação da vítima, tal fator não possui condão suficiente para promover o rompimento integral do nexo de causalidade. Sob essa premissa, ainda que se verifique a concorrência de causas pela participação da vítima, tal fator não possui condão suficiente para promover o rompimento integral do nexo de causalidade. Isso ocorre porque o risco inerente à atividade — ao oferecer plataformas digitais céleres, porém vulneráveis — mantém a responsabilidade da instituição pela falha na segurança do serviço disponibilizado. Desta feita, não há de se verificar a ocorrência da chamada culpa exclusiva da vítima prevista no Código Consumerista (art. 14, § 3°, inciso II).

Desta maneira, extrai-se que o critério de responsabilização das instituições financeiras, nos casos de fraudes bancárias em que há contribuição da vítima, será aferido a partir da atipicidade das transações realizadas e do grau de divergência em relação ao perfil transacional do cliente, sendo que, evidenciado tal disparidade, há de ser reconhecer a falha na prestação do serviço e consequente dever reparatório e indenizatório.

Impende ressaltar a excepcionalidade desses casos, tendo em vista que não é qualquer transação que destoe do padrão usual do consumidor que importará no reconhecimento da responsabilidade da instituição financeira, mas apenas aquelas situações em que houver flagrante anormalidade em relação ao perfil ordinário de movimentação do correntista.

Nesse sentido, em voto condutor proferido pelo Desembargador Jorge Luiz de Moura Gurgel do Amaral, o Tribunal de Justiça do Estado de Rondônia assentou que:

A consumidora foi negligente e não adotou a mínima cautela esperada do homem médio, deixando de averiguar a veracidade das ligações recebidas, circunstância que deveria lhe causar estranheza e desconfiança.
Além disso, o dever de diligência na guarda de senhas e credenciais bancárias é incumbência do consumidor, não estando as instituições financeiras obrigadas a monitorar em tempo real ou bloquear operações regulares por mera alteração de perfil de consumo, salvo em situações de flagrante anormalidade. (RONDÔNIA, 2025).

Todos esses pontos foram exemplarmente enfrentados no voto proferido pelo Ministro Ricardo Villas Bôas Cueva, nos autos do REsp n. 2.222.059/SP, no qual o Superior Tribunal de Justiça reconheceu o dever das instituições financeiras e de pagamento de desenvolver mecanismos eficazes de prevenção e bloqueio de fraudes:

Constitui atribuição das instituições financeiras, e de todas aquelas que participam dos denominados arranjos de pagamento, criar mecanismos capazes de identificar e coibir a prática de fraudes e de mantê-los em constante aprimoramento, em virtude do dever de gerir com segurança as movimentações de dinheiro dos seus clientes e do elevado grau de risco da atividade por elas desempenhada.
Para a identificação de possíveis fraudes, os sistemas de proteção devem considerar, entre outros fatores, as transações que fogem ao perfil do cliente ou ao seu padrão de consumo, o horário e o local das operações, o intervalo de tempo entre as transações, a sequência das operações realizadas e a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos.
A validação de operações suspeitas, atípicas e alheias ao perfil de consumo do correntista evidencia defeito na prestação do serviço, apto a ensejar a responsabilização das instituições financeiras (BRASIL, 2025).

Importa ainda ressaltar excerto do texto do voto do supramencionado acórdão que dispõe que:

Para a identificação de possíveis fraudes, os sistemas de proteção contra fraudes desenvolvidos pelas instituições bancárias/de pagamento devem, sim, considerar i) as transações que fogem ao perfil do cliente ou ao seu padrão de consumo; ii) o horário e o local em que as operações foram realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a sequência das operações realizadas; v) o meio utilizado para a sua realização; vi) a contratação de empréstimos atípicos em momento anterior à realização de pagamentos suspeitos; enfim, diversas circunstâncias que, conjugadas, tornam possível ao fornecedor do serviço identificar se determinada transação deve ou não ser validada (BRASIL, 2025).

