6. Teoria da responsabilidade dos bancos prestadores de serviços de Internetbanking
A responsabilização tem por finalidade impor ao infrator a contrapartida legal pelos prejuízos e custos sociais decorrentes de sua conduta. Aquele que pratica ato que cause prejuízo a outrem, quer seja por dolo ou culpa, está obrigado a reparar o prejuízo. Esse é um princípio geral da responsabilidade: o homem apenas é responsável pelos prejuízos causados diretamente por ele e por seu fato pessoal.
Nem sempre, no entanto, é possível a imposição eficaz de penalidades ao autor direto de um gesto ou conduta, quer porque razões de ordem prática impedem seja alcançado, quer porque pode não dispor de solvabilidade. Essas circunstâncias servem como justificadoras para imposição de responsabilidade a outra pessoa, que não é o autor direto do gesto ou ato danoso, mas que mantém com este ou com a vítima algum tipo de relação, que, de certa forma, o liga ao resultado nocivo. A ineficácia ou falta de efetividade na atribuição de responsabilidade ao praticante direto do ato é que justifica voltar-se contra terceiro, que guarda alguma relação com aquele ou que está de alguma forma posicionado de modo a interferir em sua conduta (do ofensor primário). Essa situação é particularmente ilustrada no âmbito da Internet, onde o elevado grau de anonimato, permitido pela arquitetura da rede, impede ou ao menos dificulta a detecção do infrator primário, ou, quando isso é possível (ou seja, quando o transgressor é identificado), pode ocorrer de ser ele uma criança ou pessoa não responsável civil ou criminalmente por seus atos, ou pode se tratar de um indivíduo que não disponha de meios patrimoniais suficientes para reparar os prejuízos causados, ou ainda pode ser residente em território não submetido à jurisdição do país da vítima. Como resultado dessas possibilidades, tem-se como justificável a imposição de responsabilidade a terceiros, outros participantes da comunicação informática, por atos praticados pelos infratores primários. A limitação da responsabilidade aos infratores primários poderia comprometer o nível da segurança jurídica das relações que se estabelecem em meios eletrônicos. A dificuldade de imposição de responsabilidade aos agentes funciona como causa justificadora de sanção aos intermediários. Por atos cometidos por outrem, estes podem responder.
E quais, dentre os diversos intervenientes e fornecedores da cadeia eletrônica de comunicação podem e devem ser chamados à responsabilização por atos cometidos pelos phishers, quando estes não puderem ser identificados ou de qualquer maneira não puderem ser responsabilizados diretamente?
Já vimos nos itens anteriores, [39] que é inviável tentar responsabilizar o provedor de acesso à Internet ou de hospedagem e também o provedor de serviços de e-mail, uma vez que não têm poder de controle sobre a conduta dos criminosos ou capacidade para fazer cessar os efeitos do ato ilícito. Dentre os demais partícipes da cadeia de comunicação telemática, é o banco (prestador dos serviços de Internetbanking) quem está mais visivelmente posicionado de forma a interferir e impedir os efeitos da ação do phisher. Por ser a parte que controla tecnicamente o acesso ao serviço de Internetbanking, pode prevenir os ataques de forma mais eficaz do que qualquer outro agente intermediário da cadeia eletrônica de comunicação. E é justamente por isso, por ser o agente intermediário que tem o maior controle tecnológico para evitar a consecução da fraude, que pode ser chamado à responsabilização, para reparar os efeitos patrimoniais do ilícito. Além disso, nenhum outro intermediário da cadeia de comunicação informática está tão ligado à vítima de phishing do que o seu próprio banco, com quem mantém uma relação contratual para prestação de serviços de Internetbanking.
Os bancos redargúem apontando a não razoabilidade dessa teoria, já que não podem ser responsabilizados por falha de segurança, nesses casos, uma vez que são os próprios usuários do sistema que fornecem (ainda que involuntariamente) as senhas aos infratores. No caso de phishing, sustentam, não há propriamente nenhuma invasão ao sistema informático dos bancos. Os phishers, mediante artifícios enganosos, se apossam previamente das senhas dos verdadeiros usuários, e de posse delas acessam livremente o sistema do banco, como se fossem legítimos usuários. Sob essa ótica, o ataque não é cometido contra o sistema informático do banco, que permanece invulnerável em termos de segurança, não sendo razoável impor à instituição bancária a reparação dos danos patrimoniais resultantes da fraude. Os bancos sustentam ainda que a solução para o combate ao phishing passa pela educação do usuário, que deve ter o cuidado de utilizar softwares atualizados (antivírus, firewalls, navegadores de última versão etc.) e não ser displicente com as senhas de acesso ao sistema [40].
