Por Rhuana Rodrigues César
Introdução.
A ascensão das fraudes digitais tem tensionado o equilíbrio (já estressado) entre a proteção do consumidor e a responsabilização dos fornecedores.
Se é certo que o Código de Defesa do Consumidor (CDC) impõe um dever de segurança na prestação dos serviços, também é verdade que tal responsabilidade não pode ser interpretada de maneira absoluta e irrestrita.
Por isso, não pode haver aplicação automática da responsabilidade objetiva em todos os casos de golpe, sob pena de distorção da lógica do sistema. Além disso, pode provocar incentivos indevidos e transferir integralmente ao fornecedor os riscos decorrentes de comportamentos inseguros ou imprudentes do próprio consumidor, sob o conceito de “risco do negócio”.
Este artigo busca refletir sobre os limites da responsabilidade do fornecedor por fraudes praticadas por terceiros, analisando jurisprudência, doutrina e dados estatísticos recentes, com ênfase na teoria da legítima expectativa de segurança e na necessidade de uma análise casuística e equilibrada nas relações digitais de consumo.
1. A responsabilidade objetiva no CDC e os limites do dever de segurança.
O artigo 14 do CDC dispõe que o fornecedor responde, independentemente de culpa, pelos danos causados ao consumidor decorrentes de defeitos relativos à prestação do serviço. No entanto, a identificação do defeito ou da falha exige análise contextual, sobretudo quando se trata de fraudes digitais. Nestes casos é necessário avaliar se houve frustração da legítima expectativa de segurança. Mas o que seria “legítima expectativa de segurança” e “defeito ou falha na prestação de serviços?
O conceito de “defeito” está diretamente ligado à falha na segurança ou na previsibilidade do risco, ou seja, o serviço se torna defeituoso quando não oferece a segurança que o consumidor dele pode legitimamente esperar².
Como bem explica Cláudia Lima Marques, o defeito não se restringe a um funcionamento inadequado, mas abrange qualquer falha que comprometa a legítima expectativa de segurança do consumidor. Nas palavras da autora: “A noção de defeito está centrada na frustração da legítima expectativa de segurança, e não simplesmente na ineficácia ou baixa qualidade do serviço”.
Esse dever de segurança ganha contornos ainda mais relevantes no ambiente digital, onde as empresas ampliam seus canais de interação — WhatsApp, redes sociais, aplicativos e e-mails — e, por consequência, também os riscos de ataques de engenharia social, como phishing, spoofing e golpes do “falso atendente”.
Já “legítima expectativa”, para além de confiança está diretamente ligada as obrigações assumidas pelo fornecedor quando da contratação.
Com o aumento das contratações eletrônicas, o consumidor precisa se conscientizar de que não pode simplesmente avançar para o “li e concordo com os termos e condições de uso”, pois ali constam as obrigações do fornecedor, mas também as condições da prestação dos serviços, por exemplo.
Não se pode simplesmente transferir a responsabilidade para o fornecedor, justificando que ao não ler, confia-se em sua boa-fé, pois a teoria da confiança protege as expectativas legítimas da parte que confiou nas obrigações pactuadas, devendo, assim, valer para ambas as partes.
Nas palavras de Baptista Machado “o princípio da confiança é um princípio ético – jurídico fundamentalíssimo e que a ordem jurídica não pode deixar de tutelar – a confiança legítima baseada na conduta de outrem”.
Portanto, ao se avaliar a existência de defeito em serviços atingidos por fraudes, é essencial ponderar o que, à luz da razoabilidade, pode ou não ser exigido do fornecedor determinada conduta — sob pena de distorcer o equilíbrio protetivo pretendido pela norma e de inviabilizar modelos legítimos de prestação de serviços digitais.
2. A atuação dos golpistas e a conduta do consumidor: quando há quebra da expectativa razoável?
O avanço das tecnologias digitais e a sofisticação dos métodos utilizados por fraudadores impõem ao Direito do Consumidor o desafio de equilibrar a proteção da parte vulnerável com os limites da responsabilidade objetiva do fornecedor.
No contexto das operações e dados bancários, é amplamente difundida a orientação de que não se deve fornecer informações, aceitar auxílio ou seguir instruções de terceiros que não estejam identificados como representantes da instituição financeira.
