Praça João Mendes, S/Nº - Bairro: Centro - CEP: 01018-010 - Fone: - - https://www.tjsp.jus.br/ - Email: -
Apelação Nº 4003345-78.2025.8.26.0405/SP
RELATOR: Desembargador RODOLFO PELLIZARI
RELATÓRIO
Voto nº 24411
Trata-se de recurso de apelação interposto por IPOJUCATUR TRANSPORTES E TURISMO LTDA. em face de BANCO BRADESCO S/A, insurgindo-se contra a sentença proferida pela 6ª Vara Cível do Foro da Comarca de Osasco/SP, nos autos da ação de indenização por danos materiais decorrente de fraude bancária, que julgou improcedentes os pedidos da autora, reconhecendo a culpa exclusiva da vítima como excludente de responsabilidade.
A recorrente alega que, em 13 de maio de 2025, sua preposta foi vítima do denominado "golpe da falsa central", mediante o qual indivíduo que se identificou falsamente como funcionário do setor de segurança do Banco recorrido a induziu a acessar sítio eletrônico fraudulento com layout idêntico ao oficial da instituição financeira, onde inseriu credenciais de acesso e forneceu sucessivos tokens de segurança, resultando em prejuízo material no montante de R$ 858.797,24, após cancelamento e estorno parcial das operações.
Sustenta que a sentença recorrida, embora tenha corretamente reconhecido a incidência do Código de Defesa do Consumidor e a responsabilidade objetiva da instituição financeira, concluiu de forma contraditória pela culpa exclusiva da vítima, transferindo indevidamente ao consumidor o risco inerente à atividade bancária, em desconformidade com o regime do artigo 14 do CDC e com a Súmula 479 do Superior Tribunal de Justiça.
No tocante ao vazamento de dados, aduz que o elemento central da fraude reside no fato de os fraudadores possuírem informações sigilosas acerca do perfil de utilização de conta bancária específica da empresa — pouco movimentada e destinada exclusivamente à emissão de extratos —, conhecimento este que, por sua natureza restrita, somente poderia ter sido obtido a partir do ambiente interno do banco recorrido, configurando falha na proteção de dados nos termos dos artigos 44 e 46 da Lei Geral de Proteção de Dados (Lei n. 13.709/2018). Argumenta que a sentença se equivocou ao minimizar tal circunstância, uma vez que o modus operandi da fraude constitui, por si só, prova indiciária qualificada da falha sistêmica, não sendo exigível do consumidor a demonstração técnica da origem do vazamento.
Alega, ainda, violação ao artigo 373, inciso II, do Código de Processo Civil, porquanto a sentença exigiu da apelante a comprovação de fato negativo e tecnicamente inacessível — a demonstração do vazamento interno de dados —, quando competia exclusivamente ao banco, detentor do domínio técnico e informacional da atividade, comprovar a inexistência de falha em seus sistemas de segurança, violando-se, ademais, o princípio da aptidão para a prova.
Quanto à análise do perfil transacional, sustenta que a sentença incorreu em erro metodológico ao comparar as transações fraudulentas com movimentações genéricas do CNPJ em períodos anteriores, desconsiderando os critérios técnicos indispensáveis à aferição de atipicidade, quais sejam: a conta específica utilizada, sua finalidade operacional administrativa e a concentração temporal das operações. Aduz que as transações fraudulentas ocorreram em menos de uma hora, mediante pagamentos sequenciais de valores expressivos — incluindo contas de luz e tributos em montantes jamais praticados naquela conta —, circunstâncias que configuravam alerta antifraude clássico, cuja não detecção evidencia falha grave no sistema de monitoramento do recorrido, em afronta ao dever de segurança previsto no artigo 6º, inciso VI, do CDC.
