Impacto da fraude de assinatura digital na autorização de descontos previdenciários: a hipervulnerabilidade da pessoa idosa e os desafios da telemática digital
ISSN 1678-0817 Qualis/DOI Revista Científica de Alto Impacto.
PDF

RESUMO

O presente artigo analisa o impacto jurídico das fraudes de assinatura digital praticadas em desfavor de pessoas idosas, no contexto dos descontos associativos e dos empréstimos consignados em benefícios previdenciários administrados pelo Instituto Nacional do Seguro Social (INSS). Parte-se da premissa de que a hipervulnerabilidade etária e técnica da pessoa idosa, agravada pela digitalização compulsória das contratações bancárias, configura terreno propício à proliferação de fraudes telemáticas. Adota-se o método dedutivo, com abordagem qualitativa, e pesquisa bibliográfica, documental e jurisprudencial, recorrendo-se ao diálogo entre o Código de Defesa do Consumidor (Lei nº 8.078/1990), o Estatuto da Pessoa Idosa (Lei nº 10.741/2003), a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e a legislação sobre assinaturas eletrônicas (Lei nº 14.063/2020 e Decreto nº 10.543/2020), à luz da Súmula 479 e do Tema Repetitivo 466 do Superior Tribunal de Justiça, bem como dos achados da Operação Sem Desconto da Polícia Federal e da Comissão Parlamentar Mista de Inquérito do INSS (2025-2026). Conclui-se que a fraude por assinatura digital constitui fortuito interno inerente ao risco da atividade econômica financeira, atraindo a responsabilidade civil objetiva das instituições financeiras e da autarquia previdenciária, e demandando reformas normativas, técnicas e educacionais voltadas à proteção integral da pessoa idosa no ambiente telemático.

Palavras-chave: Hipervulnerabilidade. Pessoa idosa. Assinatura digital. Fraude previdenciária. Responsabilidade civil objetiva.

ABSTRACT

This article analyzes the legal impact of digital signature frauds committed against elderly persons, in the context of associative deductions and payroll loans on social security benefits administered by the National Institute of Social Security (INSS). It starts from the premise that the age-related and technical hyper-vulnerability of the elderly, aggravated by the compulsory digitalization of banking contracts, creates fertile ground for the proliferation of telematic frauds. The deductive method is adopted, with a qualitative approach, through bibliographic, documentary, and jurisprudential research, drawing on the dialogue between the Consumer Protection Code (Law No. 8,078/1990), the Statute of the Elderly Person (Law No. 10,741/2003), the General Data Protection Law (Law No. 13,709/2018), and the legislation on electronic signatures (Law No. 14,063/2020 and Decree No. 10,543/2020), in light of Precedent 479 and Repetitive Theme 466 of the Superior Court of Justice, as well as the findings of the Federal Police's Operation No Discount and the Joint Parliamentary Inquiry Commission on INSS (2025-2026). It concludes that digital signature fraud constitutes an internal fortuitous event inherent to the risk of the financial economic activity, attracting the strict civil liability of financial institutions and the social security agency, and demanding normative, technical, and educational reforms aimed at the integral protection of the elderly person in the telematic environment.

Keywords: Hyper-vulnerability. Elderly person. Digital signature. Social security fraud. Strict civil liability.

1 INTRODUÇÃO

A consolidação da sociedade da informação reconfigurou, em ritmo acelerado, as relações de consumo, particularmente no setor bancário e financeiro. A digitalização das contratações celebrada como sinônimo de eficiência e inclusão trouxe consigo, contudo, uma face perversa que se revela com particular nitidez quando seu sujeito é a pessoa idosa: a transição abrupta para o ambiente telemático, sem políticas paritárias de educação digital, expôs grupos hipervulneráveis a riscos cibernéticos sem precedentes. Trata-se do fenômeno que Figueira (2024) denomina, com precisão, “digitalização bancária forçada[4]”.

Esse cenário ganhou centralidade no debate público brasileiro a partir de 2025, com a deflagração da Operação Sem Desconto, executada conjuntamente pela Polícia Federal e pela Controladoria-Geral da União em 23 de abril de 2025, e com a posterior instalação, em 20 de agosto de 2025, da Comissão Parlamentar Mista de Inquérito (CPMI) do Instituto Nacional do Seguro Social (INSS). As investigações revelaram um esquema bilionário de fraudes em descontos associativos e empréstimos consignados praticados em desfavor de aposentados e pensionistas, com o emprego sistemático de assinaturas digitais falsificadas como mecanismo de “legitimação” dos contratos espúrios.

Diante desse contexto, formula-se o seguinte problema de pesquisa: em que medida a fraude de assinatura digital praticada contra pessoas idosas em descontos previdenciários configura fortuito interno apto a atrair a responsabilidade civil objetiva das instituições financeiras e do INSS, à luz do diálogo das fontes entre o Código de Defesa do Consumidor, o Estatuto da Pessoa Idosa, a Lei Geral de Proteção de Dados e a Súmula 479 do Superior Tribunal de Justiça?

Levanta-se a hipótese de que a fraude por assinatura digital, praticada por terceiros em desfavor de pessoa idosa hipervulnerável, constitui risco inerente ao empreendimento bancário-previdenciário, configurando fortuito interno à luz da Teoria do Risco do Empreendimento. Em consequência, aplica-se rigorosamente a Súmula 479 do STJ, atraindo a responsabilidade civil objetiva das instituições financeiras envolvidas, sem prejuízo da responsabilização autônoma do INSS, que detém a posição de controlador dos dados pessoais dos segurados (art. 5º, VI, da LGPD).

O objetivo geral consiste em analisar o regime de responsabilidade civil aplicável às fraudes por assinatura digital em descontos previdenciários praticadas contra pessoas idosas. Como objetivos específicos, busca-se: (a) caracterizar juridicamente a hipervulnerabilidade da pessoa idosa no ambiente telemático; (b) examinar o conceito jurídico de assinatura digital e as fragilidades estruturais da contratação por clique; (c) analisar o regime de responsabilidade civil objetiva das instituições financeiras e do INSS, à luz da Súmula 479 do STJ; (d) discutir o valor probatório dos achados da CPMI do INSS (2025-2026) e propor instrumentos de aperfeiçoamento normativo.

Adota-se o método dedutivo, com abordagem qualitativa, mediante pesquisa bibliográfica, documental e jurisprudencial. Como fontes primárias, utilizam-se a Constituição Federal de 1988, o Código de Defesa do Consumidor (Lei nº 8.078/1990), o Estatuto da Pessoa Idosa (Lei nº 10.741/2003, com a redação da Lei nº 14.423/2022), a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a Lei das Assinaturas Eletrônicas em Interações com Entes Públicos (Lei nº 14.063/2020) e o Decreto nº 10.543/2020, bem como precedentes do Superior Tribunal de Justiça Súmula 479, Súmula 297, Tema Repetitivo 466 e REsp 2.052.228/DF e o relatório da CPMI do INSS (2025-2026). Como fontes secundárias, recorre-se à doutrina nacional especializada em Direito do Consumidor, Direito Previdenciário e Direito Digital.

O recorte temporal compreende o período de 2022 a 2026, abrangendo o incidente de segurança no Sistema Corporativo de Benefícios do INSS (SISBEN, agosto-setembro de 2022), a sanção administrativa da Autoridade Nacional de Proteção de Dados (ANPD) em 2024, a Operação Sem Desconto (abril de 2025) e o encerramento da CPMI do INSS (março de 2026).

Estruturalmente, o artigo divide-se em quatro seções de desenvolvimento. A seção 2 examina os fundamentos constitucionais e infraconstitucionais da hipervulnerabilidade da pessoa idosa, à luz do diálogo das fontes. A seção 3 analisa o conceito jurídico de assinatura digital, o modus operandi das fraudes e o problema dos vazamentos de dados no INSS. A seção 4 desenvolve o regime de responsabilidade civil objetiva aplicável. A seção 5 examina os instrumentos de repressão e propõe aperfeiçoamentos normativos. Encerram-se com as considerações finais.

2 A HIPERVULNERABILIDADE DA PESSOA IDOSA: FUNDAMENTOS CONSTITUCIONAIS E O DIÁLOGO DAS FONTES

2.1 A Dignidade da Pessoa Humana e a Proteção Integral da Pessoa Idosa

A tutela jurídica da pessoa idosa, no ordenamento brasileiro, ancora-se em estrutura normativa multifocal, cujo vértice axiológico é o princípio da dignidade da pessoa humana, consagrado no art. 1º, inciso III, da Constituição Federal de 1988 como fundamento da República. Esse alicerce constitucional irradia efeitos sobre toda a legislação infraconstitucional, exigindo que a igualdade seja perseguida em sua dimensão material, conforme a clássica formulação de Rui Barbosa em “Oração aos Moços” (1921): tratar desigualmente os desiguais, na exata medida em que se desigualam.

Em complemento, o art. 230 da Carta Magna impõe à família, à sociedade e ao Estado o dever solidário de amparar as pessoas idosas, “assegurando sua participação na comunidade, defendendo sua dignidade e bem-estar e garantindo-lhes o direito à vida”. Trata-se, como observa Sarlet (2022), de norma de eficácia plena, dotada de imediata aplicabilidade e oponibilidade tanto ao Estado quanto a entes privados.

No plano infraconstitucional, a Lei nº 10.741/2003 Estatuto da Pessoa Idosa, com a nova denominação dada pela Lei nº 14.423/2022 estabelece em seu art. 2º que a pessoa idosa “goza de todos os direitos fundamentais inerentes à pessoa humana, sem prejuízo da proteção integral de que trata esta Lei”. O art. 3º, por sua vez, impõe à família, à comunidade, à sociedade e ao Poder Público “assegurar à pessoa idosa, com absoluta prioridade, a efetivação do direito à vida, à saúde, à alimentação, à educação, à cultura, ao esporte, ao lazer, ao trabalho, à cidadania, à liberdade, à dignidade, ao respeito e à convivência familiar e comunitária”.

Esse conjunto normativo, somado à Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos (OEA, 2015), consolida um regime de proteção integral que se desdobra em prioridade absoluta, dever de cuidado e responsabilidade estatal qualificada. A pessoa idosa não é, portanto, mero destinatário passivo de políticas assistenciais: é sujeito de direitos, cuja proteção transcende a dimensão individual e configura interesse jurídico de natureza coletiva.

2.2 A Vulnerabilidade Agravada no Código de Defesa do Consumidor

O Código de Defesa do Consumidor (Lei nº 8.078/1990) consagra, em seu art. 4º, inciso I, o reconhecimento da vulnerabilidade do consumidor no mercado de consumo como princípio basilar da Política Nacional das Relações de Consumo. A vulnerabilidade, na lição clássica de Marques (2022), apresenta quatro dimensões: técnica, jurídica, fática (ou socioeconômica) e informacional, esta última de inegável protagonismo na sociedade da informação.

Quando o consumidor reúne, além da vulnerabilidade genérica, características pessoais que agravam sua condição de fragilidade, configura-se a chamada hipervulnerabilidade categoria desenvolvida com particular profundidade por Miragem (2021):

Certas qualidades pessoais do consumidor podem dar causa a uma soma de fatores de reconhecimento da vulnerabilidade, razão pela qual se pode falar em situação de vulnerabilidade agravada, ou como também vem denominando a doutrina, hipervulnerabilidade do consumidor. A hipervulnerabilidade decorre de circunstâncias específicas que reforçam a natural fragilidade desse sujeito, exigindo do ordenamento jurídico uma resposta protetiva mais intensa. (MIRAGEM, 2021, p. 132)

A jurisprudência consolidada do Superior Tribunal de Justiça incorporou expressamente essa categoria, reconhecendo a pessoa idosa como consumidor hipervulnerável e impondo, em consequência, regime de proteção reforçado. No REsp 2.052.228/DF, julgado em 2023, a Terceira Turma, sob a relatoria da Ministra Nancy Andrighi, fixou orientação no sentido de que “na hipótese em que consumidor for pessoa idosa (hipervulnerável), a responsabilidade da instituição financeira por falha na prestação de serviços bancários deve ser imputada com base no Estatuto da Pessoa Idosa e na Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos” (BRASIL, 2023).

Na perspectiva contemporânea, a hipervulnerabilidade da pessoa idosa nas contratações bancárias resulta de tríplice convergência: (i) a vulnerabilidade técnica, decorrente da assimetria de conhecimento sobre o produto financeiro; (ii) a vulnerabilidade etária, ligada às transformações cognitivas naturais do envelhecimento; e (iii) a vulnerabilidade digital, resultante do hiato geracional na proficiência tecnológica. Como observa Figueira (2024), essa terceira dimensão é particularmente aguda em razão da digitalização compulsória[5], que retirou da pessoa idosa o tempo de reflexão antes proporcionado pelo suporte físico do papel.

2.3 O Diálogo das Fontes e a Tutela Integrada da Pessoa Idosa Consumidora

A teoria do Diálogo das Fontes, formulada por Erik Jayme (1995) em seu curso na Academia de Direito Internacional da Haia e introduzida no Brasil por Cláudia Lima Marques (2022), oferece a chave hermenêutica fundamental para a tutela da pessoa idosa consumidora. Supera-se, com essa teoria, o tradicional critério de exclusão de normas (em que uma lei revoga a outra, total ou parcialmente), em favor de um modelo de coordenação simultânea, que extrai de cada microssistema sua proteção máxima ao sujeito vulnerável.

Aplicada à pessoa idosa consumidora, a teoria autoriza e exige a aplicação coordenada do Código de Defesa do Consumidor, do Estatuto da Pessoa Idosa, da Lei do Superendividamento (Lei nº 14.181/2021) e da Lei Geral de Proteção de Dados. Nenhum desses diplomas pode ser invocado isoladamente para mitigar a proteção integral: pelo contrário, seu emprego conjunto potencializa a salvaguarda dos direitos fundamentais do segurado.

Esse diálogo manifesta-se com singular nitidez no caso das fraudes em descontos previdenciários. O CDC fornece o regime de responsabilidade civil objetiva pelo defeito do serviço (art. 14); o Estatuto da Pessoa Idosa impõe a prioridade absoluta na tutela jurisdicional (art. 71); a Lei do Superendividamento garante a preservação do mínimo existencial (art. 6º, XI, do CDC, com a redação da Lei nº 14.181/2021); e a LGPD estabelece o dever de segurança no tratamento de dados pessoais (art. 46) e a responsabilidade civil pelo vazamento (art. 42).

Assim, o diálogo das fontes não é mero recurso retórico, mas instrumento operacional que confere ao intérprete os meios necessários para a construção de uma resposta jurídica integral à fraude por assinatura digital praticada contra a pessoa idosa, conforme se demonstrará nas seções subsequentes.

  1. A ASSINATURA DIGITAL E O AMBIENTE TELEMÁTICO: FRAGILIDADES ESTRUTURAIS DA CONTRATAÇÃO POR CLIQUE
    1. Conceito Jurídico de Assinatura Eletrônica e Digital

A regulamentação das assinaturas eletrônicas no ordenamento brasileiro consolidou-se em duas etapas. A primeira ocorreu com a Medida Provisória nº 2.200-2/2001, que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), estabelecendo o regime de presunção de autenticidade e integridade dos documentos eletrônicos assinados com certificado digital emitido por autoridade credenciada (art. 10, § 1º).

A segunda etapa, mais recente, é representada pela Lei nº 14.063/2020 e pelo Decreto nº 10.543, de 13 de novembro de 2020, que disciplinam o uso das assinaturas eletrônicas em interações com entes públicos, com pessoas jurídicas e nos atos de pessoas naturais. O art. 4º da referida lei estabelece três classes de assinatura: (I) simples, que permite identificar o signatário e anexar ou associar dados a outros dados em formato eletrônico; (II) avançada, que utiliza certificados não emitidos pela ICP-Brasil ou outro meio de comprovação da autoria e integridade; e (III) qualificada, que utiliza certificado digital emitido pela ICP-Brasil sendo esta a única dotada de presunção legal absoluta de autenticidade.

O cerne do problema reside, justamente, na utilização disseminada das assinaturas eletrônicas simples e avançadas geralmente reduzidas a tokens enviados por SMS, biometria facial captada por selfie ou cliques em interfaces de aplicativos para a celebração de contratos de empréstimo consignado e filiação associativa. Diversamente da assinatura de próprio punho, que carrega traços grafotécnicos individualizantes, a assinatura digital simples é, em essência, uma sequência de bits facilmente reproduzível por terceiros que tenham acesso aos dados pessoais e biométricos da vítima.

3.2 O Modus Operandi das Fraudes e a Engenharia Social Contra a Pessoa Idosa

As fraudes em descontos previdenciários operam, em regra, sob o manto da engenharia social. O estelionatário não invade, tecnicamente, os sistemas do banco ou do INSS invade, antes, a confiança da pessoa idosa. O modus operandi mais comum compreende quatro etapas: (i) obtenção prévia dos dados pessoais da vítima, frequentemente decorrente de vazamentos ou venda ilícita de bases de dados; (ii) contato telefônico ou por aplicativo de mensagem, em que o criminoso, fingindo-se de representante do INSS ou da instituição financeira, demonstra conhecer dados sigilosos para granjear credibilidade; (iii) indução da vítima a realizar uma “prova de vida”, “recadastramento” ou “validação biométrica”, capturando, sem que ela perceba, sua biometria facial; e (iv) utilização dessa biometria como assinatura digital simples para a celebração do contrato fraudulento.

