Responsabilidade civil nas relações bancárias on-line
Marina Gondin Ramos*
Introdução
O manuseio da riqueza era inicialmente delegado à cambistas medievais, que ao longo da evolução da economia feudal para a mercantilista, e posteriormente, para a capitalista, se desenvolveram e formaram as casas bancárias. Assim, no final da Idade média surge na Europa, em decorrência da acumulação de capital, uma instituição hoje muito conhecida: o banco.
Iniciou sua atuação timidamente, se limitando a pequenos setores. Até o final do século XVIII tratava de financiar o comércio, depois, no século XIX aceitou o desafio de criar novas modalidades de operações, com o banco de investimento e desenvolvimento, e posteriormente surgiram as caixas econômicas e os bancos cooperativo que arregimentaram poupanças populares.
Nesse meio tempo, não só os bancos evoluíram, como a tecnologia, mas não em linhas paralelas, mas sim interligados, um contribuindo com o outro. Enquanto na revolução industrial, nas guerras e em muitas outras situações, o banco financiava a tecnologia, hoje, a tecnologia “financia” os bancos em seu trabalho de segurança da riqueza.
Essa tecnologia é a resposta do investimento, e hoje ela se faz muito necessária, pois, com o advento da internet e com a globalização os bancos precisaram se adaptar a nova velocidade da informação, utilizando das modernas técnicas para estar “on-line”.
Infelizmente, da mesma maneira que o banco físico foi sempre alvo da cobiça, os bancos virtuais também o são, sofrendo vários ataques de “assaltantes de bancos da internet”. Sendo o banco responsável pela segurança do dinheiro, como fica o cliente roubado? O banco deve ressarci-lo?
Esse artigo tem o objetivo de discutir as questões supracitadas nos casos de roubo virtual citados no próximo tópico.
Como funcionam as fraudes bancárias
Inicialmente faz-se necessário explicar alguns termos (conceitos retirados da Linha Defensiva):
Trojan – Programa de computador que faz algum tipo de atividade maléfica e se espalha automaticamente. Entra no computador e libera vulnerabilidades para um possível invasor. Este programa vem disfarçado como um programa legítimo.
Cracker – infratores das leis do mundo digital, muito confundido com o termo hacker (programador extraordinário). São indivíduos que usam seus conhecimentos para destruir computadores ou ganhar dinheiro roubando ou burlando os sistemas bancários.
Phishing – Mensagem fraudulenta não solicitada que se passa por comunicação de instituição conhecida, como banco, empresas, ou site popular, e que induz o usuário ao acesso de páginas falsificadas. Vem da palavra “fishing”, pescar, ou seja, pescar dados dos usuários pela isca (o e-mail não solicitado). O termo também o utilizado nos casos:
· Mensagens que induzem o usuário a instalar programas maliciosos que furam dados pessoais e financeiros.
· Mensagem que apresenta, no próprio conteúdo, formulários para preencher e enviar dados pessoais e financeiros.
Keylogger – Software que captura as teclas digitadas pelo computador.
Dispositivos de segurança
Para acessar o internet banking o usuário entra no site do seu banco e insere o número de sua conta, agência e sua senha. É um procedimento até simples, mas o banco tem que se certificar que é mesmo o usuário que está acessando o site. Para efetuar essas certificações existem diversas técnicas.
Teclado Virtual
Utilizado em grande escala, o teclado virtual substitui o teclado físico. É um teclado em que o usuário clica com o mouse nas teclas correspondentes à sua senha.
Esse dispositivo surgiu para se defender dos keyloggers, programas que gravavam a senha digitada no teclado virtual e depois enviavam para o indivíduo que infectou o computador.
Apesar de bastante seguros os teclados virtuais não são invulneráveis, pois já existem programas que gravam onde da tela o usuário “clica”. Alguns bancos já utilizam o teclado dinâmico, onde as teclas mudam de posição em cada acesso.
Protocolo SSL
O Secure Socket Layer (SSL) é um protocolo de segurança que criptografa os dados que trafegam entre o computador do usuário e o banco, codificando as informações. É utilizado pela maioria dos bancos e considerada uma tecnologia padrão de segurança na transmissão de dados pela internet.
Certificado Digital
O certificado digital é equivalente ao RG. È a maneira virtual de se provar a identidade. Da mesma maneira que no mundo físico temos a Secretaria de Segurança Pública para expedir nosso RG, no mundo virtual existe a Autoridade Certificadora e a Autoridade de Registro. A primeira emite o certificado e a segunda verifica a autenticidade do mesmo.
