O golpista demonstra conhecer dados sigilosos que só poderiam ter vindo de dentro do banco (número completo do contrato, valor exato da parcela, status de inadimplência, nome do gerente de relacionamento, histórico de compras com valores precisos), e essa precisão — diante do silêncio técnico do banco — caracteriza inferencialmente um vazamento de dados, que é fortuito interno da atividade bancária e aciona a Súmula 479/STJ com responsabilidade objetiva integral.
O argumento canônico
A tese do vazamento inferencial é a porta de entrada para responsabilização integral do banco em golpes de engenharia social que, sem esse elemento, teriam desfecho de fortuito externo ou culpa concorrente. É conceitualmente uma presunção relativa: quando o golpista exibe dados que não são de circulação pública — número integral de contrato, valor de parcela específica, saldo atualizado, dia da compra, nome do gerente de relacionamento —, presume-se que esses dados saíram do sistema do banco, salvo prova em contrário pela instituição.
A construção argumentativa tem três movimentos. Primeiro, o relator lista os dados específicos que o golpista demonstrou conhecer. Quanto mais específicos e menos acessíveis em fontes públicas (ao contrário de nome, CPF e telefone, que circulam), mais forte a inferência. Segundo, constata que o banco não apresentou explicação alternativa plausível — "o banco não juntou um único documento que tenha sido assinado pelo correntista, nem sequer em formato digital" (Campos Mello em Apel. 1008787-51.2023). Terceiro, conclui pelo fortuito interno: violação ao dever de segurança dos dados pessoais (LGPD, por analogia), inserida no risco da atividade bancária, acionando a Súmula 479/STJ.
Os dados do corpus confirmam o poder da tese no subset dos 3 bancos focais (de 4.028 total): 0% pró-banco, 58% consumidor, 42% parcial em 119 casos universo. A mediana de custo (R$ 8.000) supera a de Falha do Serviço · Súmula 479 porque a conjugação vazamento + falha de monitoramento agrava o quantum. A vítima típica é idosa com dados previdenciários conhecidos pelo golpista ou PJ com contrato bancário específico.
A tese tem um subtexto decisivo: o vazamento neutraliza a discussão de culpa concorrente. Quando o golpe foi viabilizado por dados sigilosos do banco, a conduta imprudente do consumidor é descontada — não se pode exigir que ele desconfiasse de um interlocutor que demonstrava domínio fático específico da conta. O efeito se amplifica quando a vítima é hipervulnerável: em casos de idosos com benefício previdenciário, o REsp 2.052.228/DF afasta a aplicação do art. 945 CC mesmo diante de conduta voluntária da vítima, removendo qualquer modulação residual.
O padrão confirma-se igualmente quando há atipicidade aritmética flagrante: volume ou velocidade de operações claramente fora do perfil histórico do correntista. Nesses casos — paradigmas dos 116 PIX em 3h, 13 TED em 2 dias, 6 empréstimos em 10 minutos — o banco perde a culpa concorrente independentemente do vazamento, porque o dever de monitoramento era autônomo e suficiente para travar as transações antes que o golpe se consumasse.
A tese falha quando o banco consegue explicar a posse dos dados por fontes externas: processos judiciais públicos (1006977-02.2024, Mario Sergio Leite — execução extrajudicial), sistemas abertos (Registrato do BCB), ou ausência total de dado específico do contrato — apenas nome/CPF/telefone. Nesses casos, volta-se ao fortuito externo puro. Castro Figliolia (12ª CDPriv) em Apel. 1000009-37.2023 ilustra o polo oposto: boleto fraudulento com todos os dados corretos → condenação solidária Cora + Banco Pan, porque a especificidade era inegável.
Como os relatores articulam
“A fraude perpetrada, conhecida como 'golpe do falso funcionário' ou 'falso vendedor', somente obteve êxito porque os criminosos detinham informações sigilosas da transação realizada na plataforma das rés.”
“Em razão da especificidade e da precisão dessas informações contratuais, as quais não constituem dados de circulação pública nem podem ser facilmente obtidas por terceiros por meio de fontes externas, é possível concluir que os golpistas tiveram acesso a informações decorrentes de vazamento de dados sob a guarda da instituição financeira.”
“O golpe apenas se consumou em razão do vazamento dos dados pessoais e sensíveis do autor pela própria instituição ré.”
“está positivado o vazamento de informações sob a guarda da instituição financeira credora, o que possibilitou a confecção do boleto fraudado pelo terceiro”
“Não se pode exigir do consumidor a imediata identificação da fraude quando os criminosos demonstram domínio detalhado de informações contratuais específicas e sigilosas, circunstância que confere verossimilhança à comunicação fraudulenta e cria legítima aparência de autenticidade, apta a induzir o consumidor em erro.”