O processo é descrito por Costa et al. (2024) como sendo intencionalmente projetado para suprimir o tempo de reflexão: não há papel, não há leitura de cláusulas, não há intermediação humana apenas um feixe de luz no rosto da vítima, que sequer associa o gesto à celebração de qualquer negócio jurídico. A invisibilidade é o triunfo do fraudador: a pessoa idosa só percebe o golpe meses depois, ao notar a redução do valor depositado em sua conta.

A partir desse momento, inicia-se o calvário burocrático. Ao procurar a instituição financeira ou o INSS, a vítima é, muitas vezes, confrontada com a “prova” de sua selfie no sistema, sendo-lhe atribuída a responsabilidade pelo ato. Confunde-se, com isso, o aceite formal com o consentimento informado, confusão que, juridicamente, não se sustenta. Como ressalta Marques (2022, p. 187), a manifestação de vontade do consumidor, especialmente do hipervulnerável, exige mais que mero clique ou imagem: requer informação clara, prévia e adequada sobre o conteúdo do negócio, sob pena de vício de consentimento.

    1. Vazamentos de Dados do INSS e o Dever de Segurança sob a LGPD

Entre agosto e setembro de 2022, a base de dados do INSS sofreu grave violação de segurança, atingindo o Sistema Corporativo de Benefícios (SISBEN) e expondo informações sensíveis como CPF, dados bancários, data de nascimento e valor de benefício de milhões de segurados. O incidente foi processado administrativamente pela Autoridade Nacional de Proteção de Dados (ANPD), no Processo Administrativo Sancionador nº 00261.001888/2023-21, e culminou, em decisão publicada no Diário Oficial da União de 1º de fevereiro de 2024, na aplicação ao INSS da sanção de publicização da infração, com fundamento no art. 48 da Lei nº 13.709/2018 dever de comunicação imediata aos titulares sobre incidente de segurança que possa acarretar risco ou dano relevante.

A sanção, ainda que limitada à publicização (pois a ANPD não detém competência para aplicar multas a órgãos públicos federais, na forma do art. 52, § 7º, da LGPD), reveste-se de especial relevância como precedente em segunda instância no julgamento de processos administrativos sancionadores. O Conselho Diretor da ANPD, ao negar provimento ao recurso do INSS, sinalizou que a alegação de “inviabilidade técnica para individualizar as pessoas afetadas” não pode servir de subterfúgio para o descumprimento do dever de transparência inscrito no art. 6º, VI, da LGPD.

A relação entre o vazamento de dados e a posterior consumação das fraudes é, no plano fático e jurídico, manifesta. Como assenta o Tribunal de Justiça do Distrito Federal, em jurisprudência consolidada, “a falha na prestação do serviço consubstancia-se na ausência de controle e segurança adequados em seus sistemas internos de monitoramento e fiscalização das operações. Houve violação à Lei Geral de Proteção de Dados (art. 42, § 1º, inciso I), permitindo o vazamento de dados pessoais e sensíveis dos clientes, de sorte a serem utilizados, de maneira fraudulenta, por terceiros” (BRASIL, 2023b).

Em resposta ao incidente, o Governo Federal editou a Resolução CEGOV/INSS nº 32, de 15 de agosto de 2023, instituindo o Programa de Governança em Privacidade da autarquia, com o objetivo de adequar o tratamento de dados pessoais aos comandos da LGPD. A iniciativa, embora meritória, mostrou-se insuficiente, como demonstram os fatos subsequentes objetos da Operação Sem Desconto e da CPMI do INSS.

  1. A RESPONSABILIDADE CIVIL OBJETIVA DAS INSTITUIÇÕES FINANCEIRAS E DO INSS.
    1. A Teoria do Risco do Empreendimento e a Súmula 479 do STJ

A responsabilidade civil das instituições financeiras pelos danos decorrentes de fraudes em operações bancárias fundamenta-se na Teoria do Risco do Empreendimento, segundo a qual aquele que lucra com determinada atividade econômica deve suportar os riscos a ela inerentes. Trata-se, como ensina Caio Mário da Silva Pereira (2019), de manifestação da função social da empresa: o risco da atividade não pode ser transferido ao consumidor mais frágil sob o pretexto de que o ato foi praticado por terceiro.

Esse fundamento doutrinário foi positivado no art. 14 do Código de Defesa do Consumidor, que estabelece a responsabilidade objetiva do fornecedor de serviços pelos danos causados aos consumidores por defeitos relativos à sua prestação. A aplicação dessa norma às instituições financeiras foi pacificada pelo Superior Tribunal de Justiça por meio da Súmula 297, que estabelece textualmente: “O Código de Defesa do Consumidor é aplicável às instituições financeiras”.

O ápice dessa construção jurisprudencial é a Súmula 479 do STJ, aprovada pela Segunda Seção em 27 de junho de 2012 e publicada no Diário da Justiça Eletrônico de 1º de agosto de 2012, com base nos precedentes consolidados no Tema Repetitivo 466 (REsp 1.197.929/PR e REsp 1.199.782/PR):

As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. (BRASIL. STJ. Súmula 479, 2012)

O enunciado sumular consolida três conclusões essenciais: (i) a fraude praticada por terceiro contra cliente de instituição financeira NÃO constitui fortuito externo, mas SIM fortuito INTERNO, ligado à organização da empresa e ao risco da atividade desenvolvida; (ii) em consequência, NÃO opera como excludente do nexo causal; e (iii) a responsabilidade civil da instituição é OBJETIVA, dispensando-se a demonstração de culpa para sua configuração.

