30.03
Artigos
Direito do Consumidor
Golpes digitais e relações de consumo
Lucas Pahl Schaan Núñez
A pandemia impulsionou o crescimento do e-commerce, modificando o comportamento de muitos consumidores brasileiros que adquiriram o hábito de realizar compras em meio eletrônico. Também gerou uma maior adesão ao internet banking[1], levando muitos clientes – que antes encaravam as filas no banco ou lotéricas para pagar seus boletos – a realizar os pagamentos em poucos segundos pelo telefone celular. Esta modificação nos hábitos de consumo incrementou as vendas no varejo em seus mais diversos canais digitais, e também trouxe benefícios aos consumidores que têm acesso a um imenso universo de informações que viabiliza pesquisas para comparação de preços e qualidade dos produtos, sem falar na comodidade de pagar as suas contas sem precisar sair de casa.
Contudo, um dos efeitos colaterais desta mudança nos hábitos de consumo foi o incremento dos crimes cibernéticos e fraudes digitais, já que os criminosos tiraram proveito do surgimento deste maior contingente de consumidores menos experientes em compras e transações bancárias online. Os golpes digitais se dão por intermédio de fraudes grosseiras ou mediante estratégias extremamente elaboradas, cujas modalidades são as mais variadas: clonagem ou sequestro de perfis em redes sociais, phishing, malwares, aplicativos maliciosos, envio de boletos falsos, golpe da falsa central de atendimento, roubo de dados armazenados no celular, lojas virtuais falsificadas, dentre outros.
Um dos golpes mais comuns, cuja complexidade e refinamento varia de caso a caso, é o golpe do boleto falso. A estratégia do cibercriminoso é induzir a vítima a erro, para que pague um boleto cujo beneficiário do pagamento é pessoa diversa daquela que o consumidor acredita estar pagando. Há graus distintos de sofisticação nesta modalidade de crime digital. Em alguns casos são enviados boletos a um grande número de destinatários, sem que o criminoso tenha informações específicas acerca dos dados pessoais da vítima, o que facilita a identificação do golpe já que o boleto não necessariamente será similar ao que a cliente costuma pagar (conta de telefone, por exemplo, de valor superior ao habitual). Contudo, em outros casos, o criminoso pode se valer de um vazamento de dados dos consumidores, por intermédio do qual obtém informações internas da empresa cujo boleto é emulado, o que possibilita o envio de boleto idêntico ao usualmente recebido pelo consumidor, com uma sutil adulteração, o que dificulta a identificação do golpe.
Há ainda uma terceira modalidade do golpe do boleto – ainda mais sofisticada e difícil de ser detectada – em que o cibercriminoso instala no computador do consumidor ou da empresa um malware que captura e substitui o conteúdo de e-mails, possibilitando que a mensagem enviada pelo fornecedor com o boleto seja capturada antes de ser aberta pelo consumidor, substituindo o boleto original pelo adulterado. Pode ocorrer também de o consumidor estar com seu computador infectado com um malware específico (bolware) capaz de adulterar os boletos digitais, substituindo somente a linha digitável do boleto para que a transação seja concluída em favor de beneficiário diverso.
Nestas hipóteses torna-se mais difícil identificar a fraude, já que o recebimento do boleto anexo a um e-mail conhecido, do domínio do próprio e com o texto enviado pelo fornecedor, aumenta a confiança do cliente de que o pagamento está sendo realizado de acordo com as instruções do credor. Nesta hipótese, o golpe apenas é identificado e evitado se o consumidor permanece atento no ato do pagamento, para verificar que o beneficiário do pagamento é diverso do real credor.
Embora a jurisprudência seja majoritária pela elisão da responsabilidade civil dos fornecedores por culpa exclusiva do consumidor e de terceiro em casos de pagamento de boleto falso (por não ter atentado ao beneficiário no ato do pagamento), há uma tendência à modificação deste entendimento quando se tratam de golpes mais sofisticados, em que os fraudadores aparentam dispor de dados pessoais do consumidor e de sua relação contratual com o credor (o que pode evidenciar um vazamento de dados[2]).
Portanto, para que o fornecedor evite o risco de incorrer em passivo judicial causado por golpes de boletos falsos, é fundamental que sejam tomadas medidas preventivas não apenas para minorar o risco de que seus consumidores se tornem vítimas de cibercriminosos, mas também para facilitar a defesa em juízo.
