Falha de segurança do Nubank permite [Editado pelo Reclame Aqui] de R$ 1.000,00 apesar de alerta de conta suspeita

Olá, Peterson.

Somos o time especialista de Reclame Aqui do Nubank e recebemos a sua manifestação informando sobre o [Editado pelo Reclame Aqui], correto? Estamos aqui para te ajudar.

Após a confirmação de uma transação no aplicativo, não é possível cancelá-la, pois o envio ocorre em tempo real. No entanto, assim que você informou nossa central sobre o [Editado pelo Reclame Aqui], iniciamos automaticamente o processo de MED (Mecanismo Especial de Devolução), regulamentado pelo Banco Central, para tentar recuperar os valores enviados e denunciar a conta recebedora.

O MED prevê um prazo total de até 7 dias corridos, contados a partir do seu reporte, para que o banco recebedor nos envie um retorno final, além de mais 4 dias corridos destinados ao reembolso, caso haja saldo disponível na conta que recebeu os valores.

Após o retorno do banco favorecido, fomos informados de que as medidas cabíveis em relação à conta foram tomadas, porém não havia saldo disponível para devolução. Essa informação também foi enviada ao seu e-mail cadastrado no dia 24/11/*******, às 17:18.

Vale reforçar que o MED é conduzido de forma automática e obrigatória, conforme a regulamentação bancária vigente, e que a confirmação de [Editado pelo Reclame Aqui] ou irregularidade em uma transação depende exclusivamente da análise realizada pela instituição que recebeu os valores.

Todas as etapas de verificação e tentativa de recuperação dos valores foram seguidas corretamente por nossa equipe.

Atenciosamente,

Jaime S. - Ouvidoria Nubank

VAMOS QUERER CUMPRIR A LEI NÉ


Fui vítima de um [Editado pelo Reclame Aqui] e fiz o reporte ao Nubank imediatamente. Porém, mesmo após a análise do MED, o banco se recusa a devolver meu dinheiro. O ponto mais grave é que o próprio Nubank informou que a conta que recebeu o PIX já estava identificada como [Editado pelo Reclame Aqui]. Ou seja, o banco já sabia da irregularidade e, ainda assim, permitiu que a transação fosse concluída, falhando em seu dever de segurança.

Eu estava firmando um contrato de aluguel, recebi documentação e contrato do suposto proprietário, portanto não havia nenhum indício visível de [Editado pelo Reclame Aqui]. Quem tinha informação privilegiada era o banco, que deveria ter bloqueado ou impedido a operação.

Essa falha viola:
Código de Defesa do Consumidor Art. 14 (responsabilidade objetiva por falha na prestação do serviço);
Súmula ******* do STJ, que estabelece que bancos são responsáveis por [Editado pelo Reclame Aqui] cometidas por terceiros;
Regulamento do PIX e Resoluções do Banco Central, que impõem dever de prevenção e bloqueio de contas suspeitas;
Art. 46 da LGPD, que determina proteção contra situações de risco e irregularidades.

Mesmo com o MED acionado, não é razoável que o banco reconheça a [Editado pelo Reclame Aqui], reconheça que a conta era [Editado pelo Reclame Aqui] e, ainda assim, deixe o consumidor no prejuízo. Isso não é compatível com a responsabilidade de uma instituição financeira.

Solicito reavaliação imediata, abertura de nova análise interna e reembolso integral dos valores, pois o prejuízo decorre de uma falha clara de segurança do Nubank não de conduta do cliente.

Aguardo solução.

Olá, Peterson.

Agradeço sua resposta e entendo totalmente a gravidade da situação e o impacto que uma [Editado pelo Reclame Aqui] causa. Meu compromisso é tratar sua manifestação com seriedade, transparência e dentro da legislação vigente.

No entanto, preciso esclarecer alguns pontos importantes, tanto do ponto de vista regulatório quanto sobre tudo o que já foi realizado pelo Nubank, para evitar qualquer dúvida sobre as medidas adotadas.

O Código de Defesa do Consumidor (CDC), no Art. 14, trata da responsabilidade por falha na prestação do serviço. Porém, a própria jurisprudência diferencia as situações em que:



1. Há falha do banco que contribui diretamente para a [Editado pelo Reclame Aqui];

2. E aquelas em que o próprio cliente confirma a operação, utilizando senha, biometria ou token de autenticação.

No seu caso, não encontrei nenhum indício de que houve falha interna do Nubank, já que:



- O acesso foi feito em dispositivo reconhecido;

- A confirmação do PIX ocorreu mediante suas credenciais pessoais;

- Não houve qualquer violação de segurança, acesso indevido ou movimentação sem sua autorização.

Por isso, a Súmula ******* do STJ, que trata de responsabilidade por fortuito interno, não se aplica quando a transação é autorizada diretamente pelo cliente sem interferência de terceiros nos sistemas do banco.

Quero esclarecer um ponto essencial: A informação repassada pelo banco recebedor durante o processo do MED não significa que a conta estava bloqueada ou previamente classificada como [Editado pelo Reclame Aqui] antes da sua transação.

O processo funciona assim:



- O banco recebedor só realiza uma análise profunda da conta depois que o MED é aberto.

- Caso identifique irregularidades durante essa análise, ele reporta e adota as medidas cabíveis.

