El Tribunal de Justicia de São Paulo mantuvo la sentencia que condenó a la institución financiera Mercado Pago por la falla en la prestación del servicio de seguridad en una transacción vía PIX no autorizada por un valor de R$ 32.000,00. El tribunal reconoció que la transferencia fraudulenta ocurrió sin autenticación fuerte, token o biometría, configurando un incumplimiento del deber de seguridad previsto en el Código de Defensa del Consumidor y en la Ley General de Protección de Datos (LGPD). La institución financiera, como parte de la cadena de consumo, responde objetivamente por los daños causados por fallas en sus sistemas, incluso en casos de fraude cometido por terceros. El tribunal destacó la obligación de la empresa de adoptar medidas administrativas y técnicas capaces de identificar y rechazar operaciones sospechosas, conforme la Resolución BCB n.º 01/2020 y el artículo 46 de la LGPD, que refuerza el deber de proteger los datos personales y las transacciones de los usuarios.
La decisión evidenció la falta de justificación coherente para el bloqueo de las cuentas de la demandante tras la detección del fraude, así como la ausencia de mecanismos eficaces para prevenir la operación irregular, demostrando una omisión en el deber de vigilancia y protección al consumidor. El tribunal determinó la restitución del valor debitado, con corrección monetaria por el IPCA e intereses por la tasa SELIC, confirmando la responsabilidad objetiva de la institución financiera y la necesidad de sistemas de seguridad robustos para resguardar los derechos de los consumidores.
Técnicamente, el fraude ocurrió por la ausencia de autenticación fuerte, como el uso de token o biometría, y por la falla del sistema al no detectar la actividad financiera atípica que se desviaba del perfil transaccional de la cliente. Además, la institución no adoptó las medidas preventivas necesarias previstas en la Resolución BCB n.º 01/2020, que obliga a rechazar transacciones cuando exista una sospecha fundada de fraude. Incluso ante indicios claros, la institución dejó de bloquear preventivamente la operación, permitiendo la consumación del golpe. La omisión también se evidenció por la contradicción en el análisis realizado por la institución, que primero consideró la transacción como regular y, días después, bloqueó las cuentas de la usuaria sin justificar coherentemente la decisión. Estos aspectos demuestran la ausencia de sistemas eficaces de monitoreo y control exigidos para la protección de los datos personales y del patrimonio de los consumidores, conforme determina la LGPD.
Este post fue resumido a partir de la decisión original con el uso de IA, con revisión humana.
TJSP/AC n. 1104919-77.2024.8.26.0100