Os juízes da 3ª Turma Recursal dos Juizados Especiais do Distrito Federal mantiveram, por unanimidade, sentença que condenou o Facebook Serviços Online do Brasil a pagar danos materiais a usuária que foi vítima de estelionato praticado por meio de perfil hackeado na plataforma Instagram. No entendimento dos magistrados, o réu falhou nos procedimentos de segurança que deveriam proteger os usuários da rede social.
A autora conta que, atraída por suposta oferta de aparelho celular publicada em perfil do Instagram, efetuou a compra no valor de R$ 2.300, com pagamento via pix. Consta nos autos que, em julho de 2021, a verdadeira usuária do perfil, que estaria vendendo o aparelho, percebeu que sua conta havia sido invadida e comunicou imediatamente o réu. De acordo com o processo que trata da invasão (0711013-88.2021.8.07.0020), a vítima informou que o perfil estava sendo usado para prática de golpes, no entanto, a plataforma manteve a conta ativa, sob administração indevida de terceiro, por quase três meses.
No recurso, o Facebook alega inaplicabilidade do Código de Defesa do Consumidor, afirma que não assumiu posição de fornecedor do negócio de compra e venda do produto, apenas disponibilizou meios para a realização da transação entre as usuárias. Considera que houve reponsabilidade exclusiva da autora, com seu dever de diligência e/ou de terceiro beneficiário do pagamento. Destaca que não houve defeito na prestação de serviço, uma vez que “ao serviço Instagram não cabe o dever de monitoramento”. Por fim, ressalta que, de acordo com o Marco Civil da Internet, a rede social, na qualidade de provedor de aplicações que é, apenas poderá ser responsabilizado por atos de terceiro se, após ordem judicial de remoção de conteúdo, ficar inerte, o que não é o caso do processo.
“Se de um lado, as prestadoras de serviços digitais se beneficiam (lucro) com a propagação dos relacionamentos por meio de redes sociais, de outro, sujeitam-se mais facilmente às fraudes relacionadas à falha de segurança do serviço digital, devendo por elas responder”, explicou o magistrado. Conforme a decisão, é dever das prestadoras de serviços digitais, ao disponibilizar e lucrar com produtos e serviços no mercado de consumo, fornecer sistemas seguros, de forma a evitar a ocorrência de fraudes que causem danos aos usuários, em especial com a utilização indevida de dados pessoais dos usuários cadastrados em perfis da rede social.
O julgador ressaltou que a atuação indevida de terceiro, por meio de fraude, não rompe o nexo causal entre a conduta do fornecedor e os danos suportados pelos consumidores, porque se trata dos riscos inerentes ao exercício da atividade desempenhada pela empresa. Assim, os magistrados consignaram que restou comprovado o acesso indevido por terceiro de má-fé ao perfil da usuária cadastrada no Instagram, para a prática de golpes relacionados a falsas vendas de produtos. Tal fato não foi contestado pelo réu.
Além disso, também ficou comprovada a demora do réu (quase 3 meses) em adotar providências a fim de promover o bloqueio da conta mesmo tendo sido requisitado mais de uma vez pela titular do perfil hackeado, outro fato também não impugnado pela plataforma. “A conduta desidiosa da empresa em dar solução à questão (bloqueio da conta e restabelecimento do acesso à titular do perfil) em tempo e modo condizente com suas possibilidades, a fim de evitar o golpe praticado contra a autora, demonstram a defeituosa segurança dos serviços digitais fornecidos pelo réu”, concluíram os julgadores.
O colegiado registrou, ainda, que é obrigação do fornecedor cercar-se de todos os cuidados possíveis para a autenticação dos usuários, bem como para disponibilizar canais eficazes de atendimento ao consumidor, pautando sua conduta na cautela e segurança dos acessos realizados, sob pena de se configurar a falha na prestação do serviço. “Fraudes praticadas por meio de acesso indevido de perfis na rede social são de conhecimento de todos os prestadores de serviços digitais e não se efetivariam de forma alheia às estruturas tecnológicas e poderiam ser evitadas com o reforço nos níveis de segurança dos sistemas”.