O Certificado Digital é um conjunto de arquivos – que ficam armazenados no computador da pessoa, ou em cd, smart card… – que são utilizados no processo de autenticação da identidade do usuário.
A validade jurídica da certificação digital no Brasil foi regulamentada em 24 de agosto de 2001 pela Medida Provisória 2.200-2 de 24 de agosto de 2001.
Muitos bancos usam ou estão começando a usar esse tipo de certificação.
Fraude
O usuário recebe um e-mail aparentemente inofensivo, como cartão virtual, notificação de dívida com alguma empresa ou com o governo ou banco, álbum de fotos, descontos especiais ou geradores de créditos para celular, etc. São e-mails que apelam para a curiosidade do usuário ou que parecem ser de fontes confiáveis, com remetente de um amigo ou de instituição pública. Quando o usuário abre o e-mail geralmente encontra um link para acessar ou um arquivo para abrir. Ao fazê-lo o trojan fica alojado no seu computador, latente, esperando o momento certo para entrar em ação.
Mesmo que a pessoa possua um antivírus nem sempre este consegue barrar o arquivo, até porque ele pode ter sido criado há pouco tempo, sem que a empresa do antivírus tenha disponibilizado (e descoberto) a atualização ainda.
Depois de infectado o computador, no momento em que o usuário tenta acessar o site do banco o trojan desperta e redireciona o usuário para um site idêntico ou parecido com o do banco, que irá registrar as senhas e informações inseridas para efetuar o acesso. Também pode acontecer do trojan direcionar para um site um pouco diferente daquele do banco, e que irá solicitar muitas informações que o banco não solicita, como CPF, data de nascimento, etc.
No momento em o usuário termina de informar seus dados o trojan encera o navegador com uma falsa mensagem de erro, e envia essas informações por e-mail para o cracker que criou e disseminou o programa malicioso.
Dever de Vigilância do Usuário
“Um dos maiores problemas atuais é a falta de “educação” em segurança dos usuários”. Eduardo Bueno – especialista em segurança e Analista de Invasão Certificado pela GIAC
Ao acessar o site do banco o usuário geralmente encontrará um link nomeado “segurança”. Nele encontrará dicas de segurança, requisitos para acessar o Internet Banking e outras informações do serviço.
Dentre os bancos brasileiros mais conhecidos é possível encontrar várias instruções:
· Checar a existência do cadeado na parte inferior do navegador, um indicativo de segurança.
· Conferir se o endereço está escrito “https” (nos sites normais é somente http).
· Evitar abrir o site por atalhos, links em outros sites. Ou seja, sempre digitar, www.bancoxxx.com.br.
· Evitar acessar o site de computadores públicos.
· Estar com o antivírus atualizado.
· Conferir o remetente dos e-mails sempre que possível, não abrindo mensagens de desconhecidos.
· Os bancos também alertam que não enviam mensagens de e-mail solicitando recadastramento de senhas nem quaisquer outras informações.
· Evitar executar programas ou abrir arquivos anexados, sem verificá-los com antivírus atualizado, mesmo que o remetente seja uma pessoa de sua confiança.
· Usar apenas provedores com boa reputação no mercado.
· Guardar a senha sob sigilo.
· Estar sempre atento as dicas de segurança que o site do banco disponibiliza.
Nos requisitos para acessar o sistema em alguns sites explicam que é necessário um computador com determinada especificação técnica e navegador netscape ou internet explorer acima da versão 4.0.
São instruções básicas que se o usuário seguir dificilmente terá sua conta violada, entretanto, como já diz Eduardo Bueno:
“nada é cem por cento seguro de modo que não possa ser explorado de alguma forma”.
O usuário deve então cuidar do seu computador, ter um anti-vírus atualizado, observar as informações do site do seu banco e principalmente, estar atento.
“Anti-Phishing Working Group (APWG) afirma que os esquemas para captura de dados pessoais e financeiros estão ficando cada vez mais sofisticados.”(IDG NOW!, 2005)
Estatísticas
No ano de 1998 o número de clientes (Pessoa Física) utilizando a Web era de 2,6 milhões. Em 2000 já eram 6,8 milhões de usuários no Brasil que utilizam a internet para efetuar transações bancárias. No ano de 1998, no Brasil, o número de usuários (Pessoa Jurídica) utilizando a Web era de 0,5 milhões. Em 2000 esse número atingia 1,5 milhões.
Responsabilidade do Banco
Da aplicação do CDC
Art 3° § 2° da lei 8.078/90: “Serviço é qualquer atividade fornecida no mercado de consumo mediante remuneração, inclusive as de natureza bancária, financeira, de crédito e securitária, salvo as decorrentes das relações de caráter trabalhista”
É importante abordar (brevemente, por não se tratar do tema principal desse artigo), antes de entrar em detalhes, a aplicação do Código de Defesa do Consumidor nas atividades bancárias, posto que esse assunto já causou polêmica.
É possível considerar determinada atividade profissional como serviço mediante o critério da natureza da atividade e o critério legal. No caso das instituições bancárias, temos a classificação de fornecedor de serviços segundo determinação legal expressa (da qual não se admite interpretação contrária), que seria o critério legal (art 3° §2°, lei 8.078/90).
“o critério legal é o suficiente para se chegar à conclusão segundo a qual o Código de Defesa do Consumidor deve ser aplicado às relações bancárias. Assim, basta a remuneração da atividade bancária, diretamente efetuada pelo interessado, para que ele possa se valer do código tutelar seus direitos.” (LISBOA, 2001)
Há juristas que afirmam que as atividades bancárias se submetem à legislação específica e complementar, Lei 4.595, que as distingue serviços e operações, não cabendo a aplicação do CDC, e que a instituição não fornece produtos ou serviço, pois simplesmente realiza a circulação de valores de troca, emprestando o dinheiro de A para B. Entretanto devemos lembrar que os bancos ganham com isso, e estão assim, prestando um serviço, caso contrário, o vendedor de produtos x está meramente pegando o produto emprestado do seu fornecedor e depois repassando o pagamento do cliente para o primeiro. O dinheiro que o banco oferta é um produto, o crédito que ele anuncia é o seu produto, e a manutenção das riquezas dos indivíduos que investem é um serviço, cobrado pela taxa de manutenção.
Da responsabilidade de indenizar ou responsabilidade objetiva
Art 14. da lei 8.078/90: “O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.”
Restou esclarecido que o banco é um fornecedor de serviços e o internet banking é um serviço, assim, de acordo com o art 14 da lei 8.078/90, no caso de defeitos relativos à prestação de serviço o banco deve reparar os danos.
Teoria do risco ou da responsabilidade objetiva
Em determinadas situações, a lei impõe a reparação de um dano cometido sem culpa. Nesse caso a reparação se satisfaz apenas com a prova do dano e do nexo de causalidade. Assim, segundo a teoria do risco,
“o sujeito é responsável por riscos ou perigos que sua atuação promove, ainda que coloque toda diligência para evitar o dano.”(VENOSA,2005)
E dela surge a teoria do risco-proveito:
“que se funda no princípio segundo o qual é reparável o dano causado a outrem em consequência de uma atividade realizada em benefício do responsável”(GONÇALVES, 1995)
Destarte, o banco presta um serviço, e, devido a uma falha nesse serviço o correntista sofre um dano patrimonial, ou até moral (exemplo: emitir, sem conhecimento da sua falta de crédito decorrente de fraude, um cheque sem fundo). Por mais que não haja dolo no procedimento adotado pelo banco, existiu uma falha, e deve o banco indenizar. Teoricamente, para que isso ocorra, o cliente deveria provar o dano e o nexo de causalidade, entretanto, como o correntista, que não tem acesso ao sistema do banco, irá conseguir provar que fraudaram sua conta de alguma forma?
Art. 6º da lei 8.078/90:
“São direitos básicos do consumidor:
(…)
VI – a efetiva prevenção e reparação de danos patrimoniais e morais, individuais, coletivos e difusos;
(…)
VIII – a facilitação da defesa de seus direitos, inclusive com a inversão do ônus da prova, a seu favor, no processo civil, quando, a critério do juiz, for verossímil a alegação ou quando for ele hipossuficiente, segundo as regras ordinárias de experiências;”.
O cliente é hipossuficiente, devendo, em prol da facilitação da defesa de seus direitos, ocorrer a inversão do ônus da prova, cabendo ao banco provar que o cliente é responsável. Cabe lembrar também que segundo o CDC, especificamente no artigo transcrito acima, é um direito básico do consumidor a “efetiva prevenção e reparação de danos patrimoniais e morais (…)”, ressaltando a palavra básico, então, é o mínimo que o banco pode fazer.
No caso de o banco se achar prejudicado, cabe a ele alterar o seu sistema, tendo um controle mais detalhado que possibilite no mínimo extrair provas do autor das transações para que se possa provar se foi o cliente ou um terceiro mal-intencionado.
