Spoofing de chamada: o golpe bancário contemporâneo que atormenta os terráqueos

A contemporaneidade nos traz desafios, mas, o consumidor comparado ao homo sacer, não pode ficar a mercê de grandes oligopólios econômicos conquanto estes mesmos colaboram para que o consumidor seja lesado. Ora, a quem compete a responsabilidade na artimanha conhecida como spoofing de chamada?

Na presente sociedade massificada inúmeras pessoas são vítimas de golpes que possuem como finalidade primordial angariar recursos financeiros de forma indevida.

Um dos golpes preferidos pelos falsários é o spoofing de chamada. No que consiste o referido golpe? O spoofing de chamada é uma técnica em que um chamador (indivíduo de posse de um telefone celular) falsifica (spoof) as informações de identificação associadas a uma chamada telefônica.

Isso significa que o número de telefone exibido no identificador de chamadas do destinatário não corresponde ao número real de origem da chamada, circunstância que permite que o número de origem seja mascarado e o número que surgirá na tela do aparelho celular do destinatário é um número conhecido, permitindo com que o destinatário não hesite em atender a chamada.

Existem várias formas de spoofing de chamada, incluindo:

1. Caller ID spoofing: Neste tipo de spoofing, o chamador manipula os dados que são enviados para a rede telefônica para que o número exibido no identificador de chamadas do destinatário seja diferente do número real de origem. (Exemplo, o falsário liga para a vítima e o número e nome que aparecerá na tela do celular da vítima pode ser de algum parente ou instituição financeira, o que possibilitará um elo de confiança para que a vítima atenda o telefone-celular).
2. Voice spoofing: Além de falsificar o número de telefone, algumas técnicas de spoofing também podem envolver a alteração da voz do chamador usando tecnologia de modificação de voz para dificultar ainda mais a identificação. (Por exemplo as falsas chamadas automáticas que simulam a central telefônica de alguma instituição financeira).

O spoofing de chamada é frequentemente associado a atividades fraudulentas, como golpes telefônicos, phishing e outras tentativas de enganar ou explorar as pessoas.

Os falsários muitas vezes usam o spoofing de chamada para se passar por instituições financeiras, empresas legítimas ou até mesmo contatos pessoais para induzir as pessoas a fornecer informações confidenciais, transferir dinheiro ou realizar outras ações prejudiciais.

Para combater o spoofing de chamada, várias iniciativas como a tecnologia STIR/SHAKEN, foram desenvolvidas para autenticar e validar a origem das chamadas, ajudando a reduzir a eficácia dessas práticas fraudulentas.

Mas como funciona a tecnologia STIR/SHAKEN? Ela já foi regulamentada no Brasil?

O STIR/SHAKEN é um conjunto de padrões técnicos destinados a combater chamadas de voz indesejadas, como chamadas de spam e fraudes telefônicas.

O nome STIR significa "Secure Telephony Identity Revisited" (identidade telefônica segura revisitada), e SHAKEN significa "Signature-based Handling of Asserted information using toKENs" (manipulação baseada em assinatura de informações assertivas usando Tokens).

A tecnologia STIR/SHAKEN foi desenvolvida para melhorar a autenticação e a verificação de chamadas telefônicas, ajudando a reduzir as artimanhas de chamadas de spam e fraudes que muitas pessoas enfrentam, normalmente sendo vítimas de golpes, fraudes e trapaças.

Mas como funciona a mencionada tecnologia STIR/SHAKEN?

Ela é uma junção de protocolos com a finalidade de autenticar as chamadas telefônicas. Senão vejamos:

• STIR: É um o protocolo que estabelece padrão para autenticar a origem de uma chamada. Referido protocolo permite que os provedores de serviços telefônicos validem a chamada como legítima e não falsificada.
• SHAKEN: É outro protocolo umbilicalmente interligado ao STIR, fornecendo um método para validar ou assinar digitalmente as informações de identidade da chamada. Isso cria uma assinatura digital que pode ser verificada pelos provedores de serviços telefônicos, garantindo a autenticidade da chamada.

A finalidade da referida ferramenta STIR/SHAKEN é criar um elo de confiança na qual a identidade do chamador (origem) seja validada e verificada em cada etapa da rede telefônica, desde a origem até o destino da chamada. Isso ajuda a reduzir a eficácia de chamadas fraudulentas e spam, pois os provedores podem identificar e sinalizar chamadas suspeitas.

Destaca-se que a implementação do STIR/SHAKEN pode variar entre os países e os provedores de serviços telefônicos - tecnologia americana -, mas o cerne da ferramenta é fornecer uma solução padronizada para melhorar a segurança e a autenticidade das chamadas telefônicas a fim de impedir ligações indesejadas e/ou impedir que falsários forjem o número telefônico de origem a fim de se passar por alguma instituição financeira e aplicar golpes.

A tecnologia STIR/SHAKEN está sendo regulamentada pela ANATEL, todavia, a referida Agência Reguladora já determinou que a utilização da referida tecnologia não será obrigatória por parte das operadoras de telefonia.

