Empréstimos feitos pelo aplicativo do banco geralmente não usam assinatura digital com certificação ICP-Brasil. Se o correntista nega que tenha feito o empréstimo, como o banco pode comprovar que ele foi realizado?

Imagine a seguinte situação hipotética:

Regina, aposentada, percebeu que o valor do seu benefício previdenciário veio menor do que o habitual. Ao verificar o extrato, notou descontos mensais referentes a um empréstimo consignado que ela disse que não se recordava de ter feito.

Regina ajuizou ação declaratória de inexistência de débito cumulada com indenização contra o Banco Alfa, que aparecia como sendo o autor dos descontos.

O banco contestou a demanda alegando que Regina havia contratado o empréstimo por meio digital através do aplicativo da instituição.

Para comprovar que o empréstimo foi realmente feito, o banco apresentou os registros da operação:

• uma selfie de Regina segurando sua CNH;

• os dados de geolocalização do aparelho celular (que coincidiam com o endereço dela); e

• o comprovante de depósito do valor do empréstimo (R$ 16.500,00) na conta bancária de titularidade da aposentada.

A empresa argumentou que todos esses elementos demonstravam que a contratação havia sido realizada regularmente, sem qualquer indício de fraude, inclusive porque o valor do empréstimo foi creditado na conta da autora.

O juiz julgou o pedido procedente e declarou o contrato inválido.

O magistrado argumentou que como os documentos eletrônicos utilizados na contratação não possuíam certificação pela ICP-Brasil e a própria contratante havia negado sua autenticidade, o negócio jurídico não poderia ser considerado válido. Invocou, para tanto, o art. 10, § 2º, da Medida Provisória nº 2.200-2/2001:

A sentença foi mantida pelo Tribunal de Justiça, que afirmou que a simples juntada de documento pessoal e foto não é suficiente para comprovar a manifestação de vontade da contratante.

A instituição financeira interpôs recurso especial ao STJ, sustentando que a negativa genérica da contratante não era suficiente para anular o contrato quando todo o conjunto probatório indicava a ausência de fraude, e que a lei admite outros meios de comprovação da autoria de documentos eletrônicos além da certificação ICP-Brasil.

O STJ deu razão à instituição financeira?

SIM.

O que é a ICP-Brasil e por que ela importa para os contratos digitais?

A ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) é um sistema nacional que funciona como uma espécie de “cartório digital”.

Quando você assina um documento em papel, pode ir ao cartório reconhecer firma para garantir que aquela assinatura é realmente sua.

No mundo eletrônico, a ICP-Brasil cumpre função semelhante: ela credencia empresas (chamadas de Autoridades Certificadoras) que emitem certificados digitais, os quais permitem assinar documentos eletronicamente com a mesma validade jurídica de uma assinatura reconhecida em cartório por autenticidade.

O certificado digital emitido por uma entidade vinculada à ICP-Brasil é considerado o padrão mais seguro de assinatura eletrônica no Brasil, pois passa por rigorosos controles de identificação do titular.

No Brasil, a infraestrutura de chaves públicas é de responsabilidade de uma autarquia federal, o ITI - Instituto Nacional de Tecnologia da Informação, ligado à Presidência da República.

A MP 2.200-2/2001 foi o ato normativo que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

Na prática, o problema é que a imensa maioria dos contratos celebrados por aplicativos de celular não utiliza esse tipo de certificação. Em vez disso, as instituições financeiras recorrem a outros mecanismos de verificação de identidade, como o envio de selfie, a captura de imagem de documentos pessoais, a biometria facial e a geolocalização do dispositivo.

A lei exige certificação ICP-Brasil para todo contrato digital?

NÃO. O próprio art. 10, § 2º, da MP nº 2.200-2/2001 deixa isso claro:

Ou seja, a lei não impõe a certificação ICP-Brasil como requisito exclusivo de validade dos contratos digitais. Outros métodos de autenticação são admitidos, desde que aceitos pelas partes.

A assinatura eletrônica, nesse sentido, pode assumir as mais variadas formas: digitação do nome ao final de um documento, combinação de login e senha, envio de selfie, uso de biometria facial, geolocalização, entre outras. O que importa é que o método utilizado permita identificar o contratante e vincular sua vontade ao negócio jurídico.

