RESUMO
Com o advento do Internet banking, por meio do qual as operações financeiras passam a ser eletrônicas, surgem implicações jurídicas decorrentes do furto de senhas dos usuários (phishing), da qual trataremos enfocando basicamente as normas brasileiras de responsabilidade civil aplicáveis em decorrência de danos.
Palavras-chave: Internet Banking. Furto de Senhas. Danos. Responsabilidade Civil
SUMÁRIO: Introdução. 1 Da relação do tema com o Direito Eletrônico. 2 Do tratamento das fraudes no âmbito da responsabilidade civil. 3 Dos Reflexos do Desenvolvimento dos Sistemas de Segurança. 4 Das Simulações – Um aspecto relevante a ser considerado. 5 Do dever de informação. 6 Quanto ao Pleito (incerto) de indenização por danos morais (breve comentário). 7 Perspectivas para o Futuro. 8 Conclusão. Referências Bibliográficas.
INTRODUÇÃO
A Internet, rede mundial de computadores, surgiu no Brasil há pouco mais de 13 anos [01] e hoje faz parte da vida de um número considerável de pessoas [02] às quais possibilita facilidades diversas, entretenimento e acesso à informação.
Nos últimos anos empresas de diversos segmentos ingressaram no cyberespaço para realizar negócios ofertando produtos e serviços através de sites, que as instituições bancárias desenvolveram com o fito de concretizar o denominado internet banking, serviço pelo qual é possível, mediante emprego de senha pessoal e um simples microcomputador com conexão, realizar virtual e comodamente pagamentos, transferências, consultas e pedido de empréstimos, escapando de filas.
Os "bancos virtuais" permitiram às respectivas instituições reduzir despesas com agências físicas, enxugar o quadro de funcionários [03], desburocratizar tarefas, superar limitações geográficas, diminuir assaltos - já que o movimento de clientes e dinheiro em seus estabelecimentos decai progressivamente – obtendo contínuos resultados positivos no aspecto financeiro e publicitário, já que a idéia de associação de uma empresa à internet facilmente se associa com uma visão de modernidade, de integração com o mundo globalizado.
Por outro lado, o número de fraudes relacionadas às transações virtuais é grande e o Brasil ocuparia a terceira posição numa escala mundial de "golpes" eletrônicos, ficando atrás apenas dos Estados Unidos e do Reino Unido [04]. Nossas terras são apontadas internacionalmente como "celeiro mundial de hackers" [05], que atacam computadores conectados em qualquer lugar do mundo [06], causando crescentes prejuízos. Jornalistas destacam que no Brasil, as fraudes financeiras que utilizam a Internet e correios eletrônicos como ferramenta já superam, em valores, os prejuízos de assaltos a bancos [07], até porque os golpistas criam diariamente técnicas para superação de obstáculos [08].
O tema proposto é bastante sensível, envolve, por óbvio, grandes somas de dinheiro e um evidente interesse da sociedade, vez que qualquer internauta se preocupa com seu ressarcimento ante possível fraude no mundo virtual.
Como se verá a questão da responsabilidade civil de um banco tem indissociável relação com a segurança oferecida ou não a seus clientes. Tratar-se-á aqui das diferentes linhas adotadas pelos Tribunais, englobando a responsabilidade consumerista pelo chamado "risco do serviço [09]", a questão da irrelevância da culpa, o trato da culpa concorrente ou exclusiva por parte do usuário, os reflexos relativos às novas tecnologias e o fortalecimento de entendimento jurisprudencial relativamente novo que sugere a necessidade da averiguação da conduta do correntista, excluindo em vista de certas circunstâncias as condenações do titular do site.
Será comentada a controvérsia a respeito do cabimento do pleito de dano moral na hipótese de fraude, com apontamento de decisões judiciais e, finalmente, abordar-se-á a importância do dever de informação, atendo-se ao fato de que os "analfabetos-digitais [10]" e os usuários pouco experientes estão presentes em grande número na net.
O enfoque deste texto é objetivo e não englobará a discussão da eventual responsabilidade do provedor de internet, do fabricante dos softwares gerenciadores de e-mail, navegação e proteção contra vírus. [11]
1 DA RELAÇÃO DO TEMA COM O "DIREITO ELETRÔNICO"
Pode-se dizer que o desenvolvimento das tecnologias conduz os operadores do direito a novos campos. As questões surgidas levam à efetiva necessidade de estudo para tratar justamente da evolução que se opera na sociedade.