Por fim, argumenta que a conduta da preposta não foi autônoma nem voluntária em sentido jurídico, mas induzida por sofisticada técnica de engenharia social viabilizada por falhas estruturais prévias do banco recorrido, razão pela qual não restou configurada a culpa exclusiva da vítima exigida pelo artigo 14, § 3º, inciso II, do CDC, a qual demanda que a conduta do consumidor seja causa única, autônoma e determinante do evento danoso. Requer, assim, a reforma integral da sentença para reconhecer a responsabilidade civil objetiva do Banco Bradesco S/A e condená-lo ao ressarcimento integral dos danos materiais no valor de R$ 858.797,24, acrescido de correção monetária desde o evento danoso e juros moratórios, bem como ao pagamento de custas processuais e honorários advocatícios na forma do artigo 85 do Código de Processo Civil.
Recurso tempestivo, bem processado e contrariado no evento 60.
VOTO
Trata-se de ação de indenização por danos materiais ajuizada por IPOJUCATUR TRANSPORTES E TURISMO LTDA. em face de BANCO BRADESCO S/A, na qual a autora narrou ter sido vítima do denominado "golpe da falsa central de atendimento" em 13 de maio de 2025, mediante o qual sua preposta foi contatada por indivíduo que se identificou falsamente como funcionário do setor de segurança do banco réu, alegando a existência de acesso suspeito em conta da empresa e a necessidade de atualização sistêmica.
A preposta foi direcionada a acessar sítio eletrônico fraudulento com layout idêntico ao oficial da instituição financeira, onde inseriu credenciais de acesso e forneceu sucessivos tokens de segurança, o que possibilitou a realização de diversas transações não autorizadas, consistentes em pagamentos de tributos e contas de consumo em valores expressivos, resultando em prejuízo inicial de R$ 1.079.328,24. Após comunicação imediata à gerente da conta, parte das operações foi cancelada, reduzindo o prejuízo ao montante de R$ 858.797,24, valor cujo ressarcimento foi administrativamente negado pelo banco sob a justificativa de que as transações foram realizadas mediante uso de senha pessoal e intransferível.
A autora sustentou que a credibilidade do golpe decorreu do fato de os fraudadores possuírem informações sigilosas sobre o perfil de utilização de conta específica da empresa, dados que somente poderiam ter sido obtidos a partir do ambiente interno do banco réu, configurando falha na proteção de dados e fortuito interno. Alegou, ainda, falha no sistema de monitoramento da instituição financeira, que não identificou nem bloqueou transações manifestamente atípicas, concentradas em curtíssimo lapso temporal e incompatíveis com o histórico financeiro da conta utilizada, bem como omissão do banco ao permitir a concretização de transferência mesmo após a comunicação da fraude. Requereu a condenação do réu ao ressarcimento integral do prejuízo de R$ 858.797,24, acrescido de correção monetária e juros legais.
O Banco Bradesco S/A apresentou contestação arguindo, preliminarmente, sua ilegitimidade passiva, ao argumento de que as transações foram realizadas pela própria autora mediante uso voluntário de suas credenciais de acesso. No mérito, sustentou a inexistência de falha na prestação dos serviços, aduzindo que todas as transações foram autenticadas por senha pessoal e token de segurança, de responsabilidade exclusiva do correntista, e que o evento danoso decorreu de culpa exclusiva da vítima, que não adotou as cautelas mínimas esperadas ao fornecer dados sigilosos a terceiros fraudadores, configurando fortuito externo apto a afastar a responsabilidade da instituição financeira.
A sentença reconheceu a aplicação do Código de Defesa do Consumidor e a responsabilidade objetiva da instituição financeira, afastando a preliminar de ilegitimidade passiva, mas julgou improcedentes os pedidos ao concluir pela culpa exclusiva da vítima, nos termos do artigo 14, § 3º, inciso II, do CDC, sob os fundamentos de que inexistia prova de vazamento interno de dados, de que as transações fraudulentas não destoavam do perfil transacional da autora e de que a falha primordial residiu na conduta negligente da preposta, que forneceu voluntariamente seus dados de acesso a terceiros.