Diante do exposto, a sentença original foi mantida e o Facebook deverá indenizar a autora em R$ 2.300, referente ao valor que foi pago pelo aparelho vendido de forma fraudulenta.
O recurso ficou assim ementado:
JUIZADOS ESPECIAIS CÍVEIS. PROCESSO CIVIL. PRELIMINAR DE ILEGITIMIDADE PASSIVA, REJEITADA. AUSÊNCIA DE IMPUGNAÇÃO ESPECÍFICA. FATOS INCONTROVERSOS. IMPUGNAÇÃO GENÉRICA DE AUSÊNCIA DE RESPONSABILIDADE. CONSUMIDOR. PRESTADORA DE SERVIÇOS DIGITAIS. REDE SOCIAL. PERFIL “HACKEADO”. IMEDIATA COMUNICAÇÃO E SOLICITAÇÃO DE BLOQUEIO. PERFIL ADMINISTRADO POR TERCEIRO POR QUASE TRÊS MESES. CONTINUAÇÃO DA PRÁTICA DELITUOSA. USUÁRIA DA REDE SOCIAL VÍTIMA DE GOLPE RELACIONADO A FALSA VENDA DE PRODUTO. FALHA DE SEGURANÇA. DESÍDIA. DEFEITUOSA PRESTAÇÃO DE SERVIÇO. FORTUITO INTERNO. RISCO DA ATIVIDADE. RESPONSABILIDADE OBJETIVA. DANOS MATERIAIS CONFIGURADOS E COMPROVADOS. RECURSO CONHECIDO E IMPROVIDO; 1. No sistema dos juizados especiais, a concessão de efeito suspensivo ao recurso ocorre em casos excepcionais, nos quais é demonstrada a presença de dano irreparável ou de difícil reparação, circunstância não verificada no caso concreto. Pedido de concessão de efeito suspensivo ao recurso, rejeitado; 2. Recurso inominado interposto pelo réu contra sentença que o condenou ao pagamento de danos material causados à autora, em razão de falha na segurança da plataforma digital que viabilizou o acesso indevido a perfil de usuária regularmente cadastrada na rede social (Instagram), para a prática do golpe da falsa venda de produto, bem como pela falta de diligência para o imediato bloqueio do perfil; 3. Nas razões recursais, argui preliminar de ilegitimidade passiva, porquanto: (i) não teve participação/ingerência sobre o negócio jurídico firmado entre a autora e a usuária do perfil @marcelledosanjos registrado no Instagram; (ii) não foi beneficiário dos valores da transação realizada; (iii) não deu causa aos prejuízos causados à autora; e (iv) “apenas foi o meio disponibilizado para que os usuários pudessem estar em contato e realizassem a transação comercial entre si”; 4. No mérito, sustenta (i) ausência de responsabilidade pelos danos decorrentes da transação comercial; (ii) inaplicabilidade do Código de Defesa do Consumidor à hipótese, e, consequentemente, da incidência de responsabilidade objetiva, haja vista que não desenvolve qualquer das atividades descritas no artigo 3º do CDC; (iii) que não assumiu posição de fornecedor do negócio de compra e venda do produto, mas apenas disponibilizou meios para a realização da transação realizada pelas usuárias (serviço digital que vende espaços publicitários)[1]; (iv) reponsabilidade exclusiva da autora com seu dever de diligência e/ou de terceiro beneficiário do pagamento; (v) inexistência de defeito na prestação de serviço, eis que “ao serviço Instagram não cabe o dever de monitoramento”; 5. Defende que, nos termos do Marco Civil da Internet (Lei nº 12.965/2014) e da jurisprudência do STJ[2], os provedores de aplicações de internet, tal como o Instagram, não têm responsabilidade pelos conteúdos gerados por terceiros em seus serviços, motivo pelo qual não têm o dever de monitorar a licitude, a correção ou veracidade dos conteúdos veiculados por terceiros em sua plataforma; 6. Assegura que nos termos do “artigo 19, §1º do Marco Civil da Internet, o Instagram, na qualidade de provedor de aplicações que é, apenas poderá ser responsabilizado por atos de terceiro se após ordem judicial de remoção de conteúdo restar inerte, o que evidentemente não é o caso dos autos”; 7. Requer a extinção do processo sem resolução do mérito, nos termos do artigo 485, VI, do CPC. Subsidiariamente, pugna pela reforma da sentença a fim de julgar improcedente o pedido deduzido na inicial; 8. A preliminar de ilegitimidade passiva suscitada pelo réu é questão que se confunde com o mérito e com ele será analisado; 9. O cerne da questão posta à cognição judicial é a