“A circunstância só podia se dar se os dados do contrato de posse da instituição financeira tivessem vazado”
Os relatores pertencem a câmaras diversas (Núcleo 4.0-T.I, 12ª, 16ª e 19ª CDPriv) e convergem na mesma arquitetura: especificidade dos dados + silêncio técnico do banco = vazamento inferencial. O Des. Batista Alves (16ª) é o relator-modelo — em seus votos a tese tem gramática mais limpa, incluindo a formulação sobre a legítima aparência de autenticidade que neutraliza a culpa concorrente.
Quando funciona — cenários típicos de acolhida
- Falso cobrador com número exato do contrato e da parcela — golpista sabia número integral do financiamento, valor exato da parcela em aberto e status de inadimplência = vazamento inferencial. Paradigma: 1003916-97.2023 (Batista Alves).
- Falso funcionário com nome da gerente + valor de compra recente — conhecer o nome do gerente de relacionamento é o smoking gun; não há fonte pública para isso. Paradigma: 1019819-78.2025 (Batista Alves, PJ — Bradesco).
- Falso funcionário de plataforma com dados precisos da compra — Mercado Livre/Mercado Pago: vazamento é da plataforma, mas o banco responde solidariamente pela cadeia de consumo. Paradigma: 1012569-27.2024 (Olavo Sá · Núcleo 4.0-T.I).
- Boleto falso com dados exatos do credor verdadeiro — boletos adulterados com valor exato + comunicação imediata + inércia dos bancos = fortuito interno agravado. Paradigma: 1043737-48.2024 (Jairo Brazil · 19ª CDPriv). Confirmação cruzada: 1000009-37.2023 (Castro Figliolia · 12ª CDPriv · condenação solidária Cora + Banco Pan).
- Extravio de cartão com uso no mesmo dia e falta de bloqueio retroativo — compra online de R$ 6 mil parcelada após comunicação do extravio = vazamento dos dados do cartão + falha pós-aviso. Paradigma: 1000851-66.2025 (Rui Porto Dias).
- Consignado fraudulento com cadeia de refinanciamentos — DNA Itaú — contrato original Banco Pan + portabilidade para Bradesco sem documentação = presunção de vazamento da cadeia de cessão. Os padrões consignado, motoboy e troca_cartao_atm são DNA Itaú no corpus. Paradigma: 1001598-38.2024 (Giaquinto · 13ª CDPriv).
- IP estrangeiro no log + dados sigilosos exibidos pelo golpista — quando o banco tem o acesso nos logs e não o contextualiza, o silêncio vira presunção. O
REsp 2.229.245/RS(Cueva, 13/10/2025) está sendo invocado sistematicamente como smoking gun probatório nesse cenário.
Outros paradigmas recentes
TJSP reforma sentença e reconhece responsabilidade solidária de Santander e Aymoré em golpe do falso boleto com dados confidenciais de contrato de financiamento obtidos por falha de segurança das instituições.
TJSP dá provimento ao consumidor aposentado: anula empréstimo consignado C6 obtido via correspondente irregular (Ensure/Primus), impõe restituição em dobro das parcelas e dano moral de R$ 5.000 por desconto indevido em benefício previdenciário — fortuito interno configurado.
Banco Bradesco negado provimento: golpe falsa central com spoofing e vazamento de dados de PJ (R$ 7.364,51); fortuito interno configurado; dano moral R$ 3.000,00 mantido; honorários majorados para 15%.
Quando falha — cenários de rejeição
- Golpista só usou dados públicos (nome, CPF, endereço) — sem especificidade bancária, a inferência de vazamento não se sustenta. A mesma relatora (Léa Duarte) aplicou em 1006137-74.2025 e rejeitou em 1000740-37.2025 no mesmo dia — a diferença foi a especificidade.
- Dados vieram de processo judicial público — execução extrajudicial é acessível via sistema TJ. Afasta fortuito interno. Paradigma: 1006977-02.2024 (Mario Sergio Leite · 22ª CDPriv).
- Dados obtidos por engenharia social direta — quando o próprio consumidor forneceu dados ao golpista e o ardil só usou esses dados fornecidos, não há vazamento do banco a imputar.
- Banco demonstra investimento em segurança + incidente isolado — comunicação LGPD de incidente externo com identificação do agente terceiro + trilhas de auditoria robustas. Raro no corpus, mas teoricamente afasta.