Por mais que o fornecedor tome todas as cautelas que estão a seu alcance, é muito difícil evitar a ocorrência do golpe do boleto nas modalidades mais sofisticadas, já que a vulnerabilidade pode estar instalada na outra ponta da relação de consumo: no dispositivo do próprio consumidor. Nas hipóteses em que o e-mail foi interceptado pelo criminoso, a análise dos cabeçalhos técnicos do enviado pela empresa e daquele recebido pelo consumidor comprova que houve a adulteração, mas em eventual discussão judicial a inversão do ônus da prova beneficia o consumidor, e a produção de prova pericial para identificar em qual dispositivo ocorreu o ataque cibernético pode tornar o processo judicial demasiadamente oneroso.
Conclui-se pela importância da implementação de medidas preventivas. É imprescindível que a empresa esteja sempre em dia com as medidas de cibersegurança para identificar e sanar vulnerabilidades. Também é fundamental a existência de uma política de privacidade e proteção de dados pessoais, em conformidade com a Lei Geral de Proteção de Dados, o que é importante para descaracterizar eventual alegação de vazamento de dados. Por fim, nos e-mails enviados aos clientes deve sempre constar de forma clara e destacada o alerta de que o consumidor deve conferir o beneficiário do boleto no ato do pagamento, indicando expressamente no corpo do e-mail qual é o beneficiário correto, sendo importante também a publicação de alertas educativos sobre o risco de golpes digitais nos sites e nas redes sociais da empresa, detalhando quais são os meios de comunicação oficiais utilizados para a cobrança ou negociação de débitos, advertindo os clientes de que outras formas de contato devem ser sumariamente desconsideradas.
[1]https://portal.febraban.org.br/noticia/3648/pt-br/#:~:text=A%20pesquisa%20revelou%20que%20as,pandemia%20e%20do%20aux%C3%
ADlio%20emergencial.
[2] 1 - INDENIZAÇÃO – Autor que foi vítima do golpe do boleto falso, o qual recebeu em sua residência como de costume para pagamento do plano de saúde administrado pela segunda ré, que vazou seus dados pessoais e sigilosos. Primeira ré que permite o cadastro de um golpista para se utilizar de seus serviços, sendo a beneficiária do boleto, que recebeu e repassou o valor, atividade que explora com fim lucrativo. Instituição financeira que efetuou o pagamento de um título falso sem qualquer tipo de checagem. Legitimidade e responsabilidade objetiva e solidária. Risco da atividade. Apenas entre as rés cabe a discussão sobre a responsabilidade exclusiva ou preponderante. Fortuito interno. Serviços defeituosos. Restituição do valor pago fraudulentamente a terceiro, o que inclusive ensejou a necessidade do pagamento do boleto verdadeiro para evitar o cancelamento do plano de saúde. Dano moral. Reconhecimento. Situação que extrapola o mero aborrecimento. Comprometimento a subsistência. Indenização fixada em R$ 8.000,00. Valor que não é exorbitante, mas condizente com o propósito de compensar o autor e a capacidade econômica das rés. Sentença de procedência. Manutenção. - RECURSOS DESPROVIDOS (TJSP; Apelação Cível 1001906-58.2021.8.26.0006; Relator (a): Ramon Mateo Júnior; Órgão Julgador: 15ª Câmara de Direito Privado; Foro Regional VI - Penha de França - 4ª Vara Cível; Data do Julgamento: 03/06/2022; Data de Registro: 03/06/2022)
APELAÇÃO – AÇÃO DE INDENIZAÇÃO POR DANOS MATERIAIS JULGADA IMPROCEDENTE – BOLETO FRAUDADO – pagamento de boleto de quitação de contrato de financiamento de veículo enviado por suposto representante do banco apelado por meio do aplicativo WhatsApp – responsabilidade objetiva – artigo 14 do CDC – apelado que não comprovou que houve culpa exclusiva do apelante – suposto representante do apelado que teve acesso aos dados contratuais da apelante – vazamento de dados – boleto com timbre da instituição apelada, bem como com nome e CPF da apelante – ato de terceiro que não elide a responsabilidade do apelado que igualmente contribuiu para que o golpe fosse perpetrado – caso fortuito interno – Súmula 479 do STJ – precedentes – restituição dos valores pagos (R$ 14.915,59 já corrigido), que se impõe – ação julgada procedente – recurso provido. (TJSP; Apelação Cível 1042494-82.2022.8.26.0100; Relator (a): Castro Figliolia; Órgão Julgador: 12ª Câmara de Direito Privado; Foro Central Cível - 23ª Vara Cível; Data do Julgamento: 03/02/2023; Data de Registro: 03/02/2023)
https://www.tjdft.jus.br/institucional/imprensa/noticias/2019/dezembro/turma-determina-que-banco-restitua-cliente-por-valor-pago-em-boleto-falso
A pandemia impulsionou o crescimento do e-commerce, modificando o comportamento de muitos consumidores brasileiros que adquiriram o hábito de realizar compras em meio eletrônico. Também gerou uma maior adesão ao internet banking[1], levando muitos clientes – que antes encaravam as filas no banco ou lotéricas para pagar seus boletos – a realizar os pagamentos em poucos segundos pelo telefone celular. Esta modificação nos hábitos de consumo incrementou as vendas no varejo em seus mais diversos canais digitais, e também trouxe benefícios aos consumidores que têm acesso a um imenso universo de informações que viabiliza pesquisas para comparação de preços e qualidade dos produtos, sem falar na comodidade de pagar as suas contas sem precisar sair de casa.
