TRF-3 condena Caixa por falha de segurança em fraude via WhatsApp

A 1ª Turma do Tribunal Regional Federal da 3ª Região condenou a Caixa Econômica Federal ao pagamento de indenização a uma correntista de 81 anos que sofreu golpe coordenado via WhatsApp e realizou transferências fraudulentas em suas contas. O tribunal reconheceu falha no dever de segurança da instituição financeira ao deixar de identificar e bloquear operações com características anormais, reformando decisão anterior de primeiro grau que havia negado o pedido indenizatório.

Contexto

O caso insere-se na complexa intersecção entre segurança da informação, responsabilidade civil das instituições financeiras e proteção do consumidor idoso. A fraude via aplicativo de mensagens tornou-se fenômeno recorrente no Brasil, em especial contra pessoas na terceira idade, exploradas pela engenharia social e pela confiança familiar. Nesse cenário, questionam-se os limites da responsabilidade do consumidor-correntista que, apesar de realizar pessoalmente as operações bancárias, foi induzido a erro por terceiro mediante artifício fraudulento.

O sistema bancário dispõe de ferramentas tecnológicas capazes de detectar padrões atípicos de movimentação, como alertas de transações inusitadas, bloqueios automáticos por volume ou frequência fora do padrão histórico e mecanismos de dupla autenticação. A jurisprudência do Superior Tribunal de Justiça consolidou entendimento de que a mera execução técnica da operação pelo titular da conta não afasta a responsabilidade da instituição financeira quando esta falha em seus protocolos de segurança, especialmente em relação a consumidores vulneráveis.

O que foi decidido

O tribunal concluiu, por unanimidade, pela condenação da Caixa ao pagamento de R$ 64.148,00 a título de danos materiais (ressarcimento integral das quantias fraudulentas) e R$ 10.000,00 por danos morais, totalizando indenização de R$ 74.148,00. A fundamentação repousou em dois alicerces principais: (1) a configuração de falha no dever de segurança prestado pela instituição financeira; e (2) o reconhecimento de hipervulnerabilidade da consumidora idosa, categoria que recebe proteção jurídica reforçada.

Conforme exposto pelo relator, desembargador federal Herbert de Bruyn, as transferências apresentavam elementos factuais suficientes para caracterizar operações anormais: ocorreram em intervalo comprimido (dois dias), envolveram valores que extrapolavam o padrão diário de movimentação da cliente e destoaram radicalmente do histórico regular de utilização das contas corrente e poupança. O tribunal entendeu que a instituição financeira deveria ter acionado sistemas de detecção de fraude, implementando bloqueio automático ou solicitação de confirmação adicional antes do envio dos valores.

Base normativa e precedentes

• Art. 14, CDC (Lei 8.078/1990) — Responsabilidade objetiva do fornecedor de serviço por defeitos na prestação, dispensando comprovação de culpa. A segurança da movimentação bancária integra o âmbito de serviço fornecido pelas instituições financeiras.

• Art. 48, CDC — Presunção de hipervulnerabilidade do idoso consumidor, impondo ao fornecedor deveres reforçados de cuidado e transparência em operações financeiras.

• Código Civil, art. 186 — Configuração clássica de ilícito civil pela prática de ato contrário ao direito (a omissão de sistema de detecção), causador de dano, com nexo causal.

• Súmula 161, STJ — Reconhecimento de que falhas no sistema de segurança de instituição financeira geram responsabilidade civil indenizatória, ainda que o titular tenha participado da operação.

• Jurisprudência consolidada do STJ — Firme entendimento de que a utilização correta de credenciais pessoais não absolve a instituição financeira de sua responsabilidade quando há sinais objetivos de operação suspeita, em especial envolvendo consumidores idosos ou vulneráveis.

Impacto prático

A decisão produz efeitos imediatos e reverberantes no mercado financeiro e na proteção ao consumidor:

• Instituições financeiras passam a enfrentar maior exposição a ações indenizatórias de clientes vítimas de fraude, mesmo quando a operação foi executada tecnicamente pelo titular, caso não comprovem acionamento de sistemas de detecção compatíveis com a sofisticação de golpes contemporâneos.

• Consumidores idosos ganham reforço jurídico para discutir administrativamente (via ombudsman/ouvidoria) e judicialmente o ressarcimento de valores fraudulentos, invertendo-se parcialmente o ônus probatório da segurança para o banco.

• Advogados especializados em responsabilidade civil de instituição financeira encontram precedente sólido para fundamentação de demandas, reduzindo argumentações genéricas sobre "culpa do consumidor".

• Prazos e procedimentos administrativos: Consumidores devedores de contestar movimentação junto à Caixa (na maioria das instituições, 30 dias do extrato) não perdem o direito de ação judicial caso o banco negue ressarcimento na esfera administrativa.

• Valores de indenização: A fixação de R$ 10 mil por danos morais estabelece referência de piso para casos similares envolvendo consumidores idosos em fraudes de magnitude semelhante.

O que observar

Alguns pontos permanecem abertos e demandam atenção de profissionais e operadores jurídicos:

• Definição de "operação atípica": O tribunal não detalhou critérios objetivos (qual volume dispara bloqueio? Qual intervalo é "comprimido"?), deixando espaço para futuro refinamento jurisprudencial ou regulamentação do Banco Central.

• Modulação de efeitos: Não houve decisão sobre retroatividade ou aplicação a operações anteriores realizadas na mesma conta, questão relevante para causas em massa.

• Defesa da instituição: A Caixa pode recorrer ao Superior Tribunal de Justiça (recursos especial e extraordinário), onde teses de segurança da informação e limites de responsabilidade objetiva podem ser novamente debatidas.

• Regulamentação pendente: O Banco Central e a Autoridade Nacional de Proteção de Dados (ANPD) podem clarificar padrões mínimos de detecção de fraude, transformando jurisprudência em norma técnica obrigatória.

• Integração com LGPD: Questões de rastreabilidade de dados pessoais dos clientes (histórico de movimentação armazenado e analisado) conectam-se à Lei Geral de Proteção de Dados e ao direito ao esquecimento, complexificando a estratégia de coleta de evidências.