Open Finance e a necessária delimitação da responsabilidade civil: Entre o risco da atividade e a culpa exclusiva do consumidor

Este artigo analisa o sistema Open Finance sob a ótica das instituições financeiras, destacando-o como um vetor de inovação e competitividade. O foco da análise reside na necessidade de uma delimitação criteriosa da responsabilidade civil por fraudes, argumentando que a aplicação irrestrita da teoria do risco da atividade é incompatível com a dinâmica do novo ecossistema. Defende-se a importância da análise do nexo de causalidade e da aplicação das excludentes de responsabilidade, como o fortuito externo e a culpa exclusiva do consumidor, para uma distribuição justa e equilibrada dos ônus decorrentes de incidentes de segurança.

A implementação do Open Finance, por meio da Resolução Conjunta nº 1/2020 do Banco Central e do Conselho Monetário Nacional, inaugura um novo paradigma para o Sistema Financeiro Nacional. A iniciativa, que promove o compartilhamento padronizado de dados e serviços mediante autorização do cliente, transcende a mera obrigação regulatória, configurando-se como uma oportunidade estratégica para a modernização e a criação de novos modelos de negócio.

Contudo, a interconectividade inerente a este ecossistema suscita debates acerca da alocação de responsabilidades em casos de fraudes. Se, por um lado, a jurisprudência consolidada na Súmula 479 do STJ imputa às instituições financeiras a responsabilidade objetiva por danos oriundos de fortuito interno, por outro, a dinâmica das fraudes digitais modernas, muitas vezes perpetradas por meio de engenharia social, exige uma releitura dessa tese, sob pena de se impor um ônus desproporcional aos prestadores de serviço.

Para as instituições financeiras, o Open Finance representa uma plataforma para a inovação. O acesso a um espectro mais amplo de informações, sempre com o consentimento expresso do cliente, permite uma análise de crédito mais precisa, a estruturação de produtos de investimento personalizados e a otimização da experiência do usuário. A capacidade de atuar tanto como provedora de dados quanto como consumidora de informações de outras instituições abre caminho para parcerias estratégicas com fintechs, gerando ecossistemas de valor que fortalecem a competitividade e a fidelização de clientes.

Nesse contexto, as instituições têm realizado investimentos vultosos em tecnologia e segurança cibernética para adequar suas plataformas APIs (Application Programming Interfaces) aos rigorosos padrões exigidos pelo Banco Central e pela Lei Geral de  Proteção de Dados (LGPD), demonstrando um compromisso inequívoco com a proteção do ecossistema.

O ponto nevrálgico do debate jurídico reside na aplicação do regime de responsabilidade civil. A teoria do risco da atividade, que fundamenta a Súmula 479 do STJ, foi concebida em um contexto de operações predominantemente centralizadas. No ambiente distribuído do Open Finance, e diante de fraudes que exploram o comportamento do usuário, sua aplicação automática deve ser questionada.

É imperativo diferenciar o fortuito interno, relativo a falhas nos sistemas de segurança da instituição, do fortuito externo, caracterizado por eventos que não guardam conexão com os riscos da atividade. Golpes de engenharia social, nos quais o próprio consumidor, ludibriado por um fraudador, fornece senhas, códigos de validação ou autoriza transações, configuram uma quebra do nexo de causalidade por fato de terceiro ou, mais precisamente, por culpa exclusiva da vítima.

O Código de Defesa do Consumidor, em seu artigo 14, § 3º, inciso II, prevê expressamente a culpa exclusiva do consumidor ou de terceiro como excludente da responsabilidade do fornecedor. A jurisprudência pátria tem, de forma crescente, reconhecido a aplicabilidade dessa excludente em casos de fraudes digitais.

Portanto, a análise da responsabilidade deve ser casuística, investigando-se a efetiva origem da falha que permitiu a fraude. Imputar à instituição o dever de indenizar quando o dano decorre de ato voluntário do consumidor, ainda que viciado por engano, equivale a transferir o ônus por um descuido que foge à sua esfera de controle e prevenção.

O Open Finance é um marco de modernização que beneficia todo o mercado. Para sua sustentabilidade, é crucial que o Poder Judiciário promova uma interpretação equilibrada do regime de responsabilidade civil. A proteção ao consumidor não pode significar a imposição de uma responsabilidade absoluta e irrestrita às instituições financeiras, ignorando o dever de cautela que também recai sobre o usuário de serviços digitais.

A segurança no ambiente digital é uma responsabilidade compartilhada. A correta aplicação das excludentes de responsabilidade, notadamente a culpa exclusiva do consumidor, não apenas faz justiça ao caso concreto, mas também incentiva um comportamento mais diligente por parte de todos os participantes do ecossistema, fortalecendo a segurança como um todo.