Essa tentativa de se colocar exclusivamente nas mãos do próprio usuário a responsabilidade de se precaver desse típico específico de fraude não é satisfatória, quando se tem em vista as características dinâmicas do ciberespaço e o papel que os bancos desempenham no mercado de serviços on line. Por mais bem informado que possa ser o internauta, em termos de noções básicas de navegação segura e utilização de programas de proteção, não se tem como eliminar completamente a probabilidade de ser vítima da fraude. As técnicas de phishing estão se sofisticando a cada dia, criando sempre maiores dificuldades para a pessoa saber quando está diante de uma tentativa de golpe [41]. Portanto, o senso comum que as pessoas têm nos ambientes físicos, quando se protegem de ardis e esquemas fraudulentos, não é aplicável ao ambiente do ciberespaço. Uma coisa é a pessoa ser abordada em casa, no meio da rua ou mesmo no interior de uma agência bancária por um estelionatário, o qual, se passando por um funcionário do banco, solicita e obtém a senha e cartão do banco. Os clientes de banco ou usuário de caixa eletrônico sabem que não devem fornecer suas senhas a qualquer outra pessoa. Outra situação completamente diferente é a da navegação em ambiente eletrônico, onde a ausência de conhecimentos técnicos e a natural falta de aptidão para lidar com inovações tecnológicas, somadas às características dinâmicas da Internet, que permitem o aparecimento de variadas formas e a sofisticação das fraudes eletrônicas, colocam o usuário em situação de ainda maior fragilidade. Essa diferenciação de situações impede que se tome de empréstimo de forma absoluta os padrões de conduta dos ambientes físicos para construção de analogias com o ciberespaço, quando se trata de alocar os riscos financeiros da utilização de sistemas de pagamento e transações on line. Os riscos devem ser alocados às partes mais capazes de lidar com eles e que, no caso em questão, são justamente os bancos.
A visão de que o phishing é um ataque que se executa de forma completamente externa ao sistema do banco, também não é apropriada. Na verdade, os computadores pessoais dos clientes são uma extensão do sistema de Internetbanking. Os bancos poderiam fornecer computadores dotados de programas atualizados de proteção contra golpes cibernéticos, mas optaram em utilizar os próprios computadores pessoais dos clientes como um recurso disponível. Essa deliberada opção tem o condão de vinculá-los a um mais elevado grau de riscos e perdas. As perdas decorrentes das fraudes financeiras devem integrar os custos do sistema escolhido. Já que os bancos escolheram permitir aos usuários se valerem dos seus computadores pessoais para, através da rede mundial, fazer conexão com o Internetbanking, toda a rede nesse caso se considera como uma extensão do sistema [42]. Encarada a questão por esse ângulo, a fraude dirigida ou cometida contra o computador pessoal do cliente do banco, pode ser comparada à fraude que é cometida contra o cliente no interior de uma agência bancária ou caixa eletrônico. Essa é a analogia mais perfeita e que pode justificar a responsabilização do banco pela não adoção de dispositivos eficientes de proteção contra o phishing.
Portanto, a educação dos usuários dos serviços de Internetbanking, para que adotem comportamentos e práticas seguras de navegação e utilização de softwares de proteção, é um recurso válido e que pode ser utilizado na redução de fraudes e ataques informáticos, mas que, por si só, não tem o efeito de externalizar integralmente os custos e perdas financeiras deles decorrentes. Mesmo que os bancos disponham em seus websites informações sobre o phishing e sobre como evitá-lo, tal iniciativa não é, por si só, suficiente para excluir a responsabilidade pelos efeitos lesivos desse tipo de fraude aos usuários. O esforço de educação deve ser visto como uma iniciativa dos bancos imbuída da boa-fé, objetivando diminuir as fraudes. Prover dicas e informações ao usuário, sobre como se proteger de fraudes eletrônicas, auxilia certamente na defesa deles e da própria instituição bancária, uma vez que reduz os custos do crime. No entanto, por mais que se dê informação ao cliente, este sempre estará sujeito a riscos na operação dos serviços de on line banking, pois novas formas de golpes e ataques fraudulentos são desenvolvidos a cada dia [43]. A educação do cliente, através de um contínuo processo de fornecimento de informações sobre como proteger seu micro de pragas eletrônicas é certamente um recurso que reduz o nível das fraudes, mas não as elimina por completo.
