Os Desembargadores da 9ª Câmara Cível do TJRS mantiveram a condenação do Banco Santander por danos materiais, para ressarcir cliente vítima de golpe.
Caso
A autora da ação, uma empresa de comunicação visual, acusou falha na segurança dos serviços do Banco Santander, depois que hackers invadiram sua conta corrente e transferiram R$ 11.598,90.
De acordo com o relato, uma pessoa que se identificou como preposta do Banco Santander ligou e pediu que a cliente acessasse a sua conta pelo computador para fazer a atualização do sistema. Não foi solicitado nenhum dado específico da conta ou da empresa, muito menos senhas. Só foi solicitado que a autora confirmasse o código de oito dígitos que estava sendo enviado por SMS para o seu telefone por questões de segurança, o que foi feito.
Ao todo, foram seis operações fraudulentas, via TEDs (Transferências Eletrônicas Disponíveis), efetuadas a partir de outros computadores, para contas desconhecidas da autora da ação.
O próprio setor de segurança do banco detectou a fraude, no mesmo dia, e fez contato com a autora para questionar a movimentação atípica e fazer o alerta do uso indevido da conta.
Na ação, houve o pedido por danos morais e materiais, porém só foi concedido o ressarcimento dos valores, sem indenização por danos morais. O Banco Santander apelou da decisão ao TJRS, alegando que a autora da ação foi quem forneceu os dados da sua conta, fragilizando-a, e que não demonstrou os danos sofridos.
Acórdão
O relator do Acórdão, Desembargador Eugênio Facchini Neto, afirmou que quando se trata de alegação de falha no sistema operacional de home banking, internet banking, cabe à instituição financeira demonstrar que foi o próprio cliente que fez as operações impugnadas e que não houve violação e/ou fraude em seu sistema. Segundo o magistrado, não foi o que ocorreu neste caso.
Ele também afirmou que, apesar do banco ter feito o alerta para o cliente, não lhe exime da responsabilidade pelo evento danoso.
Em seu voto, o Desembargador relatou que hackers “clonaram” a página eletrônico do banco na internet e, após terem tido acesso à sua rede de clientes, passaram a telefonar para pedir que eles fizessem “atualização do sistema” em seus computadores domésticos. Dessa forma, os criminosos captavam os dados e invadiam as contas. O banco não negou que a sua página eletrônica tenha sido “clonada”, de acordo com o processo. Segundo o magistrado, o banco limitou-se a afirmar que “a autora não logrou provar que a fraude cibernética tenha ocorrido no âmbito interno do banco”, atribuindo-a a possível “vírus existente no computador da demandante”. Ele afirmou que o ônus da prova, nesse caso, recai sobre o banco e é ele quem deveria provar que não houve fraude no seu sistema interno e não a autora.
“Ou seja, por mais sofisticada que seja a fraude praticada por crackers (indivíduos que detém conhecimento suficiente para invadir sistemas, quebrar travas e senhas, roubar dados, etc) ou hackers, essas inserem-se nos riscos do empreendimento, sendo obrigação dos bancos garantir a segurança das operações realizadas em suas plataformas digitais disponibilizadas na internet, e não dos correntistas e consumidores em geral.”
O Desembargador salientou que o banco já tinha conhecimento desse tipo de fraude, sites clonados, bem como o modo de agir dos hackers e estelionatários. Ele afirmou que, por isso, já deveria ter questionado a autora antes de ter enviado código de segurança. Para o magistrado, uma simples ligação da gerência, ou do setor que apura fraudes tecnológicas, serviria para esclarecer os fatos. Serviria para esclarecer que o banco não estava solicitando qualquer atualização de sistema e que o código não seria necessário.
“Logo, não pode repassar para o cliente/consumidor os riscos de seu negócio, pois certamente teria muito mais condições técnicas de evitar esse tipo de fraude do que a autora.”
O magistrado citou ainda orientação do Superior Tribunal de Justiça, firmada na Súmula 479: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”
O recurso ficou assim ementado:
APELAÇÃO CÍVEL. RESPONSABILIDADE CIVIL. FALHA NO SERVIÇO DE INTERNET BANKING OFERECIDO PELA RÉ. FRAUDE. RESPONSABILIDADE OBJETIVA DA INSTITUIÇÃO FINANCEIRA CONFIGURADA. INCIDÊNCIA DA SÚMULA 479 DO STJ.
-
A prova constante dos autos é suficiente para demonstrar que as transações efetuadas remotamente na conta corrente da Autora não foram por si realizadas, mas decorreram de fraude no sistema/plataforma disponibilizado pelo banco demandado, que possibilitou o acesso, por hackers.
-
Se a instituição financeira disponibiliza esse serviço aos seus clientes, deve oferecer portal e aplicativos seguros na web, não podendo transferir ao consumidor a responsabilidade por eventual fraude em seu próprio sistema.
-
A responsabilidade do banco, na hipótese, é objetiva, conforme orientação firmada pelo STJ na Súmula 479: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”.
-
Sentença mantida.
APELAÇÃO DESPROVIDA.
Por fim, o relator manteve a sentença e a condenação do Banco Santander por danos materiais no valor do que foi retirado da conta indevidamente: R$ 11.598,90.
Os Desembargadores Carlos Eduardo Richinitti e Tasso Caubi Soares Delabary votaram de acordo com o relator.
Proc. nº 70080508112