Contudo, um dos efeitos colaterais desta mudança nos hábitos de consumo foi o incremento dos crimes cibernéticos e fraudes digitais, já que os criminosos tiraram proveito do surgimento deste maior contingente de consumidores menos experientes em compras e transações bancárias online. Os golpes digitais se dão por intermédio de fraudes grosseiras ou mediante estratégias extremamente elaboradas, cujas modalidades são as mais variadas: clonagem ou sequestro de perfis em redes sociais, phishing, malwares, aplicativos maliciosos, envio de boletos falsos, golpe da falsa central de atendimento, roubo de dados armazenados no celular, lojas virtuais falsificadas, dentre outros.
Um dos golpes mais comuns, cuja complexidade e refinamento varia de caso a caso, é o golpe do boleto falso. A estratégia do cibercriminoso é induzir a vítima a erro, para que pague um boleto cujo beneficiário do pagamento é pessoa diversa daquela que o consumidor acredita estar pagando. Há graus distintos de sofisticação nesta modalidade de crime digital. Em alguns casos são enviados boletos a um grande número de destinatários, sem que o criminoso tenha informações específicas acerca dos dados pessoais da vítima, o que facilita a identificação do golpe já que o boleto não necessariamente será similar ao que a cliente costuma pagar (conta de telefone, por exemplo, de valor superior ao habitual). Contudo, em outros casos, o criminoso pode se valer de um vazamento de dados dos consumidores, por intermédio do qual obtém informações internas da empresa cujo boleto é emulado, o que possibilita o envio de boleto idêntico ao usualmente recebido pelo consumidor, com uma sutil adulteração, o que dificulta a identificação do golpe.
Há ainda uma terceira modalidade do golpe do boleto – ainda mais sofisticada e difícil de ser detectada – em que o cibercriminoso instala no computador do consumidor ou da empresa um malware que captura e substitui o conteúdo de e-mails, possibilitando que a mensagem enviada pelo fornecedor com o boleto seja capturada antes de ser aberta pelo consumidor, substituindo o boleto original pelo adulterado. Pode ocorrer também de o consumidor estar com seu computador infectado com um malware específico (bolware) capaz de adulterar os boletos digitais, substituindo somente a linha digitável do boleto para que a transação seja concluída em favor de beneficiário diverso.
Nestas hipóteses torna-se mais difícil identificar a fraude, já que o recebimento do boleto anexo a um e-mail conhecido, do domínio do próprio e com o texto enviado pelo fornecedor, aumenta a confiança do cliente de que o pagamento está sendo realizado de acordo com as instruções do credor. Nesta hipótese, o golpe apenas é identificado e evitado se o consumidor permanece atento no ato do pagamento, para verificar que o beneficiário do pagamento é diverso do real credor.
Embora a jurisprudência seja majoritária pela elisão da responsabilidade civil dos fornecedores por culpa exclusiva do consumidor e de terceiro em casos de pagamento de boleto falso (por não ter atentado ao beneficiário no ato do pagamento), há uma tendência à modificação deste entendimento quando se tratam de golpes mais sofisticados, em que os fraudadores aparentam dispor de dados pessoais do consumidor e de sua relação contratual com o credor (o que pode evidenciar um vazamento de dados[2]).
Portanto, para que o fornecedor evite o risco de incorrer em passivo judicial causado por golpes de boletos falsos, é fundamental que sejam tomadas medidas preventivas não apenas para minorar o risco de que seus consumidores se tornem vítimas de cibercriminosos, mas também para facilitar a defesa em juízo.