reponsabilidade do réu pelos danos suportados pela autora, em razão de golpe praticado por terceiro que, valendo-se da falha de segurança dos sistemas utilizados na plataforma digital do réu (Instagram), invadiu e utilizou indevidamente perfil regularmente cadastrado no Instagram, com vistas a obter vantagem patrimonial; 10. A relação jurídica estabelecida entre as partes é de natureza consumerista, haja vista as partes estarem inseridas nos conceitos de fornecedor e consumidor, conforme disposto nos artigos 2º e 3º do CDC; 11. Nesse passo, a controvérsia deve ser solucionada sob o prisma do sistema jurídico autônomo instituído pelo Código de Defesa do Consumidor, que por sua vez regulamenta o direito fundamental de proteção do consumidor (CF, art. 5º, XXXII); 12. O surgimento de novas formas de relacionamento entre as pessoas, em especial por meio de redes sociais, reforça a conclusão acerca da responsabilidade objetiva pelos riscos inerentes à segurança dos serviços digitais ofertados; 13. Se de um lado, as prestadoras de serviços digitais[3] se beneficiam (lucro) com a propagação dos relacionamentos por meio de redes sociais, de outro, sujeitam-se mais facilmente as fraudes relacionadas à falha de segurança do serviço digital, devendo por elas responder; 14. Por outras palavras, pela dimensão dos lucros que auferem, certo é que assumem os riscos inerentes ao serviço prestado (dever de cuidado objetivo), de modo que não é razoável a pretensão de transferir aos usuários, hipossuficientes, os ônus/prejuízos resultantes das atividades que exploram, notadamente por meio de alegações sem nenhum suporte probatório (CPC, artigo 373, inciso II, CPC); 15. É dever das prestadoras de serviços digitais (redes sociais), ao disponibilizar e lucrar com produtos e serviços no mercado de consumo, fornecer sistemas seguros de forma a evitar a ocorrência de fraudes que causam danos aos usuários, em especial com a utilização indevida de dados pessoais dos usuários cadastrados em perfis da rede social; 16. Registre-se que a culpa exclusiva de terceiros capaz de elidir a responsabilidade objetiva do fornecedor de produtos ou serviços é somente aquela que se enquadra no gênero de fortuito externo (evento que não tem relação de causalidade com a atividade do fornecedor); 17. Nesse viés, a atuação indevida de terceiro (fraude) não rompe o nexo causal entre a conduta do fornecedor e os danos suportados pelos consumidores, porquanto trata-se de fortuito interno (teoria do risco da atividade), relacionado os riscos inerentes ao exercício da atividade desempenhada pela empresa (art. 14, §3º, II, CDC); 18. Presentes os requisitos da verossimilhança da alegação e da hipossuficiência material da consumidora quanto à elucidação dos fatos, a inversão do ônus da prova é medida imperativa, de forma a consolidar o encargo probatório do réu em comprovar a inexistência de defeito na prestação do serviço (no caso, falha de segurança), culpa exclusiva da autora e/ou de terceiro; 19. Nessa perspectiva, cumpre a autora provar o dano e o nexo causal com a conduta do agente, e, ao réu, a prova da ocorrência de excludente de ilicitude eventualmente apta a afastar o nexo de causalidade e a responsabilidade objetiva, conforme disposto no artigo 14, §3º, do CDC; 20. Inicialmente, importante ressaltar que o recurso do réu, a despeito das razões de decidir da sentença, não faz qualquer menção acerca dos fatos narrados na inicial, em especial da relação (nexo causal) entre os danos materiais causados à autora e a invasão do perfil utilizado para a prática delituosa; 21. Desse modo, tem-se como incontroverso o acesso indevido por terceiro de má-fé ao perfil da usuária @marcelledosanjos, cadastrada na rede social Instagram, para a prática golpes relacionados a falsas vendas de produtos (fato não contestado pelo réu); 22. Incontroverso, outrossim, a demora do réu (quase 3 meses)[4],[5],[6] na adoção de providências a