3 DOS REFLEXOS DO DESENVOLVIMENTO DOS SISTEMAS DE SEGURANÇA
Decisões judiciais tem se lastreado numa mudança cultural da sociedade, posto que a alegação de desconhecimento de fraudes bancárias com o uso indevido de senhas e dados pessoais já não convence, especialmente porque os alertas por parte dos bancos acerca dos cuidados necessários no uso dos serviços bancários tem sido ostensivos nas correspondências e nos próprios sites que ofertam os serviços bancários.
Grande parte dos juizes têm oportunidade de lidar com a internet no seu dia-a-dia, sendo crível que a aderência aos bancos virtuais, por parte destes, é automática e leva ao conhecimento dos obstáculos desenvolvidos pelos estabelecimentos bancários no intuito de ampliar a segurança dos seus serviços freando cometimento de fraudes.
É fato que a culpa exclusiva da vítima dos golpes passou a ser reconhecida com maior amplitude ante a adoção de novos sistemas de segurança. O STJ tem conduzido, por uma serie de julgados, mudança na interpretação dos casos apresentados à Justiça, assegurando mais "espaço" que ocorra a investigação de eventual culpa do cliente:
Demócrito Filho [26] aponta que
é responsável pela reparação dos danos aquele que maior lucro extrai da atividade que lhe deu origem. O próprio STJ vem enfrentando essas questões sob a ótica das normas do CDC, com a diferença de que tem firmado o entendimento de que o uso do cartão magnético e da senha é de responsabilidade do correntista, daí que se os entrega a terceiro incide a regra do § do art. 14, que isenta o fornecedor de responsabilidade quando a culpa é exclusiva do consumidor.
No Recurso Especial 602680/BA, que teve como relator o Ministro Fernando Gonçalves, o STJ afastou a condenação do banco declarando a culpa exclusiva da vítima, que cedeu seu cartão e senha a terceiros, assumindo os riscos de sua conduta, que contribui, à toda evidência, para que seja vítima de fraudadores e estelionatários.
Vê-se que a facilitação por parte do consumidor de acesso a dados pessoais e senhas requisitadas para ingresso nos sistemas on-line do fornecedor se equipara, em termos de conduta, à entrega de cartão pessoal a terceiro ou o abandono ou extravio do mesmo junto com papel onde constam anotadas todas as senhas necessárias para a concretização de operações, o que tem potencial de causar grande prejuízo na hipótese de perda ou furto da carteira.
Marco da Costa [27] exemplifica a exclusão de responsabilidade da seguinte forma, falando na repercussão da negligência do correntista no manejo do computador:
"(..) A digitação desses dados ao lado de uma terceira pessoa, que possa ver e memorizar as informações, ou a utilização de recursos de autopreenchimento atualmente oferecido nos sistemas de navegação da Internet (browsers) com a memorização dos dados digitados para posterior preenchimento de forma automática, fazendo com que qualquer pessoa que depois acesse a mesma página a partir do mesmo computador possa promover lançamentos, sem sequer conhecer os dados de acesso, são exemplos de situações que podem permitir a realização de operação por terceiro, que não o titular da conta-corrente, e sem o conhecimento dele"
Nas hipóteses antes mencionadas, o cliente negligenciou no trato das informações que deveria manter em sigilo, deixando de tomar as medidas adequadas para que terceiros não tivessem acesso a elas, sem que a instituição bancária tivesse contribuído de alguma forma para que isto tivesse ocorrido, razão pela qual não lhe pode competir qualquer responsabilidade pelo evento".