Essa recomendação, aliás, remonta a ensinamentos transmitidos desde a infância, refletidos em máximas populares como “não aceite ajuda de estranhos” ou “não converse com quem você não conhece”.
Os golpes e fraudes estão presentes no nosso dia a dia, não parecendo razoável a alegação no sentido absoluto desconhecimento das pessoas, dos consumidores.
A jurisprudência, mesmo diante de um cenário informacional vasto, acessível, tem oscilado entre decisões fortemente protetivas, em que se presume a falha do serviço, e outras que reconhecem a corresponsabilidade ou até mesmo a culpa exclusiva do consumidor ou de terceiros, especialmente quando há quebra da expectativa razoável de segurança.
Golpes como o da falsa central telefônica, envio de boletos adulterados por e-mail ou WhatsApp, ou contato com o consumidor por supostos representantes da empresa exigem uma análise detida do caso concreto. Ou seja, é preciso avaliar com cuidado se houve o mínimo de cautela do consumidor, especialmente porque a sua vulnerabilidade é presumida, e não absoluta.
A distinção entre falha do serviço e imprudência do consumidor depende da presença (ou ausência) de medidas preventivas por parte do fornecedor, da clareza das comunicações realizadas com o cliente e da previsibilidade e possibilidade de conter/impedir o golpe em questão.
No REsp 2155065 /MG, o Superior Tribunal de Justiça (STJ) analisou o caso do “golpe do Motoboy” e reconheceu que “(…) a instituição financeira não deixou de adotar qualquer medida que fosse dela legitimamente esperada e que pudesse evitar a prática da fraude por terceiros, com participação direta e fundamental da vítima”, bem como que “inexistindo elementos objetivos que comprovem esse nexo causal, não há que se falar em responsabilidade das instituições financeiras pelo vazamento de dados utilizados por estelionatários para a aplicação de golpes de engenharia social”.
Ou seja, se o consumidor participou ativamente do golpe e os débitos realizados não destoarem do seu perfil, não pode a instituição financeira ser responsabilizada.
Decisão semelhante foi proferida pelo Tribunal de Justiça de São Paulo (TJSP) no processo 1018867-88.2024.8.26.0032, em que se negou indenização a uma consumidora que, induzida por falsários foi vítima de estelionato virtual, realizando transferências. Neste julgado, o magistrado ressaltou que “(…) Em verdade, cabia à autora ser mais diligente e cautelosa ao confiar em contato telefônico/aplicativo de mensagens sem verificar a autenticidade das informações que lhes foram prestadas”.
No acórdão, o Des. Carlos Alberto destacou a clareza das orientações fornecidas e a previsibilidade da fraude por parte do consumidor, concluindo pela ausência de nexo de causalidade entre a conduta da empresa e o dano.
Na doutrina, Bruno Miragem adverte que “o risco do serviço não pode ser confundido com o risco geral do ambiente digital”.
Essa distinção é essencial para delimitar o alcance da responsabilidade do fornecedor, pois a responsabilização deve recair sobre falhas estruturais, como ausência de protocolos de autenticação, vulnerabilidades no sistema de segurança ou omissão informacional, e não sobre condutas dolosas de terceiros nas quais não haja contribuição ou omissão do prestador do serviço, bem como sobre descuido/cautela do consumidor.
Danilo Doneda e Laura Schertel Mendes também observam que “a expectativa legítima do consumidor está relacionada à previsibilidade e à transparência na prestação do serviço, o que inclui a adoção de medidas informativas e de segurança compatíveis com o padrão do setor”. Assim, a quebra da expectativa razoável ocorre quando a conduta do fornecedor não se mostra diligente frente aos riscos concretos e previsíveis do ambiente digital por ambas as partes.
Portanto, o desafio está em separar as falhas sistêmicas atribuíveis ao fornecedor das condutas imprudentes atribuíveis exclusivamente ao consumidor, bem como identificar ações de terceiros. É nesse ponto que a jurisprudência caminha para um modelo de risco compartilhado, em que o dever de segurança do fornecedor encontra o dever de cuidado do consumidor — ambos pautados pela boa-fé objetiva e pela razoabilidade das expectativas.
3. Legítima expectativa e comportamento esperado do consumidor
A análise da responsabilidade civil nas relações de consumo, especialmente em fraudes digitais, exige a conjugação entre os princípios da boa-fé objetiva e da confiança legítima que como já dito, versa sobre o cumprimento das obrigações pactuadas.
