A RESPONSABILIDADE CIVIL DAS INSTITUIÇÕES FINANCEIRAS: UMA ANÁLISE DA JURISPRUDÊNCIA DO TJRO SOBRE O FORTUITO INTERNO EM CASOS DE FRAUDES VIA PIX

Autor principal: Eliaquin Cardoso Danin Rossendy¹
Autor secundário: Jucileia Batista de Souza²
Orientador: Ihgor Jean Rego³

Resumo: O presente artigo tem por objetivo analisar o regime de responsabilidade
civil das instituições financeiras em casos de fraudes perpetradas por meio de
engenharia social, delimitando as fronteiras entre o fortuito interno e a excludente de
culpa exclusiva da vítima no âmbito do Direito do Consumidor. A metodologia
adotada consistiu em uma pesquisa qualitativa, de natureza teórico-dogmática,
baseada na análise bibliográfica da doutrina clássica de responsabilidade civil e no
exame documental da evolução jurisprudencial do Superior Tribunal de Justiça
(STJ) e, especificamente, das Câmaras Cíveis e Turmas Recursais do Tribunal de
Justiça do Estado de Rondônia (TJRO). Os resultados demonstram que, embora o
fornecimento voluntário de credenciais pelo correntista tenda a afastar o nexo de
causalidade em situações comuns, a responsabilidade do fornecedor remanesce
hígida quando constatada a flagrante atipicidade das movimentações financeiras em
relação ao perfil de consumo do cliente. Conclui-se que o dever de segurança
imposto às instituições bancárias pela teoria do risco do empreendimento e pela
Súmula 479 do STJ transmuda-se em defeito na prestação do serviço sempre que
os sistemas de inteligência falham no monitoramento prévio ou demonstram inércia
na execução de mecanismos regulatórios impositivos, tais como o Bloqueio Cautelar
e o Mecanismo Especial de Devolução (MED) previstos pelo Banco Central. Assim,
a negligence do consumidor não chancela a omissão sistêmica da instituição que
lucra com a celeridade das plataformas digitais.

_________________________________________________________________
1.  Eliaquin Cardoso Danin Rossendy. Acadêmico do 8º período do curso de Direito do Centro
Universitário São Lucas. [email protected]
2. Jucicleia Batista de Souza. Acadêmica do 8º período do curso de Direito do Centro Universitário
São Lucas. [email protected]
3.  Ihgor Jean Rego. Advogado; chefe da Assessoria Jurídica da Companhia de Águas e Esgotos de
Rondônia; pós-graduado em Direito e Processo do Trabalho; mestre em Direitos da Personalidade;
professor universitário no Centro Universitário São Lucas / Afya Educação Médica (Porto Velho/RO).
[email protected]

Palavras-chave: Responsabilidade Civil Bancária, Engenharia Social, Fortuito
Interno, Tribunal de Justiça de Rondônia, Mecanismo Especial de Devolução.

CIVIL LIABILITY OF FINANCIAL INSTITUTIONS: AN ANALYSIS OF THE
JURISPRUDENCE OF THE TJRO ON INTERNAL FORTUITOUS EVENTS IN CASES OF PIX FRAUD

Abstract: This paper aims to analyze the civil liability regime of financial institutions
in fraud cases perpetrated through social engineering, delimiting the boundaries
between internal fortuitous events and the exclusive fault of the victim defense within
the scope of Consumer Law. The methodology adopted consisted of qualitative
research, of a theoretical-dogmatic nature, based on a literature review of classic
civil liability doctrine and a documentary examination of the jurisprudential evolution
of the Superior Court of Justice (STJ) and, specifically, the Civil Chambers and
Recursal Turms of the Court of Justice of the State of Rondônia (TJRO). The results
demonstrate that, although the voluntary provision of credentials by the account
holder tends to sever the causal link in ordinary situations, the supplier's liability
remains intact when a blatant atypicality of financial transactions in relation to the
client's consumption profile is verified. It is concluded that the duty of safety imposed
on banking institutions by the enterprise risk theory and by STJ Precedent 479
mutates into a defect in the service provision whenever intelligence systems fail in
prior monitoring or display inertia in executing mandatory regulatory mechanisms,
such as the Cautionary Blocking and the Special Refund Mechanism (MED)
provided by the Central Bank. Thus, consumer negligence does not validate the
systemic omission of the institution that profits from the velocity of digital platforms.

Keywords: Banking Civil Liability, Social Engineering, Internal Fortuitous Event,
Court of Justice of Rondônia, Special Refund Mechanism.

1. INTRODUÇÃO
No último século, a sociedade experimentou uma metamorfose profunda,
impulsionada pelas sucessivas revoluções digitais. Esse avanço reconfigurou
diversos ramos do Direito, com impactos sensíveis nas relações de consumo,
especialmente no setor financeiro. Se, por um lado, a agilidade do ambiente digital
democratizou o acesso a serviços bancários, por outro, expôs vulnerabilidades
críticas: a migração da criminalidade para o campo da Tecnologia da Informação e a
fragilidade dos sistemas de segurança institucionais.
Nesse cenário, o Pix consolidou-se como protagonista da economia
brasileira, substituindo gradativamente o papel-moeda e os meios de pagamento
tradicionais. Todavia, a celeridade que beneficia o usuário também amplia sua
exposição a riscos. O distanciamento físico entre instituição e cliente criou brechas
exploradas sistematicamente pelo crime organizado, tornando o Pix um vetor central
para práticas ilícitas.
É evidente que o avanço tecnológico impõe um novo paradigma de risco. Se,
por um lado, as instituições financeiras ergueram muralhas digitais robustas contra
ataques diretos aos seus sistemas, por outro, os criminosos deslocaram o alvo para
o usuário final o elo mais vulnerável da corrente. Por meio de manipulação
psicológica e simulação de canais oficiais, os fraudadores exploram falhas
comportamentais para obter dados e autorizações, revelando o fator humano como
o ponto crítico da segurança bancária.
O debate jurídico central, portanto, transcende a técnica e foca na
responsabilidade. Questiona-se até que ponto a instituição financeira responde por
uma fraude ocorrida fora de seus sistemas internos, mas que utiliza elementos
inerentes à sua atividade econômica. A aplicação da Teoria do Fortuito Interno
torna-se o divisor de águas deste estudo, buscando determinar quando o risco deve
ser absorvido pelo empreendimento, independentemente da discussão sobre a
culpa da vítima.
Para explorar os contornos jurídicos que se desdobram dessas relações, os
recursos metodológicos adotados neste trabalho consistiram em pesquisa
exploratória de natureza documental e bibliográfica, com base na análise de textos
legislativos, doutrinários e artigos científicos pertinentes aos ramos do Direito do
Consumidor e da Responsabilidade Civil. Ademais, será realizada a análise de
decisões judiciais, com ênfase na jurisprudência do Tribunal de Justiça do Estado de
Rondônia (TJRO), a fim de compreender o posicionamento adotado pela corte em
casos envolvendo fraudes bancárias via Pix.
Por fim, serão apresentadas as considerações finais, nas quais se buscará
estabelecer os limites da responsabilidade civil das instituições financeiras em
situações de fraudes eletrônicas, contribuindo para o debate jurídico acerca da
proteção do consumidor no ambiente digital e da adequada distribuição dos riscos
inerentes à atividade bancária.

