Na véspera da publicação desta coluna, fizemos uma rápida pesquisa em alguns dos mais conhecidos sites brasileiros sobre tecnologia e vejam alguns dos resultados encontrados, todos publicados no próprio 15 de julho: "Papo perigoso: WhatsApp é o app preferido para aplicação de golpes no Brasil", "Espanha prende gangue de cibercriminosos que usava malwares criados no Brasil" e "Veja como atua o grupo Mespinoza, conhecido por ciberataques com nomes criativos".
O tema está na ordem do dia e novos golpes são criados de forma cada vez mais rápida e sofisticada, dificultando tanto a prevenção, quanto a repressão aos delitos. Nem mesmo o sancionamento, em maio deste ano, da lei 14.155/2021 – alterando dispositivos do Código Penal para tornar mais graves os crimes de furto e estelionato cometidos via internet mediante o uso de dispositivos eletrônicos – inibiu os cibercriminosos, que parecem estar sempre um passo à frente.
A título de exemplo – e aproveitando-se de uma das reportagens acima citadas – atualmente quase não se ouve mais falar no golpe do telefonema do falso sequestro de um parente. Já conhecido da maioria das pessoas e exigindo uma verdadeira interpretação teatral do golpista, acabou substituído pelo "amigo que solicita um empréstimo pelo WhatsApp". Neste golpe, a vítima vê a fotografia de seu amigo ou parente e, às vezes, até o número da linha é o mesmo, gerando a falsa ideia de estar conversando com a pessoal verdadeira.
As dicas mais comuns para prevenção contra estes crimes passam pela manutenção sempre atualizada dos programas de computador e dos aplicativos instalados em tablets e smartphones; o uso de boas ferramentas de proteção, como antivírus e firewalls, além de senhas fortes e o fator de autenticação em duas etapas para acessar contas e serviços; desconfiar de e-mails suspeitos, promoções mirabolantes ou mensagens enviadas por pessoas que não sejam de seus círculos de relacionamentos; não fazer downloads ou clicar em links que não conheça etc. Embora sejam providências importantes – e mínimas – a serem tomadas, elas minimizam a chance de ocorrência dos delitos, mas não as eliminam totalmente.
Uma vez ocorrido, as autoridades policiais em geral têm pouco a fazer. Em primeiro lugar, porque muitos preferem incorporar o prejuízo à burocracia de registrar um boletim de ocorrência e, eventualmente, ter de participar de um inquérito policial ou ação criminal. Além disso, não raro se exige perícia de informática nos equipamentos da pessoa ou da empresa, além de solicitação de dados de acesso e de conexão por parte de distintos provedores. Se um deles não tiver filial ou escritório no Brasil, a tarefa torna-se ainda mais árdua.
Se a situação já é complicada para pessoas físicas, os riscos a que empresas sérias estão sujeitas são ainda maiores. Isso porque, além de estarem também sujeitas a serem vítimas diretas dos golpistas, as pessoas jurídicas podem ser chamadas a responder judicialmente em casos em que seus consumidores sejam as vítimas diretas e elas não tenham responsabilidade ou essa, quando existente, seja ínfima. Em tais casos, a empresa é vítima indireta da ação do golpista e, perante seu consumidor, responde como se tivesse culpa pelo ocorrido, sob a figura da responsabilidade objetiva.
Em artigo publicado em outubro de 2020, tratamos da necessidade de que as empresas estivessem adequadas à Lei Geral de Proteção de Dados Pessoais (LGPD) e que estruturassem um plano de prevenção e combate a incidentes de segurança, de modo que as primeiras providências fossem tomadas tão logo identificado um ataque ou vulnerabilidade em seus sistemas. As providências tornam-se cada vez mais imprescindíveis, uma vez que no próximo dia 1º de agosto entrarão em vigor os artigos da LGPD que tratam das sanções administrativas1 a serem aplicadas pela Autoridade Nacional de Proteção de Dados.
No Judiciário, a situação também não é de fácil solução. As vítimas entendem não ter culpa pelo ocorrido, ainda que, por desatenção, tenham fornecido as informações necessárias para a consumação do delito. Para piorar, a falta de conhecimento faz com que atribuam a prática criminosa a uma empresa que por vezes não tem qualquer relação com os fatos. Voltando ao exemplo já citado, se uma pessoa adquire um chip numa banca de jornais, utiliza foto de terceiro e cria um perfil novo (falso) no WhatsApp, passando a enviar mensagens aos contatos daquela pessoa (que, de algum modo, ele sabe quais são), à princípio não há como imputar qualquer falha à operadora de telefonia, que, ademais, não teria como proibir o uso do aplicativo de mensagens por qualquer pessoa.
Mesmo assim, há quem opte por processar a companhia telefônica por fatos como esses. Nessa situação, com fulcro na responsabilidade objetiva dos fornecedores de produtos e serviços e na possibilidade de inversão do ônus da prova em favor do consumidor, pode acontecer de a operadora ser condenada a indenizar seu cliente. Para piorar, eventual repercussão da decisão condenatória acaba por prejudicar a reputação da empresa, em que pese todo o esforço e investimento que possam ter sido realizados em compliance e proteção de dados pessoais.
Outro facilitador para golpes acaba sendo o uso do recém-criado sistema de pagamentos Pix, que, ao diminuir as burocracias bancárias para realização de transferências entre contas, acaba por facilitar equívocos e dificultar a recuperação do dinheiro. Ora, mas se o erro foi de quem preencheu os dados e transferiu o dinheiro para outra pessoa, à primeira vista não há o que ser imputado à instituição financeira, que deve estar preparada para demonstrar em juízo ter realizado exatamente a operação solicitada pelo cliente.
As soluções aos problemas narrados são de duas ordens: internas e externas. No âmbito interno, além da questão já abordada de adequação à LGPD e elaboração de um plano de prevenção e combate a incidentes, é necessário investimento em educação e treinamento dos colaboradores e análise dos golpes já conhecidos para que a área técnica possa, de forma ágil, fornecer todos os subsídios ao departamento jurídico. No âmbito externo, é essencial contar com apoio de um escritório especializado no tema, para tentar desde o início afastar eventual inversão do ônus probatório e definir a estratégia a ser seguida, aumentando as chances de êxito e inibindo ações semelhantes.
Neste momento mais do que nunca, estar devidamente preparado pode fazer a diferença em termos de condenações judiciais e preservação do nome e marca da empresa.
__________
1 Artigos 52 a 54 da LGPD, com sanções de até 2% do faturamento do ano anterior, com teto de R$ 50 milhões por infração.