Conjur - Consumidor no tem culpa por transao em h...

http://www.conjur.com.br/2008-nov-17/consumidor_nao_...

Texto publicado segunda, dia 17 de novembro de 2008

ARTIGOS

Consumidor no tem culpa por transao online no autorizada

POR GUILHERME DAMSIO GOULART

A jurisprudncia brasileira cvel ainda vacilante quando trata da retirada indevida de dinheiro atravs de home banking. A maior parte dos julgados reconhece a responsabilidade objetiva do banco fazendo a relao de que basta haver o dano e o nexo causal sem a necessidade de existncia de culpa por parte do banco. Entende-se que se o sistema permite a manipulao indevida das contas ele seria, por concepo, inseguro. No entanto, a questo no to simples assim. Outros julgados eximem o banco da responsabilidade ao entender que houve culpa exclusiva do correntista. Em geral alega-se que o sistema totalmente seguro e que a invaso da conta deu-se por negligncia do correntista. O Cdigo de Defesa do Consumidor, quando explica a questo da responsabilidade objetiva aplicada aos servios assim diz no pargrafo 3, inciso III do artigo 12: 3 - O fabricante, o construtor, o produtor ou importador s no ser responsabilizado quando provar: ... III - a culpa exclusiva do consumidor ou de terceiro. Um dos leading cases sobre a culpa exclusiva do usurio de Internet por negligncia a APC. 70.011.140.902, do TJ-RS. Assim diz a ementa: APELAO. DECLARATRIA DE INEXISTNCIA DE DBITO. TELEFONIA. SERVIO NO PRESTADO. COBRANA. INSCRIO NO SERASA. Internet. conexo a provedor internacional. vrus. A ligao telefnica internacional para a Ilha Salomo, que ocasionou o alto valor cobrado na fatura emitida pela r, decorreu de discagem internacional provocada por vrus instalado na mquina do autor. Quem navega na rede internacional (WEB) deve, necessariamente, utilizar um programa 'anti-vrus' para evitar tais acontecimentos. Negligncia do autor. Inexistncia de ato ilcito atribuvel Embratel. AO IMPROCEDENTE. APELAO IMPROVIDA. No entanto para a caracterizao dessa culpa exclusiva deve haver o cumprimento do dever de informar da instituio bancria. O banco deve sempre informar acerca dos riscos de utilizao do servio. Este dever de segurana um direito bsico do consumidor assim explicitado no artigo 6, inciso III:

1 de 4

09-07-2013 12:12

Conjur - Consumidor no tem culpa por transao em h... Art. 6 - So direitos bsicos do consumidor: ...

http://www.conjur.com.br/2008-nov-17/consumidor_nao_...

III - a informao adequada e clara sobre os diferentes produtos e servios, com especificao correta de quantidade, caractersticas, composio, qualidade e preo, bem como sobre os riscos que apresentem; Vemos tambm a meno no artigo 9 do CDC: Art. 9 - O fornecedor de produtos e servios potencialmente nocivos ou perigosos sade ou segurana dever informar, de maneira ostensiva e adequada, a respeito da sua nocividade ou periculosidade, sem prejuzo da adoo de outras medidas cabveis em cada caso concreto. A norma mais esclarecedora talvez seja a do artigo 31 do CDC: Art. 31 - A oferta e apresentao de produtos ou servios devem assegurar informaes corretas, claras, precisas, ostensivas e em lngua portuguesa sobre suas caractersticas, qualidades, quantidade, composio, preo, garantia, prazos de validade e origem, entre outros dados, bem como sobre os riscos que apresentam sade e segurana dos consumidores. sabido que na internet bastante comum a propagao de vrus (ou cdigos maliciosos) que realizam as mais variadas funes. Alguns destes tm a funo especfica de conseguir capturar os caracteres digitados no teclado do computador, passando-os para o criminoso. Os tribunais entendem que caso o banco realize campanhas ostensivas de segurana, ele cumpriria com o dever de informao eximindo-se assim de qualquer responsabilidade em caso de invaso dos computadores dos seus clientes. A pergunta que deve ser feita a seguinte: Ser que um sistema inseguro, pode ter sua insegurana compensada pelo cumprimento do dever de informar? Na nossa opinio, a resposta negativa. O dever de informao deve ser satisfeito de maneira que cumpra sua funo, nos termos dos artigos acima citados. A informao passada acerca do servio deve ser eficiente para cientificar completamente o cliente do banco acerca de suas responsabilidades especficas, caso haja. O cliente necessita ter, com a informao prestada, condies de escolha sobre o uso do servio. O professor Christoph Fabian (O Dever de Informar no Direito Civil. So Paulo:RT, 2002) ao tratar do dever de informar, assim preceitua: A instruo deve ser clara, ostensiva, e facilmente compreensvel para o consumidor. Tais instrues no devem ficar escondidas entre elogios do produto ou alguma propaganda. p. 147 ... Uma informao ostensiva quando se exterioriza de forma to manifesta e translcida que uma pessoa, de mediana inteligncia, no tem como alegar ignorncia ou desinformao. p. 150 Nota-se que as campanhas promovidas pelos bancos mais parecem propagandas do que reais advertncias sobre o uso do sistema. Com as campanhas atuais, muitas vezes escondidas, no h como garantir a ostensividade da informao exigida pelo CDC.