2. HIPOSSUFICIÊNCIA E VULNERABILIDADE DO CONSUMIDOR

A proteção conferida pelo Código de Defesa do Consumidor parte de uma
constatação fundamental: a relação de consumo é, por sua própria natureza,
assimétrica. O reconhecimento dessa desigualdade estrutural é o que legitima o
tratamento jurídico diferenciado dispensado ao consumidor, fundado no princípio
constitucional da isonomia. Nessa perspectiva, conforme leciona Nunes (2012), a
vulnerabilidade não constitui um privilégio, mas um instrumento de igualação
material entre partes que ocupam posições desiguais no mercado.
Para o autor, a fragilidade do consumidor é uma realidade concreta, e não
uma presunção abstrata. Ela decorre, sobretudo, do controle que o fornecedor
exerce sobre os meios de produção: é ele quem decide, de forma unilateral, o que
produzir, como produzir e quando ofertar. Diante desse poder de conformação do
mercado, a suposta "liberdade de escolha" do consumidor já nasce reduzida,
restando-lhe, na prática, aderir às condições previamente estabelecidas pelo
fornecedor no exercício de sua atividade econômica.
Essa fragilidade, contudo, não se manifesta de modo uniforme. Nunes (2012,
p. 129) divide a vulnerabilidade do consumidor entre a dimensão técnica e a
econômica, nos seguintes termos:

Essa fraqueza, essa fragilidade, é real, concreta, e decorre de dois
aspectos: um de ordem técnica, e outro de cunho econômico. O primeiro
está ligado aos meios de produção, cujo conhecimento é monopólio do
fornecedor.
[…]
O segundo aspecto, o econômico, diz respeito à maior capacidade
econômica que, por via de regra, o fornecedor tem em relação ao
consumidor.

A vulnerabilidade técnica revela-se na ausência de conhecimento do
consumidor acerca dos atributos do produto ou do serviço, ao passo que a
vulnerabilidade econômica traduz a disparidade de força entre os contratantes.
Ambas conduzem à mesma conclusão: sem mecanismos de reequilíbrio, o
consumidor não dispõe de condições reais de influir nas regras do mercado. Por
isso, a tutela legal não institui privilégios injustificados, mas busca restabelecer uma
igualdade efetiva, pressuposto, inclusive, da própria estabilidade do sistema
econômico, comprometida pela perpetuação do desequilíbrio nas relações de
consumo.
Esse entendimento encontra-se positivado na Política Nacional das Relações
de Consumo, cujo art. 4º da Lei nº 8.078 (BRASIL, 1990) erige o reconhecimento da
vulnerabilidade à condição de princípio reitor no seu inciso I, prevendo o
“reconhecimento da vulnerabilidade do consumidor no mercado de consumo”.

3. RESPONSABILIDADE CIVIL

Compreendida a posição de desvantagem que o consumidor ocupa na
relação de consumo, cumpre examinar o instituto por meio do qual o ordenamento
reconduz à esfera jurídica do lesado os prejuízos suportados de forma indevida. A
responsabilidade civil constitui, nesse plano, o instrumento técnico de reparação de
danos, e sua evolução (do paradigma da culpa ao paradigma do risco) fornece as
categorias indispensáveis à compreensão do tema central deste trabalho.

3.1. Conceito e fundamento: a responsabilidade civil como dever jurídico
sucessivo

A responsabilidade civil não se apresenta como obrigação autônoma, mas
como consequência da inobservância de um dever jurídico anterior. Cavalieri Filho
(2023) sustenta que a todo sujeito incumbe um dever jurídico originário, tal sendo
abster-se de lesar, cumprir o contrato, observar os deveres gerais de conduta, e
cuja transgressão, quando dela resulta dano, faz nascer um dever jurídico
sucessivo: o de reparar o prejuízo causado.
A responsabilidade civil é, portanto, esse dever derivado, que pressupõe
necessariamente a violação de uma obrigação preexistente, conforme preceitua
Cavalieri Filho (2023, p. 1):

Só se cogita, destarte, de responsabilidade civil onde houver violação de
um dever jurídico e dano. Em outras palavras, responsável é a pessoa que
deve ressarcir o prejuízo decorrente da violação de um precedente dever
jurídico. E assim é porque a responsabilidade pressupõe um dever jurídico
preexistente, uma obrigação descumprida.

A configuração do dever de indenizar reclama, ademais, um vínculo que ligue
a conduta ao resultado lesivo. Farias, Rosenvald e Braga Netto (2023) observam
que a imputação da responsabilidade pressupõe a existência de nexo de
causalidade entre o comportamento do agente, comissivo ou omissivo, e o dano
efetivamente experimentado pela vítima, de modo que apenas os prejuízos
causalmente atribuíveis àquela conduta ingressam no âmbito da reparação.