Qual foi a controvérsia principal do caso?

O ponto principal deste caso não era exatamente a ausência de certificação ICP-Brasil. Isso porque o STJ já havia reconhecido, em outros julgados, que essa certificação não é obrigatória.

A questão mais delicada era outra: o que acontece quando o contratante, posteriormente, nega ter celebrado o contrato?

O TJ entendeu que, como os documentos eletrônicos não tinham certificação ICP-Brasil e a contratante havia negado sua autenticidade, o art. 10, § 2º, da MP nº 2.200-2/2001 imporia a invalidade automática do contrato. Na visão do TJ, a simples negativa da contratante seria suficiente para invalidar o negócio jurídico.

O STJ, contudo, não concordou com essa interpretação.

Como o STJ interpretou o art. 10, § 2º, da MP nº 2.200-2/2001?

O art. 10, § 2º, da MP nº 2.200-2/2001 afirma que, além do ICP-Brasil, outros meios são também válidos, mas desde que sejam admitidos pelas partes como válido ou aceitos pela pessoa a quem for oposto o documento.

O STJ disse, contudo, que essa concordância (“admitido pelas partes como válido”) não precisa ser expressa e formal. Ela pode ser tácita, ou seja, inferida da própria conduta do contratante.

Quando uma pessoa acessa o aplicativo, preenche seus dados pessoais, envia uma selfie, permite a geolocalização de seu dispositivo e conclui o processo de contratação, ela está, por sua conduta, admitindo tacitamente a validade do método de assinatura eletrônica utilizado.

Assim, a aceitação do método de autenticação ocorre no momento em que o contrato é celebrado, por meio da participação ativa do contratante em todas as etapas do processo digital. A negativa posterior, desacompanhada de qualquer outro elemento probatório que indique fraude, não desfaz essa aquiescência tácita.

E o ônus da prova? A quem cabe demonstrar a autenticidade do contrato?

Aqui o STJ aplicou o entendimento já consolidado no Tema Repetitivo 1061/STJ: quando o consumidor impugna a autenticidade de sua assinatura em contrato bancário juntado pela instituição financeira, cabe à instituição financeira o ônus de provar a autenticidade.

Trata-se de uma distribuição do ônus da prova favorável ao consumidor, reconhecendo a assimetria existente na relação contratual. A instituição financeira é quem detém os meios técnicos para produzir essa prova.

O que acontece se a instituição financeira cumprir o ônus da prova?

Se a instituição financeira demonstrar, com conjunto probatório robusto, que a contratação foi regular e que inexistem indícios de fraude, a simples irresignação posterior do contratante, desacompanhada de qualquer outro elemento, não é suficiente para invalidar o negócio jurídico, mesmo que não tenha sido celebrado com certificação ICP-Brasil.

Aceitar a tese contrária produziria um resultado indesejável: qualquer pessoa poderia, após contratar um empréstimo em meio digital, simplesmente negar a autenticidade da assinatura eletrônica e obter a anulação do contrato, independentemente de qualquer prova de fraude. Isso comprometeria a segurança jurídica e a própria viabilidade dos contratos digitais.

Isso não significa que a instituição financeira está isenta de responsabilidade. É dever das instituições bancárias priorizar a correta identificação do usuário e adotar todos os mecanismos disponíveis para garantir a segurança dos dados, especialmente os dados sensíveis.

Voltando ao caso concreto:

No caso de Regina, a instituição financeira havia produzido ampla prova da regularidade da contratação: foto do rosto da contratante, imagem de sua carteira de habilitação, dados de geolocalização que apontavam para a cidade onde ela residia, e o registro da assinatura eletrônica.

Além disso, o valor do empréstimo havia sido depositado na conta bancária de titularidade da própria contratante.

Esses elementos são suficientes para afastar qualquer indício de fraude. A única alegação de Regina era a de que a selfie não havia sido tirada especificamente para aquela contratação argumento que, isoladamente, não foi considerado suficiente pelo STJ para invalidar o negócio.

Em suma: