Os aspectos jurídicos oriundos da invasão de contas em redes sociais e aplicativos de mensagens instantâneas

Os aspectos jurídicos oriundos da invasão de contas em redes sociais e aplicativos de mensagens instantâneas

Ana Paula Ribeiro Serra e Murilo Gomes*

23 de fevereiro de 2022 | 10h00

Ana Paula Ribeiro Serra e Murilo Gomes. FOTOS: DIVULGAÇÃO

Muito vem se ouvindo ou vivenciando sobre as invasões de terceiros desconhecidos aos perfis dos usuários, sejam pessoas físicas ou jurídicas, em contas de redes sociais ou aplicativos de mensagens instantâneas. Estes terceiros, ou como tecnicamente são chamados, hackers, invadem essas contas e perfis na maioria das vezes para a execução de práticas ilícitas, a exemplo de supostas vendas simuladas ou pedidos de empréstimos de valores ou pagamento de boletos, fazendo com que as vítimas pensem estar tratando com o oficial/real dono da conta/perfil. Estas operações acontecem na maioria das vezes através de comercialização ou transações efetivadas por operações bancárias realizadas na modalidade transferência, TED ou PIX, de modo que os golpistas passam a subtrair valores das vítimas, que são levadas a crer que estão realizando uma transação real e legítima.

Esse tipo de prática criminosa tornou-se tão banal, que não é desafiador afirmar, que você, que ora lê este texto, já foi vítima ou possui algum familiar, amigo ou conhecido que já foi vítima deste tipo de ato ilícito.

Fazendo uma análise jurídica sobre estes golpes realizados através da invasão de contas virtuais, temos em primeiro ponto, a prática de dois crimes, quais tipificados nos arts. 154-A e 171 do Código Penal Brasileiro, a saber, invasão de dispositivo informático de uso alheio e estelionato. O Legislador, ante o crescimento, modernização e incidência destes tipos de crime, vem editando normas de Direito Digital, com destaque, no tocante ao tema que estamos tratando, a Lei 14.155/2021, que alterou o nosso Código Penal, tornando mais graves e consequentemente aumentando as penas dos crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet.

Dentre outras mudanças, a Lei 14.155/2021 trouxe o aumento de pena para o crime disposto no art. 154-A, que antes era de 3 meses a 1 ano de detenção e multa e passou a ser de 1 a 4 anos de reclusão e multa, trazendo também a tipificação da fraude eletrônica no caso do art. 171, qual possou a possuir o agravante disposto no § 2º-A e B, quando o estelionato é cometido através da “utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo” e “quando o crime é praticado mediante a utilização de servidor mantido fora do território nacional”.

Ainda a passos não tão céleres quanto a evolução das relações digitais, o Legislador vem buscando normatizar as ações e negócios jurídicos praticados no ambiente virtual, na medida em que se objetiva pacificar, neutralizar ou ajustar os atos ilícitos cometidos digitalmente.

Contudo, o que se percebe do cometimento dos crimes praticados mediante a invasão de redes sociais e aplicativos de mensagens instantâneas, é que as empresas responsáveis por estas aplicações, se esvaziam da responsabilidade de adotar medidas de cibersegurança para evitar este tipo de prática.

Da realidade dos fatos, através da avaliação de inúmeros relatos de vítimas que buscam a assessoria jurídica consultiva e contenciosa em Direito Digital, é que verifica-se que, primeiro, essas aplicações não possuem canais acessíveis ou efetivos para comunicação deste tipo de invasão, e muito embora os titulares das contas e vítimas entrem em contato com as plataformas pelos meios escassos e inadequados que são disponibilizados, relatando os ataques dos hackers, mesmo cumprindo todos os requisitos, demonstrada a titularidade e apresentada a documentação necessária, o restabelecimento do acesso à conta dificilmente acontece antes de uma decisão judicial, proporcionando que os criminosos sigam, impunemente, aplicando as fraudes nos seguidores envolvidos e de boa-fé.

Neste ponto, oportuno salientar que o artigo 3° da Lei n° 12.965/2014, conhecida como Lei do Marco Civil da Internet, dispõe acerca dos princípios para disciplinar os usuários de provedores e aplicações de internet, dentre eles a importância da preservação da privacidade (inciso I); proteção dos dados pessoais (inciso III); preservação da estabilidade, segurança e funcionalidade da rede, por meio de medida técnica compatível com os padrões internacionais e pelo estímulo ao uso de boas práticas (inciso V) e a responsabilização dos agentes de acordo com suas atividades (inciso VI).

Em se tratando da figura do “provedor” no ambiente de internet, o Marco Civil da Internet (Lei n° 12.965/2014) traz dois tipos de agentes, quais sejam, o Provedor de Conexão à Internet, qual através das suas atividades originais promovem o acesso à internet, e os quais disponibilizam as aplicações na rede, nomeados assim na legislação como “Provedor de Aplicações de Internet”, conhecidos pela sigla PAI, como é o caso das redes sociais e aplicações de mensagens instantâneas. Logo, é aplicável neste tipo de situação, as regras estabelecidas no Marco Civil da Internet.

