Símbolo do Jus.com.br Jus.com.br
Artigo Selo Verificado Destaque dos editores

A responsabilidade dos bancos pelos prejuízos resultantes do "phishing"

Exibindo página 7 de 7
Demócrito Reinaldo Filho
Agenda 11/07/2008 às 00:00

9. Conclusões:

1ª.) É inviável tentar responsabilizar o provedor de Internet pelos prejuízos decorrentes do phishing, porque não tem uma "obrigação geral de vigilância" sobre o conteúdo do material que hospeda ou sobre as informações que os usuários transmitem através de seu sistema informático. Nem por inércia na remoção do conteúdo ilícito, quando comunicado da presença de uma spoofed webpage hospedada em seu sistema, o provedor pode ser responsabilizado, pois em geral os próprios fraudadores tomam a iniciativa de remover o material, imediatamente após as tentativas de execução do golpe.

2ª.) Também não é razoável exigir que os provedores de serviços de e-mail sejam responsabilizados pelos danos que mensagens de phishing scam possam acarretar aos seus usuários. A menos que o contrato com o usuário contenha cláusula expressa nesse sentido, o provedor não tem uma obrigação de triagem das mensagens e, tendo em vista a natureza do serviço de e-mail e o atual estado da técnica referente às comunicações e transmissões eletrônicas de dados via Internet, as tecnologias disponíveis permitem um grau limitado de impedimento de chegada de mensagens fraudulentas à caixa postal dos usuários.

3ª.) A legislação criminal que objetiva a punição exclusiva do agente direto, praticante do phishing, não produz resultado satisfatório em termos de resposta à pessoa da vítima. Como os phishers atuam sob técnicas que favorecem o anonimato, quase sempre não conseguem ser identificados, permanecendo a vítima sem a restauração de seu patrimônio. Daí a necessidade do desenvolvimento de teoria na órbita civil, que admita a possibilidade de responsabilização de outro intermediário da comunicação eletrônica, para suportar o ônus de reparar o dano causado à vítima da fraude.

4º.) Dentre todos os partícipes da cadeia de comunicação telemática, é o banco (prestador dos serviços de Internetbanking) quem está mais visivelmente posicionado de forma a interferir e impedir os efeitos da ação do phisher. Por ser a parte que controla tecnicamente o acesso ao serviço de Internetbanking, pode prevenir os ataques de forma mais eficaz do que qualquer outro agente intermediário da cadeia eletrônica de comunicação. E é justamente por isso, por ser o agente intermediário que tem o maior controle tecnológico para evitar a consecução da fraude, que pode ser chamado à responsabilização, para reparar os efeitos patrimoniais do ilícito. Além disso, nenhum outro intermediário da cadeia de comunicação informática está tão ligado à vítima de phishing do que o seu próprio banco, com quem mantém uma relação contratual para prestação de serviços de Internetbanking.

5º.) A imputação de responsabilidade aos bancos, no entanto, não pode ser feita de forma aleatória, mas deve submeter-se aos esquemas de responsabilidade civil (contratual) existentes em nosso ordenamento jurídico. Examinando a natureza do vínculo que prende o banco ao seu cliente, identificamos a presença de uma relação de consumo, a ser regida pelas normas da Lei 8.078/90 (Código de Defesa do Consumidor). No universo textual do CDC, encontramos um esquema de responsabilidade especial (no art. 20), atribuível aos fornecedores por vícios de inadequação dos serviços que disponibiliza no mercado. É com esse enquadramento legal que deve ser definida a responsabilidade dos bancos pelas conseqüências resultantes do phishing.

6ª.) No regime dos vícios de inadequação do serviço, tratado no art. 20 do CDC, o que é relevante para definir a responsabilidade não é o aspecto subjetivo da conduta do fornecedor (banco). Na definição do dever de reparação, o importante é um dado objetivo: se o serviço (de Internetbanking) é falho (viciado) ou não. E um sistema de Internetbanking que não proteja o usuário contra golpes de phishing não pode ser encarado como isento de vício. O cliente desse serviço tem uma legítima expectativa de proteção contra fraudes eletrônicas e, se não atende a essa expectativa, não se mostra adequado para realizar a finalidade que razoavelmente dele se espera. O sistema de Internetbanking que não tenha evoluído para proteger o cliente contra golpes de phishing é "impróprio ao consumo", por conter vício de qualidade, já que se mostra inadequado aos fins que dele razoavelmente se espera (§ 2º. do art. 20 do CDC)