Anota Demócrito, [28] no intuito de destacar a relevância da aferição da qualidade do serviço e da segurança, ser
imprescindível um estudo dos variados tipos de mecanismos de segurança tecnológica que os bancos empregam em seus sistemas para transações e pagamentos on-line. Ao longo dos anos, as instituições bancárias e sites de pagamento tem implementado rigorosas medidas de proteção e tecnologias para garantir um nível superior de segurança, na tentativa de evitar a apropriação ilícita de dados dos seus clientes. A maioria delas não é capaz de garantir que a pessoa que acessa o banco virtual é mesmo o cliente
A situação se inverte para os bancos que introduziram métodos de múltiplos níveis de autenticação, com um deles realizado através da inserção de senha aleatória fornecida por dispositivo cuja responsabilidade pela guarda é do usuário (tabela de senhas, token ou displaycard). A introdução desse método de segurança para transações de pagamento afasta a inicial constatação de ineficiência quanto ao resguardo dos dados pessoais (dos clientes). Quando ocorre de o phisher se apropriar da senha (password) de acesso, ele fica apenas com um pedaço da informação (dados do cliente), que não é suficiente para realizar uma transação de transferência de numerário
São notoriamente empregados por grande número de bancos os seguintes recursos para proteção de acesso e dados pessoais: Firewall, Criptografia, Teclado Virtual, Cartão contendo duplo fator de identificação ou sistema de senhas múltiplas (chave de segurança), digitação de frases de segurança previamente cadastradas, sugestão de troca periódica de senhas, fornecimento gratuito de plugin´s contra programas do tipo "cavalos-de-tróia", aos quais se soma, ainda, a presença de alertas no site acerca da necessidade de atualização dos programas navegadores, uso de anti-vírus e a possibilidade de uso de certificados-digitais, dependendo do nível em que se acha a tecnologia de autenticação. Há projetos de implantação de sistemas revolucionários de identificação por biometria, que consiste na checagem de aspectos físicos do individuo, como a íris, a impressão digital, leitura da palma da mão [29] e reconhecimento de voz.
A adoção de todos esses mecanismos de segurança e o desenvolvimento de novos pode ser concebido, em verdade, como um dever do prestador de serviços, vez que as novas disposições do Código Civil em matéria de direito de empresa previstas no Livro II reforçam a responsabilidade do seu administrador que agora deverá agir de forma preventiva e reparatória. A propósito, Renato M.S. Ópice Blum [30], já explicou que os diretores, gerentes ou chefes de segurança responsáveis por sistemas informáticos "têm o dever legal de não só fechar vulnerabilidades em sistemas eletrônicos, mas também processar os responsáveis por invasões, fraudes e outros ilícitos digitais".
É certo que a cautela adotada por uma empresa em seus negócios deverá ser considerada em cada caso de fraude especificamente. No plano da responsabilidade civil há quem sustente, inclusive, a possibilidade de adoção da chamada culpa concorrente. Nesse sentido Liliana Minardi Paesani [31], sem deixar de lado que muitas vezes os riscos derivam do cumprimento defeituoso dos deveres pelo fornecedor articula didaticamente que
"o banco não é responsável pelos microcomputadores e programas utilizados pelos clientes, a menos que em função de sua orientação quanto a requisitos de compatibilidade para o acesso à rede ou em função de sua escolha, quando o banco fornecer os programas e dispositivos para acesso. A rede eletrônica, nesse particular, é semelhante a rede elétrica, em que a responsabilidade da empresa concessionária é pela rede externa, e a responsabilidade dos usuários é pelas instalações domésticas. Essa separação é importante quando se trata de culpa concorrente, pois nesse caso deveria ser subtraído da indenização devida pelo banco, o equivalente ao quinhão de responsabilidade atribuível ao usuário."
Há quem se posicione entendendo que a não adoção dos modernos meios de segurança desenvolvidos recentemente atrairia a aplicação automática do artigo 20 do CDC, segundo o qual
o fornecedor de serviços responde pelos vícios de qualidade que os tornem impróprios ao consumo ou lhes diminuam o valor, assim como por aqueles decorrentes da disparidade com as indicações constantes da oferta ou mensagem publicitária
Eis o entendimento de Demócrito, [32] para o qual nesta hipótese
não se pode invocar a aplicação do art. 14 do CDC como fundamento da responsabilidade do banco (fornecedor). A situação pode ser representativa apenas de um típico vício por inadequação do serviço (de InternetBanking), enquadrando-se no descritor normativo do artigo 20, para efeito de justificar a responsabilidade do prestador do serviço falho ou inadequado
Deflui desse posicionamento que haveria hoje uma clara obrigação de buscar a evolução dos sistemas de proteção em favor do cliente.
Há aspecto bastante importante a ser abordado. Diz respeito à possível simulação de fraudes por parte do cliente.
4 DAS SIMULAÇÕES – UM ASPECTO REVELANTE A SER CONSIDERADO
A "lei de Gerson" faz grande estrago no Brasil, pelo que não se despreza a possibilidade da simulação de fraudes por parte de clientes, que garantiriam a chance de receber a indenização por valores que na verdade foram retirados da conta bancária pelos próprios ou seus familiares.
A "facilitação" proposital do golpe com intenção de buscar posterior reparação por aborrecimentos e danos morais também deve ser considerada. Essa preocupação reflete o estudo de diversos doutrinadores.