Nesse caso paira o ponto central do presente artigo: Caso uma pessoa seja vítima de fraude bancária mediante o Spoofing de Chamada quem será o responsável pelos prejuízos financeiros sofridos pela vítima? A instituição bancária ou a operadora de telefonia? Já que esta última poderia ter adotado a tecnologia STIR/SHAKEN, mas por razões financeiras e burocráticas, por exemplo, não implementou. A quem cabe ressarcir a vítima?

A responsabilidade em casos de spoofing de chamada e fraude bancária pode depender de vários fatores. Vejamos:

1. Responsabilidade da instituição bancária: As instituições bancárias têm a responsabilidade de implementar medidas de segurança para proteger as informações financeiras de seus clientes. Assim, se um cliente for vítima de fraude bancária resultante de spoofing de chamada, a instituição bancária pode ser questionada, pois, geralmente nesses casos - AS REGRAS ORDINÁRIAS DE EXPERIÊNCIAS (ART. 375 DO CPC) - demonstram que os falsários além de ligar para a vítima simulando o número da instituição financeira (que aparecerá de forma idêntica ao celular da vítima), possuem informações fidedignas da vítima, a exemplo, nome completo, RG, CPF, endereço, limite de empréstimo e saldo na conta bancária. Inclusive, sabem o limite disponível de empréstimo. Logo, como poderiam os falsários saber de todas essas informações? Evidente que possuem por algum modo informações privilegiadas, daí o nexo causal entre falsário e instituição financeira.
2. Responsabilidade da operadora de telefonia: As operadoras de telefonia podem ser questionadas sobre a eficácia de suas medidas para prevenir o spoofing de chamada, uma vez que esse tipo de fraude muitas vezes envolve a manipulação de informações de identificação do chamador. E conforme dito, a implementação de tecnologias como STIR/SHAKEN pode ajudar a mitigar o spoofing, e a responsabilidade da operadora pode ser examinada em relação à adoção dessas medidas.

Perceba então, que geralmente nas fraudes bancárias ocorridas mediante spoofing de chamada, temos 2 potências econômicas, quais sejam, a instituição financeira e a operadora de telefonia que permitem com que a engenhosidade do mal impere.

Isto porque, conforme já dito, geralmente no spoofing de chamada o falsário já sabe todas as informações pessoais e bancárias da vítima (o que presume uma falha bancária, como o malvado sabe até o limite de empréstimo?), e diante disso, liga para vítima simulando o número da instituição bancária que aparecerá de forma idêntica no celular da vítima, criando uma expectativa positiva que de fato a ligação partiu de uma central telefônica legítima, logo, a vítima percebendo que recebeu uma ligação de uma instituição financeira não hesitará em atender.

Atendido o telefone a vítima será bombardeada de informações sensíveis e pessoais que a convencerá de que está diante de um real preposto da instituição bancária, daí sentir-se confortável para atender aos apelos do mal - sem saber que está ao ingresso das trevas.

A responsabilidade civil do banco existe, pois, se o falsário sabe todas as informações da vítima, o banco concorreu para que a fraude ocorresse, circunstância apta a invocar a súmula 479 do STJ que prevê:

Súmula 479 - As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.

De outro lado, a responsabilidade civil da operadora de telefonia também existe, pois, como dito, existindo a tecnologia STIR/SHAKEN - ainda em regulamentação paulatina - não poderia a operadora de telefonia permitir que o número de origem que atingirá o destinatário fosse falsificado, pois, sendo um prestador de serviços, deve zelar pela segurança do consumidor sob pena de falhar na prestação dos serviços nos termos do Art. 14 do CDC. Vejamos:

Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

Não há se falar em culpa exclusiva da vítima no referido golpe, pois, se o número que ligou é idêntico a de uma instituição financeira e as informações pessoais passadas pelo falsário são fidedignas, somente de conhecimento da vítima e de prepostos reais do banco, temos que a falha na prestação de serviços (vazamento de dados pessoais) ocorreu antes de qualquer ação da vítima, caso prossiga com as determinações do falsário pelo telefone.

De outro ângulo, a operadora de telefonia permitir que o número de uma instituição financeira seja clonado virtualmente - ainda que de forma volátil - existindo tecnologia e métodos a impedir a respectiva falcatrua, há nítida falha na prestação de serviços.

Daí se conclui que o golpe do spoofing de chamada é uma conjugação entre falha na prestação de serviços tanto da instituição bancária (que permite que golpistas tenham informações bancárias fidedignas da vítima) quanto da operadora de telefonia, que permite a manipulação da chamada de origem para que conste um número irreal, mas igual ao da instituição bancária ou outra instituição utilizada como parâmetro para aplicação de golpes.

Uma dica para facilitar a constituição do direito em juízo é que vítimas que sejam peças no presente golpe, deixem habilitados em seus celulares o comando de gravação automática de ligação, daí o Estado-Juiz perceberá que as informações repassadas pelo falsário a fim de ludibriar as vítimas são fidedignas e não poderiam estar "às soltas" em mãos de terceiros.

Uma dica para instituições financeiras a fim de evitar referidos golpes é estudar o modus operandi dos falsários, e utilizar dos mecanismos fáticos e jurídicos existentes, a fim de impedir o enriquecimento indevido de malfeitores e a lesão a consumidores inocentes.

Frente ao exposto, invocando a legislação consumerista, a responsabilidade civil em face da vítima é tanto da instituição bancária quanto da operadora de telefonia de forma nitidamente solidária.