8.2. Os Mecanismos Regulatórios de Prevenção e Reparação: MED e Bloqueio Cautelar

Além dos aspectos preventivos de monitoramento de fraudes bancárias, há de se ressaltar que as instituições financeiras são responsáveis por garantir mecanismos reparatórios a fim de possibilitar a solução das referidas fraudes. Entre elas o Mecanismo Especial de Devolução (MED), previsto na Resolução BCB nº 103/2021, o qual constitui um conjunto de regras e procedimentos operacionais destinados a viabilizar a devolução de valores em casos de fundada suspeita de fraude ou falha operacional no âmbito do arranjo de pagamentos Instantâneos (Pix).

Para a análise da responsabilidade civil, a existência do MED reforça o dever de diligência das instituições. Quando o consumidor, vítima de fraude, comunica imediatamente o fato à instituição — seguindo o rito do referido mecanismo — e o banco falha em realizar o bloqueio cautelar ou em comunicar a instituição receptora em tempo hábil, o nexo causal entre a falha do serviço e o prejuízo torna-se evidente.

Nesse diapasão, a responsabilidade das instituições financeiras transcende a mera vigilância passiva, impondo-lhes o dever de agir repressivamente por meio do Bloqueio Cautelar, previsto no Art. 39-B da Resolução BCB nº 1/2020. Referido dispositivo confere às instituições o poder-dever de reter recursos por até 72 horas sempre que detectada suspeita de fraude. Sob o prisma da jurisprudência do Tribunal de Justiça de Rondônia (TJRO), a inobservância desse mecanismo — especialmente quando o sistema de segurança ignora transações que fogem ao perfil do correntista — transmuda a participação da vítima em responsabilidade objetiva do banco, por configurar nítido fortuito interno (TJRO, 2024).

Ademais, a operacionalização do Mecanismo Especial de Devolução (MED) estende a responsabilidade à instituição financeira receptora. Ao permitir a abertura de contas para 'laranjas' sem a devida verificação de idoneidade (violando o dever de Know Your Customer - KYC), o banco receptor integra a cadeia de responsabilidade pelo evento danoso. Para o TJRO, a prova da omissão na abertura do protocolo MED após a denúncia do consumidor não apenas evidencia o descaso com o dever de mitigação do prejuízo, mas serve como forte indício de falha sistêmica, ensejando, em muitos casos, o dever de indenizar tanto por danos materiais quanto morais.

Neste ponto:

No sistema do CDC, a responsabilidade é solidária entre todos os que participam da cadeia de fornecimento de serviços. No caso de serviços de pagamento, tanto a instituição de origem quanto a receptora respondem pelos danos, uma vez que ambas lucram com a operacionalização do sistema de transações. (MIRAGEM, Bruno. Curso de Direito do Consumidor. 6. ed. São Paulo: Revista dos Tribunais, 2016).

9. CONCLUSÃO

A investigação do regime de responsabilidade civil das instituições financeiras, sob a égide do Código de Defesa do Consumidor e da interpretação pretoriana contemporânea, permite concluir que a participação da vítima em fraudes bancárias não opera como uma excludente de responsabilidade automática ou absoluta.

Primeiramente, restou demonstrado que, embora a responsabilidade objetiva prescinda de culpa, ela não é imune à análise do nexo causal. Todavia, a Súmula 479 do STJ consolidou o entendimento de que fraudes praticadas por terceiros no âmbito de operações bancárias configura fortuito interno, pois são riscos inerentes à atividade. No cenário da engenharia social, essa premissa ganha relevo: a manipulação psicológica do consumidor é, muitas vezes, apenas o meio que expõe a fragilidade dos sistemas de monitoramento das instituições. Assim, sempre que o banco falha em identificar movimentações atípicas, a responsabilidade permanece hígida, uma vez que o dever de segurança é uma obrigação de resultado (CAVALIERI FILHO, 2012).

