O Judiciário brasileiro vem estabelecendo uma nova fronteira de responsabilidade para bancos e fintechs em casos de fraudes e golpes digitais. Mesmo quando o próprio cliente entrega suas credenciais a criminosos, as instituições precisam ter sistemas capazes de identificar movimentações suspeitas — e podem ser responsabilizadas se falharem nessa detecção. Essa é uma tendência que ganha força, de acordo com Bruno Balduccini, sócio do Pinheiro Neto Advogados e referência no ecossistema de fintechs no Brasil.
“Nas decisões do Judiciário, você começa a ter uma série de movimentos, uma tendência muito clara de falar: sem dúvida, se você deu sua conta para um bandido, o banco não pode ser responsável. Porém, aquela instituição tinha que ter visto a atipicidade daquele movimento”, explicou o advogado, durante o evento “Velocidade, transparência e segurança: o que está em jogo quando dados e dinheiro circulam em tempo real?”, realizado na quinta-feira (23/10) pelo JP Morgan.
Na prática, segundo Bruno, os tribunais estão obrigando bancos e fintechs a investir ainda mais em tecnologia para monitorar o comportamento dos clientes. “Ele [o Judiciário] obriga os players a criar mais tecnologia para acompanhar a vida daquele cliente. Por exemplo, ele nunca comprou dessa forma, como é que pode estar comprando? Mas será que não é algo suspeito?”, apontou o advogado.
O especialista deu como exemplo sistemas que detectam até a localização do usuário. “O próprio banco tem um sistema de detectar onde essa pessoa está. De repente, ela está em um lugar onde ela nunca esteve. Será que isso é normal?”, mencionou.
Decisão do STJ
O movimento está na ordem do dia. Nesta semana mesmo, o Superior Tribunal de Justiça (STJ) decidiu que bancos e Instituições de Pagamento (IPs) devem indenizar os clientes quando houver falhas de segurança que viabilizem a aplicação de fraudes e golpes de engenharia social, entre eles, o da falsa central de atendimento. A decisão foi da Terceira Turma do STJ, por unanimidade.
“Se o serviço não fornece a segurança que dele se pode esperar, levando em consideração o modo do seu fornecimento e o resultado e os riscos que razoavelmente dele se esperam, é ele defeituoso”, afirmou o ministro relator Ricardo Villas Bôas Cueva, citando o Código de Defesa do Consumidor (CDC).
Leia também
A mudança na jurisprudência reflete um movimento mais amplo do ambiente regulatório brasileiro. É o que Bruno, do Pinheiro Neto, caracteriza como um “pêndulo” que está se ajustando após anos de forte liberalização. Isso porque, desde 2013, o BC promoveu uma intensa agenda de fomento à competição e inovação do setor, facilitando a criação das IPs e fintechs em geral. “O Banco Central sempre foi um grande incentivador da competição, da abertura do mercado. Fez uma série de movimentos e teve um pêndulo muito liberal. E esse pêndulo hoje começa a ir para o meio”, apontou o advogado.
Combate a fraudes
Para Ivo Mósca, diretor executivo de Inovação, Produtos e Serviços Bancários da Federação Brasileira de Bancos (Febraban), o combate a fraudes exige ações que vão além do setor financeiro. “Uma grande parte dessas fraudes e golpes não começam no setor financeiro. Elas começam através de canais de tecnologia, de telefonia, passam, muitas vezes, por situações de um golpe de varejo, de um site falso de venda de produtos, de serviços, de redes sociais”, afirmou, durante o painel.
De acordo com o executivo, os golpes de engenharia social representam hoje 70% de tudo aquilo que traz prejuízo financeiro, seja para os clientes, seja para as instituições. “Essa engenharia social é muito difícil de combater, porque é o cliente colocando as suas credenciais, as suas senhas e realizando a transação”, explicou. Segundo ele, os bancos no Brasil investem cerca de R$ 50 bilhões por ano em tecnologia. Desse montante, aproximadamente 10% é destinado especificamente à segurança.
Para José Luiz Santana, chefe de Segurança Digital do C6 Bank, o cenário atual exige uma atenção redobrada em relação à cadeia de parceiros e fornecedores. “Para fazer o seu negócio, quais terceiros você está utilizando? Qual a maturidade de segurança deles? Será que é a mesma que a sua? Como é que você está avaliando isso periodicamente? Porque tudo isso é um risco operacional para o seu negócio”, afirmou o executivo.
Outro ponto importante, na visão dele, é a conexão entre as diferentes áreas de proteção nas instituições financeiras. “Não tem como mais a gente enxergar segurança cibernética, prevenção à fraude, de uma maneira desconexa, separada, em silos”, alertou.