A responsabilização dos bancos na reparação dos efeitos financeiros resultantes do phishing, ainda pode ser justificada levando-se em consideração os seguintes argumentos adicionais:
a) argumento de ordem econômica.
Trata-se de argumento não propriamente jurídico, mas que nem por isso deixa de influenciar na definição da responsabilidade. Essa teoria é explorada por Assaf Hamdani, em relação à possibilidade da escolha de uma pessoa (intermediário) para responder pelos atos ilícitos praticados por um terceiro na rede, quando este não for passível de sanção de modo efetivo e que traga resultados práticos e úteis. Nesse caso, deve ser a parte para quem a atividade de fiscalização e monitoração represente custos mais baixos [44].
Ao analisar a responsabilidade dos bancos pelos prejuízos resultantes de phishing e outras fraudes semelhantes não se pode desconsiderar o argumento econômico de que são eles quem menos sofrem com a imposição dos custos da reparação. O fornecedor dos serviços bancários na Internet, pela sua supremacia econômica, é o que se chama na doutrina anglo-americana de o "least cost avoider", ou seja, a pessoa para quem a imposição do dever da reparação econômica representa o menor peso, considerando-se sua capacidade econômica. E aqui deve ser entendido que os bancos não somente podem "internalizar" mais facilmente os custos com a reparação dos prejuízos decorrentes de phishing, mas que são os únicos que dispõem de capacidade econômica para investir no desenvolvimento de soluções tecnológicas para combater esse tipo de fraude. Portanto, os bancos podem, em determinadas circunstâncias, suportar o ônus pelas conseqüências danosas do phishing, em substituição ao praticante direto da fraude, recorrendo-se à aplicação de princípios econômicos por meios dos quais se pode atribuir responsabilidade ao "least cost avoider". A responsabilidade pela reparação dos prejuízos financeiros pode ser expandida para a parte cujos custos de prevenção pelas fraudes são mais baixos.
Chamamos a atenção para a circunstância de que esse argumento, de ordem mais econômica do que jurídica, é utilizado com mais freqüência para justificar a responsabilidade objetiva de alguns atores que desenvolvem certos tipos de atividade (em geral de natureza periculosa) na sociedade, embora possa também influir na visualização e definição de outros padrões de responsabilidade. De fato, a própria jurisprudência brasileira, na aplicação da teoria contratualista - fusão entre a teoria do risco profissional e da culpa - às instituições financeiras, sempre considerou que a responsabilidade deve recair sobre aquele que extrai maior lucro da atividade que deu margem ao dano, nas hipóteses em que não resulta configurada culpa do correntista ou do banco [45]. Mesmo quando se trata de definir responsabilidade fundada na teoria pura da culpa, o argumento econômico pode ter extrema valia. A idéia é de que aqueles que se beneficiam com a venda de serviços e obtêm lucros excessivos nesse comércio devem ser responsabilizados ao menor sinal de negligência.
b) incentivo ao desenvolvimento de ferramentas tecnológicas.
A admissão da responsabilização dos bancos (obviamente, dentro de certas circunstâncias) também produz um incentivo para que desenvolvam ferramentas tecnológicas anti-phishing. As fraudes causam aos bancos tanto perdas financeiras como a erosão da confiança dos clientes nos sistemas de pagamentos e transações on line. De fato, incentivos mercadológicos já parecem estar dirigindo os bancos a lutarem contra o phishing da melhor forma que podem. As fraudes praticadas contra usuários de serviços na Internet ameaçam o desenvolvimento do comércio eletrônico. Se eles perdem a confiança na segurança das transações eletrônicas, quer seja porque não estão certos da identidade do site que visitam, quer porque temem de inadvertidamente divulgar informações pessoais, a conseqüência é um possível abalo ao modelo existente de e-commerce. O reconhecimento, no âmbito da teoria jurídica, de que os bancos podem sofrer a responsabilização pelo ressarcimento dos prejuízos causados ao seu cliente, vítima de golpe de phishing, funcionaria como incentivo adicional para desenvolverem dispositivos capazes de eliminar esse tipo de praga tecnológica. Sofrendo responsabilização, e conseqüentemente sendo obrigados a reparar os danos resultados das fraudes, os bancos (e as empresas de comércio eletrônico de uma forma geral) sentir-se-ão incentivados a adotar medidas tecnológicas de segurança mais adequadas a lidar com a nova realidade do phishing.
