3 ESPECIFICIDADES DOS CONTRATOS PELA INTERNET
Neste capítulo o enfoque é exclusivo das peculiaridades e tecnicidades dos contratos celebrados pela internet, registrando-se assim a forma como efetivamente são celebrados, o que viabiliza a aplicação do direito ao caso concreto.
3.1 Classificação dos contratos celebrados pela internet
E-business são [74] as atividades de natureza econômica (cunho comercial, administrativo ou contábil) que se desenvolvem por meio de redes eletrônicas, e o e-commerce é a principal atividade desta nova classe de negócios, a qual pode envolver três diferentes tipos de agentes: os governos, as empresas e os consumidores.
As possíveis relações entre estes agentes classificam os contratos celebrados pela internet nas seguintes modalidades: 1) B2B (business-to-business) - transações entre empresas (ex: compra de insumos); 2) B2C/C2B (business-to-consumer / consumer-to-business) - transações entre empresas e consumidores (ex: lojas virtuais); 3) B2G/G2B (business-to-government / government-to-business) - transações envolvendo empresas e governo (ex: licitação eletrônica); 4) C2C (consumer-to-consumer) - transações entre "consumidores" (ex: classificados on line); 5) G2C/C2G (government-to-consumer / consumer-to-government) - transações envolvendo governo e "consumidores" (ex: declaração do IR); e 6) G2G (government-to-government) - transações entre governo e governo.
Esquema [75] ilustrativo do ambiente de negócios eletrônicos:
Neste importante ponto da monografia as principais formas de contratação pela internet serão analisadas, demonstrando-se as principais características de cada uma, bem como as respectivas falhas de segurança, com vistas à discussão da validade jurídica das provas delas derivadas, possibilitando assim a busca por soluções.
3.2.1 Contratos por e-mail
O eletronic mail (e-mail) é um recurso que possibilita a troca de mensagens entre dois usuários na internet, por meio de diversos protocolos e aplicações desenvolvidas para o controle de envio, recebimento, autenticação, e proteção dos pacotes de dados.
A mensagem redigida é enviada por meio de um aplicativo como o Outlook Express ou o Eudora (Mail User Agent – MUA) para um aplicativo remoto no servidor de e-mail do remetente (Mail Transport Agent – MTA), que por sua vez simplesmente coloca a mensagem na caixa postal do destinatário (no caso deste utilizar o mesmo servidor), ou a envia para o MTA do servidor de e-mail do destinatário (no caso deste utilizar um servidor diferente), que se encarregará de tal mister. O protocolo de envio de mensagens entre o MUA do remetente e seu MTA, bem como de seu MTA e o MTA do servidor do destinatário é o Simple Mail Transfer Protocol – SMTP, que é desenvolvido tão somente para esta funcionalidade, autenticando o usuário por senha, enviando os dados, etc.
O destinatário, ao se conectar a internet, pode ler as mensagens de sua caixa postal virtual diretamente de seu servidor de e-mail, onde as mesmas ficam armazenadas, por meio da própria WWW (webmail), ou pode baixar as mensagens para seu computador a fim de lê-las com seu cliente de e-mail (MUA). O protocolo de requisição de mensagens entre o MUA do destinatário e o MTA de seu servidor é o Post Office Protocol – POP, ou o Internet Message Access Protocol – IMAP, que são desenvolvidos tão somente para esta funcionalidade, autenticando o usuário por senha, baixando os dados, etc.
Por meio de todo este processo é possível [76] a formalização de contratos nos moldes descritos no capítulo anterior (negociações preliminares, proposta, aceite, etc.), sendo que a prova da celebração são as próprias mensagens, pelas quais o pacto é efetivamente celebrado, entre partes fisicamente ausentes, por meio de seus servidores de e-mail.
Esquema [77] ilustrativo do funcionamento do correio eletrônico:
Muitas vezes poderá ser necessária a realização de uma perícia técnica judicial para a solução de pontos controversos, decorrentes de uma lide que envolve noções tecnológicas mais aprofundadas, como as tratadas neste trabalho.
Por esta razão, as questões informáticas mais importantes da contratação pela internet serão abordadas neste ponto, o que irá possibilitar ao advogado que as conhece, por exemplo, a elaboração de bons quesitos, viabilizando assim a plena defesa dos interesses de seu cliente, ou, no caso de um magistrado, a própria dispensa da realização de perícia.