3.2. Da culpa ao risco: responsabilidade subjetiva e responsabilidade
objetiva

Em sua concepção clássica, a responsabilidade civil estruturou-se sobre a
noção de culpa. Sob esse modelo, denominado responsabilidade subjetiva, o dever
de indenizar somente surge mediante a demonstração de que o agente atuou com
dolo ou culpa em sentido estrito (negligência, imprudência ou imperícia), nos termos
do art. 186 do Código Civil (BRASIL, 2002):“Art. 186. Aquele que, por ação ou
omissão voluntária, negligência ou imprudência, violar direito e causar dano a
outrem, ainda que exclusivamente moral, comete ato ilícito.”
Neste contexto, a reparação vincula-se, assim, a um juízo de reprovação da
conduta individual. A intensificação das atividades econômicas e a multiplicação dos
riscos próprios da sociedade industrial revelaram, todavia, a insuficiência desse
paradigma.
Em inúmeras situações, a exigência de prova da culpa conduzia a vítima à
ausência de reparação, ainda que o dano fosse manifesto. Diante desse quadro,
Facchini Neto (2010) registra que a doutrina promoveu a revisão de dogmas até
então consolidados, notadamente o da imprescindibilidade da culpa, abrindo
caminho para a difusão das teorias do risco e para a afirmação da responsabilidade
objetiva, aquela que prescinde da perquirição da culpa e se contenta com a
conduta, o dano e o nexo causal.
O direito positivo brasileiro acolheu esse regime, uma vez que, ao lado da
regra geral da responsabilidade subjetiva, o art. 927, parágrafo único, do Código
Civil consagrou cláusula geral de responsabilidade objetiva, impondo o dever de
reparar, independentemente de culpa, sempre que a atividade normalmente
desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de
outrem.
Não há, entre os dois regimes, relação de exclusão. Facchini Neto (2010)
esclarece que a coexistência dos modelos subjetivo e objetivo não traduz antinomia,
mas instrumental colocado à disposição do julgador para a realização da justiça no
caso concreto. Nessa linha, o autor recusa a ideia de que a culpa e o risco
constituam fundamentos contrapostos:

O fato é que a teoria da responsabilidade civil comporta tanto a culpa como
o risco. Um como o outro devem ser encarados não propriamente como
fundamentos da responsabilidade civil, mas sim como meros processos
técnicos de que se pode lançar mão para assegurar às vítimas o direito à
reparação dos danos injustamente sofridos. Onde a teoria subjetiva não
puder explicar e basear o direito à indenização, deve-se socorrer da teoria
objetiva. Isto porque, numa sociedade realmente justa, todo dano injusto
deve ser reparado (FACCHINI NETO, 2010, p. 26).

3.3. A teoria do risco como fundamento da responsabilidade objetiva

A responsabilidade objetiva é clara ao substituir a culpa pelo risco, contudo,
não designa categoria unívoca. Facchini Neto (2010) demonstra que, sob a
denominação genérica de responsabilidade objetiva, abriga-se uma pluralidade de
construções teóricas, entre as quais se destacam as teorias do risco-proveito e do
risco-criado, ao lado da ideia de garantia e da responsabilidade objetiva agravada.
O traço comum a essas vertentes reside na imputação do dever de reparar a
quem se encontra em posição de controle ou de aproveitamento da atividade
geradora do risco: responde pelo dano, conforme o caso, aquele que dela extrai
proveito econômico ou aquele que, por sua atuação, introduz ou incrementa o risco
no meio social.
É dessa matriz que deriva a teoria do risco do empreendimento, também
referida como risco da atividade, de particular relevância para o regime
consumerista. Nunes (2012) sustenta que, sob a garantia constitucional da livre
iniciativa, o risco constitui elemento intrínseco e indissociável da exploração
econômica. Por essa razão, incumbe ao empreendedor avaliar as variáveis do
mercado e suportar, de forma integral, as consequências das falhas eventualmente
produzidas por sua atividade, pois a opção pela busca do lucro traz consigo, como
contrapartida, a assunção dos riscos correlatos.
Tal assunção, observa o autor, submete-se a um cálculo econômico, o
binômio risco/custo, no qual o empreendedor pondera os investimentos em
prevenção em face das margens de lucro projetadas. Esse cálculo encontra, porém,
limite intransponível na segurança que o mercado de consumo deve oferecer, uma
vez que, na lição de Nunes (2012, p. 280), “não se pode compreender qualidade
sem o respeito aos direitos básicos do consumidor”.

3.4. As excludentes de responsabilidade e o problema da fraude praticada
por terceiro

A responsabilidade objetiva não equivale a responsabilidade absoluta. O
próprio Código de Defesa do Consumidor delimita as hipóteses em que o fornecedor
se exonera do dever de indenizar. Quanto ao fato do serviço, o art. 14, § 3º,
estabelece:

§3º O fornecedor de serviços só não será responsabilizado quando provar:
I – que, tendo prestado o serviço, o defeito inexiste;
II – a culpa exclusiva do consumidor ou de terceiro.

Duas observações se impõem quanto ao dispositivo. A primeira diz respeito
ao ônus da prova: a demonstração da excludente incumbe ao fornecedor, e não ao
consumidor, o que se harmoniza com a hipossuficiência probatória examinada no
segundo capítulo. A segunda refere-se ao alcance das causas de exclusão: embora
o § 3º não os mencione expressamente, a doutrina e a jurisprudência — a exemplo
do entendimento fixado pelo Tribunal de Justiça do Rio Grande do Sul (2025) —
reconhecem, por analogia, o caso fortuito e a força maior como causas aptas a
romper o nexo de causalidade e, com isso, a afastar a responsabilidade.
É nesse terreno que se concentra a controvérsia central deste estudo. Nas
fraudes bancárias, e particularmente naquelas operadas por meio do Pix, a
instituição financeira costuma invocar, como excludente, a culpa exclusiva de
terceiro, o fraudador, ou a ocorrência de caso fortuito. A solução do litígio depende,
então, de uma qualificação prévia: a fraude praticada por terceiro é evento externo e
estranho à atividade bancária, capaz de exonerar a instituição, ou constitui risco a
ela inerente, que o empreendimento deve absorver? Essa distinção, que opõe o
fortuito externo ao fortuito interno e que foi objeto da Súmula 479 do Superior
Tribunal de Justiça.

