Tribunais reconhecem a responsabilidade do Facebook nas fraudes do Instagram e WhatsApp
Geralmente as pequenas empresas e empreendedores individuais utilizam o Instagram como sua única ou principal forma de prospecção, captação e envio de orçamentos aos seus clientes, e o WhatsApp como único meio de contato.
Desta forma, atualmente é inequívoca a importância dos produtos do Facebook (atual Meta), não só para interação social, mas também para a criação e desenvolvimento de negócios.
Cada dia mais vemos nas nossas redes sociais casos de fraudes relatando invasões de conta, com pedidos de Pix, vendas irreais e extorsões, e mesmo com a habilitação do duplo fator de autenticação, os fraudadores encontram meios para acessar os dados das contas dos usuários das redes sociais.
A fraude pode ocorrer de diversas formas, mas a mais comum é quando o usuário começa a receber notificações contínuas via SMS a fim de alterar o dispositivo do WhatsApp ou Instagram. Engana-se quem pensa que, ao não clicar no link, está protegido, já que o fraudador pode se utilizar da estratégia de SIM Swap, ou alteração dos seus dados cadastrais para acessar suas redes sociais.
Mesmo que o fraudador, supostamente, não tenha acesso às informações internas do Facebook, os tribunais têm reconhecido que a troca de celular (dispositivo), número de telefone, ou de e-mail, sem a devida validação de dados necessária, demonstra fragilidade nos sistemas de segurança do Facebook.
Com o avanço da modernidade, cada vez mais, os cadastros têm relação com o número de telefone e e-mail de um usuário, começando uma infinidade de possibilidades para fraudes, desde pedir dinheiro para amigos e familiares, até mesmo extorsões diversas e perda de faturamento, quando se utiliza tais sistemas para trabalho.
Quando o acesso é bloqueado, o usuário pode entrar em contato com a Central de Ajuda para tentar reaver sua conta, entretanto, inúmeros são os casos de usuários que perdem, permanentemente o acesso, ante a ausência de suporte humano por parte do Facebook.
Tais fraudes, diante da demora na recuperação na conta, abalam psicologicamente usuários e empreendedores, visto que se veem em situação de inércia diante da ação dos fraudadores, que os chantageiam e às pessoas com quem conversam particularmente, bem como preocupando-se com pessoas que caíram em golpes e realizaram Pix de compras irreais, ausência de contato com clientes, familiares e amigos, pela falta de priorização da segurança nos sistemas, permitindo que os dados de segurança dos usuários sejam alterados sem qualquer autorização prévia ou validação.
A primeira e principal ação a ser tomada é a formalização de boletim de ocorrência perante autoridade policial, bloqueio e emissão de novo chip (em caso de SIM Swap) e comunicação ao Facebook (Instagram e WhatsApp), amigos e familiares, sobre o ocorrido.
Muitas pessoas, diante do dano sofrido, procuram amparo judicial, a fim de obter o seu perfil de volta, bem como serem indenizados a título de danos materiais e morais pelos danos sofridos.
É importante salientar que, de acordo com os Termos de Uso do Instagram, os serviços fornecidos são seguros. Além disso, informam que possuem “equipes e sistemas que trabalham para combater abusos e violações (...) bem como condutas enganosas e prejudiciais”. Afirmam, ainda, que usam “todas as informações que temos, inclusive suas informações, para tentar manter nossa plataforma segura”.
No mesmo documento, o Instagram traz como premissa a garantia de acesso ao serviço.
Quanto à eventual remoção de conteúdo ou desativação/encerramento da conta, o Instagram recomenda que seus clientes entrem em contato com a Central de Ajuda.
Partindo dessas premissas, que por si só já comprovam a responsabilidade do Facebook quanto (i) à segurança da plataforma; (ii) garantia de acesso aos serviços; e (iii) atendimento via Central de Ajuda, ainda há a questão de negligência de não validação dos dados dos usuários, antes da troca de quaisquer informações de segurança, conforme verificaremos a seguir.
De acordo com a Política de Dados do Instagram, existe a captação de uma infinidade de dados dos usuários para a disponibilização dos serviços, tais como:
· Informações e conteúdo: coleta o conteúdo, comunicações e outras informações fornecidas, inclusive quando cadastradas para criar uma conta, cria ou compartilha conteúdo, envia mensagens ou se comunica com outras pessoas. Isso pode incluir informações presentes ou sobre o conteúdo que o usuário fornece (como metadados), como a localização de uma foto ou a data em que um arquivo foi criado.