Provas e requisitos que pesam
Provas pró-consumidor (vazamento inferencial):
- Lista de dados sigilosos conhecidos pelo golpista — número de contrato, valor exato, status da conta, nome de funcionário, saldo, data de compra. Quanto mais específicos e menos acessíveis em fontes públicas, mais forte a inferência.
- Prints das conversas com o golpista demonstrando a precisão dos dados exibidos.
- Ausência de explicação alternativa pelo banco — o banco precisa demonstrar que os dados eram acessíveis por fontes externas.
- Hipervulnerabilidade etária documentada — em casos de idosos com benefício previdenciário, o
REsp 2.052.228/DFafasta o art. 945 CC mesmo diante de conduta voluntária, removendo qualquer modulação por culpa concorrente. - Atipicidade aritmética flagrante — volume ou velocidade de operações fora do perfil histórico (paradigmas: 116 PIX em 3h, 13 TED em 2 dias, 6 empréstimos em 10 min) afasta culpa concorrente independentemente do vazamento, pelo dever autônomo de monitoramento.
Prova que o banco pode apresentar para afastar:
- Demonstração de que o dado era de circulação pública (fonte concreta, não genérica).
- Processo judicial público como fonte plausível (sistema TJ aberto).
- Comunicação LGPD de incidente externo com identificação do agente agressor terceiro.
Outros casos em que o Tribunal foi 100% pró-banco
Contra-argumentos eficazes
Fundamentos jurídicos centrais
- Súmula 479/STJ — base dogmática da responsabilidade objetiva por fortuito interno. Alta.
- CDC art. 14 — responsabilidade objetiva + dever de segurança dos dados. Alta.
- LGPD (Lei 13.709/2018) — pouco invocada explicitamente, mas o raciocínio (tratamento adequado de dados) é implícito. Emergente.
REsp 2.222.059/SP(Villas Bôas Cueva, 07/10/2025) — dever de monitoramento atrelado ao dever de proteção de dados. Alta.REsp 2.215.907/SP(02/09/2025) — precedente-âncora consolidado no corpus. Alta.REsp 2.077.278/SP(Nancy Andrighi, 03/10/2023) — tratamento indevido de dados bancários como defeito do serviço. Alta.REsp 2.124.423/SP(Andrighi · KYC) — invocado em casos de sub-padrão abertura irregular. Alta.REsp 2.052.228/DF— hipervulnerabilidade etária afasta art. 945 CC. Alta em casos com idosos/INSS.REsp 2.229.245/RS(Cueva, 13/10/2025) — invocado sistematicamente com IP estrangeiro como elemento probatório. Emergente.- CC art. 927 parágrafo único — teoria do risco. Média.
Variação por câmara / relator
O corpus revela cinco polos doutrinários com posturas distintas sobre o vazamento inferencial. A 18ª CDPriv · Zanluqui rejeita sistematicamente: exige prova direta da origem interna, que quase nunca existe — o polo mais resistente. A 14ª CDPriv · Zalaf inova com o padrão tripartite e a construção "biometria por videochamada coercitiva como fortuito externo", criando uma linha própria que não segue nem a 18ª nem a 16ª. A 11ª CDPriv · José-Wilson acolhe o vazamento inferencial com ênfase no dever de monitoramento autônomo como segundo pilar. O Núcleo 4.0-T.I · Valéria (mesmo polo que Olavo Sá) aplica a tese em contextos de plataformas de e-commerce com solidariedade. A 15ª CDPriv · Achile tem posição intermediária, com aplicação condicionada à robustez da especificidade dos dados.
A tese tem aplicação relativamente uniforme nas câmaras pró-consumidor (11ª, 16ª, 19ª, 20ª, Núcleo 4.0-T.I e T.IV). A 16ª CDPriv (Batista Alves) é a mais sistemática na construção do vazamento inferencial: ver 1003916-97.2023 e 1019819-78.2025, ambos com a mesma arquitetura argumentativa em três movimentos.
A 18ª CDPriv (Zanluqui, Clavisio) rejeita o vazamento inferencial: exige prova direta da origem interna, que quase nunca existe. Casos idênticos têm desfecho oposto na 18ª e na 16ª — fratura interna documentada no corpus. O Núcleo 4.0-T.IV (Léa Duarte) aplica com critério objetivo: a mesma relatora aplica ou afasta dependendo estritamente da especificidade dos dados — comparar 1006137-74.2025 (aplicada) × 1000740-37.2025 (afastada) no mesmo dia.