7ª.) Como a definição da responsabilidade passa necessariamente pela análise da adequação do serviço, ou seja, se não padece de vício que comprometa sua funcionalidade, o dever de reparação dos danos de cliente bancário sofrido em decorrência de phishing vai exigir, em cada caso, a investigação das ferramentas tecnológicas que o banco emprega, em seu sistema informático, para proteger o usuário desse tipo de cilada eletrônica. A premissa deve ser a de que o banco que não tenha instalado método de autenticação com mais de um nível de segurança (sendo um deles através de senha aleatória) deve ser responsabilizado pelos prejuízos patrimoniais causados pelo fraudador (phisher) ao seu cliente. As soluções tecnológicas de segurança inicialmente implantadas pelos bancos, tais como firewall, criptografia de dados, teclado virtual e certificado digital, não são aptas a eliminar os efeitos do phishing. A introdução dos métodos de múltiplos níveis de autenticação, com um deles realizado através da inserção de senha aleatória fornecida por dispositivo cuja responsabilidade pela guarda é do usuário (tabela de senhas, token ou displaycard), afasta a inicial constatação de ineficiência quanto ao resguardo dos dados pessoais (dos clientes) - os experts consideram que essa nova tecnologia de autenticação é eficaz contra o phishing (na sua forma pura). Portanto, serviço de Internetbankig que disponha de múltiplo fator de autenticação (com senha de segundo nível aleatória) não sofre de vício de inadequação, e se não dispõe de vício, o fornecedor (banco) não pode ser responsabilizado por eventuais prejuízos, cuja causa se entende como sendo outra qualquer (culpa exclusiva da vítima).