Renato M. S. Ópice Blum [12], enfocando o surgimento de novas questões por conta das alterações provocadas pela Internet destaca que
As relações virtuais e seus efeitos são realidade. A tendência é a substituição gradativa do meio físico pelo virtual ou eletrônico, o que já ocorre e justifica a adequação, adaptação e interpretação das normas jurídicas nesse novo ambiente. Na grande maioria dos casos é possível a aplicação das leis existentes, o que gera diretos e deveres que deverão ser exercidos e respeitados. Assim, de rigor e imprescindível o estudo, orientação e aplicação da Internet como ambiente de resultados legais sérios e com enorme potencial de efeitos jurídicos
Esses efeitos jurídicos têm levado pessoas à Justiça não só no Brasil como no mundo todo. Nesse contexto a presença dos bancos em processos de natureza civil (usualmente como demandados) se dava até pouco tempo atrás em lides discutindo cláusulas contratuais normalmente relacionadas ao empréstimo de dinheiro. Hoje os debates notoriamente se ampliam e a temática escapa do que era convencional.
Uma discussão que surge, ante o fenômeno do serviço de internet banking diz respeito à ocorrência de fraude que atinge a clientes internautas e que via de regra se opera mediante obtenção ilegal de dados pessoais e senhas, que se denomina internacionalmente "phishing".
Segundo o Juiz Demócrito Reinaldo Filho [13] "a palavra phishing, uma corruptela do verbo inglês fishing (pescar), é utilizada para designar alguns tipos de condutas fraudulentas que são cometidas na rede".
Prossegue oferecendo o seguinte panorama sobre a fraude:
São comuns as mensagens eletrônicas (e-mails) onde são feitas propagandas de pechinchas comerciais, são solicitadas renovações de cadastro, são feitos convites para visitação a sites pornográficos, são ofertadas gratuitamente soluções técnicas para vírus, entre outras. Não sabe a pessoa que recebe tais tipos de e-mail que as mensagens são falsas, enviadas por alguém disposto a aplicar um golpe. Geralmente, o destinatário é convidado a clicar sobre um link que aparece no corpo da mensagem ou a abrir um arquivo anexo e, ao fazê-lo, aciona o download de um programa malicioso que vai penetrar no seu computador e capturar informações sensíveis. Também ocorre de, ao clicar no link sugerido, ser enviado a um site falso, com as mesmas características de apresentação gráfica de um site popularmente conhecido (a exemplo do site de um grande banco ou um site de comércio eletrônico). Ao chegar ao site falseado, a pessoa é instada a inserir informações pessoais (número de cartão de crédito ou de conta bancária) e, uma vez de posse dessas informações, o fraudador as utiliza para fazer saques e movimentações bancárias ou outras operações (em nome da vítima)."
A corroborar com as indicações do apontado jurista na cartilha publicada pelo "Centro de Estudos, resposta e tratamento de incidentes de segurança no Brasil [14]" consta a seguinte anotação:
"Phishing´ se define como a mensagem fraudulenta não solicitada que se passa por comunicação de instituição conhecida, como banco, empresas, ou site popular, e que induz o usuário ao acesso de páginas falsificadas (..)"
Podemos considerar, à vista das definições expostas, que o phishing é um problema atualíssimo. No arremate de seus esclarecimentos, Demócrito Filho destaca que "o phishing pode ser enquadrado na rubrica do "furto de identidade" (identity theft), (...) crime de maior tendência ao crescimento nos tempos atuais."
E não é para menos, já que as infecções por vírus atualmente encontram campo fértil para propagação na Internet. A armadilhas oferecem risco maior principalmente aos usuários que possuem poucas noções de informática e que aderem sem qualquer noção ao "perigoso" fluxo de dados que ocorre por e-mails, abrindo de modo indiscriminado todo tipo de mensagem.
Não se despreza que os e-mails se tornaram nos dias atuais importante ferramenta de comunicação. Infelizmente as mensagens não solicitadas são uma praga que aparecem em qualquer caixa de entrada.
A surpresa do internauta ao constatar saques com esvaziamento de fundos vai levar à investigação pelo jurista acerca do cabimento (ou não) do dever de reparação por parte das instituições financeiras contratualmente responsáveis tanto pela custódia dos recursos como pela manutenção dos sites por meio do qual a fraude se perpetrou. E a discussão, como se verá, é bastante ampla e se desdobra em diversas correntes.
2 TRATAMENTO DAS FRAUDES NO ÂMBITO DA RESPONSABILIDADE CIVIL
A responsabilidade civil, como se sabe, consiste na obrigação de reparar dano sofrido por outrem, sendo oportuno lembrar que esse dever decorre de relação contratual ou extracontratual.
Sem a existência de um prévio contrato sequer seria possível a qualquer pessoa movimentar dinheiro por meio do internet banking. Assim, a primeira constatação que se faz diz respeito à relação eminentemente contratual entre o banco e o cliente lesado por fraude.
Por conseguinte, verifica-se que esse liame contratual consiste numa prestação de serviços em que a aplicabilidade do Código do Consumidor (Lei 8078/90) é pacífica, uma vez que o cliente e o banco se enquadram respectivamente nos conceitos legais de consumidor e fornecedor, a teor do disposto nos seus artigos 2º e 3º [15].