Temos as empresas de tecnologia, em especial as aplicações de interação social, como uma das maiores e mais lucrativas empresas do mundo. Estas empresas, sabedoras da vulnerabilidade existente no ambiente virtual, devem, ao permitir possibilidade de abertura de conta em suas plataformas, criar mecanismos de segurança eficazes e canais de comunicações dinâmicos, rápidos e eficientes, para proporcionar aos seus usuários e terceiros um ambiente mais seguro possível.

Não aleatoriamente, estas aplicações, na maioria das vezes, não cobram aos seus usuários pela utilização dos seus serviços. Entretanto, levando em consideração a máxima de que “se você não paga pelo produto, você é o produto”, as atividades destas aplicações se tornam potencialmente lucrativas pela quantidade de usuários que estas plataformas possuem. Logo, estas plataformas adotam como prática facilitar a abertura de conta e acesso pelo usuário, de modo a assumirem os riscos inerentes a atividade de tornar a plataforma segura e isenta.

Constata-se então, que não se trata de desconhecimento destas plataformas quanto a vulnerabilidade e riscos envolvidos, mas sim, de parte da estratégia mercadológica adotadas por elas na busca por novos usuários e por reter os atuais. Analogicamente, temos evidente o caso da teoria da cegueira deliberada, qual constituída na hipótese de que, uma vez sendo estas aplicações responsáveis pela preservação e manutenção da cibersegurança dos usuários, identificando uma conduta ilícita, sendo informado pela vítima do acontecimento, se abstém e não adota providências para impedir o ato ilícito praticado.

As plataformas digitais, responsáveis pela estabilização e manutenção da cibersegurança, optam por não adotar medidas de segurança eficazes, face o custo e estratégia de mercado. Tais condutas transformam essas aplicações num verdadeiro “paraíso dos golpistas”, servindo de estímulo para a continuidade do cometimento de crime e para o desenvolvimento de novas práticas delituosas. Isto porque, o crime praticado no ambiente virtual é financeiramente menos custoso e arriscado para o delinquente, visto que ao criminoso/hacker, basta que este apenas possua acesso a um gadget ou qualquer terminal de acesso à internet, encontrando além deste facilitador, a ineficiência e omissão das plataformas quanto a fragilidade de burla dos acessos indevidos e da lentidão das ações de suspensão de acesso quando da realização de denúncia, fazendo com que os golpes utilizem os dados pessoais dos usuários por tempo indeterminado, frente a inércia das aplicações.

As contas em plataformas de comunicação social se tornaram verdadeiros ativos patrimoniais possuindo muitas vezes cunho afetivos e emocionais para os seus usuários. Os usuários afetados, vão desde pessoas físicas, que utilizam estas plataformas para fins pessoais ou comerciais, e podem ter as suas imagens maculadas e sofrerem traumas psicológicos de dimensões devastadoras, ao ver as suas contas e suas imagens sendo utilizadas por terceiros fraudadores que cometem práticas criminosas, e, o pior, se veem de “pés e mãos atadas”, pois, pela inércia das plataformas em suspender a utilização das contas pelos criminosos, presenciam, de forma traumática, a continuidade de utilização indevida do seu “ativo”/perfil, em seu nome, sem saber o que mais pode acontecer e até quando isso durará, até a pessoas jurídicas, que têm as suas contas invadidas, ao passo que os hackers acabam induzindo os seus clientes/consumidores a adquirirem produtos ou serviços que efetivamente não serão entregues ou prestados, eis que não comercializado pelo verdadeiro proprietário da conta, sendo assim cometido o crime de estelionato.

Além dos danos causados aos proprietários dos perfis, este tipo de crime causa danos a outros usuários, os que são vítimas deste tipo de ação criminosa, por realizarem as transações, imaginando estar tratando com o real proprietário da conta invadida. Logo, temos que essas ações criminosa praticadas nas plataformas de comunicação social, atingem frontalmente os seus usuários, postadas face a omissão das plataformas de manter um ambiente virtualmente seguro, o que atraí para estas a responsabilidade em indenizar os ofendidos, de acordo com os arts. 187 e 927 do nosso Código Civil.

Nos casos de omissão das plataformas, os usuários acabam por buscar o Poder Judiciário, pleiteando em caráter liminar o sobrestamento da atividade das contas hackeadas e o restabelecimento do usuário ao acesso do perfil/conta, o que vem sendo em muitos casos deferido pelos julgadores, ante o entendimento de que há a presença do periculum in mora e do fumus boni iuris.