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

Notas

  1. O Departamento de Justiça dos EUA define phishing como "criação e uso criminosos de e-mails e websites, desenhados para parecer como renomadas e legítimas empresas, instituições financeiras e agências governamentais, de modo a enganar usuários de Internet para que revelem suas informações bancárias e financeiras ou outro dado pessoal como nome de usuário e senhas" (em DEPARTMENT OF JUSTICE, SPECIAL REPORT ON "PHISHING" (2004), disponível em: http://www.usdoj.gov/criminal/fraud/Phishing.pdf
  2. Banco internético (do inglês internet banking), banco online, online banking, às vezes também banco virtual, banco eletrônico ou banco doméstico, são termos utilizados para caracterizar transações, pagamentos etc. pela Internet por meio de uma página segura de banco. Esse sistema permite ao usuário utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet. Na maioria dos casos, um programa navegador (como o Internet Explorer ou o Mozilla Firefox) e qualquer conexão à Internet são suficientes, não sendo necessário nenhum software ou hardware adicional.
  3. Os incidentes de phishing têm crescido dramaticamente desde 2003. Sobre as taxas de crescimento desse tipo de fraude, recomendamos a leitura do ANTI-PHISHING WORKING GROUP, PHISHING ACTIVITY TRENDS REPORT (de junho de 2006), disponível em: http://www.antiphishing.org/reports/apwg_report_june_2006.pdf
  4. Inclusive no Google Acadêmico (Google Scholar) - http://scholar.google.com/
  5. A exemplo do trabalho de Camille Calman, sob o título: " BIGGER PHISH TO FRY: CALIFORNIA’S ANTIPHISHING STATUTE AND ITS POTENTIAL IMPOSITION OF SECONDARY LIABILITY ON INTERNET SERVICE PROVIDERS", publicado na Richmond Journal of Law & Technology, Volume XIII, Issue 1.
  6. Ou também sites de pagamento (como o Paypal), de comércio eletrônico, sites de leilão, etc.
  7. No caso do pharming, a vítima tem seu computador infectado de outras maneiras. Por exemplo, pode acontecer de a pessoa sofrer a inserção de vírus em seu computador simplesmente navegando por páginas da Internet. Esse vírus altera a configuração do programa de navegação da vítima (browser), fazendo com que, quando esta tenta acessar um site de um banco, por exemplo, o navegador infectado a redireciona para o site falso.
  8. Em artigo que escrevemos anteriormente, já identificamos a responsabilidade do provedor na reparação dos prejuízos sofridos por seu usuário nas hipóteses de "envenenamento" do DNS. Ver "A INFECÇÃO DO SISTEMA DNS: nova modalidade de phishing e a responsabilidade do provedor", artigo publicado no site Jus Navigandi - https://jus.com.br/artigos/6978, em julho de 2005.
  9. A expressão inglesa identity theft foi utilizada pela primeira vez em 1996, quando a Comissão Federal para o Comércio (Federal Trade Comission) alertou para o crescente número de utilização fraudulenta de dados de identificação de consumidores. Depois, a expressão foi incorporada na terminologia literária americana. Em verdade, não é fisicamente possível o furto da identidade de uma pessoa; o que é possível é o furto dos seus meios de identificação.
  10. O phishing na verdade tem uma acepção mais ampla, envolvendo qualquer tentativa de fraudulentamente se obter informação sensível como senhas e dados de cartões de crédito ou qualquer outro dado que permita a realização de transação em sistemas de pagamento on line (nonbank payment systems, como o Pay Pal e o e-Gold), sites de leilão e de comércio eletrônico em geral. Assim, o phisherman pode ter como alvo os dados de um usuário e respectivos números da conta e senhas bancárias, para serem utilizados em sites de Internetbanking, ou pode coletar dados de cartão de crédito e senhas utilizadas em sites de comércio eletrônico ou de leilão (como o e-Bay) e de sistemas de pagamento on line. Além disso, o phishing não somente pode ser executado por meio do envio de uma mensagem de e-mail como também através de comunicação em programas de instant messaging e até mesmo por telefone.
  11. As mensagens de phishing scam geralmente aparentam provenientes de uma fonte confiável. Os fraudadores manipulam o campo do cabeçalho da mensagem (campo "de:" ou "from:") com o nome do remetente, de forma a que o destinatário pense ser de fonte legítima.
  12. Esse tipo de atividade fraudulenta, em que se usam clones de websites com a aparência de sites respeitáveis, é também chamada de spoofing.
  13. Notícia publicada na eWeek.com (www.eweek.com), no dia 29.04.05, reporta provável ataque ao servidor da Network Solutions Inc., conhecido registrador de nome de domínios, através do qual hackers podem ter alterado as informações do endereço na Web da empresa Hushmail Communications Corp, de modo a redirecionar os visitantes da URL dessa empresa – hushmail.com – para um site falso.
  14. O sistema DNS é formado por uma rede global de servidores, compreendida de 13 servidores raiz espalhados pelo mundo. O original sistema de endereços usava apenas números, de difícil utilização portanto. A partir de 1984 foi introduzido o sistema DNS, permitindo aos usuários utilizar palavras (mais fácil de memorizar) e as organizando em forma de "nomes de domínio". Assim, todo endereço na web passou a ser formado por um nome de domínio (domain name), que tem que ser registrado num sistema central, de maneira a que corresponda a um número IP (Internet Protocol) - que é o endereço que realmente os computadores se utilizam para a troca de "pacotes" de informação entre eles. Portanto, a comunicação entre computadores ainda continua a se utilizar de números. Todo website tem um número de identificação único (número IP), através do qual o sistema o reconhece e direciona para ele a informação. Mas os internautas procuram endereços na web inserindo "nomes de domínio" na barra de seus programas navegadores. O servidor DNS faz a correspondência entre o nome de domínio e o respectivo IP, repassando a informação para o computador do internauta.
  15. Uniform Resource Locator, sigla que designa o endereço de um site na Web.
  16. Sobre os fundamentos jurídicos da responsabilidade do provedor de Internet por danos resultantes ao seu usuário de ataques de DNS poisoning, sugerimos a leitura de nosso artigo "A INFECÇÃO DO SISTEMA DNS: a nova modalidade de phishing e a responsabilidade do provedor", publicado no site Jus Navigandi - https://jus.com.br/artigos/6978.