4. RESPONSABILIDADE CIVIL NAS RELAÇÕES DE CONSUMO:
FUNDAMENTOS E INOVAÇÕES DO CDC

4.1. A Objetivação da Responsabilidade e o Papel do Nexo de Causalidade

Conforme discorrido, o Código de Defesa do Consumidor (CDC) inovou na
ordem jurídica vigente à época de sua promulgação, permitindo extrair uma
definição própria de responsabilidade. Esta amplifica o conceito de responsabilidade
civil tradicional para uma responsabilidade civil nas relações de consumo
(CAVALIERI FILHO, 2012, p. 47).
Neste ponto, mesmo nos casos de responsabilidade objetiva, ainda é
necessária a comprovação do nexo de causalidade entre a conduta e o dano para a
caracterização do dever de indenizar. Contudo, nem todo caso fortuito é capaz de
afastar a responsabilidade do fornecedor. Há situações em que, embora o evento
seja imprevisível ou inevitável, a causa do dano não é externa à atividade exercida
pelo prestador (CAVALIERI FILHO, 2012, p. 47).

4.2. Fortuito Interno e Externo como Critério de Imputação

A título exemplificativo, em casos de atraso de voo por adversidades
meteorológicas — questão alheia à aviação e fora do controle das companhias —, a
jurisprudência reiteradamente afasta o dever de indenizar, por entender que há o
rompimento do nexo causal (RONDÔNIA, 2025).
Contudo, tal sorte não socorre às companhias aéreas quando o motivo do
cancelamento decorre de manutenções não programadas. A jurisprudência do STJ
é firme no entendimento de que o dever de garantir a segurança das aeronaves é
intrínseco à atividade exercida pelas companhias aéreas. Tais condições são
chamadas de fortuitos internos: causas que, embora imprevisíveis, não afastam a
responsabilidade por não romperem o nexo de causalidade com a atividade
desenvolvida e integrarem o risco da atividade exercida (BRASIL, 2011).
Este exemplo é cristalino para ilustrar a responsabilidade objetiva incidindo
em danos derivados do risco do exercício da atividade empresarial, de sorte que,
ainda que o resultado de ambos os casos seja o mesmo (cancelamento/atraso de
voo), no segundo caso, verifica-se que não houve total rompimento do nexo de
causalidade entre a atividade da empresa aérea e o dano suportado pelo
consumidor, importando na responsabilização da cia aérea.

5. A INCIDÊNCIA DO CDC NAS RELAÇÕES BANCÁRIAS E FINANCEIRAS

As relações de consumo são diversas, sendo impossível ao CDC estabelecer
um rol taxativo ante as variadas necessidades da coletividade. Não obstante, o
Código atraiu expressamente a incidência de suas normas às relações de "natureza
bancária, financeira, de crédito e securitária" (Art. 3º, § 2º, CDC), justificando-se pela
imprescindibilidade de tais serviços na era do homo economicus. (MIRAGEM, 2016,
p. 431)
A aludida previsão foi alvo de irresignação pela Confederação Nacional das
Instituições Financeiras (CONSIF), por meio da ADI 2.591. Contudo, o Supremo
Tribunal Federal (STF) julgou a ação improcedente, coadunando com o
entendimento já sumulado pelo Superior Tribunal de Justiça (STJ), segundo o qual
“o Código de Defesa do Consumidor é aplicável às instituições financeiras” (Súmula
297/STJ).
Não há especificidade na atividade bancária que afaste o caráter de
fornecedor da instituição ou o de consumidor dos destinatários finais. Conforme
preceitua Rizzatto Nunes (2018), o consumidor figura como o elo vulnerável da
relação, especialmente em contratos de adesão massificados.

6. A RESPONSABILIDADE OBJETIVA DAS INSTITUIÇÕES FINANCEIRAS: DA
SÚMULA 28/STF À SÚMULA 479/STJ

Assim como qualquer fornecedor assume os riscos de sua atividade, as
instituições financeiras devem responsabilizar-se objetivamente pelos danos
suportados pelos consumidores, prescindindo da perquirição de culpa.
Historicamente, o STF já sinalizava essa direção com a Súmula 28 (13/12/1963): “O
estabelecimento bancário é responsável pelo pagamento de cheque falso,
ressalvadas as hipóteses de culpa exclusiva ou concorrente do correntista.”;
Embora anterior ao CDC e menos protecionista, a Súmula 28 já buscava
resguardar o consumidor, compelindo os bancos a fixarem critérios de segurança
mais rígidos. Com o advento do CDC, a "culpa concorrente" perdeu força para
afastar a responsabilidade; esta agora só é elidida mediante prova de culpa
exclusiva da vítima ou de terceiro (Art. 14, § 3º, CDC).
A consolidação desse entendimento culminou na edição da Súmula 479 do
Superior Tribunal de Justiça (STJ), segundo a qual “as instituições financeiras
respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes
e delitos praticados por terceiros no âmbito de operações bancárias”.
O entendimento foi firmado sob o rito dos recursos repetitivos (REsp
1.199.782/PR), solidificando que fraudes bancárias (como abertura de contas com
documentos falsos ou clonagem de cartões) integram o risco do empreendimento,
não configurando hipótese de exclusão de responsabilidade.