A 22ª CDPriv (Mario Sergio Leite) é resistente, exceto quando a precisão é absolutamente indiscutível. 1006977-02.2024 é a linha de afastamento (dados de processo público). A 19ª CDPriv (Mello Belli) domina o REsp 2.124.423/SP (Nancy Andrighi · KYC) e aplica a tese em confluência com falhas de onboarding.
- NJ4.0 T.III DP20%·54%13
- 12ª CDPriv0%·70%10
- NJ4.0 T.VII DP20%·56%9
- NJ4.0 T.I DP20%·33%9
- 16ª CDPriv0%·100%8
- 38ª CDPriv0%·75%8
- NJ4.0 T.II DP20%·50%6
- 11ª CDPriv0%·20%5
- 21ª CDPriv0%·100%5
- 14ª CDPriv0%·100%5
O ônus probatório em jogo
O vazamento inferencial emerge quando o autor cumpre o ônus mínimo de listar os dados sigilosos exibidos pelo golpista e o banco não cumpre o ônus de apresentar explicação alternativa plausível. A inversão do ônus (CDC art. 6º VIII) opera: impugnada a origem dos dados, cabe ao banco demonstrar cadeia de segurança íntegra.
Sub-padrões dentro da tese
A categoria captura uma presunção (não um fato jurídico documentado) e abriga cinco sub-padrões distintos:
- Vazamento inferencial · dados contratuais específicos — número de contrato, valor de parcela, status. Cluster paradigmático (Batista Alves, 16ª).
- Vazamento plataforma e-commerce · solidariedade — dados vazam do e-commerce (iFood, Mercado Livre) mas o banco responde solidariamente. ~15-20 casos.
- Vazamento nome do gerente de relacionamento — dado ultraespecífico que aciona a tese quase automaticamente. Raro mas poderoso.
- Vazamento dados de cartão · uso retroativo — extravio comunicado + compra posterior não bloqueada.
- Abertura de conta irregular · falha de KYC — sub-padrão autônomo: não é vazamento de dados da vítima, é falha estrutural de onboarding. Paradigma: Apel. 1036090-50.2024 (Alexandre David Malfatti · Cora condenada em R$ 200.010 por abertura de conta de empresa com 4 dias sem atos constitutivos). Sustenta-se pelo
REsp 2.124.423/SP(Andrighi · KYC).
Como usar na prática — defesa do banco
Esta é, junto com culpa concorrente 50/50, a tese mais contextualmente volátil do corpus. A mesma câmara aplica ou afasta dependendo da especificidade dos dados, da ausência de explicação alternativa e do perfil do relator. A defesa centra-se em duas estratégias complementares: desconstruir a especificidade e oferecer alternativa plausível.
Para o autor, a estratégia é inversa: desde a inicial, demonstrar que o golpista exibiu dados sigilosos específicos, classificar cada um em "circulação pública" vs. "sob guarda do banco", juntar prints das conversas e BO tempestivo. Acionar a neutralização de culpa concorrente por hipervulnerabilidade (REsp 2.052.228/DF) quando aplicável, ou por atipicidade aritmética quando o volume/velocidade é flagrante — nesse segundo caso, o banco perde mesmo sem vazamento provado, pelo dever autônomo de monitoramento.
Combo probatório — como ler esta tese
Casos limítrofes em que, mesmo com 5-6 fatores pró-banco, o relator reabre fortuito interno por vazamento de dados comprovado. Exceção que reforça a regra: dados sigilosos específicos operados pelo golpista ressuscitam a responsabilidade do banco. Variante adicional mapeada no estudo: `fortuito_interno_abertura_conta_irregular` — KYC falho do banco receptor.
Pró-banco
7 fatores · 5+ = banco vence ~90%
- #1Credenciais tecnicamente autenticáveis46%
- #2Logs de autenticação juntados pelo banco (checklist de 8 elementos)36%
- #3Operação dentro do app oficial, não canal externo62%
- #4Demora do autor em reclamar (> 3 meses)21%
- #5Autor não pediu perícia digital57%
- #6Valores dentro/próximos do perfil histórico30%
- #7Comportamento contraditório do autor (usou o dinheiro creditado)★16%
Pró-consumidor
6 fatores · 4+ = consumidor vence ~90%
- #1Valor 3× ou mais acima do limite diário ou do padrão histórico38%
- #2Múltiplas operações em janela curta (< 48h)44%
- #3Padrão radicalmente dissonante do histórico da conta28%
- #4Resgate integral de aplicações financeiras11%
- #5Banco não enviou alerta nem fez bloqueio preventivo49%
- #6Negativação em cima → dano moral in re ipsa OU desconto em verba alimentar (L2)★15%

