O Superior Tribunal de Justiça (STJ) proferiu uma decisão histórica no Recurso Especial (REsp) N° 2.222.059 – SP, estabelecendo que as instituições de pagamento, como a Nu Pagamentos S.A. (Nubank), possuem responsabilidade objetiva por fraudes e delitos praticados por terceiros, mesmo em casos de “golpe da falsa central de atendimento”.
A decisão, relatada pelo Ministro Ricardo Villas Bôas Cueva, reverteu um acórdão do Tribunal de Justiça de São Paulo e deu provimento ao recurso de um consumidor que foi vítima de um golpe de engenharia social.
O Dever de Segurança e a Falha na Prestação do Serviço
O caso envolveu um cliente que, após receber uma ligação de uma falsa central de atendimento, realizou diversas transações indevidas. No total, foram mais de R$ 140.000,00 movimentados, incluindo um empréstimo e pagamentos, em um único dia.
O ponto central da decisão do STJ é a extensão do entendimento da Súmula n° 479/STJ (que trata de instituições financeiras) para as instituições de pagamento. Segundo a Corte, essas empresas são obrigadas a desenvolver e manter mecanismos inteligentes de prevenção e bloqueio de fraudes.
A responsabilidade da instituição só seria afastada se comprovada a inexistência de defeito na prestação do serviço ou a culpa exclusiva do consumidor ou de terceiros.
No caso concreto, o STJ considerou que houve defeito na prestação do serviço da Nu Pagamentos S.A., pois:
A conta era utilizada como poupança, com pouquíssimas movimentações.
Foram realizadas 14 operações (incluindo empréstimo e pagamentos) no mesmo dia.
As transações fugiram completamente do perfil de consumo do correntista.
O Tribunal concluiu que a validação dessas operações suspeitas, atípicas e alheias ao perfil do cliente demonstra a falha no sistema de segurança. Desta forma, foi dado provimento ao recurso especial para julgar o pedido do consumidor procedente.
A Atuação do Instituto SIGILO Contra Práticas Ilegais da Nubank
Em um contexto de crescente preocupação com a segurança e a privacidade de dados no setor financeiro, a decisão do STJ ressalta o dever das empresas em proteger seus clientes.
O Instituto de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (SIGILO) tem atuado ativamente no judiciário brasileiro contra o Nubank, em defesa dos direitos coletivos dos titulares consumidores.
Entre as principais Ações Civis Públicas movidas pelo Instituto SIGILO contra a Nu Pagamentos S.A. destacam-se:
Ação contra a Compra Indevida de Dados: O Instituto SIGILO ingressou com a Ação Civil Pública, Proc. n. 1013884-75.2020.8.26.0100, contra o Nubank por suposta compra indevida de dados de titulares. O objetivo da ação é verificar as denúncias, analisar os contratos e sistemas da fintech e buscar a reparação pelos danos.
Ação sobre Cadastramento de Chaves PIX sem Consentimento: Outra Ação Civil Pública (Proc. n. 1110814-58.2020.8.26.0100) foi movida devido à prática de a instituição financeira cadastrar chaves PIX de clientes sem o consentimento prévio e expresso dos titulares. O Instituto alega que tal prática viola a Lei Geral de Proteção de Dados (LGPD) e o Código de Defesa do Consumidor (CDC), configurando também concorrência desleal. O Instituto pleiteou liminarmente o descadastramento de todas as chaves PIX feitas sem o consentimento em apartado dos titulares.
As ações do Instituto SIGILO se alinham ao entendimento do STJ, reforçando a necessidade de transparência, segurança e respeito aos dados pessoais dos consumidores nas operações financeiras digitais.
