PHISHING E PHARMING: os golpes cibernéticos e a responsabilidade civil dos agentes

Durante a pandemia da COVID-19 que estamos atravessando os golpes cibernéticos estão em evidência, em especial quando o assunto é o Auxílio Emergencial, aumentando o número de vítimas em face do desespero das pessoas que pretendem sacar o Auxílio. Os golpistas vêm aplicando diariamente golpes conhecidos como phishing e pharming.

A palavra phishing, do verbo inglês fishing (pescar, em português), é um termo da área da computação que se refere a um tipo de roubo online de identidade. É um ataque fraudulento onde mensagens eletrônicas com conteúdo falso são enviadas aos usuários, geralmente via e-mail, os convidando para acessar páginas fraudulentas da internet. Na ocasião, um internauta mais atento pode perceber que a mensagem trata-se de um golpe e simplesmente não clicar no link falso ou não responder a mensagem.

Pode-se elencar três características que evidenciam o phishing: (i) uma mensagem eletrônica com uma marca comercial forjada; (ii) endereço de e-mail e links forjados; e (iii) um conteúdo que aguça a curiosidade da vítima.[1]

Assim, a vítima é instigada a clicar no falso link, acreditando que irá obter uma informação importante. O conteúdo das mensagens, no geral, aborda sobre temas como inscrição indevida no cadastro de proteção ao crédito, cobrança de dívidas, restituição do imposto de renda, intimações policiais e judiciais, fotos de acidentes e fotos intimas, notícia sobre famosos, entre outros.

Já o pharming, que vem do mesmo princípio do phishing, consiste em um golpe que induz à vítima a acessar um site que parece ser legítimo daquela companhia, mas na verdade não é. É conhecido como site espelho. Ao contrário do phishing, os “sites espelhos” são praticamente impossíveis de serem detectados por um usuário comum e desatento da internet, que não tenha conhecimentos cibernéticos mais técnicos.

Então, os golpistas criam sites imitando páginas legítimas de grandes companhias, como instituições financeiras e bancos, porém adicionando um código malicioso para capturar informações pessoais e confidenciais, tais como número de cartão de crédito, contas, senhas e acesso bancário.

Portanto, enquanto no phishing a vítima recebe um e-mail fraudulento como passo inicial para o golpe, o pharming, a nova geração do phishing, o internauta clica em um site espelho exatamente igual ao site original e confiável de uma empresa.

Em ambos os casos, a vítima é lesada imediatamente e sem perceber. Para tanto, há possibilidade de responsabilizar civilmente os agentes intermediários da cadeia de comunicação informática do golpe. Em especial, as instituições financeiras – principais companhias envolvidas – são acionadas para reparar o dano sofrido pela vítima, inclusive com a aplicação do Código de Defesa do Consumidor às instituições financeiras[2].

Há uma enorme discussão jurisprudencial. Pois, afinal, de quem é a responsabilidade para reparar os danos sofridos pelo consumidor relativos aos golpes cibernéticos que envolvem as instituições financeiras?

De um lado, a vítima se respalda na Súmula 497 do Superior Tribunal de Justiça que diz “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

Por sua vez, as instituições bancárias apontam a culpa exclusiva da vítima/consumidor, prevista no art. 14, §3º, inciso II, do CDC, como excludente para afastar a sua responsabilidade.

Porém, não há outro intermediário da cadeia de comunicação informática tão ligado à vítima quanto à instituição bancária, com o qual mantém relação contratual para a prestação de serviços, de modo que pode interferir e prevenir os ataques de forma mais eficaz do qual qualquer outro intermediário e, portanto, pode ser chamado à responsabilização para reparar os danos causados à vítima.

As instituições bancárias não devem ser responsabilizadas de forma desordenada e aleatória. Há a responsabilidade por vícios de inadequação dos serviços[3] que o banco disponibiliza em seus serviços. Deste modo, deve-se verificar se os serviços prestados pelas instituições são falhos ou não; caso não houver a devida proteção ao usuário contra golpes cibernéticos, deve o fornecedor ser responsabilizado.

Uma forma de se auferir o grau de responsabilidade da instituição bancária neste tipo de golpe é verificando se na forma utilizada (site, e-mail ou qualquer outro tipo de contato fraudulento) existe informações pessoais tanto da vítima quanto dos dados de financiamentos bancários, empréstimos, dados de cartão, entre outros.

Isto porque as instituições bancárias devem manter o sigilo total das informações prestadas por seus usuários de forma que quando há este tipo de vazamento de dados sem o consentimento do consumidor a instituição automaticamente passa a agir com culpa respondendo deste modo objetivamente pelos danos causados a vítima.

Entretanto, a conduta do usuário-vítima também deve ser levada em consideração, em especial nas ocasiões em que o golpe é evidente diante de tentadoras e relevantes facilidades em prol do consumidor, como descontos desproporcionais e ofertas irresistíveis.

Mas e os demais intermediários? É inviável responsabilizar o provedor de internet pelos prejuízos causados em decorrência das fraudes citadas, vez que não há obrigação geral de vigilância sobre o material e conteúdo que é hospedado ou sobre as informações que os usuários transmitem e consomem.[4]

No caso do phishing, não há possibilidade de responsabilizar o provedor do serviço de e-mail, a não ser que o contrato com o usuário contenha cláusula expressa nesse sentido.

O provedor não detém obrigação de triagem das mensagens.

Por fim, não há um regramento geral para se imputar a responsabilização das instituições bancárias no caso dos golpes aqui relatados. Embora haja a Súmula 497 do STJ que ampara o usuário-vítima, deve-se analisar a extensão da sua conduta para verificar se configura culpa exclusiva da vítima.

Em tempos de retração econômica, desalento e com uma grande quantidade de pessoas necessitando sacar seus auxílios emergenciais, têm aumentado a ocorrência deste tipo de golpe, portanto fique atento. Mantenha-se informado. Desconfie e suspeite de facilidades desproporcionais. Na dúvida, consulte um advogado.

[1] AZEVEDO, Carlos Eduardo Mendes de. Aspectos de Responsabilidade Civil em fraudes eletrônicas no internet banking. Escola da Magistratura do Estado do Rio de Janeiro. Rio de Janeiro. Ano de 2012. Disponível em: < https://www.emerj.tjrj.jus.br/paginas/trabalhos_conclusao/1semestre2012/trabalhos_12012/carloseduardoazevedo.pdf>. Acesso em: 28 maio 2020. [2] Vide Súmula 297 do STJ “O Código de Defesa do Consumidor é aplicável às instituições financeiras”. [3] Nos termos do artigo 20 do Código de Defesa do Consumidor. [4] REINALDO FILHO, Demócrito. A responsabilidade dos bancos pelos prejuízos resultantes do "phishing". Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 13, n. 1836, 11 jul. 2008. Disponível em: https://jus.com.br/artigos/11481. Acesso em: 28 maio 2020.