c) argumento da possibilidade técnica de evitar a fraude
Para se determinar a pessoa que deve responder pelos prejuízos produzidos por fraudes bancárias em ambientes eletrônicos é imprescindível a noção de que a responsabilidade deve ser imposta a quem é capaz de detectar a ação criminosa e preveni-la.
Os bancos têm a capacidade tecnológica para prevenir transações fraudulentas, já que são os únicos com acesso a todos os dados e com habilidade para evoluir seus sistemas.
Por outro lado, os custos econômicos para o desenvolvimento de ferramentas tecnológicas de combates a fraudes tecnológicas são razoáveis, em relação os prejuízos que buscam prevenir, daí que a teoria a ser evoluída nesse campo específico da responsabilidade civil deve reconhecer o papel de interesse público que as instituições bancárias devem ter na atribuição de segurança a essas transações.
6.1. Adequação do novo padrão de responsabilidade à legislação existente
Já vimos que o banco é quem guarda a relação mais estreita com a vítima do golpe de phishing, a quem está vinculado por meio de uma relação contratual. É o prestador direto do serviço, cuja segurança, no caso de ataque, é que está mais suscetível a acusações de falha.
A imputação de responsabilidade aos bancos, no entanto, não pode ser feita de forma aleatória, mas deve adequar-se aos esquemas de responsabilidade civil (contratual) existentes em nosso sistema jurídico. Examinando os esquemas existentes, bem como seus fundamentos, é que identificamos aquele que pode servir de padrão à responsabilidade do prestador de serviços bancários on line, na reparação de danos causados à vítima (cliente) de golpe de phishing.
6.1.1 Responsabilidade contratual regida pelo CDC
Nenhum outro intermediário da cadeia de comunicação informática está tão ligado à vítima de phishing do que o seu próprio banco, com quem mantém uma relação contratual para prestação de serviços de Internetbanking. A responsabilidade do banco, portanto, é uma responsabilidade de origem contratual e o vínculo que o prende ao seu cliente forma uma relação de consumo, a ser regida pelas normas da Lei 8.078/90 (Código de Defesa do Consumidor). De fato, o cliente bancário se enquadra no conceito de consumidor definido no art. 2º. do CDC, já que adquire e utiliza o serviço de Internetbanking na condição de "destinatário final". Por sua vez, a instituição bancária é considerada fornecedor, para fins de aplicação das normas do Código, na medida em que desenvolve atividade de prestação de serviços (art. 3º.). Além disso, ao definir serviço, o § 2º. do art. 3º. alcança "qualquer atividade fornecida no mercado de consumo, mediante remuneração, inclusive as de natureza bancária".
A jurisprudência inclusive já vem fazendo recurso de normas do CDC quando se trata de definir a responsabilidade dos bancos em matéria de fraudes eletrônicas. Por exemplo, a 5ª Turma Cível do Tribunal de Justiça do Distrito Federal manteve, por unanimidade, sentença do Juiz Franco Vicente Piccolo, da 1ª Vara Cível de Brasília, que condenou um banco a indenizar um correntista que teve sua conta invadida [46]. Para fundamentar a condenação do banco, a sentença invocou a responsabilidade orientada pela teoria do risco profissional, nos termos da qual é responsável pela reparação dos danos aquele que maior lucro extrai da atividade que lhe deu origem [47]. O próprio STJ vem enfrentando essas questões sob a ótica das normas do CDC, com a diferença de que tem firmado o entendimento de que o uso do cartão magnético e da senha é de responsabilidade do correntista, daí que se os entrega a terceiro incide a regra do § 3º. do art. 14, que isenta o fornecedor de responsabilidade quando a culpa é exclusiva do consumidor [48].