Por mais que o fornecedor tome todas as cautelas que estão a seu alcance, é muito difícil evitar a ocorrência do golpe do boleto nas modalidades mais sofisticadas, já que a vulnerabilidade pode estar instalada na outra ponta da relação de consumo: no dispositivo do próprio consumidor. Nas hipóteses em que o e-mail foi interceptado pelo criminoso, a análise dos cabeçalhos técnicos do enviado pela empresa e daquele recebido pelo consumidor comprova que houve a adulteração, mas em eventual discussão judicial a inversão do ônus da prova beneficia o consumidor, e a produção de prova pericial para identificar em qual dispositivo ocorreu o ataque cibernético pode tornar o processo judicial demasiadamente oneroso.
Conclui-se pela importância da implementação de medidas preventivas. É imprescindível que a empresa esteja sempre em dia com as medidas de cibersegurança para identificar e sanar vulnerabilidades. Também é fundamental a existência de uma política de privacidade e proteção de dados pessoais, em conformidade com a Lei Geral de Proteção de Dados, o que é importante para descaracterizar eventual alegação de vazamento de dados. Por fim, nos e-mails enviados aos clientes deve sempre constar de forma clara e destacada o alerta de que o consumidor deve conferir o beneficiário do boleto no ato do pagamento, indicando expressamente no corpo do e-mail qual é o beneficiário correto, sendo importante também a publicação de alertas educativos sobre o risco de golpes digitais nos sites e nas redes sociais da empresa, detalhando quais são os meios de comunicação oficiais utilizados para a cobrança ou negociação de débitos, advertindo os clientes de que outras formas de contato devem ser sumariamente desconsideradas.
[1]https://portal.febraban.org.br/noticia/3648/pt-br/#:~:text=A%20pesquisa%20revelou%20que%20as,pandemia%20e%20do%20aux%C3%
ADlio%20emergencial.
[2] 1 - INDENIZAÇÃO – Autor que foi vítima do golpe do boleto falso, o qual recebeu em sua residência como de costume para pagamento do plano de saúde administrado pela segunda ré, que vazou seus dados pessoais e sigilosos. Primeira ré que permite o cadastro de um golpista para se utilizar de seus serviços, sendo a beneficiária do boleto, que recebeu e repassou o valor, atividade que explora com fim lucrativo. Instituição financeira que efetuou o pagamento de um título falso sem qualquer tipo de checagem. Legitimidade e responsabilidade objetiva e solidária. Risco da atividade. Apenas entre as rés cabe a discussão sobre a responsabilidade exclusiva ou preponderante. Fortuito interno. Serviços defeituosos. Restituição do valor pago fraudulentamente a terceiro, o que inclusive ensejou a necessidade do pagamento do boleto verdadeiro para evitar o cancelamento do plano de saúde. Dano moral. Reconhecimento. Situação que extrapola o mero aborrecimento. Comprometimento a subsistência. Indenização fixada em R$ 8.000,00. Valor que não é exorbitante, mas condizente com o propósito de compensar o autor e a capacidade econômica das rés. Sentença de procedência. Manutenção. - RECURSOS DESPROVIDOS (TJSP; Apelação Cível 1001906-58.2021.8.26.0006; Relator (a): Ramon Mateo Júnior; Órgão Julgador: 15ª Câmara de Direito Privado; Foro Regional VI - Penha de França - 4ª Vara Cível; Data do Julgamento: 03/06/2022; Data de Registro: 03/06/2022)
APELAÇÃO – AÇÃO DE INDENIZAÇÃO POR DANOS MATERIAIS JULGADA IMPROCEDENTE – BOLETO FRAUDADO – pagamento de boleto de quitação de contrato de financiamento de veículo enviado por suposto representante do banco apelado por meio do aplicativo WhatsApp – responsabilidade objetiva – artigo 14 do CDC – apelado que não comprovou que houve culpa exclusiva do apelante – suposto representante do apelado que teve acesso aos dados contratuais da apelante – vazamento de dados – boleto com timbre da instituição apelada, bem como com nome e CPF da apelante – ato de terceiro que não elide a responsabilidade do apelado que igualmente contribuiu para que o golpe fosse perpetrado – caso fortuito interno – Súmula 479 do STJ – precedentes – restituição dos valores pagos (R$ 14.915,59 já corrigido), que se impõe – ação julgada procedente – recurso provido. (TJSP; Apelação Cível 1042494-82.2022.8.26.0100; Relator (a): Castro Figliolia; Órgão Julgador: 12ª Câmara de Direito Privado; Foro Central Cível - 23ª Vara Cível; Data do Julgamento: 03/02/2023; Data de Registro: 03/02/2023)
https://www.tjdft.jus.br/institucional/imprensa/noticias/2019/dezembro/turma-determina-que-banco-restitua-cliente-por-valor-pago-em-boleto-falso