Publicidade
Ligamos a televisão e observamos propagandas de bancos, anunciando os serviços destes, e entre eles o internet banking: “jeito mais ágil e prático”, “seguro”, etc. Na internet, a mesma coisa. É uma vasta publicidade acerca de um serviço que é lucrativo para o banco (economiza em muito nos gastos com agência, contratação de pessoal, manutenção de máquinas, etc.) e de fato prático para o cliente, o que é o atrativo, afinal, nada mais confortável do que não precisar sair de casa para pagar as contas, efetuar depósitos ou simplesmente conferir o saldo da conta.
Apesar das vantagens, muitos clientes de banco ainda têm um pouco de receio por causa da segurança, o medo que o processo não seja seguro afasta vários correntistas. Alguns começam a se confortar com a publicidade dos bancos.
Art 30 da lei 8.078/90: “Toda informação ou publicidade, suficientemente precisa, veiculada por qualquer forma ou meio de comunicação com relação a produtos e serviços oferecidos ou apresentados, obriga o fornecedor que a fizer veicular ou dela se utilizar e integra o contrato que vier a ser celebrado.”
A partir do momento que o banco afirma que seu serviço é seguro ele imputa a si mesmo a obrigação de se certificar que o serviço é de fato seguro e garantir, sendo responsável caso haja falhas.
Alguns bancos dispõem em seus termos de uso:
· “O banco XX não garante o conteúdo, os instrumentos e os materiais contidos, utilizados e oferecidos neste site estejam precisamente atualizados ou completos, e não se responsabiliza por danos causados por eventuais erros de conteúdo ou falhas do equipamento.”
· “Em nenhuma circunstância, o banco XX, seus diretores ou funcionários serão responsáveis por quaisquer danos diretos ou indiretos, especiais, incidentais ou de conseqüência, perdas ou despesas oriundos da conexão com este site ou uso de sua parte ou incapacidade de uso por qualquer parte, ou com relação à (sic) qualquer falha de desempenho, erro, omissão, interrupção, defeito ou demora na operação ou transmissão, vírus de computador ou falha de linha ou do sistema, mesmo se o banco XX ou seus representantes estejam avisados da possibilidade de tais danos, perdas ou despesas.”
· “Ao acessar este site você estará concordando plenamente com as regras, termos e condições a seguir estabelecidas. Se não concordar não acesse este site e nenhuma das páginas a ele relativas.”(geralmente essa observação se encontra em algum link distante da página principal, podendo o usuário acessar diversas áreas do site, inclusive o internet banking, sem nem cruzar com essa informação)
Faz-se aqui oportuno o comentário de Reinaldo de Almeida Fernandes, retirado de seu artigo “e-banking”:
“À primeira vista, quem acessa os termos e condições de fornecimento de serviços de e-banking disponibilizados no Brasil tem a sensação de se encontrar diante daquelas placas afixadas nos estacionamentos de supermercados ou shopping centers, que avisam não existir qualquer responsabilidade do estabelecimento que oferece essa facilidade por eventuais danos causados aos veículos ou pelo furto de objetos deixados em seu interior. A inocuidade jurídica de tais instrumentos exoneratórios é manifesta”.
Como um serviço pode ser seguro, como afirmam os bancos em sua publicidade, se em seus termos de uso não se responsabilizam por determinados danos?
Art 6°, lei 8.078/90 “São direitos básicos do consumidor:
III – a informação adequada e clara sobre os diferentes produtos e serviços, com especificação correta de quantidade, características, composição, qualidade e preço, bem como sobre os riscos que apresentem.
IV – a proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais, bem como contra práticas e cláusulas abusivas ou impostas no fornecimento de produtos e serviços.”
A contradição gera a dúvida, o que viola o artigo 6° do CDC, por não serem informações adequadas e claras. Felizmente alguns bancos já estão mudando seus termos de uso e publicidade do site, e se atualizando, tal como fez a caixa econômica nesses últimos dias.
Procedimento padrão
Quando ocorre uma fraude, o procedimento padrão dos bancos mais conceituados é conversar com o cliente e lhe devolver o dinheiro para o conta antecipadamente, bloqueando essa por um pequeno período de tempo e informando que irá investigar como ocorreu a fraude e se a culpa é do cliente. Geralmente eles ligam para o cliente e questionam sobre aspectos técnicos do seu computador e pedem para efetuar alguns testes, explicando como fazer.
Bons bancos estão atentos a conta do cliente e informam o mesmo caso hajam movimentações suspeitas, e quando não observam nada ainda assim fazem como detalhado acima quando o correntista comunica a fraude.
Alguns bancos não tomam atitude alguma, dizendo ser responsabilidade do cliente cuidar de sua senha e acesso, sendo necessário entrar na justiça para conseguir algum retorno.