O internet banking enquadra-se assim no §2º do artigo 3.º do CDC [16]. A partir daí, é fácil aproximar a análise do tema à Seção II do referido codex, que trata "Da Responsabilidade pelo Fato do Produto e do Serviço", mais precisamente do artigo 14, que estipula que o
o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos"
A celeuma é grande pois os bancos dificilmente reconhecem o oferecimento de um serviço com defeito ou que inocorreu a divulgação de informações quanto a riscos ou que estas foram insuficientes ou inadequadas.
Em essência, nas defesas trazidas a Juízo a culpa é atribuída aos usuários. Corriqueiramente se alega que fraude não decorreu de problema na segurança num site fortemente "blindado" contra invasões. A atribuição ao usuário de conduta "ingênua", consistente em entregar indevidamente seus dados e senhas a terceiros é comum. É o que Demócrito Reinaldo Filho [17] aponta, certamente com base na experiência adquirida com o julgamento de ações judiciais durante anos de magistratura:
"Os bancos redargúem apontando a não razoabilidade dessa teoria, já que não podem ser responsabilizados por falha de segurança nesses casos, uma vez que são os próprios usuários do sistema que fornecem (ainda que involuntariamente) as senhas aos infratores. No caso de phishing, sustentam, não há propriamente nenhuma invasão ao sistema informático dos bancos. Os phishers, mediante artifícios enganosos, se apossam previamente das senhas dos verdadeiros usuários, e de posse delas acessam livremente o sistema do banco, como se fossem legítimos usuários. (...) os bancos sustentam ainda que a solução para o combate ao phishing passa pela educação do usuário, que deve ter o cuidado de utilizar softwares atualizados (antivírus, firewalls, navegadores de última versão etc.) e não ser displicente com as senhas de acesso ao sistema."
A linha de defesa em questão acaba por se amparar nas hipóteses excludentes de responsabilidades que constam justamente dos incisos I e II do parágrafo § 3º do art.14 do CDC, a afastar a responsabilidade civil pela inexistência de defeito e culpa exclusiva do consumidor ou de terceiro.
A posição da doutrina e da jurisprudência oscila na interpretação dos casos e as divergências oferecem curiosidade.
Como se sabe, a incidência do CDC nas relações contratuais possibilita certo "desequilíbrio" de tratamento que na verdade visa possibilitar que se alcance um nivelamento entre as partes, elevando e dando crédito àquela que esta numa posição "inferior" por conta da situação de hipossuficiência na acepção jurídica.
A propósito Odete Novais Carneiro Queiros [18] indica que só assim se dá devida
vivência ao princípio maior da isonomia, centrado na igualdade real, que sugere um tratamento desigual para obter-se a necessária proteção.
Prossegue anotando que
Mecanismos vários foram colocados à disposição do consumidor, num primeiro momento possibilitando a conciliação e permitindo a escolha entre opções várias, tendo um prazo mais razoável para a reclamação, além de garantir uma indenização absoluta.
A influência do apontado diploma legal é forte e se faz sentir nos Tribunais. Há, por conta disso, bastante constância no destacar de posições diferentes ocupadas pelas instituições financeiras e seus clientes, sendo comum encontrar observações sobre os grandes benefícios conseguidos por tais estabelecimentos com a venda de serviços. A obtenção de lucros pelos bancos é sempre enfatizada, pelo que muitos consideram que esses grandes "poderosos" teriam que arcar integralmente e de modo amplo por quaisquer prejuízos sofridos por clientes vitimas de fraudes. Nesse sentido, a conceituada Patrícia Peck [19] aponta, tratando especificamente do assunto, que
está claro que no mundo virtual as instituições bancárias têm de ter a mesma segurança, solidez e credibilidade perante os seus clientes no mundo real – ou até mais, pelas características da rede. O custo de cada operação feita por clientes em uma agência bancária é cerca de duas vezes maior que o custo da mesma operação feita por telefone e cerca de dez vezes maior que a feita por Internet. Se a extensão virtual de um banco representa tamanha redução de custos para esse banco é justo esperar que reverta também em grandes investimentos na segurança do cliente virtual. O banco é integralmente responsável por qualquer dano ao cliente enquanto este estiver em seu espaço virtual
Nas palavras dessa i. especialista com grande experiência em discussões sobre direito eletrônico:
a teoria do risco atende e soluciona de modo mais adequado as questões virtuais, devendo estar muito bem associada à determinação legal de quem é o dever de prova em cada caso.
No Direito Digital, a responsabilidade civil tem uma relação direta com grau de conhecimento requerido de cada prestador de serviço e do consumidor –usuário também. Nenhuma das partes pode alegar sua própria torpeza para se eximir de culpa concorrente em algumas hipóteses.