    1. Fortuito Interno, Inversão do Ônus da Prova e Excludentes

A distinção entre fortuito interno e fortuito externo é crucial para a compreensão do regime de responsabilidade civil bancária. O fortuito interno é aquele inerente ao risco do empreendimento, à organização empresarial e à atividade desenvolvida pelo fornecedor, ainda que o fato seja imprevisível em sua ocorrência concreta. O fortuito externo, ao contrário, é aquele estranho à atividade, ligado a forças exógenas ao empreendimento.

A jurisprudência do STJ é firme no sentido de que as fraudes cometidas por terceiros em sistemas bancários integram o primeiro grupo. Como pontuou recentemente o Ministro Ricardo Villas Bôas Cueva, no julgamento de outubro de 2025 sobre o “golpe da falsa central de atendimento” (REsp 2.165.213/SP), “as instituições financeiras têm responsabilidade objetiva pelos danos decorrentes de fortuito interno, relacionados a fraudes e delitos praticados por terceiros no âmbito das operações bancárias”, “tal responsabilidade só pode ser afastada mediante prova da inexistência de defeito na prestação do serviço ou da ocorrência de culpa exclusiva do consumidor ou de terceiros, nos termos do parágrafo 3º do artigo 14 do Código de Defesa do Consumidor” (BRASIL, 2025b).

No caso da pessoa idosa hipervulnerável, vítima de fraude por assinatura digital, a aplicação rigorosa dessa orientação impõe três consequências processuais: (i) a INVERSÃO DO ÔNUS DA PROVA, com fundamento no art. 6º, VIII, do CDC, transferindo à instituição financeira o encargo de demonstrar a inexistência do defeito na prestação do serviço; (ii) a INSUFICIÊNCIA da simples apresentação da selfie ou biometria capturada como prova do consentimento, dada a facilidade de sua obtenção por terceiros via engenharia social; e (iii) a REJEIÇÃO da alegação de culpa exclusiva do consumidor como excludente, salvo prova robusta e inequívoca, considerada a hipervulnerabilidade etária e digital da vítima.

Em síntese, o ato fraudulento celebrado contra a pessoa idosa sem informação clara, prévia e adequada não traduz manifestação livre e consciente de vontade. O “aceite” digital obtido mediante engano não corresponde a consentimento informado e, portanto, não constitui causa jurídica válida do desconto remuneratório. Trata-se, no rigor técnico, de negócio jurídico viciado por erro substancial (art. 138 do Código Civil) ou dolo (art. 145), sem prejuízo da configuração de ato ilícito por falha na prestação do serviço.

    1. A Responsabilidade Objetiva do INSS sob a LGPD.

Na arquitetura institucional do sistema previdenciário, o INSS exerce, simultaneamente, três funções relevantes para o problema em análise: (i) é gestor dos benefícios; (ii) é controlador dos dados pessoais dos segurados, conforme art. 5º, VI, da LGPD; e (iii) é operador do sistema de descontos autorizados em folha. Em qualquer dessas funções, recai sobre a autarquia o dever jurídico de implementar protocolos técnicos e barreiras administrativas rigorosas, essenciais para salvaguardar a base de dados contra intrusões não autorizadas e para verificar a autenticidade das autorizações de desconto.

A LGPD estabelece, em seu art. 42, regime de responsabilidade civil específico do agente de tratamento de dados:

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (BRASIL, 2018, art. 42)

A doutrina majoritária e a jurisprudência mais recente, ainda em formação, interpretam esse regime como de responsabilidade civil objetiva, fundada no risco da atividade de tratamento de dados, à semelhança do art. 14 do CDC. A regra é particularmente importante quando se considera que a Súmula 479 do STJ refere-se às instituições financeiras, mas o INSS, como autarquia federal, não se enquadra nessa categoria. A LGPD, contudo, fornece o fundamento autônomo para a responsabilização objetiva da autarquia.

Em complemento, o art. 37, § 6º, da Constituição Federal estabelece a responsabilidade objetiva do Estado pelos danos que seus agentes causarem a terceiros, na qualidade prestadora de serviço público, orientação que se aplica em sua integralidade à autarquia previdenciária. Assim, configurada a omissão do INSS quanto ao dever de segurança e quanto ao dever de validação das autorizações de desconto, surge a obrigação reparatória, sem necessidade de demonstração de culpa.

Trata-se, portanto, de regime DUPLO de responsabilização: as instituições financeiras respondem objetivamente pela fraude (Súmula 479/STJ; art. 14 do CDC), e o INSS responde objetivamente pela falha no controle e pela violação do dever de segurança dos dados (art. 42 da LGPD; art. 37, § 6º, da CF/88). Em ambos os casos, a vítima hipervulnerável encontra na ordem jurídica brasileira a proteção integral exigida pelos seus fundamentos constitucionais.

  1. INSTRUMENTOS DE REPRESSÃO: A CPMI DO INSS E PROPOSTAS DE APERFEIÇOAMENTO.
    1. A CPMI do INSS (2025-2026) e o Valor Probatório das Investigações Parlamentares.

As Comissões Parlamentares de Inquérito (CPIs) e suas versões mistas (CPMIs) constituem instrumento de elevada eficácia investigativa, dotadas, por força do art. 58, § 3º, da Constituição Federal, de “poderes de investigação próprios das autoridades judiciais”. Tais prerrogativas autorizam a quebra de sigilo bancário, fiscal e telemático, mediante decisão fundamentada, dispensando autorização judicial prévia para tais providências, ressalvada, naturalmente, a inviolabilidade domiciliar e a interceptação telefônica, que permanecem sob reserva de jurisdição.

A CPMI do INSS, instalada em 20 de agosto de 2025 sob a presidência do Senador Carlos Viana (Podemos-MG) e a relatoria do Deputado Federal Alfredo Gaspar (União-AL), foi criada para investigar o esquema bilionário de fraudes em descontos associativos e empréstimos consignados em benefícios do INSS esquema cuja existência se tornou pública após a Operação Sem Desconto, deflagrada pela Polícia Federal e pela Controladoria-Geral da União em 23 de abril de 2025.