Inconformada, a autora interpôs o presente recurso de apelação, postulando a reforma integral da sentença.
Pois bem.
O recurso não merece provimento.
A controvérsia posta em julgamento cinge-se em determinar se o Banco Bradesco S/A deve ser responsabilizado pelos prejuízos suportados pela recorrente em decorrência do denominado "golpe da falsa central de atendimento", ocorrido em 13 de maio de 2025, mediante o qual a preposta da empresa foi induzida por estelionatários a acessar sítio eletrônico fraudulento e a fornecer voluntariamente suas credenciais bancárias e sucessivos tokens de segurança, viabilizando a realização de transações não autorizadas que resultaram em prejuízo de R$ 858.797,24, após o cancelamento parcial de operações pela própria instituição financeira, conforme narrado na petição inicial (Evento 1) e documentado no Boletim de Ocorrência acostado aos autos.
Não se discute a aplicação do Código de Defesa do Consumidor à relação jurídica travada entre as partes. A despeito de a recorrente ser pessoa jurídica atuante no mercado, verifica-se sua hipossuficiência técnica em relação aos serviços bancários prestados pelo recorrido, notadamente no que diz respeito à complexidade dos procedimentos de segurança implementados pela instituição financeira para a verificação da legitimidade de transações realizadas por meio digital, atividade de natureza distinta daquela primordialmente exercida pela recorrente, voltada ao ramo de transportes e turismo, tal como reconheceu a r. sentença recorrida (Evento 44). Da mesma forma, a responsabilidade objetiva das instituições financeiras é assente tanto na doutrina quanto na jurisprudência do Superior Tribunal de Justiça, cristalizada na Súmula 479, segundo a qual as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.
Ocorre que tal responsabilidade não é absoluta, tampouco se funda na teoria do risco integral. O artigo 14, § 3º, inciso II, do Código de Defesa do Consumidor expressamente prevê como excludente do dever de indenizar a culpa exclusiva do consumidor ou de terceiro, hipótese que rompe o nexo de causalidade entre a atividade do fornecedor e o dano experimentado pelo consumidor. É precisamente essa a situação que se verifica no presente caso, com clareza e precisão, como se passa a demonstrar.
No que tange à alegada falha de segurança consistente em suposto vazamento de dados sigilosos pelo banco recorrido, não logrou a recorrente produzir qualquer prova apta a sustentar tal tese. Conforme consignado na r. sentença recorrida (Evento 44), o fato de o fraudador possuir o número da conta da recorrente não é suficiente para indicar falha de segurança da instituição, porquanto essa informação, embora sensível, pode ser obtida por terceiros por diversos outros meios, inclusive em transações rotineiras como depósitos e transferências bancárias. Ademais, como se extrai do Boletim de Ocorrência juntado aos autos e do documento intitulado "Relatório do Ocorrido" acostado pela própria recorrente, o terceiro fraudador teria mencionado apenas o número da conta corrente, a saber, 35319-1, não havendo qualquer indicativo de que dispusesse de outras informações privilegiadas obtidas mediante acesso indevido aos sistemas da instituição financeira. A responsabilidade pela integridade e sigilo das credenciais bancárias não recai exclusivamente sobre a instituição financeira, mas incumbe também, e sobretudo, ao próprio titular da conta, que deve zelar pela guarda e confidencialidade de seus dados de acesso, nos termos do artigo 6º, inciso I, do Código de Defesa do Consumidor, que assegura ao consumidor a proteção de sua segurança patrimonial como direito básico, impondo ao próprio correntista o dever de não compartilhá-los com terceiros sob qualquer pretexto. A própria narrativa constante da petição inicial (Evento 1) confessa a voluntária inserção dos dados de acesso da conta no sítio eletrônico falso pela preposta da recorrente, que sucumbiu ao ardil dos estelionatários.