fim de promover o imediato bloqueio do perfil, a despeito dos requerimentos da titular do perfil hackeado[7], fato também não impugnado pelo réu; 23. Assim, verifica-se que o réu, a despeito da imediata comunicação da invasão do perfil @marcelledosanjos e, especialmente, sobre a utilização do perfil para a prática de golpes, manteve a conta ativa, sob indevida administração de terceiro, por quase três meses; 24. A análise dos documentos desse processo e do processo 0711013-88.2021.8.07.0020, demonstra que, no dia 16/07/2021, ao tomar conhecimento da invasão, a usuária do perfil @marcelledosanjos imediatamente entrou em contado com o réu via e-mail[8], já que a empresa não disponibiliza um número de atendimento ao consumidor. Nada obstante, não obteve a devida assistência no sentido de efetuar o imediato bloqueio, de modo a evitar, ou, pelo menos, reduzir, os danos causados aos usuários da rede social; 25. Demonstra, outrossim, que, no dia 23/07/2021, a autora, atraída pela suposta oferta de aparelho celular publicada no perfil @marcelledosanjos, após negociações, efetuou transferência via Pix no valor de R$ 2.300,00 (ID 33052392 a ID 33052394) para a aquisição do produto, conforme relatado na inicial e no Boletim de Ocorrência (ID 33052388); 26. Evidente, portanto, a responsabilidade do réu pela defeituosa prestação de serviço (art. 14, § 1º, CDC), relacionada à falha de segurança dos sistemas utilizados na plataforma digital, bem como, à demora/desídia em promover o bloqueio do acesso pelo invasor do perfil, o que possibilitou a continuação da prática delitiva (falsa venda de produto) que vitimou a autora. Assim, não há dúvidas que o réu concorreu para a fraude que causou prejuízos para a autora; 27. O acesso indevido de perfis cadastrados na rede social, bem como a demora na adoção de providência (bloqueio do perfil invadido) configura falha na prestação de serviço quanto à segurança dos dados e perfis dos usuários. Outrossim, a conduta desidiosa da empresa em dar solução à questão (bloqueio da conta restabelecimento do acesso à titular do perfil) em tempo e modo condizente com suas possibilidades, a fim de evitar o golpe praticado contra a autora, demonstram a defeituosa segurança dos serviços digitais fornecidos pelo réu; 28. Embora a réu insista na tese de inexistência de defeito na prestação de serviços, não logrou êxito em comprovar tais alegações, tampouco, demonstrou a segurança de seus sistemas ou justificou a demora no bloqueio do perfil invadido; 29. Ao contrário, já que, além da falha de segurança do serviço prestado, agiu sem cautela ao deixar de adotar providências, mesmo diante da imediata comunicação de invasão do perfil, o que, certamente, teria evitado, ou pelo menos reduzido, os danos causados aos consumidores[9]; 30. A simples alegação de que os fatos ocorreram por culpa exclusiva da consumidora, por si só, não é suficiente para isentar a réu da responsabilidade pelos danos a ela causados em razão da defeituosa prestação de serviço (falha de segurança), posto que decorrem do risco do empreendimento, e caracterizam-se como fortuito interno; 31. Era imprescindível que o réu acostasse documentos ou quaisquer outros elementos de prova a infirmar as provas e os fatos narrados na inicial. Demais disso, caberia a réu demonstrar a inexistência de defeito na prestação do serviço, no sentido de que possui sistemas seguros e canais de atendimento ao consumidor hábeis a evitar os danos causados nas hipóteses de utilização indevida de perfil registrados na sua rede social; 32. Todavia, não se desincumbiu do ônus de demonstrar fato impeditivo, modificativo ou extintivo do direito da autora (art. 373, II, do CPC), o que reforça a verossimilhança dos fatos narrados e comprovados pela demandante; 33. A falta de mecanismos de segurança e protocolos hábeis a evitar ou minimizar os danos causados aos usuários permite concluir pela concorrência da atuação do réu (ainda