Em contribuição com Amanda Cavallaro – amanda@martinelliguimaraes.com.br
Um levantamento recente realizado pela dfndr lab, laboratório especializado em cibersegurança da PSafe, revelou que mais de 5 milhões de brasileiros já foram vítimas do Golpe de clonagem de WhatsApp em 2020, resultando em uma média de mais de 15 mil vítimas por dia no Brasil. A prática veio à baila ao grande público sobretudo por ocasião de membros da força tarefa Lava Jato terem sido vítimas de golpe similar, fato que gerou a divulgação pública de conversas por parte da Intersept Brasil.
Cada vez mais comum, o golpe, que atualmente já é conhecido pelo corpo social, continua se propagando e angariando mais vítimas a cada dia. No entanto, apesar do reconhecimento tácito, não se observa medidas eficazes para a coibição da prática.
Tal prática, também identificada por “Spoofing”, trata-se de um crime virtual no qual o cibercriminoso se passa por um contato ou uma fonte conhecida e confiável para que sejam entregues informações pessoais, possibilitando, assim, o roubo de identidade e as fraudes financeiras. Em primeiro lugar, importa salientar que o fenômeno em análise se trata de um mecanismo de engenharia social, através do qual uma pessoa é induzida a compartilhar informações e/ou realizar ações especificas de modo a possibilitar o golpe.
Em síntese, no caso em análise, o que ocorre é muito simples: o golpista realiza o monitoramento de novos anúncios on-line e colhe informações que foram disponibilizados na OLX. Em seguida, entra em contato com a possível vítima afirmando ser um membro da plataforma e que necessita que informe um código de verificação enviado por SMS sob a alegação de que houve um problema no serviço.
A vítima, que não possui conhecimento técnico, confirma os dados, sucumbindo ao golpe. Com esses dados o agente consegue clonar a conta de WhatApp da vítima, tendo acesso aos dados, conversas, contatos e imagens pessoais. Em seguida, e com as informações obtidas, o criminoso solicita aos contatos que façam transações bancárias ou realizem pagamentos em seu benefício. Nesse ínterim, até que a vítima consiga acionar a plataforma para que esta adote as medidas necessárias, o dano já foi configurado, sendo, em muitos casos, irreversíveis.
Nessa senda, fundamental atentar para os papéis desempenhados pelas plataformas que viabilizam a prática do Spoofing. Em primeiro lugar, tem-se a responsabilidade da OLX, que é a porta de entrada para o golpe. Nesse sentido, a plataforma desenvolvida com o intuito de facilitar vendas, seja de produtos novos, seja de usados, se vê diante de responsabilização uma vez que a experiência de usuário não apresenta aceites específicos de divulgação dos dados pessoais, de modo a não alertá-los das possíveis implicações decorrentes da exposição aberta de informação. Um aceite específico, cientificando dos riscos empreendidos, poderia ser meio apto a fornecer maior segurança ao usuário.
Em seguida, e mais importante, tem-se a responsabilização da plataforma de comunicação WhatsApp, palco central do crime. Nesse sentido, é evidente a carência de medidas de verificações eficazes que inviabilizem o roubo de identidade do usuário. Em sua defesa, a gigante Facebook, detentora do WhatsApp, argui que a própria plataforma disponibiliza a seus usuários medidas de segurança, como a verificação em dois fatores e encriptação de ponta a ponta.
No entanto, imperioso compreender que tais tecnologias não são tão facilmente compreendidas por uma grande parte da população. Demonstrando, inclusive, serem insuficientes para a proteção dos usuários, dado ao expressivo número vítimas. Nesse ínterim, observa-se, clara e inequivocamente, a hipossuficiência técnica do usuário em relação à plataforma, como também a carência de medidas de segurança voltadas a proteção dos usuários.
Ademais, imperioso acentuar que entre o usuário (vítima) e ambas as plataformas se configura uma relação consumerista. Não obstante cada uma tenha uma relação de consumo divergente com o usuário, ambas possuem responsabilidade para com o titular dos dados. Nessa senda, o CDC, em seu art. 14, dispõe que:
“Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.”
O mandamento supracitado, em conformidade com o artigo 927 do Código Civil busca, sobretudo, trazer um equilíbrio entre as partes da relação de consumo. Nesse sentido, observa-se a aplicação da teoria do risco do empreendimento – a qual prevê a responsabilização de todo aquele que exerce atividade lucrativa no mercado de consumo por defeitos dos produtos ou serviços fornecidos – em consonância com a responsabilidade civil objetiva, no caso em tela tanto da OLX quanto do WhatsApp.
Deste modo, não restam dúvidas sobre a devida responsabilização de ambas as plataformas, em especial do WhatsApp. Isso ocorre, sobremaneira, ao considerar as falhas estruturais do aplicativo quanto à segurança do serviço fornecido. À exemplo, tem-se que a dupla verificação e a encriptação de ponta a ponta, ofertadas pela plataforma de comunicação, não são mandatórias, de tal modo que o próprio aplicativo abre brechas para a ocorrência do crime.
Nesse sentido, importa ressaltar que não há de se falar nem mesmo em culpa concorrente da vítima, uma vez em virtude de falhas de segurança das próprias plataformas, esta foi levada a acreditar que se tratava de um funcionário da rede. Ademais, cumpre rememorar que o ordenamento jurídico brasileiro, em todas as suas disposições, busca sempre proteger a parte mais frágil da relação jurídica, justamente pelo reconhecimento da assimetria entre as partes e da desigualdade de poder daí derivada.
Assim, visando a proteção do consumidor, considerando a hipossuficiência deste e a assimetria na relação jurídica aí constituída, percebe-se que a responsabilização não somente é cabível, como também necessária. A prática do Spoofing, como se pode verificar, é uma crime decorrente de falhas estruturais das plataformas, cabendo a estas, portanto, a responsabilidade dos danos decorrentes.
Pedro Andrade Guimarães Filho é Advogado, Mestre em Direito e Professor.