Esse tipo de compreensão do problema, data vênia, incorre em erro técnico-jurídico, uma vez não se deve enfrentá-lo por via da utilização do esquema de imputação de responsabilidade objetiva, prevista no art. 14 do CDC. Como se sabe, o CDC criou dois regimes diferentes de vícios do produto ou serviço. O primeiro, se refere aos vícios de insegurança, capazes de provocar o fato do produto ou serviço, ou seja, o defeito de insegurança que atinge o consumidor (ou terceiro) na sua integridade física ou psíquica. O defeito de segurança provoca danos à esfera da saúde física ou psíquica da pessoa, causando o acidente de consumo. A responsabilidade pelos danos causados por esse tipo de vício é de natureza extracontratual e independe de culpa. Trata-se de uma responsabilidade objetiva ou responsabilidade não culposa, já que os arts. 12 e 14 do CDC atribuem responsabilidade a certos fornecedores "independentemente da existência de culpa" pela reparação dos danos causados aos consumidores por defeitos do produto ou relativos à prestação dos serviços [49]. Já o regime dos vícios de inadequação ou de funcionalidade (tratados no art. 18 e ss.) [50] não caracteriza uma responsabilidade objetiva. Ao contrário dos arts. 12 e 14 (que tratam do fato do produto ou serviço), os arts. 18 e 20 (que regulamentam a responsabilidade por vício do produto ou serviço) não se utilizam da mesma expressão, ou seja, não indicam que o fornecedor responde pela reparação "independentemente da existência de culpa". Em assim sendo, pode-se dizer que o regime dos vícios de inadequação, de natureza contratual, tem amparo numa "responsabilidade especial" [51].
Os prejuízos decorrentes de phishing são de ordem exclusivamente patrimonial. Ou seja, a vítima da fraude sofre apenas danos materiais, não sendo atingida em sua integridade física ou psíquica, daí que não se configura o instituto do fato do serviço (ou acidente de consumo) e não se pode invocar a aplicação do art. 14 do CDC como fundamento da responsabilidade do banco (fornecedor). A situação pode ser representativa apenas de um típico vício por inadequação do serviço (de Internetbanking), enquadrando-se no descritor normativo do art. 20, para efeito de justificar a responsabilização do prestador do serviço falho ou inadequado [52].
Por outro lado, o que é relevante não é o aspecto subjetivo (da conduta do banco). Na definição do dever de reparação do fornecedor de serviços (bancários), o importante é um dado objetivo: se o serviço (de Internetbanking) é falho, no sentido de que não protege o usuário contra golpes de phishing. Mesmo não se tratando de uma responsabilidade puramente objetiva - a que é delineada no art. 20 do CDC - não exige culpa ou prova da culpa, mas apenas constatação do "vício". Trata-se de uma responsabilidade especial, dependente de parâmetros impostos nas previsões legais específicas (art. 20 e seu § 2º.). De fato, ao estabelecer que "o fornecedor de serviços responde pelos vícios de qualidade que os tornem impróprios ao consumo", o legislador criou um padrão de responsabilidade peculiar, que impõe a obrigação de liberar no mercado de consumo somente serviços isentos de vícios, não importando perquirir a culpa pelos danos causados em função do serviço viciado.
Cláudia Lima Marques é quem melhor explica que o CDC criou uma responsabilidade especial, um sistema específico para disciplinar a relação do fornecedor de produtos e serviços com o consumidor. De acordo com ela [53], o fundamento desta responsabilidade tem origem na teoria da qualidade, segundo a qual os produtos e serviços prestados trariam em si uma garantia de adequação para o seu uso e uma garantia de segurança. Nesse sentido, todo fornecedor tem um dever de qualidade, considerado um dever anexo à própria atividade produtiva no mercado de consumo. Portanto, o CDC impôs um dever legal para o fornecedor, uma garantia implícita de adequação e segurança dos seus produtos e serviços. Só há violação desse dever ou garantia se o bem introduzido no mercado apresenta um vício de qualidade ou defeito de segurança. Assim, para se estabelecer a responsabilidade do fornecedor pela reparação de danos não se deve perquirir se agiu com a diligência necessária (noção de culpa) ou o grau de risco criado pela sua atividade (fundamento da responsabilidade objetiva), mas se faltou com o dever de qualidade, ao inserir no mercado um produto ou serviço imprestável ou inseguro, causando, por causa desse vício ou defeito, algum tipo de dano ao consumidor.
