Ementa: CONSUMIDOR. RECURSO ESPECIAL. AÇÃO DECLARATÓRIA DE INEXIGIBILIDADE DE DÉBITO POR VAZAMENTO DE DADOS BANCÁRIOS CUMULADA COM INDENIZAÇÃO POR DANOS MORAIS E REPETIÇÃO DE INDÉBITO. GOLPE DO BOLETO. TRATAMENTO DE DADOS PESSOAIS SIGILOSOS DE MANEIRA INADEQUADA. FACILITAÇÃO DA ATIVIDADE CRIMINOSA. FATO DO SERVIÇO. DEVER DE INDENIZAR PELOS PREJUÍZOS. SÚMULA 479/STJ. RECURSO ESPECIAL PROVIDO. 1. Ação declaratória de inexigibilidade de débito por vazamento de dados bancários cumulada com indenização por danos morais e repetição de indébito, ajuizada em 13/2/2020, da qual foi extraído o presente recurso especial, interposto em 15/2/2022 e concluso ao gabinete em 19/6/2023. 2. O propósito recursal consiste em decidir se a instituição financeira responde por falha na prestação de serviços bancários, consistente no vazamento de dados que facilitou a aplicação de golpe em desfavor do consumidor. 3. Se comprovada a hipótese de vazamento de dados da instituição financeira, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Do contrário, inexistindo elementos objetivos que comprovem esse nexo causal, não há que se falar em responsabilidade das instituições financeiras pelo vazamento de dados utilizados por estelionatários para a aplicação de golpes de engenharia social (REsp 2.015.732/SP, julgado em 20/6/2023, DJe de 26/6/2023). 4. Para sustentar o nexo causal entre a atuação dos estelionatários e o vazamento de dados pessoais pelo responsável por seu tratamento, é imprescindível perquirir, com exatidão, quais dados estavam em poder dos criminosos, a fim de examinar a origem de eventual vazamento e, consequentemente, a responsabilidade dos agentes respectivos. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada. 5. Os dados sobre operações bancárias são, em regra, de tratamento exclusivo pelas instituições financeiras. No ponto, a Lei Complementar 105/2001 estabelece que as instituições financeiras conservarão sigilo em suas operações ativas e passivas e serviços prestados (art. 1º), constituindo dever jurídico dessas entidades não revelar informações que venham a obter em razão de sua atividade profissional, salvo em situações excepcionais. Desse modo, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço (art. 14 do CDC e art. 44 da LGPD). 6. No particular, não há como se afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do famigerado "golpe do boleto", uma vez que os criminosos têm conhecimento de informações e dados sigilosos a respeito das atividades bancárias do consumidor. Isto é, os estelionatários sabem que o consumidor é cliente da instituição e que encaminhou e-mail à entidade com a finalidade de quitar sua dívida, bem como possuem dados relativos ao próprio financiamento obtido (quantidade de parcelas em aberto e saldo devedor do financiamento). 7. O tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, notadamente quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor. 8. Entendimento em conformidade com Tema Repetitivo 466/STJ e Súmula 479/STJ: "As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias". 9. Recurso especial conhecido e provido para reformar o acórdão recorrido e reestabelecer a sentença proferida pelo Juízo de primeiro grau. (REsp n. 2.077.278/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 3/10/2023, DJe de 9/10/2023.)