que na modalidade omissiva), não havendo de se falar em culpa exclusiva da vítima ou de terceiro, porquanto a fraude ocorreu em razão de golpe aplicado por estelionatários, em razão da falha de segurança nos serviços por ela oferecidos. Nesse ponto, necessário ressaltar que a fraude não seria efetivada sem a contribuição da defeituosa prestação de serviço do réu; 34. Demais disso, não há evidência de que a vítima tenha concorrido para a fraude, já que as transferências dos valores foram realizadas para aquisição de produto anunciado em perfil hackeado, em decorrência da falha na prestação do serviço digital prestado pelo réu; 35. Assim, as provas apresentadas pela autora são coerentes com a descrição dos fatos e são suficientes à comprovação do nexo causal, entre a conduta do réu e os prejuízos sofridos (art. 373, I, do CPC); 36. As prestadoras de serviços digitais (redes sociais) devem primar pela segurança das contas cadastradas (dados e acesso), de modo a impedir a invasão e utilização indevida dos perfis por terceiros de má-fé e não, simplesmente, se esquivar de sua responsabilidade, transferindo aos usuários a responsabilidade pelas fraudes; 37. É obrigação do fornecedor cercar-se de todos os cuidados possíveis para a autenticação dos usuários, bem como para disponibilizar canais eficazes de atendimento ao consumidor, pautando sua conduta na cautela e segurança dos acessos realizados, sob pena de se configurar a falha na prestação do serviço (art.14 do CDC); 38. Certo é que as fraudes praticadas por meio de acesso indevido de perfis na rede social são de conhecimento de todos os prestadores de serviços digitais e não se efetivariam de forma alheia às estruturas tecnológicas e poderiam ser evitadas com o reforço nos níveis de segurança dos sistemas; 39. Os fornecedores, cientes das ações criminosas intentadas contra seus usuários, ao possibilitar o acesso por terceiros sem a adoção de mecanismos mais seguros, assumem o risco pelos danos decorrentes das práticas delituosas, como a narrada na inicial; 40. Com efeito, é dever do fornecedor, ao disponibilizar e lucrar com produtos e serviços no mercado de consumo, fornecer sistemas seguros contra os ataques de hackers, de forma a evitar a ocorrência de fraudes que causam danos aos usuários; 41. Caso o réu não quisesse arcar com os prejuízos decorrentes das fraudes praticadas por meios da utilização indevida de contas dos usuários, poderia reforçar os sistemas de segurança e adotar meios mais seguros de autenticação e acesso às contas registradas nas redes sociais, bem como disponibilizar meios para promover o imediato bloqueio de acessos indevidos; 42. O acesso indevido de perfis cadastrados na rede social, bem como a demora na adoção de providência (bloqueio do perfil invadido) faz incidir sobre a instituição a responsabilização pelo ato (ainda que omissivo), porquanto o delito praticado por terceiro não pode ser considerado ato isolado e exclusivo do infrator, apta a excluir o nexo de causalidade entre a conduta do fornecedor e os danos causados à consumidora; 43. Trata-se de fortuito interno, já que o delito em questão se inclui no risco da atividade exercida pelas prestadoras de serviços digitais, especialmente porque ausente demonstração de qualquer circunstância capaz, em tese, de afastar a responsabilidade objetiva do réu (art. 14, § 3º, CDC); 44. Presente, portanto, a responsabilidade civil do réu de reparar os prejuízos causados à autora (art. 6º, VI, do CDC); 45. Irretocável a sentença vergastada; 46. Recurso conhecido. Preliminar de ilegitimidade passiva rejeitada. Improvido; 47. Condenada a parte recorrente ao pagamento das custas processuais e dos honorários advocatícios (art. 55, Lei nº 9.099/95), estes fixados em 20% sobre o valor da condenação; 48. A súmula de julgamento servirá de acórdão, conforme regra do art. 46 da Lei n.º 9.099/95.
Acesse o PJe2 e confira o processo: 0705670-17.2021.8.07.0019