3.3.1 Internet Protocol – IP
Conforme já exposto, em razão da utilização do protocolo de comunicação TCP/IP, todos os usuários e servidores conectados à internet possuem um endereço IP próprio [80], identificando-os na rede, o qual é um número fixo para os servidores, e geralmente um número variável para os usuários (que varia a cada conexão no grande rede).
Referido endereço pode ser verificado, durante uma conexão, por meio do prompt do DOS (no Windows XP, 2000 ou 98), digitando-se o comando "ipconfig" (para a máquina local), ou "ping + DNS do servidor" (para servidores). Eis um exemplo:
Exercer o anonimato na internet ainda é relativamente simples (proxy anônimo, spoofing [adulteração do remetente de pacotes de dados], etc.), o que pode ser utilizado como instrumento para a prática de atos ilícitos, como por exemplo, para a fraude em contratos eletrônicos [92]. Os principais métodos para tais fins serão descritos a seguir.
3.4.1 Open proxy
Conforme já foi explicado, o endereço IP de cada usuário fica registrado nos servidores por ele acessados na grande rede, assim como cada um desses acessos fica gravado no log dos servidores dos internautas, entretanto, existem meios de navegar na internet sem deixar esse tipo de pista, como por exemplo, por meio dos chamados proxy anônimos (open proxy), que são servidores de terceiros, montados e configurados para uso público, por qualquer pessoa, para a denominada "navegação anônima" na grande rede.
Um exemplo é o site http://wproxy.com [93], que utiliza um servidor próprio ao qual o usuário pode se conectar para acessar outros sites na internet. Assim, o IP do usuário não mais fica registrado nos seus acessos aos servidores da grande rede, passando a ser substituído pelo IP do servidor proxy do site wproxy.com, que é quem passa a realizar os acessos requisitados no lugar do usuário, "trazendo" até este o conteúdo visado.
Desta forma é o servidor proxy do site quem passa a ter o registro dos acessos dos usuários que a ele se conectam, e não os servidores dos provedores destes, sendo que normalmente a localização física do open proxy fica em países onde não há uma grande regulamentação da internet, o que permite que seus administradores simplesmente destruam os logs dos acessos de seus usuários, frustrando qualquer eventual investigação policial.
3.4.2 Spam e scam
Outra prática muito comum [94], utilizada para fins de fraude, propaganda, etc. na grande rede, é a adulteração de mensagens de e-mail, para que aparentem terem sido enviadas por um remetente que em verdade não as enviou, ou nem existe.
Tal adulteração é muito utilizada em golpes virtuais por mensagens eletrônicas (scams), principalmente nos chamados phishing scam, nos quais o destinatário recebe uma mensagem que supostamente lhe foi enviada por alguma autoridade, instituição, website, ou empresa de grande nome, como um banco, a qual, por exemplo, lhe solicita a "atualização de seus dados bancários", contendo um formulário de login no próprio corpo da mensagem, ou um link para direcionar o destinatário a uma réplica do site do banco (fake), onde os dados da vítima (número da conta, agência e senha, etc.) serão capturados. Estes golpes utilizam métodos de "engenharia social", persuadindo e abusando da confiança ou da ingenuidade dos destinatários, para atingir os fins ilícitos almejados.
Já os "spams" também utilizam esta técnica para mascarar o verdadeiro remetente, e são basicamente mensagens não solicitadas, enviadas a destinatários em massa, geralmente com caráter publicitário (propaganda de sites, produtos ou serviços), mas que também podem ser utilizados para espalhar boatos (hoaxes) na internet, para tentar direcionar o destinatário para sites que contém instalações de spywares, adwares, e outros códigos maliciosos, para tentar induzir o destinatário a instalar aplicativos que contém vírus, trojans, backdoors, ou até mesmo para os fins escusos descritos no parágrafo anterior (scam).
Essas práticas são facilitadas pela utilização de servidores open proxy, assim como pela utilização de servidores de e-mail open relay, que processam mensagens de usuários externos, alheios à árvore do domínio do servidor. Eis um exemplo [95], um trecho de um header real de uma mensagem que transitou por um servidor de e-mail open relay:
Received: from unwilling.intermediary.com (unwilling.intermediary.com [98.134.11.32]) by mail.bieberdorf.edu (8.8.5) id 004B32 for Wed, Jul 30 1997 16:39:50 -0800 (PST)
Received: from turmeric.com ([104.128.23.115]) by unwilling.intermediary.com (8.6.5/8.5.8) with SMTP id LAA12741; Wed, Jul 30 1997 19:36:28 -0500 (EST)
Esta mensagem foi escrita por um usuário em um computador denominado turmeric.com, com o endereço IP nº. 104.128.23.115, e enviada (data: Wed, Jul 30 1997 19:36:28 -0500) para um servidor de e-mail open relay (domínio diferente) denominado unwilling.intermediary.com, que por sua vez a enviou (data: Wed, Jul 30 1997 16:39:50 -0800) para o servidor de e-mail (do destinatário) denominado mail.bieberdorf.edu.