Ambos devem orientar não apenas a conduta do fornecedor, mas também a do consumidor, cuja atuação passa a ser especialmente relevante diante da crescente sofisticação dos golpes praticados no ambiente digital e muitas vezes imprevisibilidade por parte dos fornecedores.
O princípio da boa-fé objetiva, consagrado no artigo 4º, III, do CDC, impõe deveres anexos de conduta, como lealdade, cooperação e informação adequada.
E jurisprudência tem reiterado que tais deveres não se aplicam exclusivamente ao fornecedor, mas também exigem do consumidor um comportamento minimamente diligente, compatível com os riscos previsíveis da sociedade digital.
Como lembra Claudia Lima Marques, a proteção conferida pelo Código é proporcional à vulnerabilidade do consumidor e está vinculada à confiança depositada nos serviços contratados.
Quando essa confiança é quebrada por falha no serviço — como ausência de autenticação, omissão informativa ou segurança deficiente — há espaço para responsabilização. No entanto, se o próprio consumidor contribui de forma decisiva para o resultado danoso, essa expectativa pode ser considerada ilegítima ou irrealista.
E esse entendimento tem permeado várias decisões do STJ, vez que reconhecido, que a responsabilidade das instituições financeiras por fraudes eletrônicas pode ser afastada quando comprovada a culpa exclusiva da vítima ou de terceiros, conforme disposto no § 3º do art. 14 do Código de Defesa do Consumidor (CDC).
Por exemplo, no Informativo de Jurisprudência n. 843, o STJ destacou que “a responsabilidade da instituição financeira somente poderá ser afastada se comprovada a inexistência de defeito na prestação do serviço bancário ou a culpa exclusiva do consumidor ou de terceiros”.
Nesse contexto, não se pode transformar o dever de segurança do fornecedor em um seguro universal contra qualquer tipo de golpe, sobretudo aqueles evitáveis mediante precauções básicas por parte do usuário.
Além disso, tribunais estaduais, como o Tribunal de Justiça de São Paulo (TJSP), têm julgado casos em que a responsabilidade do banco é afastada devido à imprudência do consumidor.
Em decisões recentes, o TJSP isentou instituições financeiras de responsabilidade em situações em que o cliente agiu com negligência, como no caso da Apelação nº 1013546-78.2023.8.26.0009, em que a vítima forneceu seus dados confidenciais a terceiros, e na Apelação nº 1010633-26.2023.8.26.0009, onde a autora, ignorando os alertas de segurança, realizou transferências via Pix para desconhecidos.
Deve haver, portanto, uma diligência mínima exigida do consumidor, diante dos alertas explícitos fornecidos pelo aplicativo, pelas notícias em jornais de grande audiência sobre golpes e campanhas de Órgãos de segurança, sob pena de romper-se o nexo de causalidade entre o serviço bancário e o prejuízo experimentado.
Para Rizzatto Nunes, o sistema de proteção ao consumidor não deve ser interpretado de forma a criar um ambiente de impunidade para condutas negligentes. Segundo o autor, “a vulnerabilidade do consumidor não autoriza sua total desresponsabilização, principalmente em situações em que agiu com imprudência ou desatenção”.
Portanto, a interpretação do dever de segurança deve levar em consideração a expectativa legítima de ambas as partes.
O fornecedor responde por falhas no serviço que facilitam ou possibilitam o golpe, mas não pode ser responsabilizado por todo e qualquer evento fraudulento, sob pena de se criar um desequilíbrio que compromete a própria função preventiva da responsabilidade civil.
Do consumidor, espera-se um mínimo de diligência e prudência, inclusive porque, na maioria dos casos, é ele o detentor exclusivo das informações sensíveis utilizadas nas fraudes.
4. Golpes digitais e análise casuística: quando há responsabilidade compartilhada ou exclusiva do consumidor?
A delimitação da responsabilidade em fraudes digitais exige uma análise casuística da dinâmica do golpe, da estrutura de prevenção adotada pelo fornecedor e da conduta do consumidor diante de alertas e orientações.
A aplicação da teoria do risco do serviço (CDC, art. 14) não deve ser automática, especialmente diante da quebra da legítima expectativa por imprudência ou descuido do próprio consumidor, como já reconhecido pelo STJ e em julgados diversos do TJSP.