Nesta linha de intelecção, não pairam dúvidas de que a vítima que obteve a sua conta/perfil hackeada merece ser reparada, em virtude dos vastos prejuízos obtidos pela continuidade da ação fraudulenta em seu nome e a sua imagem, evidenciando a negligência e a falha na prestação do serviço por parte das aplicações de comunicação social.

Recentemente, esse entendimento foi sedimentado através da decisão proferida pelo 2° Juizado Especial Cível de Brasília, que criou a jurisprudência de que as plataformas de comunicação social devem indenizar as vítimas de perfis invadidos que não receberem apoio ou exclusão destes acessos. O precedente surgiu em um caso no qual o usuário, após ter a sua conta/perfil invadido por um terceiro desconhecido, solicitou a exclusão da sua conta junto a empresa – o que não ocorreu.

Ao proferir a decisão, o magistrado entendeu que a conduta da empresa caracterizou desídia (negligência) e que “restou cabalmente demonstrado nos autos a falha na segurança dos serviços prestados pelo requerido ao permitir o “hackeamento” da conta, além do vício no serviço consistente na demora do seu bloqueio”.

Este julgamento abre precedente para que as plataformas de comunicação social sejam responsabilizadas e passem a indenizar os usuários que tiverem o seu perfil invadido por um fraudador.

De um outro lado, visto que a segurança virtual é baseada em adoção de procedimentos perpetrados pelo Provedor de Aplicação de Internet e por aqueles que utilizam as plataformas, importante que os usuários adotem procedimentos de cautela e segurança, quais aqui listamos alguns, com o propósito de auxílio: (i) escolha uma senha difícil. Preferencialmente não utilize sequências, datas comemorativas ou nomes e sobrenomes ligados à sua família (ii) ative a autenticação de dois fatores e preferencialmente utilize aplicativos de autenticação sempre que estes recursos estiverem disponíveis; (iii) não forneça códigos de autenticação para terceiros. Os códigos de autenticação são para a ciência e devem ser utilizados apenas pelos usuários; (iv) cuidado com ofertas vantajosas, concessão de descontos, brindes e premiações; (v) cuidado ao utilizar as suas aplicações de comunicação social como login em aplicativos terceiros desconhecidos; (vi) sempre que possível, busque acessar o site da rede social sempre usando conexão segura – HTTPS, dentre outras.

Para as empresas, além das indicadas acima, listamos também algumas dicas como (i) senha normas de Compliance Digital na sua empresa (ii) realização de treinamentos e campanhas internas de cibersegurança; (iii) adoção de procedimentos escritos, acessíveis aos clientes, quanto a certificação da venda de mercadoria, aquisição do serviço ou negócio jurídico; (iv) criação e monitoramento de canais de denúncias sobre o uso indevido de perfis e portais da empresa; (v) utilização de ferramentas de proteção virtual, prioritariamente antispam, antivírus e firewall.

Muito embora os usuários tenham acesso a métodos de prevenção a invasão nas suas redes sociais, conforme indicados anteriormente, não se pode perder de vista que a plataforma é responsável pela preservação da segurança, direito de imagem, intimidade e privacidade dos seus usuários que manuseiam a plataforma, devendo, portanto, serem assistidas, de imediato, quando ocorrerem as ações fraudulentas, como a invasão de terceiros desconhecidos às suas contas nas redes sociais.

Sabe-se que um ambiente virtual seguro é fundamental para que as relações digitais continuem se solidificando e perpetuando, por isso, é importante que os Provedores de Aplicações de Internet mantenham a cultura de proteção de dados, cibersegurança, design thinking e comunicação com o usuário. De um outro lado, o usuário, seja pessoa jurídica ou pessoa física, busquem adotar práticas de prevenção e uma vez identificando que foi vítima de algum cibercrime, registre a denúncia do perfil e solicite que o máximo de pessoas possíveis assim também façam, registre um boletim de ocorrência junto a autoridade policial competente, e não possuindo soluções práticas e efetivas pela plataforma, busque o auxílio de um advogado especializado para avaliar o ajuizamento de ação ao junto ao Poder Judiciário.

*Ana Paula Ribeiro Serra, advogada, especialista em Direito Empresarial pela Fundação Getúlio Vargas. Curso de extensão em Compliance e Proteção de Dados pelo Insper. Membro da comissão de Direito Digital e Compliance da OAB/BA

*Murilo Gomes, sócio gestor da área de Negócios e Relações Institucionais e Direito Digital da MoselloLima Advocacia. Especialista em Direito Digital. LLM Candidate em Direito Empresarial pela Fundação Getúlio Vargas. Membro convidado da ANADD (Associação Nacional de Advogados de Direito Digital. Membro da Comissão de Direito Digital da OAB. Membro do Comitê Jurídico da ANPPD – Associação Nacional de Profissionais de Privacidade de Dados. Membro do Comitê Jurídico da Amcham Brasil

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.