Ao longo de sete meses de trabalhos, a comissão realizou 38 reuniões, aprovou mais de mil quebras de sigilo e tomou depoimentos de dirigentes do INSS, da Dataprev, de presidentes de entidades associativas e de empresários do setor financeiro. O relatório final, apresentado em 27 de março de 2026, com 4.301 páginas, pleiteou o indiciamento de 216 pessoas e descreveu falhas estruturais de controle: ausência de validação efetiva das autorizações de desconto, inclusão massiva de descontos sem consentimento, queda do índice de atendimento aos pedidos de cancelamento de 92% para 15% no período de 2023 a 2025, e estruturas de lavagem de dinheiro envolvendo empresas de fachada e fintechs.

O relatório, contudo, foi REJEITADO em votação plenária realizada em 28 de março de 2026, por 19 votos a 12. Apesar disso, o senador Carlos Viana, presidente da comissão, anunciou o encaminhamento de cópias do relatório ao Ministério Público Federal e ao Supremo Tribunal Federal, para fins de continuidade das investigações. Os achados parlamentares conservam, assim, valor probatório autônomo: não vinculam o Poder Judiciário, mas constituem material fático-jurídico de alta densidade, apto a subsidiar ações civis públicas, ações individuais e procedimentos criminais.

Para o objeto da presente pesquisa, os achados da CPMI confirmam, em escala empírica, três premissas teóricas anteriormente sustentadas: (i) a falsificação sistemática de assinaturas digitais como modus operandi predominante; (ii) a vitimização preferencial de aposentados de baixa renda, em sua maioria pessoas idosas; e (iii) a participação estrutural por ação ou omissão de agentes públicos e privados em todas as etapas do esquema, do INSS às instituições financeiras intermediárias.

    1. Propostas de Aperfeiçoamento Normativo e Técnico

A análise desenvolvida permite formular, ao final, um conjunto de propostas de aperfeiçoamento, distribuídas em quatro eixos:

Primeiro Eixo - Tutela Individual das Vítimas: Recomenda-se a edição de norma específica que estabeleça presunção legal de invalidade dos contratos celebrados, em desfavor de pessoa idosa, exclusivamente por assinatura eletrônica simples ou avançada, sem confirmação por meio adicional (ligação telefônica gravada, comparecimento presencial ou assinatura qualificada ICP-Brasil). A medida inverteria o ônus de prova de modo absoluto, em consonância com o art. 6º, VIII, do CDC.

Segundo Eixo - Regulação da Assinatura Digital em Consignado: Sugere-se vedação expressa, em lei federal, do uso de assinatura eletrônica simples (token, SMS, selfie) para contratos de empréstimo consignado celebrados com pessoas idosas, exigindo-se obrigatoriamente assinatura qualificada com certificado digital ICP-Brasil ou confirmação por canal alternativo gravado. Tomando como modelo a Lei nº 12.027/2021 do Estado da Paraíba e a Lei nº 20.276/2020 do Estado do Paraná, poderia ser editada lei federal uniforme.

Terceiro Eixo - Fortalecimento do INSS como Controlador de Dados: Recomenda-se a implementação efetiva e auditável do Programa de Governança em Privacidade (Resolução CEGOV/INSS nº 32/2023), com criação de Encarregado de Proteção de Dados (DPO) dotado de autonomia funcional, e a integração de mecanismos de detecção automática de inclusões anômalas de descontos (volume, frequência, beneficiário-alvo). A medida atende ao princípio da prevenção positivado no art. 6º, VIII, da LGPD.

Quarto Eixo - Educação Digital da Pessoa Idosa: Propõe-se a incorporação, na Política Nacional de Educação Digital (Lei nº 14.533/2023), de eixo específico voltado à pessoa idosa, com programas presenciais de alfabetização digital executados em parceria com CRAS, Conselhos do Idoso e instituições de longa permanência. A medida prestigia a dimensão preventiva irrenunciável da tutela jurídica.

Os quatro eixos são complementares e nenhum deles, isoladamente, basta. A proteção integral da pessoa idosa exige atuação conjugada e contínua do Estado, das instituições financeiras, do INSS e da sociedade civil organizada em estrita observância ao dever solidário inscrito no art. 230 da Constituição Federal.

  1. CONSIDERAÇÕES FINAIS

A pesquisa investigou em que medida a fraude de assinatura digital praticada contra pessoas idosas em descontos previdenciários configura fortuito interno apto a atrair a responsabilidade civil objetiva das instituições financeiras e do INSS, à luz do diálogo das fontes entre o Código de Defesa do Consumidor, o Estatuto da Pessoa Idosa, a Lei Geral de Proteção de Dados e a Súmula 479 do Superior Tribunal de Justiça. A análise desenvolvida confirma a hipótese inicial: a fraude por assinatura digital constitui, sim, fortuito interno inerente ao risco da atividade econômica financeira e do tratamento massivo de dados pessoais, atraindo regime de responsabilização civil objetiva em duplo título.

No plano dos fundamentos constitucionais (seção 2), demonstrou-se que a tutela da pessoa idosa repousa sobre o princípio da dignidade da pessoa humana (art. 1º, III, da CF/88), no dever solidário de amparo (art. 230 da CF/88) e na proteção integral conferida pela Lei nº 10.741/2003 (Estatuto da Pessoa Idosa). A categoria da hipervulnerabilidade, desenvolvida doutrinariamente por Miragem e consagrada jurisprudencialmente pelo STJ (REsp 2.052.228/DF), traduz, no caso da pessoa idosa em contratações digitais, a convergência de três dimensões técnica, etária e digital que demandam, à luz do Diálogo das Fontes, resposta jurídica integrada.

No plano das fragilidades estruturais (seção 3), evidenciou-se que o conceito jurídico de assinatura digital é estratificado em três níveis (simples, avançada e qualificada), e que a utilização massiva das modalidades simples e avançada tokens, SMS e selfies para a celebração de contratos consignados constitui terreno fértil para a engenharia social. Os vazamentos de dados do INSS em 2022, sancionados pela ANPD no Processo Administrativo Sancionador nº 00261.001888/2023-21, demonstram o nexo de causalidade entre falhas no dever de segurança e a consumação posterior das fraudes.

No plano da responsabilidade civil (seção 4), confirmou-se a aplicação cumulativa de dois regimes objetivos. As instituições financeiras respondem com fundamento na Súmula 479 do STJ, no art. 14 do Código de Defesa do Consumidor e na Súmula 297 do STJ, sendo a fraude por terceiros qualificada como fortuito interno e impondo-se a inversão do ônus probatório. O INSS responde com fundamento autônomo no art. 42 da LGPD e no art. 37, § 6º, da Constituição Federal, como controlador de dados e prestador de serviço público de massa, sendo-lhe oponível o dever de segurança e o dever de validação das autorizações de desconto.

No plano dos instrumentos de repressão (seção 5), demonstrou-se a relevância empírica e jurídica da CPMI do INSS (2025-2026), cujo relatório final, embora formalmente rejeitado, conserva valor probatório autônomo e foi encaminhado ao Ministério Público Federal e ao Supremo Tribunal Federal. Os achados da comissão de falsificação sistemática de assinaturas, vitimização preferencial de pessoas idosas e participação estrutural de agentes públicos e privados confirmam, em escala empírica, as premissas teóricas sustentadas no curso da pesquisa.

Como contribuição propositiva, formularam-se quatro eixos de aperfeiçoamento: tutela individual das vítimas, regulação da assinatura digital em consignado, fortalecimento do INSS como controlador de dados e educação digital da pessoa idosa. Tais propostas, somadas, articulam-se em torno do princípio constitucional do amparo solidário (art. 230 da CF/88), compreendido não como norma programática, mas como mandado de otimização vinculante para o Estado, para as instituições financeiras e para a sociedade civil.

Reconhecem-se, como limitações deste estudo, a impossibilidade de análise empírica direta dos processos administrativos e judiciais em curso e a necessidade de acompanhamento contínuo do desfecho das investigações no Ministério Público Federal e no Supremo Tribunal Federal. Como agenda de pesquisa futura, sugere-se: (i) o estudo da efetividade reparatória das ações coletivas em curso; (ii) a análise comparada do regime jurídico de outras jurisdições; (iii) a investigação empírica da incidência de fraudes após a edição da Resolução CEGOV/INSS nº 32/2023; e (iv) o aprofundamento do regime de responsabilidade civil objetiva do INSS sob a LGPD.

Em síntese final, a tutela jurídica da pessoa idosa diante das fraudes por assinatura digital exige a articulação entre três frentes complementares e interdependentes: a proteção constitucional reforçada, a responsabilização objetiva ampla e a educação digital preventiva. Nenhuma dessas frentes, isoladamente, é suficiente. Conjugadas, contudo, configuram o eixo estruturante de um Direito Digital comprometido com a dignidade humana Direito que reconheça, como advertia Sarlet (2022), que a tecnologia deve servir à pessoa, e não à pessoa à tecnologia.

REFERÊNCIAS

ALMEIDA, Mariane Cecília Morais de. Responsabilidade civil das instituições financeiras em operações bancárias realizadas por meio de aparelhos celulares furtados: uma análise do caso "Bruno de Paula". 2023. Trabalho de Conclusão de Curso (Bacharelado em Direito) – Centro Universitário, [s.l.], 2023.

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988. Disponível em:

https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 06 maio 2026.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Diário Oficial da União: seção 1, Brasília, DF, 12 set. 1990. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em: 09 maio 2026.

BRASIL. Lei nº 10.741, de 1º de outubro de 2003. Dispõe sobre o Estatuto da Pessoa Idosa e dá outras providências (Redação dada pela Lei nº 14.423, de 2022). Diário Oficial da União: seção 1, Brasília, DF, 3 out. 2003. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/2003/l10.741.htm. Acesso em: 06 maio 2026.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União: seção 1, Brasília, DF, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 14 maio 2026.

BRASIL. Lei nº 14.063, de 23 de setembro de 2020. Dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos. Diário Oficial da União: seção 1, Brasília, DF, 24 set. 2020. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14063.htm. Acesso em: 19 maio 2026.

BRASIL. Lei nº 14.181, de 1º de julho de 2021. Altera a Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor), e a Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso), para aperfeiçoar a disciplina do crédito ao consumidor e dispor sobre a prevenção e o tratamento do superendividamento. Diário Oficial da União: seção 1, Brasília, DF, 2 jul. 2021. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/l14181.htm. Acesso em: 19 maio 2026.

BRASIL. Lei nº 14.423, de 22 de julho de 2022. Altera a Lei nº 10.741, de 1º de outubro de 2003, para substituir, em toda a Lei, as expressões "idoso" e "idosos" pelas expressões "pessoa idosa" e "pessoas idosas". Diário Oficial da União: seção 1, Brasília, DF, 25 jul. 2022. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/lei/l14423.htm. Acesso em: 19 maio 2026.

BRASIL. Decreto nº 10.543, de 13 de novembro de 2020. Dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos. Diário Oficial da União: seção 1, Brasília, DF, 16 nov. 2020. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/d10543.htm. Acesso em: 19 maio 2026.

BRASIL. Autoridade Nacional de Proteção de Dados (ANPD). Processo Administrativo Sancionador nº 00261.001888/2023-21. Decisão de aplicação de sanção ao Instituto Nacional do Seguro Social (INSS) por descumprimento do art. 48 da LGPD. Diário Oficial da União: seção 1, Brasília, DF, 1º fev. 2024.

BRASIL. Comissão Parlamentar Mista de Inquérito do Instituto Nacional do Seguro Social (CPMI do INSS). Relatório final. Relator: Deputado Federal Alfredo Gaspar. Brasília, DF: Congresso Nacional, 27 mar. 2026.

BRASIL. Superior Tribunal de Justiça. Súmula nº 297. O Código de Defesa do Consumidor é aplicável às instituições financeiras. Segunda Seção. Brasília, DF, julgada em 12 maio 2004. Diário da Justiça, 9 set. 2004, p. 149.

BRASIL. Superior Tribunal de Justiça. Súmula nº 479. As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias. Segunda Seção. Brasília, DF, julgada em 27 jun. 2012. Diário da Justiça Eletrônico, 1º ago. 2012.

BRASIL. Superior Tribunal de Justiça (Segunda Seção). Recurso Especial nº 1.197.929/PR (Tema Repetitivo 466). Relator: Min. Luis Felipe Salomão. Brasília, DF, julgado em 24 ago. 2011. Diário da Justiça Eletrônico, 12 set. 2011.

BRASIL. Superior Tribunal de Justiça (Terceira Turma). Recurso Especial nº 2.052.228/DF. Relatora: Min. Nancy Andrighi. Brasília, DF, julgado em 12 set. 2023. Diário da Justiça Eletrônico, 15 set. 2023. 2023a.

BRASIL. Tribunal de Justiça do Distrito Federal e dos Territórios. Jurisprudência em temas: fraude bancária – responsabilidade objetiva do banco – fortuito interno. Brasília, DF, 2023b. Disponível em: https://www.tjdft.jus.br/consultas/jurisprudencia/jurisprudencia-em-temas. Acesso em: 19 maio 2026.

BRASIL. Superior Tribunal de Justiça (Terceira Turma). Recurso Especial nº 2.165.213/SP. Relator: Min. Ricardo Villas Bôas Cueva. Brasília, DF, julgado em out. 2025. Diário da Justiça Eletrônico, 2025b.

COSTA, Izabella Affonso et al. Da hipervulnerabilidade da pessoa idosa nas contratações eletrônicas com instituições financeiras. Revista de Direito, Globalização e Responsabilidade nas Relações de Consumo, v. 10, n. 2, 2024.

DA SILVA, Andressa Bianca Souza et al. A responsabilidade civil das instituições bancárias por danos sofridos em golpes de Pix. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 11, n. 7, p. 1265-1279, 2025.

FIGUEIRA, Adriana Bertoni Holmo. Digitalização bancária, fraude e população vulnerável: pesquisa realizada nos processos distribuídos nos anos de 2014 e 2023 na 5ª Vara Cível da Comarca de Santo André/TJSP. 2024. 103 f. Dissertação (Mestrado em Direito) – Universidade Nove de Julho, São Paulo, 2024.

JAYME, Erik. Identité culturelle et droit international privé. In: Recueil des Cours de l'Académie de Droit International de la Haye, v. 251. Haia: Martinus Nijhoff, 1995.

MARQUES, Cláudia Lima. Contratos no Código de Defesa do Consumidor: a nova proteção do consumidor. 10. ed. São Paulo: Revista dos Tribunais, 2022.

MIRAGEM, Bruno. Curso de Direito do Consumidor. 7. ed. São Paulo: Revista dos Tribunais, 2021.

ORGANIZAÇÃO DOS ESTADOS AMERICANOS (OEA). Convenção Interamericana sobre a Proteção dos Direitos Humanos dos Idosos. Washington, DC: OEA, 15 jun. 2015. Promulgada no Brasil pelo Decreto nº 11.123, de 9 de julho de 2022.

PEREIRA, Caio Mário da Silva. Responsabilidade civil. 12. ed. Rio de Janeiro: Forense, 2019. SARLET, Ingo Wolfgang. Dignidade da pessoa humana e direitos fundamentais na Constituição Federal de 1988. 11. ed. Porto Alegre: Livraria do Advogado, 2022.

STRASBURG FILHO, Clovis. Estudo sobre a extensão da responsabilidade civil bancária em casos de fraudes cibernéticas. 2018. Trabalho de Conclusão de Curso – Universidade Federal, [s.l.], 2018.

  1. Gusthavo André Rodrigues da Silva, Graduando do curso de Bacharelado em Direito - no Centro Universitário FAMETRO, Manaus, Amazonas, Brasil. E-mail: gusthavoandre@gmail.com. ID ORCID Nº 0009-0000-7795-5460.

  2. Prof.ª Orientadora e Coordenadora do TCC II, no Centro Universitário FAMETRO: Prof.ª Esp. Rosana Reis de Melo Silva. Manaus, Amazonas, Brasil. E-mail: rosanareismello@gmail.com.

  3. Prof. Me. Cristiano dos Reis Fernandes. Advogado e Coorientador no Centro Universitário FAMETRO. Manaus, Amazonas, Brasil. E-mail: prof.cristianofernandes@fametro.edu.br.

  4. Expressão que designa a transição compulsória dos serviços financeiros para o ambiente virtual, mediante a redução drástica ou encerramento do suporte físico e humano.

  5. fenômeno sociojurídico caracterizado pela migração obrigatória e inevitável de atos, serviços e procedimentos sejam públicos ou privados para o ambiente virtual, com a consequente eliminação ou redução drástica dos canais físicos de atendimento e de suporte humano

Creative Commons License
Este trabalho está licenciado sob uma licença Creative Commons Attribution 4.0 International License.

Copyright (c) 2026 Gusthavo André Rodrigues da Silva, Rosana Reis de Melo Silva, Cristiano dos Reis Fernandes (Autor)

Downloads

Os dados de download ainda não estão disponíveis.