Isso pode incluir também o que o usuário vê por meio dos recursos fornecidos, como a câmera, de modo que podem realizar ações como sugerir máscaras e filtros, ou dar dicas sobre o uso de formatos da câmera. Os sistemas processam automaticamente o conteúdo e as comunicações que o usuário e outras pessoas fornecem a fim de analisar o contexto e o conteúdo.
· Dados com proteções especiais: tem acesso sobre a opção religiosa, preferência política, saúde ou por quem o usuário “tem interesse”, bem como origem racial ou étnica, crenças filosóficas ou filiações sindicais.
· Redes e conexões: coleta informações sobre as pessoas, as contas, as hashtags, os grupos e as Páginas do Facebook com os quais o usuário se conecta e sobre como ele interage com os produtos, como as pessoas com quem ele mais se comunica ou os grupos dos quais ele faz parte. Também coletam informações de contato, como uma agenda de contatos, um registro de chamadas ou um histórico de SMS).
· Uso: coletam, ainda, informações sobre como os produtos são utilizados, como o tipo de conteúdo visualizado ou com o qual se envolve; os recursos utilizados; as ações realizadas; as pessoas ou contas com quem interagem; e o tempo, frequência e duração das atividades. Por exemplo, registram quando está usando e a última vez que usou os produtos, quais publicações, vídeos e outro conteúdo visualizou, bem como informações sobre recursos da câmera.
· Informações sobre transações realizadas: inclui informações de pagamento, como o número do cartão de crédito ou débito e outras informações sobre o cartão; outras informações de conta e autenticação; detalhes de cobrança, entrega e contato.
· O que os outros fazem e informações que eles fornecem: pode incluir informações como quando outras pessoas compartilham ou comentam uma foto, enviam uma mensagem ou carregam, sincronizam ou importam informações de contato.
· Informações de dispositivo: coletam informações de e sobre computadores, telefones, TVs conectadas e outros dispositivos conectados à Web, e combinamos essas informações dos diferentes dispositivos que utiliza.
Por exemplo, usam as informações coletadas sobre o uso no telefone para personalizar melhor o conteúdo (inclusive anúncios) ou os recursos em outro dispositivo, como seu laptop ou tablet, ou para avaliar se, em resposta a um anúncio exibido em seu telefone, realizou uma ação em um dispositivo diferente. As informações que obtém desses dispositivos incluem:
· Atributos do dispositivo: informações como o sistema operacional, as versões do hardware e software, nível da bateria, força do sinal, espaço de armazenamento disponível, tipo de navegador, nomes e tipos de arquivo e de aplicativo, e plugins.
· Operações do dispositivo: informações sobre operações e comportamentos realizados no dispositivo, como se uma janela está em primeiro ou segundo plano ou quais movimentos são feitos com o mouse (que podem ajudar a distinguir humanos de bots).
· Identificadores: identificadores exclusivos, IDs do dispositivo e outros identificadores, como os de jogos, aplicativos ou contas utilizadas e a identificação de dispositivo da família (ou outros identificadores exclusivos associados ao mesmo dispositivo ou à mesma conta).
· Sinais do dispositivo: sinais de Bluetooth e informações sobre pontos de acesso de Wi-Fi nas proximidades, beacons e torres de celular.
· Dados das configurações do dispositivo: informações por meio das configurações do dispositivo, como o acesso à localização GPS, câmera ou fotos.
· Rede e conexões: informações como o nome da operadora móvel ou provedor de serviço de internet, idioma, fuso horário, número do celular, endereço IP, velocidade de conexão, informações sobre outros dispositivos que estão nas proximidades ou rede.
· Dados de Cookies: dados de cookies armazenados no dispositivo, inclusive configurações e IDs de cookies.
Diante da infinidade de dados coletados pelo Facebook, conforme abordado acima, atrelada à responsabilidade contratual de utilizar “todas as informações que temos, inclusive suas informações, para tentar manter nossa plataforma segura”, é quase impossível que a rede alegue o desconhecimento, ou ao menos a possibilidade de monitorar que a conta foi acessada por terceiros e não o próprio usuário.