2 de 4

09-07-2013 12:12

Conjur - Consumidor no tem culpa por transao em h...

http://www.conjur.com.br/2008-nov-17/consumidor_nao_...

Quem pode, por exemplo, negar a ostensividade das advertncias dispostas nas carteiras de cigarro? O autor ainda diz (p. 151) que a expresso "Beba com moderao" disposta nas bebidas, no bastante ostensiva. H um mecanismo bastante interessante chamado pr-logon-banner, muito utilizado em ambientes corporativos e acadmicos. Tal mecanismo consiste em pequenas janelas com informaes, que so mostradas antes de algum ter acesso ao sistema. Esses pr-logon-banners tm a funo de passar informaes para quem acessa o sistema. No ambiente corporativo eles tm a funo de cientificar os colaboradores de que os sistemas so monitorados, que o uso deve ser apenas para fins profissionais, etc. Destaca-se que a informao passada antes de se acessar o sistema. Caso a pessoa no concorde com aquelas regras apresentadas, no consegue acessar o sistema. Vemos que um dispositivo semelhante poderia ser adaptado nos sistemas de home banking. Isso reforaria o dever de informao do banco pela ostensividade do mecanismo. No haveria como, antes do correntista acessar o sistema, no ler as recomendaes de segurana. No percamos de vista tambm que os controles de Segurana da Informao so bastante complexos. sabido que em incidentes de segurana, um dos aspectos mais explorados por criminosos exatamente a parte humana da cadeia. E isso vale no apenas para ataques envolvendo home banking, mas tambm para outros sistemas. O processo de explorar as vulnerabilidades humanas para conseguir informaes conhecido como engenharia social. Aliado a isso deve ser dito que a atividade de tornar um sistema seguro no tarefa simples. A cada dia descobrem-se novas vulnerabilidades dos sistemas, inconsistncias em sistemas operacionais alm de novas formas de explorar falhas. Os especialistas em Segurana da Informao dizem inclusive que no existe um sistema 100% seguro; sempre haver uma forma de quebr-lo, seja por forma tcnica ou mediante a explorao das vulnerabilidades humanas. A cincia da computao, ao tratar tambm da segurana da informao, utiliza a seguinte premissa Nenhuma corrente mais forte do que seu elo mais fraco. Ao que sabemos essa expresso foi cunhada originalmente por Arthur Conan Doyle (Nenhuma cadeia mais forte do que seu elo mais fraco). A idia que todas as protees de segurana aplicadas a um sistema tornam-se ineficazes se houver um ou mais controles ineficientes ou fracos. A segurana, ento, um processo que se no observado em todas as suas fases, torna o sistema mais ou totalmente inseguro. Fazendo uma analogia, como se algum trancasse todas as portas de sua casa mas deixasse uma janela aberta. Esse elo mais fraco a parte humana e diga-se de passagem, todo o especialista em segurana da informao sabe disso. O banco inclusive sabe muito bem disso. Por saber disso, os sistemas devem ser adaptados e protegidos contra essa vulnerabilidade. A construo dos sistemas deve observar sempre tal vulnerabilidade. A questo saber se um sistema que permite a explorao desta vulnerabilidade pode ser considerado potencialmente inseguro. Entendemos que tal situao torna sim o sistema inseguro nos termos do CDC. Tal insegurana provm, entre outras coisas, da disparidade de informaes que tem o fornecedor e o consumidor. Como disto, o consumidor no tem condies tcnicas de avaliar corretamente os riscos provenientes do uso do home-banking; no h como se exigir do consumidor o conhecimento das tcnicas de engenharia social utilizadas pelos criminosos. Isso foge do conhecimento do homem comum, do homem mdio. Tais

3 de 4

09-07-2013 12:12

Conjur - Consumidor no tem culpa por transao em h...

http://www.conjur.com.br/2008-nov-17/consumidor_nao_...

relaes baseiam-se na confiana que o consumidor deposita no servio de home banking. Como ensina o professor Christoph Fabian, na obra j citada, a informao prestada pelo fornecedor deve atentar para os riscos do uso do produto ou servio: Os perigos previsveis no so apenas aqueles que resultam do uso adequado. Eles abrangem tambm os perigos de utilizaes erradas que podem naturalmente ou facilmente acontecer. p. 148 Por fim, entendemos que a interpretao da questo ainda deve evoluir. A doutrina e a jurisprudncia devem ainda reforar qual a extenso do dever de segurana. urgente tambm que se defina se um sistema que permite a invaso atravs da explorao de vulnerabilidades humanas pode ser entendido como seguro. Ainda, importante que no se perca de vista a responsabilidade objetiva dos fornecedores de servios; esquecer-se disto seria esquecer-se de aplicar o CDC s relaes consumeiristas.

GUILHERME DAMSIO GOULART advogado e dono do blog http://direitodatecnologia.blogspot.com

4 de 4

09-07-2013 12:12