Quanto à alegada falha no sistema de monitoramento de transações atípicas, igualmente não assiste razão à recorrente. Embora se reconheça que incumbe à instituição financeira a análise das transações e seu enquadramento ao perfil do correntista, como desdobramento do direito básico do consumidor à segurança do serviço previsto no artigo 6º, inciso I, e no artigo 8º do Código de Defesa do Consumidor, a análise dos extratos bancários juntados aos autos pelo próprio banco recorrido em sua contestação (Evento 25) demonstra, de forma cabal, que as transações realizadas pelos fraudadores não destoavam do perfil de movimentação financeira da recorrente. Os extratos revelam a existência de múltiplas transações diárias em valores elevados, inclusive superiores aos ora contestados, com pagamentos habituais de tributos e demais despesas em montantes expressivos. Registram-se, exemplificativamente, pagamento à Receita Federal realizado em 20 de fevereiro no importe de R$ 344.363,77, transferência via PIX em 24 de fevereiro no valor de R$ 1.000.000,00, e duas transferências PIX realizadas em 25 de fevereiro nos valores de R$ 710.000,00 e R$ 140.000,13, conforme extratos acostados aos autos pelo recorrido (Evento 25). Diante desse histórico de movimentações, não havia qualquer indício objetivo que pudesse, razoavelmente, acionar os mecanismos de bloqueio automático do sistema antifraude da instituição financeira, afastando-se, portanto, a alegada falha de monitoramento.
A argumentação da recorrente de que a conta em questão era utilizada exclusivamente para conferência de extratos é contraditória em si mesma, conforme bem apontado pela r. sentença recorrida (Evento 44), porquanto a conferência de extratos pressupõe, logicamente, a existência de transações lançadas na referida conta. Tal alegação, ademais, contraria as próprias afirmações feitas em sede de réplica (Evento 32), evidenciando a inconsistência da tese defensiva da recorrente.
No que concerne à alegada falha no cancelamento das transações após a comunicação da fraude, os próprios fatos narrados pela recorrente afastam a procedência do argumento. É incontroverso que o banco recorrido, ao ser comunicado da fraude pela gerente da conta, procedeu ao cancelamento de parte significativa das transações fraudulentas, reduzindo o prejuízo inicial de R$ 1.079.328,24 para R$ 858.797,24, conforme reconhecido na própria petição inicial (Evento 1). Tal circunstância demonstra, de forma inequívoca, a pronta atuação da instituição financeira em mitigar os danos sofridos pela recorrente, afastando qualquer imputação de desídia ou omissão do banco no tratamento do incidente. O caráter instantâneo das transações financeiras realizadas pela internet e a velocidade com que as fraudes da espécie são consumadas constituem fatores que, objetivamente, limitam a possibilidade de cancelamento integral das operações, sem que se possa atribuir tal fato a qualquer falha do serviço bancário.
Evidenciada, assim, a ausência de falha na prestação dos serviços bancários, impõe-se o reconhecimento da culpa exclusiva da recorrente como causa determinante e única do evento danoso. A preposta da recorrente, conforme narrado na petição inicial (Evento 1) e corroborado pelo Boletim de Ocorrência lavrado nos autos, recebeu ligação telefônica de indivíduo que se apresentou falsamente como funcionário do setor de segurança do banco recorrido e, em ligação que se estendeu por mais de uma hora, atendeu às instruções do estelionatário, acessando o endereço eletrônico "netempresa.analisesegura.com" e nele inserindo seus dados de acesso, senha bancária e, reiteradamente, múltiplos códigos de token de segurança, viabilizando assim a consumação das transações fraudulentas. Merece especial destaque o fato de que o endereço eletrônico acessado pela preposta sequer continha o nome "Bradesco" em seu domínio, circunstância que, por si só, deveria ter gerado imediata desconfiança em qualquer pessoa dotada de cautela mínima ao realizar operações financeiras de tamanha expressão.