7. FRAUDES BANCÁRIAS NA ERA DIGITAL: PANORAMA E MODALIDADES

Contemporaneamente, com os avanços das inteligências artificiais e o
aprimoramento da tecnologia, os meios de perpetuação de fraudes encontram-se
demasiadamente diversificados. Não só pela atuação de hackers, uso de malwares
e outras formas de invasão do sistema de segurança interno das instituições
financeiras.
De certo que o acesso de dados sigilosos dos clientes pela falha na
segurança interna dos sistemas das instituições financeiras, não obstante o
aprimoramento contínuo destas para a mitigação destas fraudes, continua a ser
razão grande parte das fraudes bancárias objeto de demandas judiciais.

7.1. Vulnerabilidades Sistêmicas e a Exploração do Consumidor como Elo
Mais Fraco

Contudo, nem mesmo o investimento massivo das instituições financeiras em
segurança é suficiente para mitigar o elo mais fraco perquirido pelos golpistas, o
qual seja o próprio cliente. Nestes casos, os meios utilizados para a aquisição dos
dados necessários para a perpetuação da fraude não se trata de simples uso de
malwares ou outra forma de invasão de sistemas; todavia, o uso de artimanhas
enganosas e ardis, visando obter a confiança do cliente e, posteriormente, a
aquisição de informações necessárias para a concretização dos delitos.
Nestes casos, havendo a participação ativa da vítima na atuação dos
falsários, há de se ponderar a responsabilidade das instituições financeiras, tendo
em vistas as disposições protetivas do CDC; concentrando-se a análise no
entendimento sedimentado pelo Tribunal de Justiça de Rondônia.

8. ENGENHARIA SOCIAL: CONCEITO E MODALIDADES DE GOLPES

Conforme entendimento firmado pelo STJ, nos casos em que o vazamento
de dados decorre por conta da instituição financeira, em regra, desta será a
responsabilidade em reparar os danos. Tal entendimento está sedimentado no risco
operacional, no que se refere na possibilidade da ocorrência de danos provenientes
de eventos externos ou de falhas, deficiências ou inadequações de processos
internos, pessoas ou sistemas.
A questão fica mais nebulosa quando resta incontroversa a participação da
vítima no evento danoso. Conforme discorrido anteriormente, havendo culpa
exclusiva da vítima, deve ser afastada a responsabilidade da parte fornecedor de
serviços.
Uma das formas mais difundidas de golpes que exploram o elo mais fraco da
relação de consumo (o consumidor) é a chamada “engenharia social”. Essa
modalidade consiste na utilização de técnicas por parte dos criminosos para
manipular psicologicamente a vítima para induzi-la a contribuir com o próprio crime,
fornecendo dados, informações sigilosas e ou autorizando transações financeiras.
Nesses casos, podemos citar o Golpe do Falso Funcionário, onde o
criminoso se passa por um representante do banco para solicitar dados
confidenciais ou induzir a vítima a realizar procedimentos de segurança falsos que,
na verdade, transferem valores para terceiros (TJSP, 2026). Há ainda, o conhecido
Phishing, que consiste no uso de e-mails, mensagens de texto (smishing) ou
chamadas telefônicas (vishing) fraudulentas que direcionam para sites falsos
idênticos aos oficiais para capturar credenciais de acesso (TJRO, 2025). Além
destes, há vários outros meios empregados pelos agentes delituosos que se
aproveitam da vulnerabilidade dos consumidores para a perpetuação das fraudes.
Neste prumo, o entendimento do Tribunal do Estado de Rondônia (TJRO)
segue, em regra, no sentido de que a contribuição da vítima para a prática da ação
delituosa configura rompimento do nexo de causalidade entre a conduta da
instituição financeira e o dano suportado pelo consumidor, tendo em vista que houve
o fornecimento voluntário do cliente dos dados que possibilitaram a ocorrência da
fraude, a qual não se efetivaria se este houvesse agido com a devida cautela.
Nestes casos, é comum que seja reconhecida a isenção de responsabilidade da
instituição bancária pelo citado Tribunal Estadual. (TJRO) com base no art. 14, § 3º,
inciso II do CDC.
Importa citar relevante julgado no qual foi reconhecida a culpa exclusiva da
vítima como causa excludente da responsabilidade da instituição financeira pela
ocorrência da fraude bancária:

A análise probatória demonstra que a própria consumidora forneceu seus
dados bancários a terceiros, seguindo instruções recebidas em contato
telefônico fraudulento, circunstância que caracteriza culpa exclusiva e
quebra do dever de cautela.
A ausência de demonstração de falha nos sistemas de segurança da
instituição financeira, aliada à conduta imprudente da consumidora, afasta o
nexo causal necessário à responsabilização civil do banco.
Tendo a consumidora fornecido voluntariamente suas informações pessoais
e seguido os passos indicados pelos fraudadores, fragilizou a segurança de
sua conta, permitindo a realização das transações questionadas.
A instituição financeira não responde civilmente por contratação fraudulenta
realizada por terceiro quando demonstrada a culpa exclusiva do
consumidor, hipótese apta a afastar a responsabilidade objetiva prevista no
art. 14 do Código de Defesa do Consumidor. (TJRO, 2025).

