8. Proporção entre adoção de práticas seguras pelos bancos e a diminuição do grau de responsabilização
Se os bancos, forçados por incentivos mercadológicos e por uma incerteza diante da definição de responsabilidade pela reparação dos prejuízos causados pelo phishing, adotaram medidas eficientemente fortes, a tendência é diminuição do seu grau de responsabilização. Se, ao contrário, as medidas não se mostrarem suficientemente vigorosas, a possibilidade de suportarem o ônus da reparação dos prejuízos aumenta. Em outras palavras, há uma verdadeira proporção entre as medidas de segurança adotadas pelos bancos e o seu grau de responsabilidade na indenização dos prejuízos decorrentes do phishing. Na medida em que os bancos adotam novas ferramentas tecnológicas de segurança, o phishing se torna menos eficiente, com a correspondente diminuição do risco de responsabilização. Se há uma compreensão de que os bancos tomaram iniciativas vigorosas, no desenvolvimento e implantação de medidas de segurança, voltadas à eliminação desse tipo de fraude tecnológica (phishing), então a probabilidade de sofrerem responsabilização diminui sensivelmente.
Como ficou evidenciado que a responsabilidade do fornecedor (banco) tem que ser examinada sob o aspecto objetivo da introdução (ou não) de um serviço com vício, e se esse vício foi determinante para causar dano ao seu consumidor (cliente) [67], a questão crítica, em cada caso concreto, é saber quando o sistema bancário está respondendo apropriadamente aos riscos impostos pelo phishing, ou seja, se evoluiu apropriadamente em resposta a essa ameaça tecnológica. A premissa deve ser a de que o banco que não tenha instalado método de autenticação com mais de um nível de segurança (sendo um deles através de senha aleatória) deve ser responsabilizado pelos prejuízos patrimoniais causados pelo fraudador (phisher) ao seu cliente. As soluções tecnológicas de segurança inicialmente implantadas pelos bancos, tais como firewall, criptografia de dados, teclado virtual e certificado digital, não são aptas a eliminar os efeitos do phishing, pela simples razão de que o fraudador acessa o sistema do banco como se fosse o legítimo usuário, já que se apossa previamente das senhas deste [68]. Essas medidas de segurança, portanto, são ineficientes diante do phishing, e o banco que somente dispor delas deve ser inevitavelmente condenado a reparar os prejuízos sofridos pelo seu cliente. Nessa situação, o sistema de Internebanking deve ser encarado como um serviço que contém vício de funcionalidade (falha na adequação, na prestabilidade), já que não protege adequadamente a confidencialidade dos dados pessoais do cliente (para efeito de acesso ao sistema). Sendo o serviço inadequado às finalidades que dele se espera (proteger o usuário de fraudes tecnológicas), e portanto "impróprio ao consumo", o fornecedor (banco) responde pela reparação dos prejuízos decorrentes do vício, nos termos do art. 20 e seu § 2º. do CDC [69].
O fato é que as formas mais corriqueiras de phishing podiam ser completamente eliminadas se os bancos tivessem implementado certas medidas tecnológicas. Os ataques de phishing ainda têm eficácia atualmente, de certa forma, porque as instituições financeiras permitiram esse estado de coisas. Até que implantem procedimentos seguros, não deve haver mudança na atribuição de responsabilidades pelos danos decorrentes desses ataques.
A situação se inverte para os bancos que introduziram métodos de múltiplos níveis de autenticação, com um deles realizado através da inserção de senha aleatória fornecida por dispositivo cuja responsabilidade pela guarda é do usuário (tabela de senhas, token ou displaycard). A introdução desse método de segurança para transações de pagamento afasta a inicial constatação de ineficiência quanto ao resguardo dos dados pessoais (dos clientes). Quando ocorre de o phisher se apropriar da senha (password) de acesso, ele fica apenas com um pedaço da informação (dados do cliente), que não é suficiente para realizar uma transação de transferência de numerário. A segunda senha, por ser aleatória e informada somente no momento da efetivação da transação (pela tabela de senhas, token ou displaycard), só vale para uma única operação realizada pelo próprio usuário (que é quem controla e guarda o dispositivo eletrônico de emissão de senhas). Assim, mesmo que o criminoso colete também a senha de segundo nível, esta já perdeu sua validade, não servindo para uma segunda operação.
Portanto, serviço de Internetbankig que disponha de múltiplo fator de autenticação (com senha de segundo nível aleatória) não sofre de vício de inadequação, e se não dispõe de vício, o fornecedor (banco) não pode ser responsabilizado por eventuais prejuízos, cuja causa se entende como sendo outra qualquer (culpa exclusiva da vítima). O vício é que fundamenta o dever de reparação do fornecedor; sem vício, não pode ser condenado a reparar os danos provenientes do phishing, já que a origem dos prejuízos (causa), nessa hipótese, é considerada como do âmbito da conduta do próprio cliente. É de ser considerado, nessa hipótese, que a concretização dos efeitos da fraude (prejuízos patrimoniais à vítima) foi causada não por uma falha do serviço, indene de vício, mas por outra causa – culpa da própria vítima.