O banco recorrido demonstrou, em sua contestação (Evento 25), ter adotado amplas e reiteradas campanhas de alerta e orientação de seus clientes acerca do golpe da falsa central de atendimento, mediante publicações em seu sítio eletrônico oficial, canal no YouTube, perfil no Instagram e notificações no próprio aplicativo bancário, nas quais advertia expressamente que a instituição não realiza ligações solicitando atualização de sistemas, digitação de senhas ou fornecimento de tokens de segurança. A recorrente, portanto, dispunha de todos os meios necessários para verificar a autenticidade do contato recebido pelos canais oficiais do banco antes de fornecer qualquer dado sensível, tendo optado por não fazê-lo. Ao descumprir as orientações de segurança amplamente divulgadas, a recorrente deixou de observar o dever de informação que a própria legislação consumerista lhe impõe, nos termos do artigo 6º, inciso III, do Código de Defesa do Consumidor, sendo certo que o direito à informação adequada é de via dupla: se ao fornecedor incumbe informar, ao consumidor incumbe inteirar-se das informações disponibilizadas e agir com a cautela delas decorrente.
Não se pode perder de vista que a recorrente é empresa de porte considerável, estruturada de forma complexa, com departamento financeiro e contábil constituído, presumidamente habituada à realização de operações bancárias de elevado valor. De empresas com esse nível de organização e complexidade operacional, é não apenas esperado, mas exigível, o estabelecimento de processos internos eficazes e aderentes aos requisitos de segurança pertinentes, bem assim o treinamento e a capacitação adequados de seus colaboradores para a execução de operações sensíveis, como são as bancárias. A ausência de tais cautelas elementares por parte da recorrente configura culpa in eligendo e in vigilando em relação à sua própria preposta, afastando qualquer possibilidade de responsabilização da instituição financeira recorrida pelo evento danoso, conforme bem destacado pelo banco recorrido em sua contestação (Evento 25).
A dinâmica do golpe da falsa central de atendimento é amplamente conhecida e exaustivamente divulgada pelos meios de comunicação e pelas próprias instituições financeiras, de modo que qualquer pessoa, e com maior razão qualquer empresa com estrutura profissional de gestão financeira, tem condições de reconhecer os sinais característicos dessa modalidade de estelionato. Que um suposto funcionário bancário solicite, por telefone, que o cliente acesse um link externo e forneça reiteradamente sua senha pessoal e tokens de segurança é exatamente o padrão do golpe amplamente divulgado, o que torna ainda mais incompreensível a conduta da preposta da recorrente, que cedeu ao ardil durante ligação de mais de uma hora sem buscar confirmar a veracidade do contato pelos canais oficiais da instituição.
A fraude praticada por terceiros, nas circunstâncias dos autos, configura fortuito externo em relação à atividade do banco recorrido, porquanto não decorreu de qualquer falha intrínseca nos sistemas ou procedimentos da instituição financeira, mas sim da ação dolosa de estelionatários que lograram enganar a preposta da recorrente mediante técnicas de engenharia social, valendo-se unicamente da negligência desta, que forneceu voluntariamente todas as credenciais necessárias à consumação das transações fraudulentas. Nos termos do artigo 393 do Código Civil, o caso fortuito externo, assim compreendido o fato necessário cujos efeitos não era possível evitar ou impedir e que não guarda conexidade com a atividade desenvolvida pelo fornecedor, tem o condão de romper integralmente o nexo causal, excluindo o dever de indenizar. Nessa hipótese, afasta-se a incidência da Súmula 479 do Superior Tribunal de Justiça, porquanto o evento não se qualifica como fortuito interno inerente ao risco da atividade bancária, mas como fato de terceiro que rompe integralmente o nexo causal, nos termos do artigo 14, § 3º, inciso II, do Código de Defesa do Consumidor.