8.1. A Atipicidade das Transações como Dever de Vigilância Bancária

As instituições financeiras têm implementado, de maneira massiva, inovações
tecnológicas em seus sistemas internos, a fim de automatizar e conferir celeridade à
prestação de serviços financeiros. Tais inovações, se por um lado democratizam o
acesso aos serviços bancários, por outro, vulnerabilizam os consumidores perante
golpistas que se aproveitam dessa facilidade e simplicidade para a perpetração de
delitos bancários.
Conforme entendimento consolidado do STJ, as inovações tecnológicas e a
implementação de mecanismos de automação devem vir acompanhadas do
aprimoramento de instrumentos de prevenção e mitigação de fraudes, capazes de
identificar comportamentos suspeitos e destoantes do perfil do cliente, bem como de
atuar de maneira célere a fim de evitar prejuízos.
Assim, ainda que haja contribuição da vítima para a concretização da fraude
bancária, mediante o fornecimento de dados pessoais e sigilosos essenciais à
prática delituosa, é possível reconhecer a responsabilidade das instituições
financeiras e das instituições de pagamento, tendo em vista o dever de segurança
inerente à atividade desempenhada.
Tal entendimento encontra respaldo no art. 14, § 1º, do Código de Defesa do
Consumidor, segundo o qual: “O serviço é defeituoso quando não fornece a
segurança que o consumidor dele pode esperar, levando-se em consideração as
circunstâncias relevantes […]”.
Conforme anteriormente exposto, considerando a essencialidade dos
serviços bancários, bem como o dever de segurança inerente à atividade e os riscos
dela razoavelmente esperados, a contribuição da vítima para a prática do ilícito não
afasta, por si só, a responsabilidade da instituição financeira quando comprovada
falha em seus mecanismos internos de segurança.
Nesse contexto, emerge a responsabilidade das instituições financeiras de
mapear o perfil de consumo e a natureza das movimentações de seus clientes. Tal
dever de fiscalização pressupõe a implementação de sistemas capazes de
identificar padrões comportamentais que individualizem o uso da conta pelo titular.
Consequentemente, ao detectar transações que destoem de maneira evidente o
histórico identificado, incumbe à instituição o dever de cautela, devendo adotar
medidas imediatas para mitigar possíveis fraudes e assegurar a incolumidade
patrimonial do consumidor.
Nesse sentido, o Tribunal de Justiça do Estado de Rondônia reconheceu que:

3. O banco, mesmo ciente do perfil financeiro da autora, não aplicou
barreiras de segurança adequadas para evitar a transação atípica, o que
configura defeito na prestação do serviço, conforme o art. 14 do CDC. No
entanto, a devolução simples dos valores é devida, uma vez que não há
indícios de má-fé da instituição financeira, mas sim de negligência.
[…]
4. Embora a autora tenha contribuído para o evento ao confirmar seus
dados via telefone, o banco, na condição de fornecedor de serviços
financeiros, tem o dever de desenvolver mecanismos de segurança que
identifiquem operações fraudulentas, respondendo pelos riscos de sua
atividade. (RONDÔNIA, 2024).

Os aspectos supramencionados alicerçam-se na teoria do risco do
empreendimento, uma vez que a constante inovação tecnológica é impulsionada
pelos objetivos comerciais das instituições financeiras.
Sob essa premissa, ainda que se verifique a concorrência de causas pela
participação da vítima, tal fator não possui condão suficiente para promover o
rompimento integral do nexo de causalidade. Sob essa premissa, ainda que se
verifique a concorrência de causas pela participação da vítima, tal fator não possui
condão suficiente para promover o rompimento integral do nexo de causalidade.
Isso ocorre porque o risco inerente à atividade — ao oferecer plataformas digitais
céleres, porém vulneráveis — mantém a responsabilidade da instituição pela falha
na segurança do serviço disponibilizado. Desta feita, não há de se verificar a
ocorrência da chamada culpa exclusiva da vítima prevista no Código Consumerista
(art. 14, § 3°, inciso II).
Desta maneira, extrai-se que o critério de responsabilização das instituições
financeiras, nos casos de fraudes bancárias em que há contribuição da vítima, será
aferido a partir da atipicidade das transações realizadas e do grau de divergência
em relação ao perfil transacional do cliente, sendo que, evidenciado tal disparidade,
há de ser reconhecer a falha na prestação do serviço e consequente dever
reparatório e indenizatório.
Impende ressaltar a excepcionalidade desses casos, tendo em vista que não
é qualquer transação que destoe do padrão usual do consumidor que importará no
reconhecimento da responsabilidade da instituição financeira, mas apenas aquelas
situações em que houver flagrante anormalidade em relação ao perfil ordinário de
movimentação do correntista.
Nesse sentido, em voto condutor proferido pelo Desembargador Jorge Luiz
de Moura Gurgel do Amaral, o Tribunal de Justiça do Estado de Rondônia assentou
que:

A consumidora foi negligente e não adotou a mínima cautela esperada do
homem médio, deixando de averiguar a veracidade das ligações recebidas,
circunstância que deveria lhe causar estranheza e desconfiança.
Além disso, o dever de diligência na guarda de senhas e credenciais
bancárias é incumbência do consumidor, não estando as instituições
financeiras obrigadas a monitorar em tempo real ou bloquear operações
regulares por mera alteração de perfil de consumo, salvo em situações de
flagrante anormalidade. (RONDÔNIA, 2025).

Todos esses pontos foram exemplarmente enfrentados no voto proferido pelo
Ministro Ricardo Villas Bôas Cueva, nos autos do REsp n. 2.222.059/SP, no qual o
Superior Tribunal de Justiça reconheceu o dever das instituições financeiras e de
pagamento de desenvolver mecanismos eficazes de prevenção e bloqueio de
fraudes:

Constitui atribuição das instituições financeiras, e de todas aquelas que
participam dos denominados arranjos de pagamento, criar mecanismos
capazes de identificar e coibir a prática de fraudes e de mantê-los em
constante aprimoramento, em virtude do dever de gerir com segurança as
movimentações de dinheiro dos seus clientes e do elevado grau de risco da
atividade por elas desempenhada.
Para a identificação de possíveis fraudes, os sistemas de proteção devem
considerar, entre outros fatores, as transações que fogem ao perfil do
cliente ou ao seu padrão de consumo, o horário e o local das operações, o
intervalo de tempo entre as transações, a sequência das operações
realizadas e a contratação de empréstimos atípicos em momento anterior à
realização de pagamentos suspeitos.
A validação de operações suspeitas, atípicas e alheias ao perfil de
consumo do correntista evidencia defeito na prestação do serviço, apto a
ensejar a responsabilização das instituições financeiras (BRASIL, 2025).