Adalberto Simão Filho [33] lembra que
(..) nem sempre será efetiva a responsabilidade do fornecedor. Afirmamos isto porque mesmo no mundo virtual pode o consumidor não estar agindo dentro do espírito de boa-fé e transparência necessária para que este obtenha resultados efetivos no campo patrimonial ou moral no caso de dano indenizável.
Assim, situações de má-fé exercitadas pelo consumidor em ambiente de internet podem afastar o fornecedor da responsabilidade indenizatória. Como exemplo temos o fato do consumidor que por qualquer motivo previamente sabia de uma ação de invasão sobre determinado site, com motivos espúrios.
Mesmo assim o consumidor se submete às operações naquele site com fins de sofrer efetivamente o dano para, após, buscar a indenização sob alegação de que um ataque hacker ou uma invasão não deve ser visto como excludente de responsabilidade.
Nota-se no exemplo que, tendo contribuído para o dano, não deveria, portanto, ter direito indenizável.
No Brasil a criatividade empregada no cometimento de fraudes é grande. A título de ilustração um relato por parte do jurista J. J. Calmon de Passos [34] em conhecido texto dá idéia da realidade que ocorre no dia a dia ao tratar da denominada "industria do dano moral":
"O advogado, bem acompanhado por sequazes hábeis, mandava uma pessoa humilde (no caso uma empregada de uma loja de departamentos) abrir uma conta no banco. Recebido o talonário, eram emitidos alguns cheques com fundos. Depois disso, um dos integrantes do grupo progressista imitava a assinatura do correntista e emitia cheque que sabia não ter fundos para ser honrado, em favor de um outro grupo da quadrilha. O banco, certamente, recusava o pagamento. O beneficiário do cheque, membro da quadrilha, dava conhecimento do fato à polícia e pedia fosse processada o emitente do cheque como estelionatário. Feita a perícia, concluía-se que a assinatura não era do correntista. Nesse passo, a vítima constituía procurador um dos advogados da quadrilha que acionava o banco por danos morais. No caso em que funcionei, a empregada de salário mínimo que, inclusive, foi de logo transferida para outra cidade onde passou a trabalhar, exigia indenização de R$ 1.000.000,00, a serem recebidos por seu procurador cujo mandato lhe dava poderes plenos ou pleníssimos. Essa tramóia só mereceu corrigenda no STJ, mas sem que se tenha ouvido falar de punição para quem quer que seja.
O banco, sob esse prisma, é também vitima de golpes praticados por alguns correntistas, embora haja pouca divulgação desse fato, até mesmo para não se estimular uma avalanche de ações que ganham força baseadas na regra de inversão legal do ônus da prova e nos custos relacionados a uma investigação interna. Isso sem esquecer que publicitariamente a confiabilidade do serviço é potencialmente afetada com a exposição de fragilidades [35].
Ainda que a tese de culpa exclusiva por parte dos clientes ganhe força a posição dos bancos conserva-se complicada nos processos judiciais e as decisões atualmente divergem bastante. O aspecto positivo é que a "incerteza" jurídica fomenta indiretamente a política de investimentos para ampliação de segurança visando a redução de prejuízos decorrentes do furto de identidade.
É certo que as defesas articuladas devem comprovar que a questão da segurança tem sido levada a sério no ambiente virtual. Direcionar a culpa pela ocorrência da fraude à existência de habilidosos hacker´s não basta, tal como se vê pela lição de Flávio Alves Martins e Humberto Paim de Macedo: [36]
"Apesar dos esforços, com a criação de barreiras de proteção firewall ou assemelhados, a "genialidade" de quem se propõe a invadir sites é indiscutível. Isto, entretanto, não tem sido considerado pela doutrina como uma possibilidade de fato necessário (caso de força maior, especificamente) que poderá ser utilizado como uma das excludentes de responsabilidade (...).
Esse, por exemplo, o entendimento de Simão Filho, o qual corroboramos: dentro desta visão e considerando-se o estágio atual, a invocação da excludente para fins de não responsabilização daquele prestador de serviços e/ou fornecedor de bens em ambiente de Internet, a nosso ver não se adapta nem à natureza jurídica do instituto... força maior. (....) Logo dificilmente será afastada a responsabilidade de quem explora a prestação de serviços ou vende produtos por site, salvo se houver a culpa concorrente do próprio consumidor, prevista nos arts. 12, § 3º, e 14, § 3º, inciso II, do CDC...".
Anota-se ainda que a existência de fraudadores na rede mundial é notória e a previsibilidade dos ataques acaba conduzido ao afastamento da alegação de força maior.