  17. Em notícia recente (do dia 9.8.08) publicada no site da BBC, foi divulgada a existência de falha no programa navegador que permitiria um ataque de pharming, já que haveria a possibilidade de, explorando essa falha, os criminosos redirecionarem os internautas para sites falsos, mesmo teclando endereços corretos. A notícia dá conta de que a Microsoft e outras grandes empresas que desenvolvem softwares estão distribuindo patchs para conserto do defeito de segurança nos browsers de seus usuários. Na mesma notícia, ainda é feita referência de que não se tem comprovação de que a falha tenha sido utilizada. É certo, no entanto, que, em tendo sido efetivamente explorada para a efetivação de algum ataque, o fabricante do programa poderia ser responsabilizado. A vulnerabilidade que permitiu a concretização do golpe, nesse caso, não seria da responsabilidade do provedor de Internet. A notícia, sob o título "Fix found for net security flaw", pode ser acessada em: http://news.bbc.co.uk:80/2/hi/technology/7496735.stm
  18. Naftali Bennett, especialista em segurança computacional, afirma que 70% dos phishers produzem ataques em vítimas de países distintos. Ele acrescenta: "É quase impossível rastrear e processar os fraudadores.... Phishers estão se tornando mais sofisticados e mascarando suas identidades e localização. Eles estão se utilizando de PC´s "zumbis" e se escondendo de forma eficiente" (Citado por Gene S. Koprowski, Tough State Laws Won’t Stop "Phishing" Scams, Experts Say, TECHNEWSWORLD, Oct. 29, 2005, disponível em: http://www.technewsworld.com/story/46889.html.
  19. O golpe de phishing típico envolve dois passos iniciais. No primeiro, o phisher obtém espaço para hospedar uma webpage junto a um provedor de serviços na Internet e, uma vez contratado isso, instala o falso website, parecido com o de um banco ou de comércio eletrônico. Somente depois, é que o phisher envia para a vítima o e-mail enganoso ou contendo vírus que se apodera de seu computador e direciona o programa de navegação na Internet (browser) para a URL onde já se encontra o spoofed website.
  20. Alguns autores estrangeiros sustentam a possiblidade de se responsabilizar civilmente o provedor, de forma solidária, pelas lesões financeiras decorrentes do phishing, É o caso, por exemplo, de Camille Calman, que sugere uma responsabilidade secundária do provedor, com fundamento na Lei Anti-Phishing da Califórnia (em Bigger Phish to Fry: California’s Antiphishing Statute and its potential imposition of secondary liability on Internet Service Providers, publicado na Richmond Journal of Law & Technology Volume XIII, Issue1; disponível em http://law.richmond.edu/jolt/v13i1/article2.pdf
  21. Segundo Jeordan Legon, que afirma que os phishers além de mascarar suas identidades, abrem e fecham suas operações rapidamente (em "Phishing" Scams Reel in Your Identity, CNN.COM, Jan. 26, 2004, disponível em: http://www.cnn.com/2003/TECH/internet/07/21/phishing.scam/index.html
  22. "The Promise of Internet Intermediary Liability", William & Mary L. Review, 47 (2005): 239, disponível em http://works.bepress.com/ronald_mann/24.
  23. Sempre, é óbvio, quando a falha de segurança não se relacione com o próprio sistema do provedor. O alvo dos ataques de phishing, spam e disseminação de vírus em regra são os computadores dos usuários dos serviços de comunicação na Internet.
  24. Seria uma responsabilidade por ato de terceiro. Em que pese a ausência de previsão da responsabilidade dos provedores por atos de seus usuários no art. 932 do C.C., a responsabilidade dos intermediários seria mantida apoiada nos fundamentos da responsabilidade por ato alheio, sobre a base de uma culpa individual A inexistência de norma específica em relação aos provedores e operadores de sistema informáticos poderia ser explicada na circunstância de que as relações cibernéticas são um fenômeno da modernidade, não prevista pelo legislador civilista, daí porque, em nome da evolução do Direito, seria fácil sustentar a extensão da responsabilidade secundária, de forma a incluir também aqueles (provedores) como responsáveis solidários. Uma tal conclusão não seria destituída de razoabilidade jurídica, pois o Direito não pode tolerar que ofensas fiquem sem reparação. Se "o interesse em restabelecer o equilíbrio violado pelo dano é a fonte geradora da responsabilidade civil", nada impede que se visualize a responsabilidade dos intermediários da comunicação eletrônica, para atender a uma necessidade moral, social e jurídica de garantir a segurança da vítima violada pelo ato lesivo. Nesse sentido, os fundamentos da responsabilidade por ato alheio, calcada na falta de um dever de vigilância, podem ser invocados de modo a justificar a obrigação indenizatória de um controlador de sistema negligente.
  25. Que pode ser o seu próprio provedor de acesso à Internet, cujo servidor armazena em espaço em disco uma "caixa postal", onde ficam transitoriamente as mensagens até serem baixadas para o computador do usuário, que tem seu próprio programa gerenciador de e-mails (o Outlook Express, por exemplo), ou um provedor de serviços de webmail, onde as mensagens são armazenadas exclusivamente em seu servidor – o destinatário lê as mensagens na tela do programa que usa para navegar na Web. O Yahoo!, o Hotmail e o GMail são exemplos de provedores desses serviços de webmail. O internauta se conecta à rede Internet através de seu provedor de acesso e adentra nesses sites de serviços webmail pelo seu programa de navegação (browser). As mensagens que os usuários recebem ficam armazenadas de forma definitiva nos servidores desses prestadores de serviços.
  26. Nesse sentido é a posição defendida pelo Min. Castro Filho, do STJ, no artigo "Da Responsabilidade do Provedor de Internet nas relações de consumo", apoiando-se na opinião de Erica Barbagalo (Aspectos da Responsabilidade civil dos provedores de serviços de Internet, in LEMOS, Ronaldo (Org.). Conflitos sobre nomes de domínio: e outras questões jurídicas da Internet. São Paulo: Revista dos Tribunais, 2003, p. 345.
  27. http://gmail.google.com/
  28. O Google é uma das mais populares ferramentas de busca na Internet.
  29. O Yahoo! Mail utiliza a tecnologia patenteada como SpamGuard, que direciona automaticamente todas as mensagens de spam para uma pasta de "e-mails em massa".
  30. Enquanto o endereço de envio for o mesmo (assim como o domínio), o bloqueador baseado na informação do campo "De" (ou "From") é bastante efetivo.
  31. O Projeto de Lei n. 6.210/2002 apresentado na Câmara dos Deputados em 05.03.02, de autoria do Dep. Ivan Paixão (PPS-SE), trazia a seguinte disposição:

    "§ 3º Não será responsabilizado pelo recebimento indevido de mensagem eletrônica não solicitada o provedor de acesso ou de serviço de correio eletrônico que tenha se utilizado, de boa fé, de todos os meios a seu alcance para bloquear a transmissão ou recepção da mensagem."

    projeto, no entanto, foi arquivado em 31 de janeiro de 2003. Ver informações a respeito no site da Câmara dos Deputados.

  32. As soluções técnicas, os filtros de spam, são soluções paliativas. Os programas de filtragem são constituídos de uma série de regras que visam a determinar a semelhança de uma mensagem analisada com um spam. Os programas são regulados para bloquear mensagens segundo alguns critérios pré-definidos, levando em conta, p. ex., se a mensagem é proveniente de alguns servidores listados como sendo de spammers, ou se é enviada para um número alto de destinatários, ou se contém certa palavra, entre outros padrões. Esses programas, contudo, são sempre limitados, e geralmente terminam filtrando mais mensagens do que o desejado.
  33. É nessa linha que se situam as leis alienígenas que regulam a atividade de envio de mensagens eletrônicas não solicitadas, a exemplo do CAN-Spam Act, a lei americana editada com a finalidade de combater o spam.
  34. Veja comunicado oficial, sobre a apresentação do projeto de lei no Senado Norte-Americano em: http://leahy.senate.gov/press/200503/030105.html. O texto completo da lei pode ser obtido em: http://www.govtrack.us/congress/billtext.xpd?bill=h109-1099.
  35. "Configura crime de furto qualificado a subtração de valores de conta corrente, mediante transferência bancária fraudulenta, sem o consentimento do correntista" (STJ - 3ª Seção - CC 87.057-RS - Relª Minª Maria Thereza de Assis Moura - j. 13.02.2008 - DJ 22.02.2008). Nesse caso julgado, o criminoso promoveu a transferência de valores por intermédio do Internet Banking da CEF. A relatora em seu voto esclareceu que: "A fraude, de fato, foi usada para burlar o sistema de proteção e vigilância do banco sobre os valores mantidos sob sua guarda, configurando, assim, crime de furto qualificado por fraude, e não estelionato".
  36. Ver, a propósito, Jim Harper, Diretor de Estudos de Política de Informação do Cato Institute, que afirma:

    "Politicians who claim to protect consumers in this environment either don´´t know that they are lying, or are deeply cynical" (citado por Gene S. Koprowski,, em Tough State Laws Won’t Stop "Phishing" Scams, ExpertsSay, publicado em TECHNEWSWORLD, Oct. 29, 2005, acessível em: http://www.technewsworld.com/story/46889.html

  37. Naftali Bennett, especialista em segurança computacional, afirma que 70% dos phishers produzem ataques em vítimas de países diferentes. Ele acrescenta: "É quase impossível rastrear e processar os fraudadores.... Phishers estão se tornando mais sofisticados e mascarando suas identidades e localização. Eles estão se utilizando de PC´s "zumbis" e se escondendo de forma eficiente" (Citado por Gene S. Koprowski, Tough State Laws Won’t Stop "Phishing" Scams, Experts Say, TECHNEWSWORLD, Oct. 29, 2005, disponível em: http://www.technewsworld.com/story/46889.html
  38. Nas palavras de Maria Helena Diniz, Curso de Direito Civil Brasileiro, Editora Saraiva, 11ª ed., 7º. vol., p. 5.
  39. Ver itens 3 e 4, onde apontamos a inviabilidade de se pretender a responsabilização dos provedores de serviços na Internet.
  40. Para os bancos, é da alçada de responsabilidade do usuário a proteção do seu computador, devendo ter cuidados na utilização do correio eletrônico e do programa navegador. Indicam que o cliente deve dispor de antivírus atualizado e se manter atento ao phishing. Em seus websites, em geral informam que nunca enviam mensagens de correio eletrônico com links e que se o cliente receber mensagem desse tipo fica aleartado que provavelmente se trata de uma fraude. Informam ainda os clientes para nunca clicar em links de mensagens provenientes de fontes não fidedignas e não abrir arquivos anexados, bem como manter os dados de acesso reservados, nunca divulgando-os a outra pessoa, mesmo sendo de confiança. Essas medidas, no entanto, não são suficientes para impedir a responsabilização dos bancos, como veremos adiante.
  41. As mensagens de phishing primitivas eram mais facilmente detectáveis, pelo menos pelos usuários da Internet mais experientes. Muitas continham inclusive erros gramaticais e os endereços nos links eram exclusivamente numéricos, deixando revelar que a página eletrônica para a qual enviava não era a do site legítimo. Além disso, as mensagens eram enviadas de forma indiscriminada, alcançando usuários que não tinham relações com o banco ou website respectivo. Atualmente, as mensagens de phishing tendem a ser gramaticalmente corretas e quando contêm algum erro no título geralmente é posto de forma intencional, para evitar filtros que detectam spams. Muitos phishers só enviam mensagens para clientes da instituição cuja marca ou site eles tentam fraudar, numa técnica conhecida como spear-phishing. Além disso, os fraudadores desenvolveram técnicas para mascarar a URL do site falso, fazendo com que o correspondente ao site legítimo apareça no local da barra de endereços do programa de navegação.
  42. Pode-se usar a analogia de que a rede seria a estrada por meio da qual é feito o acesso à "casa" (site do banco). Essa analogia entre a rede de comunicação (para acesso ao sistema do banco) com uma estrada foi construída por Demi Getschko, Diretor-presidente do NIC.br. Diz ele, sobre a necessidade de se garantir a segurança do internauta contra fraudes de phishing: "A maioria dos bancos já têm sistemas muito seguros. Queremos resolver um problema de segurança das estradas, não das casas: garantir a segurança do usuário até que ele chegue ao site", afirma Getschko (em entrevista à Folha Online, http://www1.folha.uol.com.br/folha/informatica/ult124u395485.shtml)
  43. A solução de anti-vírus é reconhecidamente ineficiente na detecção de novas modalidades de programas maliciosos. Um estudo conduzido pelo AusCERT em 2006 revelou que, em média, 60% das formas de vírus que coletam informações pessoais não são detectadas por programas anti-vírus, assim que são utilizados em um primeiro ataque. Portanto, os computadores dos clientes com as versões mais atualizadas de software anti-vírus são vulneráveis a ataques com novas formas de malwares.
  44. "Liability should be expanded only to those parties whose cost of preventing misconduct is sufficiently low" (ob. cit.).
  45. TRF-5ª. Reg., AC 212207/RN, rel. Des. Federal Luiz Alberto Gurgel de Faria.
  46. Segundo os autos, foram feitas transferências de valores da conta poupança da cliente sem a sua autorização, tendo ela informado o banco sobre a fraude praticada pela Internet. O banco tentou eximir-se de responsabilidade, atribuindo culpa à cliente, já que as transações foram feitas com o uso de sua senha pessoal (Proc. n. 20040110053359, em notícia do site Consultor Jurídico, de 01.06.06).
  47. Em trecho de sua sentença, o Juiz Franco Vicente Piccolo assentou o seguinte:

    "Sabe-se que a prestação de serviços por meios eletrônicos tende a fomentar a atividade bancária, reduzir os custos operacionais e aumentar os lucros da instituição financeira. (...) Cabe destacar que, em casos tais, a doutrina e a jurisprudência assinalam que a imputação da responsabilidade civil orienta-se pela chamada teoria do risco profissional, nos termos da qual é responsável pela reparação dos danos aquele que maior lucro extrai da atividade que lhe deu origem" (grifo nosso).

  48. STJ-4ª. Turma, REsp 601805/SP, rel. Min. Jorge Scartezzini, j. 20.10.05, DJ 13.11.05.
  49. O art. 12 do CDC disciplina a responsabilidade do fornecedor por fato do produto, enquanto que o art. 14 trata do fato do serviço.
  50. Os vícios por inadequação do produto são subdivididos em três tipos: vícios de impropriedade, vícios de diminuição do valor e vícios de disparidade informativa. Estes últimos também são denominados de vícios de qualidade por falha na informação ou simplesmente vícios de informação.
  51. Cláudia Lima Marques, explicando os critérios de responsabilidade por vícios dispostos no art. 18 do CDC, assevera: "Assim, no sistema do CDC, da tradicional responsabilidade assente na culpa passa-se à presunção geral desta e conclui-se com a imposição de uma responsabilidade legal" (Comentários ao Código de Defesa do Consumidor, Editora Revista dos Tribunais, 2ª. edição).
  52. Segundo o art. 20 do CDC, "O fornecedor de serviços responde pelos vícios de qualidade que os tornem impróprios ao consumo....".
  53. Comentários ao Código de Defesa do Consumidor, Editora Revista dos Tribunais, 2ª. edição, p. 259. A doutrinadora explica também que o legislador brasileiro, ao criar esse sistema especial de responsabilização, sofreu a influência do sistema da common law, de garantia implícita (implied warranty) de adequação e segurança do produto ou serviço, mas também inspirou-se no sistema da Diretiva Européia (Diretiva 35/374/CEE, de 25.07.85), que parte da idéia de defeito do produto introduzido no mercado como fundamento da responsabilidade do fornecedor. Desta fusão resultou o sistema do CDC.
  54. Nos seus comentários ao art. 18 do CDC, ob. cit., p. 341.
  55. Ob. cit., p. 359.
  56. Ob. cit., p. 359 e 360.
  57. Nos termos do § 2º. do art. 20 do CDC, "são impróprios os serviços que se mostrem inadequados para os fins que razoavelmente deles se esperam".
  58. Conceito encontrado na Wikipedia.
  59. Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de "appliance"). A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.
  60. Geralmente esse protocolo de segurança é indicado pela existência da figura de uma cadeado fechado, localizada no lado direito da barra inferior – chamada de barra de status – do seu navegador (a figura do cadeado aparece a partir da tela de acesso onde é solicitada a senha). A figura do cadeado mostra que a página é segura.
  61. Da mesma forma que os cartórios tradicionais, são organizadas segundo critérios legais e obedecem, na prestação dos seus serviços de certificação, a toda uma política de procedimentos, padrões e formatos técnicos estabelecidos em regimes normativos. Obedecem, portanto, a um modelo técnico de certificação e estrutura normativa, que define quem pode emitir certificado para quem e em quais condições. O conjunto ou modelo formado de autoridades certificadoras, políticas de certificação e protocolos técnicos compõe o que se convencionou chamar de "Infra-Estrutura de Chaves Públicas" ou simplesmente ICP.
  62. O simples acesso para consultar saldos, extratos e realizar outras consultas não necessita da senha de 2º. nível, valendo apenas a senha de acesso.
  63. No relatório FDIC consta o depoimento de perito, nos seguintes termos: "[A]lmost all phishing scams in use today could be thwarted by the use of two-factor authentification."). Two-factor identification combines factor one, a password, with factor two, either biometric information (such as fingerprints, eye scans, or a voice read) or a token (such as a USB device that plugs into the user’s computer’s USB port, or a smart card inserted into a reader). Systems protected by two-factor identification are far less vulnerable to phishers" (supra note 38, at 26).
  64. O termo Engenharia Social é utilizado para descrever um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Engenharia Social é uma modalidade de estelionato prevista no artigo 171 do Código Penal brasileiro.
  65. Também pode ocorrer a combinação dessas duas formas de contato. Alguns exemplos apresentam casos onde foram utilizadas mensagens de e-mail e contato telefônico. O cliente recebe uma mensagem de e-mail onde o remetente se passa pelo gerente ou o departamento de suporte do banco. No corpo da mensagem de e-mail é fornecido um número de telefone do suporte do banco, para o cliente mesmo fazer a ligação.
  66. Essa variedade do ataque de phishing que pressupõe a intervenção do agente humano, que atua no convencimento do cliente a entregar seus dados, é também chamada de "man in the middle".
  67. Ver item 6.1.1.
  68. Como vimos em item acima (item 7).
  69. O inc. II do art. 20 do CDC prevê expressamente que, além da restituição da quantia paga, o consumidor pode exigir do fornecedor a reparação de eventuais perdas e danos causados por vício de qualidade do serviço.
  70. STJ-4ª. Turma, REsp 601805-SP, rel. Min. Jorge Scartezzini, j. 20.10.05, DJ 14.11.05. A ementa desse julgado está assim expressa:

"RECURSO ESPECIAL - RESPONSABILIDADE CIVIL - AÇÃO DE INDENIZAÇÃO - DANOS MATERIAIS - SAQUES INDEVIDOS EM CONTA-CORRENTE – CULPA EXCLUSIVA DA VÍTIMA - ART. 14, § 3º DO CDC - IMPROCEDÊNCIA.

1 - Conforme precedentes desta Corte, em relação ao uso do serviço de conta-corrente fornecido pelas instituições bancárias, cabe ao correntista cuidar pessoalmente da guarda de seu cartão magnético e sigilo de sua senha pessoal no momento em que deles faz uso. Não pode ceder o cartão a quem quer que seja, muito menos fornecer sua senha a terceiros. Ao agir dessa forma, passa a assumir os riscos de sua conduta, que contribui, à toda evidência, para que seja vítima de fraudadores e estelionatários. (RESP 602680/BA, Rel. Min. FERNANDO GONÇALVES, DJU de 16.11.2004; RESP 417835/AL, Rel. Min. ALDIR PASSARINHO JÚNIOR, DJU de 19.08.2002).

2 - Fica excluída a responsabilidade da instituição financeira nos casos em que o fornecedor de serviços comprovar que o defeito inexiste ou que, apesar de existir, a culpa é exclusiva do consumidor ou de terceiro (art. 14, § 3º do CDC).

3 - Recurso conhecido e provido para restabelecer a r. sentença".

A única crítica que deve ser feita a esse julgado é a invocação do art. 14, § 3º. do CDC, ao invés do seu art. 20, par. 2º. Houve, nesse caso, um erro de apreciação entre o que seja fato do serviço e simples vício do serviço.

Sobre o autor
Demócrito Reinaldo Filho

Juiz de Direito. Doutor em Direito. Ex-Presidente do IBDI - Instituto Brasileiro de Direito da Informática.

Como citar este texto (NBR 6023:2018 ABNT)

REINALDO FILHO, Demócrito. A responsabilidade dos bancos pelos prejuízos resultantes do "phishing". Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 13, n. 1836, 11 jul. 2008. Disponível em: https://jus.com.br/artigos/11481. Acesso em: 23 nov. 2024.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!