Importa ainda ressaltar excerto do texto do voto do supramencionado
acórdão que dispõe que:

Para a identificação de possíveis fraudes, os sistemas de proteção contra
fraudes desenvolvidos pelas instituições bancárias/de pagamento devem,
sim, considerar i) as transações que fogem ao perfil do cliente ou ao seu
padrão de consumo; ii) o horário e o local em que as operações foram
realizadas; iii) o intervalo de tempo entre uma e outra transação; iv) a
sequência das operações realizadas; v) o meio utilizado para a sua
realização; vi) a contratação de empréstimos atípicos em momento anterior
à realização de pagamentos suspeitos; enfim, diversas circunstâncias que,
conjugadas, tornam possível ao fornecedor do serviço identificar se
determinada transação deve ou não ser validada (BRASIL, 2025).

8.2. Os Mecanismos Regulatórios de Prevenção e Reparação: MED e Bloqueio
Cautelar

Além dos aspectos preventivos de monitoramento de fraudes bancárias, há
de se ressaltar que as instituições financeiras são responsáveis por garantir
mecanismos reparatórios a fim de possibilitar a solução das referidas fraudes. Entre
elas o Mecanismo Especial de Devolução (MED), previsto na Resolução BCB nº
103/2021, o qual constitui um conjunto de regras e procedimentos operacionais
destinados a viabilizar a devolução de valores em casos de fundada suspeita de
fraude ou falha operacional no âmbito do arranjo de pagamentos Instantâneos (Pix).
Para a análise da responsabilidade civil, a existência do MED reforça o dever
de diligência das instituições. Quando o consumidor, vítima de fraude, comunica
imediatamente o fato à instituição — seguindo o rito do referido mecanismo — e o
banco falha em realizar o bloqueio cautelar ou em comunicar a instituição receptora
em tempo hábil, o nexo causal entre a falha do serviço e o prejuízo torna-se
evidente.
Nesse diapasão, a responsabilidade das instituições financeiras transcende a
mera vigilância passiva, impondo-lhes o dever de agir repressivamente por meio do
Bloqueio Cautelar, previsto no Art. 39-B da Resolução BCB nº 1/2020. Referido
dispositivo confere às instituições o poder-dever de reter recursos por até 72 horas
sempre que detectada suspeita de fraude. Sob o prisma da jurisprudência do
Tribunal de Justiça de Rondônia (TJRO), a inobservância desse mecanismo —
especialmente quando o sistema de segurança ignora transações que fogem ao
perfil do correntista — transmuda a participação da vítima em responsabilidade
objetiva do banco, por configurar nítido fortuito interno (TJRO, 2024).
Ademais, a operacionalização do Mecanismo Especial de Devolução
(MED) estende a responsabilidade à instituição financeira receptora. Ao permitir a
abertura de contas para 'laranjas' sem a devida verificação de idoneidade (violando
o dever de Know Your Customer – KYC), o banco receptor integra a cadeia de
responsabilidade pelo evento danoso. Para o TJRO, a prova da omissão na
abertura do protocolo MED após a denúncia do consumidor não apenas evidencia o
descaso com o dever de mitigação do prejuízo, mas serve como forte indício de
falha sistêmica, ensejando, em muitos casos, o dever de indenizar tanto por danos
materiais quanto morais.

Neste ponto:

No sistema do CDC, a responsabilidade é solidária entre todos os que
participam da cadeia de fornecimento de serviços. No caso de serviços de
pagamento, tanto a instituição de origem quanto a receptora respondem
pelos danos, uma vez que ambas lucram com a operacionalização do
sistema de transações. (MIRAGEM, Bruno. Curso de Direito do
Consumidor. 6. ed. São Paulo: Revista dos Tribunais, 2016).

9. CONCLUSÃO

A investigação do regime de responsabilidade civil das instituições
financeiras, sob a égide do Código de Defesa do Consumidor e da interpretação
pretoriana contemporânea, permite concluir que a participação da vítima em fraudes
bancárias não opera como uma excludente de responsabilidade automática ou
absoluta.
Primeiramente, restou demonstrado que, embora a responsabilidade objetiva
prescinda de culpa, ela não é imune à análise do nexo causal. Todavia, a Súmula
479 do STJ consolidou o entendimento de que fraudes praticadas por terceiros no
âmbito de operações bancárias configuram fortuito interno, pois são riscos
inerentes à atividade. No cenário da engenharia social, essa premissa ganha relevo:
a manipulação psicológica do consumidor é, muitas vezes, apenas o meio que
expõe a fragilidade dos sistemas de monitoramento das instituições. Assim, sempre
que o banco falha em identificar movimentações atípicas, a responsabilidade
permanece hígida, uma vez que o dever de segurança é uma obrigação de
resultado (CAVALIERI FILHO, 2012).
Em segundo lugar, a análise da jurisprudência do Tribunal de Justiça de
Rondônia (TJRO) revela uma tendência de equilíbrio e razoabilidade. O Tribunal
tem trilhado um caminho que protege a instituição financeira em cenários de
negligência crassa — onde o consumidor ignora alertas ostensivos e entrega
senhas de forma voluntária em contextos de normalidade operacional. Contudo,
essa proteção cessa quando a instituição ignora o dever de vigilância diante de
transações que fogem flagrantemente ao perfil do correntista ou quando demonstra
inércia na operacionalização de salvaguardas como o Bloqueio Cautelar e o
Mecanismo Especial de Devolução (MED). Para o TJRO, a inobservância desses
protocolos regulatórios configura falha na prestação do serviço e descaso com o
dever de mitigação de danos.
Por fim, é imperativo que a segurança bancária na era digital seja lida sob o
prisma da Teoria do Risco do Empreendimento. Como asseveram Farias,
Rosenvald e Braga Netto (2023), a lógica empresarial não pode oprimir a condição
humana em nome do lucro. Se as instituições financeiras auferem dividendos
expressivos com a celeridade e a despersonalização do atendimento via PIX e
aplicativos eletrônicos, devem, por imperativo ético e jurídico, arcar com o ônus das
vulnerabilidades que essa mesma tecnologia engendra.
Em última análise, a responsabilidade civil deve servir como um mecanismo
de indução à eficiência: ao ser responsabilizado pelas falhas sistêmicas que
facilitam a engenharia social, o setor bancário é compelido a aprimorar seus
algoritmos de proteção, garantindo que a inovação tecnológica não caminhe
dissociada da segurança patrimonial e da dignidade do consumidor.