Conclusão
O risco de fraude ou falha sempre existirá, e o banco tem ciência disso e deve – tanto que a maioria dos bancos fazem – arcar com as conseqüências, até por que, não faria sentido o cliente ser responsabilizado por falhas no sistema que o banco cria, tanto que esse afirma expressamente em seu site que está sempre alterando os mecanismos de segurança para eficiência do sistema, afinal, o cracker vai procurar falhas no sistema como um todo e o banco está ciente que o sistema que ele cria, o internet banking dele, inclui o momento em que o usuário acessa do site de seu computador particular.
Ele não pode também vigiar o usuário e ficar do lado dele, dizendo como cuidar de seu computador e para não entrar em sites “suspeitos” (o que é já subjetivo), pois ninguém pode ter um computador em casa e ser proibido de acessar o site que quiser com o risco de o banco não garantir a posterior segurança do acesso ao e-banking.
Entretanto o banco pode e deve fazer e informar com publicidade como agir, o que suspeitar, já que o que é suspeito para um não é para outro, é subjetivo. Nos casos de empresas o banco pode exigir certas condutas em seu contrato ou não fornecer o serviço, como é o caso do Banco do Brasil, que exige o cadastramento de computadores (isso sem recorrer para cláusulas abusivas, bom senso é sempre bom).
Bibliografia
(¹)IDG NOW!. Brasil é destaque em fraudes por e-mail. Notícia. Disponível em: <http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=6E70F7A8-5DBB-43E9-8614-7FB84619B754&ChannelID=21080105>. Acesso em: 23 out. 2005.
(²)VENOSA, Sílvio de Salvo. A responsabilidade objetiva no novo Código Civil. Disponível em: <http://www.societario.com.br/demarest/svrespobjetiva.html>. Acesso em: 17 nov. 2005.
GONÇALVES, Carlos Roberto. Responsabilidade Civil. 6. ed. São Paulo: Saraiva, 1995.
LISBOA, Roberto Senise. Responsabilidade civil nas relações de consumo. São Paulo: Revista Dos Tribunais, 2001. 308 p.
BANCO do Brasil. Disponível em: <www.bb.com.br>. Acesso em: 04 nov. 2005.
CAIXA Econômica Federal. Disponível em: <www.cef.gov.br>. Acesso em: 04 nov. 2005.
UNIBANCO. Disponível em: <www.unibanco.com.br>. Acesso em: 04 nov. 2005.
BANCO Itaú. Disponível em: <www.itau.com.br>. Acesso em: 05 nov. 2005.
BANCO Real. Disponível em: <www.bancoreal.com.br>. Acesso em: 05 nov. 2005.
BRADESCO. Disponível em: <www.bradesco.com.br>. Acesso em: 05 nov. 2005.
MP regulamenta validade do certificado digital. Notícia. Disponível em: <http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=1C14BFFA-88A3-42FF-81C7-77E1A61E4618&ChannelID=21080105>. Acesso em: 05 nov. 2005.
CERTIFICADOS digitais: como funcionam e onde obter. Notícia. Disponível em: <http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=3D350DB5-92B1-4B51-90B9-9AEE2B0CEED3&ChannelID=21080105>. Acesso em: 05 nov. 2005.
CARTILHAS sobre certificado digital. Disponível em: <http://www.iti.br/twiki/bin/view/Main/Cartilhas>. Acesso em: 05 nov. 2005.
FERNANDES, Reinaldo de Alemida. Operações na Web. bancos devem indenizar consumidores se falharem. Disponível em: <http://150.162.138.14/arquivos/operacoesweb.html>. Acesso em: 31 ago. 2005.
SANTOS, Mauro Henrique Pereira Dos. A responsabilidade civil objetiva na atividade bancária das instituições financeiras. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=6627>. Acesso em: 31 ago. 2005.
SQUARCINI, Rodrigo Fabrício Rossi. A responsabilidade civil na internet. Disponível em: <http://www.ibdi.org.br/index.php?secao=&id_noticia=378&acao=lendo>. Acesso em: 13 out. 2005.
BELTRAN, Marcus Vinícios F. Entendendo as fraudes bancárias. Disponível em: <http://linhadefensiva.uol.com.br/artigos/entendendo-fraudes/>. Acesso em: 23 out. 2005.
ONLINE Banking é seguro? Disponível em: <http://www.gildot.org/articles/04/09/14/101229.shtml>. Acesso em: 23 out. 2005.
LINHA DEFENSIVA. Dicionário. Disponível em: <http://linhadefensiva.uol.com.br/dicionario/>. Acesso em: 04 nov. 2005.
*Acadêmica de Direito na UFSC.
Compare preços de Dicionários Jurídicos, Manuais de Direito e Livros de Direito.