Esse entendimento encontra respaldo na jurisprudência do Superior Tribunal de Justiça. No REsp 2.046.026/RJ, julgado pela Terceira Turma em 13 de junho de 2023 sob relatoria da Ministra Nancy Andrighi, assentou-se que a existência de um liame de causalidade entre as atividades desempenhadas pela instituição financeira e o dano vivenciado pelo consumidor é pressuposto inafastável da responsabilidade objetiva, o qual se considera rompido quando evidenciada a ocorrência de fato exclusivo da vítima ou de terceiro, nos termos do artigo 14, § 3º, inciso II, do Código de Defesa do Consumidor, ou de caso fortuito externo, nos termos do artigo 393 do Código Civil, situações que têm o condão de excluir a responsabilidade do fornecedor. Com ainda maior aderência ao caso concreto, o REsp 2.215.907, também da Terceira Turma do Superior Tribunal de Justiça, sob relatoria do Ministro Ricardo Villas Bôas Cueva, tratou especificamente do golpe da falsa central de atendimento e reconheceu que a modalidade configura fortuito externo, rompendo o nexo causal entre a conduta bancária e os danos sofridos pelo cliente, uma vez que a fraude se originou de contato externo aos canais oficiais da instituição, a vítima voluntariamente cedeu suas informações confidenciais, inexistiram falhas nos sistemas bancários e a comunicação ao banco ocorreu somente após a consumação do golpe — elementos que, como se viu, estão todos presentes no caso ora em julgamento.
Por fim, a alegação de culpa concorrente, suscitada de forma subsidiária pelo banco recorrido em sua contestação (Evento 25), não constitui tese favorável à pretensão recursal da autora. Ao contrário, mesmo que se cogitasse de concorrência de causas nos termos do artigo 945 do Código Civil, tal hipótese, por definição, pressupõe contribuição causal do próprio fornecedor para o evento danoso — o que não se verifica nos presentes autos, onde a análise do conjunto fático-probatório evidencia que o evento danoso decorreu exclusivamente da conduta negligente da preposta da recorrente, que, sem qualquer participação ou ingerência do banco recorrido, entregou aos fraudadores todos os elementos necessários à realização das transações impugnadas.
Ante todo o exposto, não se vislumbra qualquer falha na prestação dos serviços bancários pelo recorrido capaz de ensejar sua responsabilização civil pelos danos sofridos pela recorrente, os quais decorreram, de forma exclusiva e determinante, da conduta negligente de sua própria preposta, que, desconsiderando as mais elementares cautelas de segurança amplamente divulgadas, forneceu voluntariamente a estelionatários todas as suas credenciais de acesso bancário. A r. sentença recorrida (Evento 44), ao julgar improcedentes os pedidos com fundamento na culpa exclusiva da vítima, nos termos do artigo 14, § 3º, inciso II, do Código de Defesa do Consumidor, decidiu com acerto e em perfeita consonância com a jurisprudência dominante desta Corte e do Superior Tribunal de Justiça.
Postas tais premissas, voto por NEGAR PROVIMENTO ao recurso de apelação. Desprovido o recurso, ficam os honorários advocatícios dos patronos do banco requerido majorados para 11% sobre o valor atualizado da causa. Para que não se alegue cerceamento do direito de recorrer, dou por prequestionados todos os dispositivos legais referidos na fase recursal, bastando que as questões tenham sido enfrentadas e solucionadas no voto, como ocorreu, pois “desnecessária a citação numérica dos dispositivos legais” (STJ EDCL. No RMS 18.205/SP, Rel. Min. Felix Fischer, j. 18.04.2006).
Documento eletrônico assinado por RODOLFO PELLIZARI, Desembargador Relator, na forma do artigo 1º, inciso III, da Lei 11.419, de 19 de dezembro de 2006. A conferência da autenticidade do documento está disponível no endereço eletrônico https://eproc2g.tjsp.jus.br/eproc/verifica.php, mediante o preenchimento do código verificador 610000143193v4 e do código CRC 8acc204b.
Informações adicionais da assinatura:
Signatário (a): RODOLFO PELLIZARI
Data e Hora: 01/04/2026, às 09:37:42