O Tribunal de Justiça de São Paulo manteve a sentença que condenou a instituição financeira Mercado Pago pela falha na prestação de serviço de segurança em transação via PIX não autorizada no valor de R$ 32.000,00. A corte reconheceu que a transferência fraudulenta ocorreu sem autenticação forte, token ou biometria, configurando descumprimento do dever de segurança previsto no Código de Defesa do Consumidor e na Lei Geral de Proteção de Dados (LGPD). A instituição financeira, inserida na cadeia de consumo, responde objetivamente pelos danos causados por falhas em seus sistemas, mesmo no caso de fraude praticada por terceiros. O tribunal destacou a obrigação da empresa em adotar medidas administrativas e técnicas capazes de identificar e rejeitar operações suspeitas, conforme a Resolução BCB nº 01/2020 e o artigo 46 da LGPD, que reforça o dever de proteger os dados pessoais e as transações dos usuários.
A decisão evidenciou a falta de justificativa coerente para o bloqueio das contas da autora após a detecção da fraude, bem como a ausência de mecanismos eficazes para prevenir a operação irregular, demonstrando omissão no dever de vigilância e proteção ao consumidor. O tribunal determinou a restituição do valor debitado, com correção monetária pelo IPCA e juros pela taxa SELIC, confirmando a responsabilidade objetiva da instituição financeira e a necessidade de robustos sistemas de segurança para resguardar os direitos dos consumidores.
Tecnicamente, a fraude ocorreu pela ausência de autenticação forte, como uso de token ou biometria, e pela falha do sistema ao não detectar a movimentação financeira atípica que destoava do perfil transacional da cliente. Além disso, a instituição não adotou medidas preventivas necessárias previstas na Resolução BCB nº 01/2020, que obriga a rejeitar transações quando houver fundada suspeita de fraude. Mesmo diante de indícios claros, a instituição deixou de bloquear preventivamente a operação, permitindo a consumação do golpe. A omissão também se evidenciou pela contradição na análise feita pela instituição, que primeiro considerou a transação regular e, dias depois, bloqueou as contas da usuária sem justificar coerentemente a decisão. Estes aspectos demonstram a ausência de sistemas eficazes de monitoramento e controle exigidos para proteção dos dados pessoais e do patrimônio dos consumidores, conforme determina a LGPD.
Este post foi resumido a partir da decisão original com o uso de IA, com revisão humana.
TJSP/AC n. 1104919-77.2024.8.26.0100