A tal linha de raciocínio somam-se as palavras de Sérgio Cavalieri Filho [20]ao comentar o artigo 14 do CDC. Destaca que
todo aquele que se dispõe a exercer alguma atividade no campo do fornecimento de bens e serviços tem o dever de responder pelos fatos e vícios resultantes do empreendimento independentemente de culpa. Este dever é imanente ao dever de obediência às normas técnicas e de segurança, decorrendo a responsabilidade do simples fato de dispor-se alguém a realizar atividade de executar determinados serviços. Em suma, os riscos do empreendimento correm por conta do fornecedor (dos produtos e serviços) não consumidor.
João Antônio Mota, [21] crítico de diversos negócios que permitem consideráveis lucros aos bancos e perdas muitas vezes irremediáveis aos clientes destaca o seguinte, ao tratar das transações eletrônicas na obra criativamente entitulada "Os bancos no bancos dos réus":
"dado o domínio absoluto da técnica por apenas uma das partes – os bancos -, sendo o cliente responsável apenas pelo sigilo de sua assinatura eletrônica (sua senha), não só há responsabilidade absoluta pelo risco do negócio a ser suportada pelo banco, como, igualmente, há de se inverter o ônus da prova, haja vista que não pode se exigir prova negativa, impossível de ser realizada, de que teria o cliente sido diligente e sigiloso no uso de sua senha secreta.
Nesse passo, qualquer contratempo na operação bancária dever ser debitado ao banco, sendo este responsável em provar que não houve nenhuma pane no sistema que causou o dano, bem como teria o cliente sido a parte desidiosa no uso do meio eletrônico"
É interessante ter em vista que por tal perspectiva a assunção legal do "risco" [22] de ter que pagar uma indenização para algum cliente hora ou outra acabaria "compensando" aos bancos, que ao final das contas saem com o saldo positivo no balanço financeiro e patrimonial divulgado anualmente. Muitos juízes apontam, de outra banda, o incentivo que se faz ao uso do internet banking em suas sentenças condenatórias [23].
Pondera-se que esses estabelecimentos já fazem uma estimativa prévia de prejuízos relacionados às fraudes antes da introdução de qualquer sistema novo. A lógica é de que se consideráveis rombos ocorressem bastaria a retirada do serviço da rede, mas, a bem da verdade ao fazer isso grandes somas de dinheiro devem estar separadas já que seria necessário proceder à contratação de grande número de funcionários e à implantação de agências físicas. Até que ponto o cliente concordará em retornará às longas filas não se sabe...
O poder econômico dos bancos aliado à prévia estimativa (por auditoria técnica) dos riscos envolvidos em qualquer estratégia comercial sem dúvida alguma influencia as decisões judiciais. Antes de qualquer ato já haveria uma provisão de valores baseada no estudo de técnicos. O banco já sabe que muitas vezes uma atualização do seu sistema sai mais caro do que pagar a indenização a um número "x" de clientes por conta de um problema qualquer decorrente de uma defasagem tecnológica.
Poder-se-ia questionar até que ponto não se estaria aplicando no julgamento das lides a famosa filosofia do personagem mítico Robin Wood, que em suas estórias fabulosas pregava o tirar dos ricos para generosamente distribuir aos pobres. Que não se direcionem pedras ao escritor deste texto por este leve comentário [24].
O que se percebe é uma clara influência do aspecto econômico sobre as questões jurídicas. Tratando do tema Demócrito Filho [25] anota que
Não se pode desconsiderar o argumento econômico de que são eles (os bancos) quem menos sofrem com a imposição dos custos da reparação. O fornecedor dos serviços bancários na Internet, pela supremacia econômica, é o que se chama na doutrina anglo-americana de o least cost avoider, ou seja, a pessoa para quem a imposição do dever de reparação econômica representa o menor peso, considerando-se sua capacidade econômica. E aqui deve ser entendido que os bancos não somente podem "internalizar" mais facilmente os custos com a reparação dos prejuízos decorrentes de phishing, mas que são os únicos que dispõe de capacidade econômica para investir no desenvolvimento de soluções tecnológicas para combater esse tipo de fraude
E arremata ponderando que
o argumento econômico pode ter extrema valia. A idéia é de que aqueles que se beneficiaram com a venda de serviços e obtêm lucros excessivos nesse comércio devem ser responsabilizados ao menor sinal de negligência.
Os posicionamentos que se indicam têm bastante consistência. Mesmo assim, o rigor dos Tribunais para com os bancos não é absoluto. Por conta de uma nova realidade que vem se descortinando, com o desenvolvimento de novos sistemas de segurança, começam a surgir sentenças indicando a improcedência de pedidos de restituição de valores desviados de contas bancárias. É o que se verá no tópico seguinte.