Ao tratar diretamente dos vícios de inadequação, a citada doutrinadora explicita a pouca importância do aspecto subjetivo da conduta do fornecedor na definição de sua responsabilidade:
"Concretamente, o CDC impõe aos fornecedores a obrigação de liberar no mercado somente produtos isentos de vícios. Trata-se de uma obrigação de resultado, não importa perquirir a culpa de algum dos fornecedores da cadeia. O importante é o vício, que será reclamado, normalmente, perante o comerciante direto, último na cadeia" [54] (grifos nossos).
Mais adiante, o comentar o art. 20 do CDC, Cláudia Lima Marques volta a enfatizar que o esquema peculiar criado pelo diploma consumerista confere pouco valor ao agir do prestador de serviço, na definição da responsabilidade:
"...isto porque concentra-se na funcionalidade, na adequação do serviço prestado e não na subjetiva existência de diligência normal ou de uma eventual negligência do prestador de serviços e de seus prepostos. A prestação de um serviço adequado passa a ser a regra, não bastando que o fornecedor tenha prestado o serviço com diligência" [55].
E continua:
"Enquanto o direito tradicional se concentra na ação do fornecedor do serviço, no seu fazer, exigindo somente diligência e cuidados ordinários, o sistema do CDC, baseado na teoria da função social do contrato, concentra-se no efeito do contrato. O efeito do contrato é a prestação de uma obrigação de fazer, de meio ou de resultado. Este efeito, este serviço prestado, é que deve ser adequado para os fins que "razoavelmente dele se esperam"; é o serviço prestado, por exemplo, o transporte de passageiros, a pintura da parede da casa, a intervenção cirúrgica ou a guarda do automóvel na garagem, que deve possuir a adequação e a prestabilidade normal. Está claro que o fazer e o resultado são inseparáveis, conexos de qualquer maneira, mas o CDC como que presume que o fazer foi falho, viciado, se o serviço dele resultante não é adequado ou não possui a prestabilidade regular.
Se efetivamente o fornecedor agiu ou não com a diligência, o cuidado e a vigilância normal, quando da prestação de sua obrigação, importa apenas para a alegação de um eventual inadimplemento contratual. O recurso usado pelo CDC de instituir uma noção de vício do serviço facilitará a satisfação das expectativas legítimas dos consumidores também nos contratos de serviços, pois objetiva os critérios jurídicos para determinar se há ou não falha na prestação do fornecedor [56].
Como se observa, para fins de determinação dos limites da responsabilidade do fornecedor de serviços, o jurista deve se concentrar na análise do vício. O regime de vícios pressupõe o descumprimento de um dever anexo do fornecedor, um dever de qualidade, dever de adequação do serviço à finalidade a que se destina. Assentada essa teoria da qualidade, a definição da responsabilidade do banco em reparar os danos sofridos por seu cliente, passa necessariamente pela análise da funcionalidade do serviço de Internetbanking.
E aqui, pelas razões já expostas anteriormente, deve-se entender que um sistema de Internetbanking que não proteja o usuário contra golpes de phishing não pode ser encarado como isento de vício. Somente os bancos têm condições técnicas para monitorar, detectar e prevenir transações fraudulentas, além de capacidade econômica para investir no desenvolvimento de soluções tecnológicas para combater o phishing. Portanto, deve haver um reconhecimento generalizado de que se o banco não desenvolve dispositivos capazes de eliminar esse tipo de praga tecnológica, o serviço de Internetbanking que oferece no mercado é viciado, dotado de vício de inadequação às finalidades que dele se espera. O cliente desse serviço tem uma legítima expectativa de proteção contra fraudes eletrônicas e, se não atende a essa expectativa, não se mostra adequado para realizar a finalidade que razoavelmente dele se espera. O sistema de Internetbanking que não tenha evoluído para proteger o cliente contra golpes de phishing é "impróprio ao consumo", por conter vício de qualidade, já que se mostra inadequado aos fins que dele razoavelmente se espera (§ 2º. do art. 20 do CDC) [57].