10. REFERÊNCIAS
BANCO CENTRAL DO BRASIL. Resolução BCB nº 1, de 12 de agosto de 2020.
Disciplina o funcionamento do arranjo de pagamentos instantâneos – Pix. Brasília,
DF: Banco Central do Brasil, 2020.
BANCO CENTRAL DO BRASIL. Resolução BCB nº 103, de 8 de junho de 2021.
Institui o Mecanismo Especial de Devolução (MED) no âmbito do Pix. Brasília, DF:
Banco Central do Brasil, 2021.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de
1988. Brasília, DF: Presidência da República, 1988.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do
Consumidor. Brasília, DF: Presidência da República, 1990.
BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Código Civil. Brasília, DF:
Presidência da República, 2002.
BRASIL. Lei nº 12.865, de 9 de outubro de 2013. Dispõe sobre os arranjos de
pagamento e as instituições de pagamento integrantes do Sistema de Pagamentos
Brasileiro. Brasília, DF: Presidência da República, 2013.
CAVALIERI FILHO, Sergio. Programa de direito do consumidor. 4. ed. São Paulo:
Atlas, 2012.
CAVALIERI FILHO, Sergio. Programa de responsabilidade civil. 16. ed. São Paulo:
Atlas, 2023.
FACCHINI NETO, Eugênio. Da responsabilidade civil no novo Código. Revista do
Tribunal Superior do Trabalho, Brasília, DF, v. 76, n. 1, p. 17-39, jan./mar. 2010.
FARIAS, Cristiano Chaves de; ROSENVALD, Nelson; BRAGA NETTO, Felipe
Peixoto. Curso de direito civil: responsabilidade civil. 11. ed. Salvador: JusPodivm,
2023.
MIRAGEM, Bruno. Curso de direito do consumidor. 6. ed. São Paulo: Revista dos
Tribunais, 2016.
NUNES, Rizzatto. Curso de direito do consumidor. 7. ed. São Paulo: Saraiva, 2012.
NUNES, Rizzatto. Curso de direito do consumidor. 11. ed. São Paulo: Saraiva, 2018.
RIO GRANDE DO SUL. Tribunal de Justiça do Estado do Rio Grande do Sul.
Apelação n. 50113442520248210022. Relator: Jorge André Pereira Gailhard.
Décima Câmara Cível. Julgamento em: 27 mar. 2025.
RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n.
7000310-19.2024.8.22.0013. Relator do acórdão: Des. José Antonio Robles.
Julgado em: 25 nov. 2024.
RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n.
7002395-75.2024.8.22.0013. Relator do acórdão: Des. José Augusto Alves Martins.
Julgado em: 25 jul. 2025.
RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n.
7005689-74.2024.8.22.0001. Relator: Paulo Kiyochi Mori. Julgamento em: 6 nov.
2024.
RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Recurso Inominado Cível
n. 7045853-81.2024.8.22.0001. Relator: Gabinete 03 da 1ª Turma Recursal.
Julgamento em: 21 mar. 2025. Disponível em: Tribunal de Justiça do Estado de
Rondônia (TJRO). Acesso em: 20 maio 2026.
RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Apelação Cível n.
7063755-47.2024.8.22.0001. Relator: Jorge Luiz de Moura Gurgel do Amaral.
Julgamento em: 24 nov. 2025.
RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Embargos de Declaração
Cível n. 7004520-86.2024.8.22.0022. Relator: João Luiz Rolim Sampaio.
Julgamento em: 16 out. 2025.
RONDÔNIA. Tribunal de Justiça do Estado de Rondônia. Recurso Inominado Cível
n. 7003993-82.2024.8.22.0007. Relator: Guilherme Ribeiro Baldan. Julgamento em:
15 abr. 2025.
SÃO PAULO. Tribunal de Justiça do Estado de São Paulo. Apelação Cível n.
1015923-72.2025.8.26.0196. Relatora: Jonize Sacchi de Oliveira. 24ª Câmara de
Direito Privado. Julgamento em: 13 maio 2026.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). AgInt no REsp n. 2.056.005/SE.
Relator: Ministro Humberto Martins. Terceira Turma. Julgamento em: 18 mar. 2024.
Diário da Justiça Eletrônico: 20 mar. 2024.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). AgRg no Ag n. 1.310.356/RJ. Relator:
Ministro João Otávio de Noronha. Quarta Turma. Julgamento em: 14 abr. 2011.
Diário da Justiça Eletrônico: 4 maio 2011.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 1.199.782/PR. Relator:
Ministro Luis Felipe Salomão. Segunda Seção. Julgamento em: 24 ago. 2011. Diário
da Justiça Eletrônico: 12 set. 2011.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 1.451.312/PR. Relatora:
Ministra Nancy Andrighi. Julgamento em: 18 dez. 2017.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 1.573.573/RJ. Relatora:
Ministra Nancy Andrighi. Julgamento em: 13 nov. 2018.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). REsp n. 2.222.059/SP. Relator:
Ministro Ricardo Villas Bôas Cueva. Terceira Turma. Julgamento em: 7 out. 2025.
Diário da Justiça Eletrônico: 13 out. 2025.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). Súmula n. 297. O Código de Defesa
do Consumidor é aplicável às instituições financeiras. Brasília, DF: STJ, 2004.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). Súmula n. 479. As instituições
financeiras respondem objetivamente pelos danos gerados por fortuito interno
relativo a fraudes e delitos praticados por terceiros no âmbito de operações
bancárias. Brasília, DF: STJ, 2012.
SUPREMO TRIBUNAL FEDERAL (Brasil). Súmula n. 28. O estabelecimento
bancário é responsável pelo pagamento de cheque falso, ressalvadas as hipóteses
de culpa exclusiva ou concorrente do correntista. Brasília, DF: STF, 1963.