O STJ incluiu, no Informativo de Jurisprudência n. 29 (edição extraordinária de janeiro), um precedente relevante sobre golpe de “engenharia social”, especialmente na modalidade conhecida como “falsa central de atendimento”. Nessa prática, o fraudador se passa por funcionário de instituição financeira (ou de pagamento), explora medo/urgência e induz o consumidor a “validar” operações, fornecer códigos, instalar aplicativos ou autorizar transações – o que, na aparência, deslocaria a culpa para a própria vítima. O STJ, contudo, tratou o tema a partir da lógica do risco do empreendimento e do dever de segurança na prestação de serviços financeiros.

O ponto central do julgado é que bancos e instituições de pagamento podem ser responsabilizados objetivamente quando o golpe se concretiza por falhas de segurança (por exemplo, ausência de bloqueios, validações adicionais, barreiras antifraude ou monitoramento adequado) e, sobretudo, quando as operações realizadas pelos criminosos são atípicas e incompatíveis com o perfil do cliente. No caso noticiado, mencionou-se um cenário de múltiplas transações concentradas em curto período, em contraste com o histórico do consumidor, além de operações como pagamentos indevidos e contratação de empréstimo em sequência — quadro que o Tribunal entende ser detectável por sistemas antifraude minimamente diligentes.

No voto condutor, o ministro Ricardo Villas Bôas Cueva reforçou que, à luz do CDC, o serviço é defeituoso quando não entrega a segurança que dele se espera, e que a responsabilização apenas se afasta se houver prova de inexistência de defeito ou culpa exclusiva do consumidor/terceiro. Na prática, o STJ afirma que o “fator humano” explorado pela engenharia social não exonera automaticamente a instituição: se o sistema não detecta e não reage a transações fora de padrão (por valor, horário, sequência, meio utilizado, localização, contratação atípica de crédito imediatamente antes de pagamentos suspeitos etc.), há falha na prestação.

A decisão também é relevante por equalizar o tratamento entre bancos tradicionais e instituições de pagamento, exigindo destas o mesmo compromisso de prevenção e aprimoramento contínuo de mecanismos antifraude, dado o alto risco inerente ao processamento de transações e à guarda operacional de recursos de clientes. Em termos práticos, o precedente fortalece pedidos de indenização por danos materiais e morais em fraudes de “falsa central”, deslocando o foco do debate para a robustez dos controles e para a capacidade de detecção de anomalias pela instituição que presta o serviço.