O banco originador (no caso, o Nubank) não tem autorização legal para bloquear ou impedir uma transferência apenas por suspeita, sem determinação da instituição recebedora ou do Banco Central.

Isso está previsto no Regulamento do PIX e nas Resoluções do Banco Central (como a BCB 1, ******* e *******).

Portanto, não existia qualquer mecanismo legal que me permitisse impedir a operação no momento em que você a confirmou.

Assim que você reportou o [Editado pelo Reclame Aqui], acionamos automaticamente o MED, exatamente como determina o Banco Central.

O fluxo regulatório

1. Eu solicito o bloqueio cautelar ao banco recebedor.

2. O banco recebedor analisa a conta.

3. Havendo saldo, ocorre a devolução.

4. Sem saldo, o processo encerra sem reembolso.

No seu caso:

- Houve análise;

- Medidas foram aplicadas à conta;

- Mas não havia saldo disponível.

Essa resposta oficial foi enviada a você no dia 24/11/******* às 17:18.

Assim, todas as regras e prazos do Banco Central (7 dias para resposta + 4 dias para devolução) foram integralmente seguidos.

A LGPD determina que Nubank proteja seus dados pessoais, o que inclui impedir acessos indevidos, vazamentos ou movimentações [Editado pelo Reclame Aqui] no sistema.

No seu caso, não houve:

- vazamento ou exposição de dados,

- acesso indevido ao aplicativo,

- invasão da sua conta,

- movimentação sem sua autorização.

A transação foi feita mediante sua autenticação pessoal, o que caracteriza autorização legítima do titular e afasta violação à LGPD.

Eu entendo a frustração e a dor decorrentes de um [Editado pelo Reclame Aqui]. Porém, preciso reforçar que:

- Todas as etapas previstas pelos regulamentos do Banco Central foram cumpridas;

- O MED foi aberto imediatamente;

- O banco recebedor confirmou que não havia saldo para devolução;

- Não houve falha na segurança do Nubank;

- A operação foi autorizada diretamente no seu aplicativo.

Por esses motivos, não tenho respaldo legal para realizar o reembolso unilateralmente, pois a transação não decorreu de falha na prestação do serviço bancário.

Atenciosamente,

Jaime S. - Ouvidoria Nubank

Inicialmente, é necessário esclarecer que a conclusão de inexistência de falha na prestação do serviço não se sustenta à luz do ordenamento jurídico brasileiro, especialmente do Código de Defesa do Consumidor e da jurisprudência consolidada do Superior Tribunal de Justiça.

Nos termos do art. 14 do CDC, a responsabilidade das instituições financeiras é objetiva, respondendo pelos danos causados aos consumidores independentemente de culpa, bastando a demonstração do dano e do nexo causal. A atividade bancária é classificada como atividade de risco, atraindo a aplicação da teoria do risco do empreendimento.

A alegação de que a transação foi autorizada mediante autenticação pessoal não afasta a caracterização de [Editado pelo Reclame Aqui], sobretudo quando a autorização decorre de engenharia social, coação psicológica ou indução ao erro situações amplamente reconhecidas pela jurisprudência como eventos previsíveis e inerentes à atividade bancária digital.

Nesse sentido, o STJ possui entendimento pacífico de que [Editado pelo Reclame Aqui] praticadas por terceiros, inclusive em ambiente digital, configuram fortuito interno, não sendo aptas a excluir a responsabilidade da instituição financeira (Súmula 479 do STJ).

Destaco, ainda, que:
A inexistência de invasão técnica ao sistema não exime o banco do dever de segurança;
A autenticação por senha, biometria ou token não invalida a ocorrência de [Editado pelo Reclame Aqui], conforme reiteradas decisões judiciais;
A ausência de saldo na conta recebedora não constitui excludente de responsabilidade, mas sim consequência previsível de [Editado pelo Reclame Aqui] conhecidos e recorrentes, que exigem atuação preventiva eficaz por parte das instituições financeiras;
O simples cumprimento formal do MED não substitui o dever de prevenção e mitigação do dano, especialmente quando há indícios de movimentação atí[Editado pelo Reclame Aqui] e incompatível com o perfil do consumidor.

Importante frisar que o dever de segurança das instituições financeiras é amplo e contínuo, abrangendo não apenas a proteção técnica do sistema, mas também a capacidade de detectar, prevenir e reagir a padrões [Editado pelo Reclame Aqui], conforme exigido pelo próprio Banco Central e pela jurisprudência consumerista.

Diante disso, requeiro a reanálise integral do caso, com manifestação fundamentada sob a ótica do CDC, da boa-fé objetiva, da vulnerabilidade do consumidor e do entendimento consolidado dos tribunais superiores.

Desde já, informo que, em caso de manutenção da negativa, adotarei as medidas cabíveis junto ao Banco Central do Brasil, Procon e Poder Judiciário, inclusive para apuração de danos materiais e morais, por entender configurada falha na prestação do serviço.

Banco não estornou o valor
Fiz o cancelamento de todos os seguros que tinha com o banco e abri uma reclamação no banco central.
Vou abrir conta em outro banco pois não tem como confiar em banco digital
Alerto a todos a terem muito cuidado pois a Nubank não garante a segurança do cliente.