Inúmeras são as notícias do modo como essas pessoas mal-intencionadas abordam suas vítimas e, normalmente, observa-se que as vítimas ignoraram alertas do aplicativo ou do site sobre golpes, compartilharam senhas ou códigos de segurança com terceiros, realizaram transações sem duplo fator de verificação, mesmo diante de mensagens de alerta ou, ainda, agiram com negligência ao clicar em links falsos ou de procedência duvidosa.
E a responsabilidade nas fraudes digitais é relacional e situacional, demandando ponderação entre o risco da atividade, o dever de segurança do fornecedor e o dever de cautela do consumidor.
É preciso que os julgadores tenham um olhar mais realista sobre o papel de cada parte na prevenção dos golpes, conciliando os princípios que protegem o consumidor com a autorresponsabilidade e dever de cuidados que todos temos que ter com nossos dados, uso de plataformas, acesso a links etc.
Há, ainda, situações em que se observa até mesmo uma certa negligência consciente do consumidor, especialmente em casos envolvendo jogos digitais, vez que atraídos por ganhos fáceis, muitos consumidores realizam operações financeiras voluntárias e arriscadas e, após sem verem sem grandes quantias e buscam responsabilizar as instituições financeiras, mas quando não há qualquer falha no serviço prestado.
Neste sentido para a redação deste artigo, os golpes mais frequentemente analisados pelos tribunais foram mapeados e abaixo segue um quadro-resumo com a lista de golpes frequentes no ambiente digital e a provável responsabilização, considerando o comportamento das partes envolvidas e as jurisprudências analisadas:
Alguns comentários à tabela:
- Responsabilidade do fornecedor: está presente quando há falha na prestação do serviço, como ausência de mecanismos mínimos de segurança (dupla autenticação, rastreamento de IP, verificação de dispositivo), ou omissão na comunicação com o consumidor. Nestes casos, reconhece-se a violação da legítima expectativa de segurança, ensejando reparação com base no art. 14 do CDC.
- Responsabilidade do consumidor: incide quando há quebra da boa-fé objetiva, com fornecimento voluntário e imprudente de dados sensíveis, uso de sites falsos sem verificação mínima ou desatenção frente a alertas oficiais. Nesses casos, como destaca Bruno Miragem, “o risco do serviço não pode ser confundido com o risco geral do ambiente digital”.
- Responsabilidade compartilhada: configura-se quando ambos os polos da relação de consumo contribuem para o resultado danoso. Isso ocorre, por exemplo, em golpes com páginas falsas não combatidas com eficiência pelo fornecedor, mas diante das quais o consumidor também agiu com imprudência ou desatenção, dentre outras inúmeras situações.
- Casos sem relação de consumo: Aqueles golpes que não envolvem um vínculo contratual ou prestação de serviço entre vítima e fornecedor (como o golpe do bilhete premiado) afasta a aplicação do CDC e a responsabilidade objetiva do fornecedor.
Essa abordagem e análise permitiria ao julgador aplicar com maior precisão os critérios de culpabilidade concorrente, mitigando os efeitos da responsabilidade objetiva e promovendo equilíbrio efetivo nas relações de consumo, conforme defende Nelson Nery Jr., para quem o CDC não autoriza “transferência irrestrita de riscos do consumidor para o fornecedor, quando inexistente nexo de causalidade ou quando presente a culpa exclusiva da vítima”.
5. Dados estatísticos e a importância da análise contextual dos golpes digitais
A crescente sofisticação dos golpes digitais impõe ao jurista o desafio de aliar a técnica normativa à análise empírica dos dados de segurança digital.
A aplicação da responsabilidade objetiva no âmbito do Código de Defesa do Consumidor (CDC) exige uma interpretação que considere o comportamento médio do consumidor como vimos e as dinâmicas reais de fraude, sob pena de se tornar excessivamente punitiva ao fornecedor, mesmo em situações de culpa exclusiva da vítima.
Relatórios recentes ilustram a complexidade do fenômeno. O Mapa da Fraude 2024, elaborado pela ClearSale¹, aponta que os golpes mais comuns no ambiente digital foram: falso pagamento (30,5%), invasão de conta (25,6%) e coleta de dados via phishing (17,8%).
Já o *Relatório de Segurança Cibernética da Febraban (2023)* indica que os setores mais afetados por fraudes são bancos e cartões (48,1%), serviços (30,6%) e financeiras (16,3%).