Já existem diversas decisões proferidas pelo Tribunal de Justiça de São Paulo que mostram condenações da ré pela fraude realizada em seus sistemas. Vejamos:
Recurso inominado – Perfil comercial do Instagram hackeado – Utilização dos dados da conta para enganar terceiros e obter vantagem ilícita – Responsabilidade do réu pela invasão da plataforma – Aplicação do artigo 927, parágrafo único do CC. Se não há participação comprovada do autor na fraude perpetrada, parece lógico que a ré deva se responsabilizar pela invasão ocorrida, inclusive indenizando o autor pelos resultados adversos colhidos.
Dano moral - Ocorrência – Clientes abordados por fraudadores, que os iludiam se passando pelo autor, trazendo a este a imagem de estelionatário. – Indenização fixada no valor de R$6.000,00 – Sentença mantida – Recurso improvido. Fraudadores se fizeram passar pelo autor e venderam mercadorias em nome deste, mas não entregaram os produtos aos consumidores.
Evidente a existência de dano moral se o autor experimenta a fama indevida de estelionato diante da invasão ocorrida em seu perfil. Multa aplicada pelo descumprimento da liminar no prazo estabelecido. Validade. O réu foi intimado validamente acerca da tutela antecipada em 22 de dezembro de 2021, para cumprir a obrigação em 48 horas, mas não comprovou que o fez antes do dia 24 de janeiro de 2022, de modo a justificar a imposição da multa cominada, que, a rigor, atende à proporcionalidade (R$3.000,00).
(TJ-SP - RI: 10143225820218260006 SP 1014322-58.2021.8.26.0006, Relator: Michel Chakur Farah, Data de Julgamento: 20/06/2022, 7ª Turma Recursal Cível e Criminal, Data de Publicação: 20/06/2022)
Responsabilidade civil. Obrigação de fazer c.c. indenização moral. Invasão do perfil do demandante no Instagram e desativação da conta pelo fraudador. Sentença de parcial procedência. Ato de terceiro que não libera a ré da responsabilidade civil. Risco da atividade.
Provedor que, mesmo instado, tampouco reativou a conta, que contava com quase 79.000 seguidores. Conta que permaneceu desativada por 71 dias. Danos morais caracterizados. Desnecessidade de comprovação de prejuízo efetivo. Submissão do autor a fatos que extrapolam mero aborrecimento, com prejuízos inerentes e abalo.
Afetação direta para o modelo. "Quantum" arbitrado em R$ 15.000,00, observados os princípios da razoabilidade e proporcionalidade e critérios orientadores. Recurso não provido. A situação vivenciada pelo autor decorre da atuação da empresa ré, diante de fraude praticada por terceiros, pois o perfil do autor foi invadido por hacker e desativado a pedido pela ré, que, mesmo instada, inclusive através do Reclame Aqui, não reativou a conta do autor em prazo razoável, sendo caso de aplicação da responsabilidade objetiva, sem excludente de responsabilidade.
Por certo a situação causou inegáveis prejuízos, que não se enquadram como sendo de mero aborrecimento, mas ofensa a direito de personalidade.
A quantificação dos danos morais observa o princípio da lógica do razoável, ou seja, deve a indenização ser proporcional ao dano e compatível com a reprovabilidade da conduta ilícita, a intensidade e a duração dos transtornos experimentados pela vítima, a capacidade econômica do causador dos danos e as condições sociais do ofendido. A fixação em R$ 15.000,00 é coerente com critérios orientadores.
(TJ-SP - AC: 10722443720198260100 SP 1072244-37.2019.8.26.0100, Relator: Kioitsi Chicuta, Data de Julgamento: 29/07/2021, 32ª Câmara de Direito Privado, Data de Publicação: 29/07/2021)
Em se tratando de aplicação do Código de Defesa do Consumidor, deve ser levado em consideração o caso concreto, porquanto a situação é clara no sentido de que, como fornecedora de produtos e serviços, a rede social deverá responder objetivamente pelos atos praticados indevidamente contra o usuário lesado.
Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e risco.
É certo que sua responsabilidade só pode ser eliminada ante a demonstração de que a fraude inexistiu ou que se deu por fato exclusivo da vítima ou de terceiros, nos termos do que dispõe o artigo 14, § 3º, incisos I e II, do CDC.