Mas como identificar a verdadeira origem do e-mail adulterado? A resposta é: por meio do cabeçalho da mensagem, anteriormente estudado. Por exemplo, por meio do header de um e-mail fraudulento real que circulou na internet há algum tempo, fazendo-se passar por um comunicado eletrônico da Receita Federal (phishing scam), é possível realizar o rastreamento do verdadeiro remetente. O cabeçalho de tal mensagem era igual ao seguinte [96] (o endereço de e-mail do destinatário foi suprimido por questões de privacidade):
Return-path: [email protected]
Envelope-to: (suprimido)
Delivery-date: Mon, 10 Mar 2003 03:55:41 -0300
Received: from mail by viper.ism.com.br with spam-scanned (Exim 3.35 #2)
Mon, 10 Mar 2003 03:55:41 -0300
id (suprimido)
for (suprimido);
Received: from "200.228.90.152" (helo=receita.fazenda.gov.br)
by viper.ism.com.br with smtp (Exim 3.35 #2)
Mon, 10 Mar 2003 03:55:37 -0300
id (suprimido)
for (suprimido);
From: "Receita Federal - RECEITANET"
To: (suprimido)
Subject: Receita Federal - Faça Sua Declaração de IR
Sender: "Receita Federal - RECEITANET"
Mime-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Date: Thu, 9 Mar 2000 06:59:49 -0300
Reply-To: "Receita Federal - RECEITANET"
O destinatário de referida mensagem a recebeu como sendo do e-mail [email protected], enviada pelo servidor "receita.fazenda.gov.br", entretanto, o endereço IP em negrito revela, por meio de um rastreamento à época do recebimento, que o verdadeiro remetente era um usuário de um provedor de acesso de internet localizado em uma cidade no interior do Pará, ou seja, a mensagem não poderia ter sido enviada dos servidores da Receita Federal, eis que esta possui servidores governamentais próprios, em Brasília-DF.
Por fim, cabe ser indicado um outro método muito utilizado para o envio de spams e scams, que é diretamente dos computadores dos remetentes (sem o uso de servidores de e-mail de terceiros, como o de um provedor de acesso ou um open relay), por meio de um servidor de e-mail SMTP instalado na máquina local, que entregará a mensagem diretamente aos servidores de e-mail dos destinatários. Tais mensagens têm apenas um campo "received" no header, como no seguinte exemplo [97] de um trecho real:
Received: from 200-158-152-45.dsl.telesp.net.br ([200.158.152.45] helo=HOTMAIL.COM.BR) by mx.xxx.com.br with smtp (Exim 4.22) id 1A7yqZ-000882-2y for [email protected]; Fri, 10 Oct 2003 12:06:27 -0300
3.4.3 Pharming
Existe a possibilidade de que o usuário, mesmo digitando o endereço de um site diretamente no navegador de internet, possa ser direcionado para uma falsa cópia (fake) do mesmo. Esta técnica de ataque, conhecida [98] por comprometer o serviço de resolução de nomes – DNS do servidor de acesso do internauta, ou de seu próprio computador particular (por meio de malwares específicos para este fim), é denominada de pharming, e é muito perigosa, pois na maioria das vezes passa despercebida, até mesmo por usuários experientes, permitindo a captura de dados pessoais, e o conseqüente envio dos mesmos a terceiros mal intencionados, que se valem dessas informações em prejuízo das vítimas.
A verificação da procedência do site pode ser feita por meio do próprio browser do usuário, verificando-se se a URL digitada permanece inalterada, ou dentro da mesma árvore de domínio, durante o acesso, ou por meio da procedência do certificado do site, que pode ser verificado através da figura de um cadeado na parte inferior do navegador. Nestes casos é bem provável que o certificado do site simplesmente não apareça no browser, ou que apresente algum erro, sendo que é possível realizar a verificação do mesmo diretamente no site da respectiva autoridade certificadora, em busca de falhas.