Em segundo lugar, a análise da jurisprudência do Tribunal de Justiça de Rondônia (TJRO) revela uma tendência de equilíbrio e razoabilidade. O Tribunal tem trilhado um caminho que protege a instituição financeira em cenários de negligência crassa — onde o consumidor ignora alertas ostensivos e entrega senhas de forma voluntária em contextos de normalidade operacional. Contudo, essa proteção cessa quando a instituição ignora o dever de vigilância diante de transações que fogem flagrantemente ao perfil do correntista ou quando demonstra inércia na operacionalização de salvaguardas como o Bloqueio Cautelar e o Mecanismo Especial de Devolução (MED). Para o TJRO, a inobservância desses protocolos regulatórios configura falha na prestação do serviço e descaso com o dever de mitigação de danos.

Por fim, é imperativo que a segurança bancária na era digital seja lida sob o prisma da Teoria do Risco do Empreendimento. Como assevera Farias, Rosenvald e Braga Netto (2023), a lógica empresarial não pode oprimir a condição humana em nome do lucro. Se as instituições financeiras auferem dividendos expressivos com a celeridade e a despersonalização do atendimento via PIX e aplicativos eletrônicos, devem, por imperativo ético e jurídico, arcar com o ônus das vulnerabilidades que essa mesma tecnologia engendra.

Em última análise, a responsabilidade civil deve servir como um mecanismo de indução à eficiência: ao ser responsabilizado pelas falhas sistêmicas que facilitam a engenharia social, o setor bancário é compelido a aprimorar seus algoritmos de proteção, garantindo que a inovação tecnológica não caminhe dissociada da segurança patrimonial e da dignidade do consumidor.

10. REFERÊNCIAS

BANCO CENTRAL DO BRASIL. Resolução BCB nº 1, de 12 de agosto de 2020. Disciplina o funcionamento do arranjo de pagamentos instantâneos – Pix. Brasília, DF: Banco Central do Brasil, 2020.

BANCO CENTRAL DO BRASIL. Resolução BCB nº 103, de 8 de junho de 2021. Institui o Mecanismo Especial de Devolução (MED) no âmbito do Pix. Brasília, DF: Banco Central do Brasil, 2021.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Brasília, DF: Presidência da República, 1990.

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Código Civil. Brasília, DF: Presidência da República, 2002.

BRASIL. Lei nº 12.865, de 9 de outubro de 2013. Dispõe sobre os arranjos de pagamento e as instituições de pagamento integrantes do Sistema de Pagamentos Brasileiro. Brasília, DF: Presidência da República, 2013.

CAVALIERI FILHO, Sergio. Programa de direito do consumidor. 4. ed. São Paulo: Atlas, 2012.

CAVALIERI FILHO, Sergio. Programa de responsabilidade civil. 16. ed. São Paulo: Atlas, 2023.

FACCHINI NETO, Eugênio. Da responsabilidade civil no novo Código. Revista do Tribunal Superior do Trabalho, Brasília, DF, v. 76, n. 1, p. 17-39, jan./mar. 2010.

FARIAS, Cristiano Chaves de; ROSENVALD, Nelson; BRAGA NETTO, Felipe Peixoto. Curso de direito civil: responsabilidade civil. 11. ed. Salvador: JusPodivm, 2023.

MIRAGEM, Bruno. Curso de direito do consumidor. 6. ed. São Paulo: Revista dos Tribunais, 2016.

NUNES, Rizzatto. Curso de direito do consumidor. 7. ed. São Paulo: Saraiva, 2012. NUNES, Rizzatto. Curso de direito do consumidor. 11. ed. São Paulo: Saraiva, 2018.

RIO GRANDE DO SUL. Tribunal de Justiça do Estado do Rio Grande do Sul. Apelação n. 50113442520248210022. Relator: Jorge André Pereira Gailhard. Décima Câmara Cível. Julgamento em: 27 mar. 2025.

RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n. 7000310-19.2024.8.22.0013. Relator do acórdão: Des. José Antonio Robles. Julgado em: 25 nov. 2024.

RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n. 7002395-75.2024.8.22.0013. Relator do acórdão: Des. José Augusto Alves Martins. Julgado em: 25 jul. 2025.

RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n. 7005689-74.2024.8.22.0001. Relator: Paulo Kiyochi Mori. Julgamento em: 6 nov. 2024.

RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Recurso Inominado Cível n. 7045853-81.2024.8.22.0001. Relator: Gabinete 03 da 1ª Turma Recursal. Julgamento em: 21 mar. 2025. Disponível em: Tribunal de Justiça do Estado de Rondônia (TJRO). Acesso em: 20 maio 2026.

RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n. 7063755-47.2024.8.22.0001. Relator: Jorge Luiz de Moura Gurgel do Amaral. Julgamento em: 24 nov. 2025.

RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Embargos de Declaração Cível n. 7004520-86.2024.8.22.0022. Relator: João Luiz Rolim Sampaio. Julgamento em: 16 out. 2025.

RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Recurso Inominado Cível n. 7003993-82.2024.8.22.0007. Relator: Guilherme Ribeiro Baldan. Julgamento em: 15 abr. 2025.

SÃO PAULO. Tribunal de Justiça do Estado de São Paulo. Apelação Cível n. 1015923-72.2025.8.26.0196. Relatora: Jonize Sacchi de Oliveira. 24ª Câmara de Direito Privado. Julgamento em: 13 maio 2026.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). AgInt no REsp n. 2.056.005/SE. Relator: Ministro Humberto Martins. Terceira Turma. Julgamento em: 18 mar. 2024. Diário da Justiça Eletrônico: 20 mar. 2024.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). AgRg no Ag n. 1.310.356/RJ. Relator: Ministro João Otávio de Noronha. Quarta Turma. Julgamento em: 14 abr. 2011. Diário da Justiça Eletrônico: 4 maio 2011.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 1.199.782/PR. Relator: Ministro Luis Felipe Salomão. Segunda Seção. Julgamento em: 24 ago. 2011. Diário da Justiça Eletrônico: 12 set. 2011.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 1.451.312/PR. Relatora: Ministra Nancy Andrighi. Julgamento em: 18 dez. 2017.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 1.573.573/RJ. Relatora: Ministra Nancy Andrighi. Julgamento em: 13 nov. 2018.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 2.222.059/SP. Relator: Ministro Ricardo Villas Bôas Cueva. Terceira Turma. Julgamento em: 7 out. 2025. Diário da Justiça Eletrônico: 13 out. 2025.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). Súmula n. 297. O Código de Defesa do Consumidor é aplicável às instituições financeiras. Brasília, DF: STJ, 2004.

SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). Súmula n. 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Brasília, DF: STJ, 2012.

SUPREMO TRIBUNAL FEDERAL (Brasil). Súmula n. 28. O estabelecimento bancário é responsável pelo pagamento de cheque falso, ressalvadas as hipóteses de culpa exclusiva ou concorrente do correntista. Brasília, DF: STF, 1963.

1. Eliaquin Cardoso Danin Rossendy. Acadêmico do 8º período do curso de Direito do Centro Universitário São Lucas. eliaquincardoso323@gmail.com ↑

2. Jucicleia Batista de Souza. Acadêmica do 8º período do curso de Direito do Centro Universitário São Lucas. jucibatista@gmail.com ↑

3. Orientador: Ihgor Jean Rego. Advogado; chefe da Assessoria Jurídica da Companhia de Águas e Esgotos de Rondônia; pós-graduado em Direito e Processo do Trabalho; mestre em Direitos da Personalidade; professor universitário no Centro Universitário São Lucas / Afya Educação Médica (Porto Velho/RO). ihgorj@gmail.com ↑