No caso de fraudes envolvendo a falha de segurança dos sistemas da rede social, que possibilita a alteração/ativação do número do celular e e-mail para alteração da titularidade do perfil do usuário em suas redes sociais, pode ser demonstrada a sua culpa pelos danos sofridos.
Ademais, constitucionalmente e infraconstitucionalmente (Código Civil) são protegidos os direitos da personalidade, os quais salientamos, a imagem, o nome e a privacidade. Além disso, são essenciais o direito à dignidade e integridade, protegendo tudo o que lhe é próprio, honra, vida, liberdade, privacidade, intimidade, entre outros.
Em nosso ordenamento jurídico existem uma série de mecanismos para proteger os direitos da personalidade e eles ocorrem de duas formas: a forma preventiva, que é feita por ação ordinária com multa cominatória. E, também ocorre de forma repressiva, quando a lesão já tiver ocorrido, requerendo uma indenização por danos materiais e/ou morais.
O nome de uma pessoa tem um caráter absoluto, é de extrema relevância na vida social, por ser parte intrínseca da personalidade. O direito à intimidade é inviolável e protege de intromissões indevidas, tanto no lar, na família, correspondência, finanças.
Atualmente, a tutela da intimidade se torna mais preocupante com tanta tecnologia e monitoramento constantes sob a alegação de interesse público.
Os direitos da personalidade são direitos essenciais à dignidade e integridade e, independem da capacidade civil da pessoa, protegendo tudo o que lhe é próprio, honra, vida, liberdade, privacidade, intimidade, entre outros.
São direitos originários, vitalícios, imprescritíveis e absolutos, inerentes à própria pessoa.
Dessa forma, sua importância é tamanha que foram incluídos na Assembleia Geral da ONU de 1948 e na Convenção Europeia de 1950, após a segunda guerra, como forma de reação às agressões à dignidade humana.
Nos casos de fraude de invasão de contas, por falta de segurança nos sistemas da rede social, há violação da vida privada, bem como a divulgação de escritos, publicações, conversas íntimas, exposição e utilização da imagem do usuário.
Nestes casos, devemos lembrar que para que a responsabilidade objetiva não seja aplicada, é necessário que a empresa demonstre que possui mecanismos de segurança hábeis a evitar ou minimizar os danos causados aos consumidores nas hipóteses de fraude praticada por terceiros (art. 373, II, do CPC).
A mera alegação de ausência de responsabilidade pelos danos sofridos pelo consumidor, desacompanhada de documentos ou qualquer elemento probatório, não tem o condão de infirmar os fatos narrados e os documentos apresentados pelo autor nesta demanda.
Portanto, é entendimento dos Tribunais que a rede deve responder pelos danos causados ao consumidor, quando resta comprovado ato ilícito (falha nos sistemas de segurança) a ensejar sua responsabilização.
Configura-se o dano material, ainda, quando a fraude afeta diretamente o patrimônio do usuário, bem como o dano moral de acordo com o caso. No mais, consta expressamente no artigo 5.º, inciso V da Constituição da República:
V – é assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem.
O Código Civil estabelece em seu artigo 186 que “aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito”.
Analisando-se o supracitado artigo, pode-se concluir que, estão presentes os elementos essenciais para que seja caracterizada a responsabilidade civil, desde que estejam presentes (i) ação ou omissão, (ii) dolo ou culpa do agente, (iii) relação de causalidade, e (iv) dano.
Quando o Facebook não é diligente durante a troca dos dados para duplo fator de autenticação, resta configurada a ação, por dolo do agente que, ciente dos danos causados, fica inerte durante a troca, ou após a fraude ser efetivada.
Portanto, diante da situação de invasão de perfil em rede social, desde que analisado o caso concreto e verificado dano e falha nos sistemas de segurança do Facebook, de acordo com o entendimento de diversos Tribunais brasileiros, é possível a propositura de medida judicial a fim de recuperação da conta, bem como possível indenização pelos danos sofridos, que devem ser analisados caso a caso.
E você? Passou por situação parecida, ou conhece alguém que passou? Deixe seu comentário, e me acompanhe também nas redes sociais.
Este artigo foi escrito por Juliana de Jesus Cunha Chiose e publicado originalmente em Prensa.li.