Por fim, o perfil etário das vítimas demonstra que a faixa entre 36 e 50 anos concentra 35,6% dos casos, seguido por pessoas entre 51 e 60 anos (14,7%) e jovens até 25 anos (11,3%).
Esses dados sugerem que, embora os fornecedores estejam na linha de frente das tentativas de fraude, grande parte da vulnerabilidade decorre de fatores comportamentais e informacionais dos próprios consumidores, como o descuidos sobre os quais falamos acima.
Conforme destaca Danilo Doneda, a proteção de dados e a segurança digital demandam uma “construção de confiança recíproca”³, baseada tanto em deveres proativos dos fornecedores quanto em condutas diligentes dos usuários.
Nesse contexto, o Judiciário deve adotar uma postura contextualizada e técnica, especialmente ao interpretar os elementos do art. 14 do CDC. A responsabilidade do fornecedor não pode ser estendida de forma automática a todas as fraudes sofridas por consumidores.
A análise multifatorial dos golpes — que considere o tipo de fraude, a atuação preventiva do fornecedor e o comportamento do consumidor — é crucial para evitar a banalização da responsabilidade objetiva.
Sem isso, corre-se o risco de transformar o dever de segurança em uma garantia universal contra qualquer tipo de fraude, o que não encontra respaldo nem na jurisprudência consolidada nem na boa doutrina e ainda seria obstáculo ao exercício de várias atividades em meios digitais.
6. Considerações finais: por uma aplicação equilibrada do CDC
Como vimos, o aumento expressivo de fraudes digitais no Brasil exige uma abordagem jurídica que vá além da simples aplicação da responsabilidade objetiva prevista no Código de Defesa do Consumidor.
É preciso reconhecer que, embora os fornecedores tenham o dever de garantir a segurança de seus serviços e informar os consumidores sobre os riscos, não se pode ignorar o papel ativo que o usuário desempenha em muitas dessas situações.
Como demonstrado ao longo deste artigo, o Superior Tribunal de Justiça tem sinalizado, em diversas oportunidades, que a responsabilidade do fornecedor deve ser afastada quando houver prova de que a conduta exclusiva da vítima rompeu o nexo de causalidade ou violou a expectativa legítima de segurança.
A jurisprudência mais recente aponta para a necessidade de análise casuística, ponderando a atuação de ambas as partes à luz da boa-fé objetiva e do princípio da confiança legítima.
Essa compreensão, embora já adotada por colegiados, precisa permear as decisões dos juizados especiais, instância onde se verifica a maior parte das decisões que aplicam de forma automática a responsabilidade objetiva, mesmo em casos envolvendo condutas exclusivamente atribuíveis a terceiros ou ao próprio consumidor. Tal aplicação irrestrita acaba por desvirtuar os limites do risco do serviço e penalizar indevidamente os fornecedores.
A multiplicidade de golpes, os perfis das vítimas e os setores mais atingidos indicam que a responsabilização jurídica deve considerar o contexto, o comportamento do consumidor e a eficácia das medidas preventivas adotadas pelos fornecedores.
Como advogada que atua diretamente com empresas impactadas por fraudes digitais e também com a proteção dos direitos do consumidor, tenho acompanhado de perto os desafios concretos que esse novo cenário impõe. Acredito que é justamente nessa intersecção — entre a legítima expectativa de segurança do consumidor e a responsabilidade técnica e jurídica dos fornecedores — que reside o ponto de equilíbrio necessário.
Não se trata de relativizar a proteção do consumidor, mas de reconhecer a existência de um risco digital compartilhado. A responsabilização equilibrada — que distingue falhas sistêmicas de imprudência individual — fortalece a segurança jurídica, desestimula condutas negligentes de ambas as partes e estimula o desenvolvimento de soluções tecnológicas e educativas mais eficazes no combate às fraudes.
A justiça que se pretende alcançar neste contexto é aquela que reconhece a vulnerabilidade digital, mas também exige uma postura ativa e consciente do consumidor. Ao mesmo tempo, desafia os fornecedores a investirem em prevenção e informação qualificada. É esse olhar cuidadoso e equilibrado que acredito ser essencial para o enfrentamento consistente e responsável das fraudes digitais no Brasil.
O CHENUT alcançou por nove vezes o 1° lugar como o escritório mais admira-do de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnego-cios@chenut.online e agende uma conversa.