É certo, por outro lado, que o múltiplo fator de autenticação não protege totalmente de golpe de phishing mesclado com "engenharia social" (também chamado de "man in the middle"). Para além dos e-mails e dos sites falsos, os phishers também usam o telefone para contactar os clientes, fazendo-se passar por funcionários dos bancos. Mas, nesse caso, como a fraude não é exclusivamente tecnológica, deve haver um reconhecimento da exclusão da responsabilidade dos bancos, pela admissão de que os sistemas informáticos que utilizam duplo fator de autenticação (com a segunda senha aleatória) não podem ser considerados inadequados. Uma pessoa pode se passar por um funcionário do banco e solicitar o token do cliente, além de sua senha de primeiro acesso e, com isso, realizar operações de transferências de dinheiro. O próprio correntista, por confiança, pode passar o dispositivo e a senha para uma pessoa conhecida, que realiza a transação sem seu conhecimento. Ou seja, sempre haverá a possibilidade de um fraudador burlar um sistema de segurança. Mas, nesses casos, deve ser reconhecido que o sistema do banco é eficiente contra as fraudes meramente tecnológicas e que, quanto às hipóteses de fraudes cuja execução é mesclada pela "engenharia social", o próprio cliente é que deve assumir o prejuízo, por ter repassado negligentemente seus dados pessoais ao fraudador.
Nos golpes "puros" de phishing, o cliente do banco sequer sabe que outra pessoa está coletando seus dados – o criminoso se vale de vírus ou de um site falso para coletá-los; já nos golpes que envolvem "engenharia social", é o próprio cliente quem repassa seus dados para o fraudador (ainda que tenha sido ludibriado a achar que se trata de um representante legítimo do banco). O sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis.
Para os bancos que tenham implantado sistema múltiplo de autenticação (com senha de segundo nível aleatória), mostra-se apropriada a jurisprudência do STJ sobre fraudes em sistemas eletrônicos de pagamento, que atribui o dever de vigilância sobre os dados pessoais ao próprio correntista, cabendo a este "cuidar pessoalmente da guarda de seu cartão magnético e sigilo de sua senha pessoal no momento em que deles faz uso", não podendo "ceder o cartão a quem quer que seja, muito menos fornecer sua senha a terceiros", porquanto, "ao agir dessa forma, passa a assumir os risco de sua conduta, que contribui, à toda evidência, para que seja vítima de fraudadores e estelionatários" [70]. Essa jurisprudência reconhece que a funcionalidade do serviço eletrônico do banco pressupõe a utilização de senha pessoal e dispositivos de segurança, que são exclusivos do cliente e intransferíveis, assumindo este a obrigação de zelar pela sua guarda e sigilo e, havendo quebra desse dever, não há relação de causalidade entre a atuação do banco e o prejuízo eventualmente gerado por esse descuido [71].
Realmente, de alguma forma o cliente tem que ser responsável pela confidencialidade de sua senha e dispositivos de acesso, considerando que o banco fez a parte dele em termos de segurança informática, ao desenvolver a tecnologia do duplo fator de autenticação. Se os experts consideram que a tecnologia do duplo (ou múltiplo) fator de autenticação é eficaz contra o phishing (na sua forma pura), o restante é o correntista quem tem que cumprir. Os bancos já fizeram a sua parte implementando um sistema de segurança eficaz. Se o cliente não toma cuidado, e entrega todas as suas senhas e dispositivos de segurança (tabela de senhas, token ou displaycard) a outra pessoa, ele é no mínimo descuidado e totalmente responsável pelos seus atos. Não existe sistema de autenticação de acesso em que se possa prescindir a participação do cliente, adotando certas precauções. Assim, a segurança dos dados e transações do cliente é também, em alguma extensão, de sua responsabilidade.
É preciso ter em mente, por outro lado, que uma jurisprudência extremamente ampla em termos de responsabilização dos bancos pode simplesmente inviabilizar o "modelo de negócios" construído na web via serviços de online banking. Se o cliente não tem qualquer temor de que pode sofrer perdas financeiras, nunca vai ser estimulado a tomar cuidado com seus equipamentos de segurança (de acesso ao sistema bancário). Ademais, entender-se que em todos os casos de fraude o banco deve ser responsável pela reparação dos prejuízos, tal estado de coisas alimentaria a possibilidade de um cliente simplesmente forjar um "legítimo acesso", e depois pedir que o banco reembolsasse o dinheiro. O jurista deve ter em conta que a responsabilidade ilimitada dos bancos pode criar a indústria dos "falsos acessos", terminando por desmantelar o "modelo" de serviços bancários on line. Não se pode, portanto, adotar um padrão de responsabilidade estrito e exclusivo para os bancos, no sentido de que estes estariam sempre obrigados a responder por toda e qualquer operação fraudulenta no acesso ao sistema de serviços bancários on line, mesmo evidenciado certo grau de negligência ou descuido por parte do usuário.
Diante dessas observações, até que as instituições financeiras tenham implementado sistemas de múltiplas senhas devem sofrer responsabilização pelas conseqüências do phishing. É dizer: banco online que não disponha desse mais avançado padrão de segurança deve responder pelos danos patrimoniais causados aos seus clientes como resultado de fraude eletrônica (phishing), em razão da falha (vício) do serviço, que não oferece proteção contra esse tipo de ataque informático. A evolução do sistema de autenticação para o de múltiplas senhas (com senha de segundo nível aleatória), para efeito de acesso ao ambiente de Internetbanking, leva a uma transferência da responsabilidade para os próprios clientes, pela constatação de que não há nexo de causalidade entre a atuação do banco (o sistema passa a ser considerado como isento de vício de funcionalidade) e o prejuízo material.
