O Brasil é a segunda maior fonte de ataques virtuais no mundo – o que torna o uma “potência” do cibercrime, ao lado de Rússia, Coreia do Norte, Índia e Vietnã. Na América Latina, é o país que mais sofre por ameaças de malware, phishing ou falsos e-mails na internet; aliás, 91% dos ciberataques são iniciados por e-mail.
Entre agosto de 2015 e agosto de 2016, mais de 398 milhões de ataques de malware aconteceram no continente latino-americano. Na prática, foram cerca de 12 golpes por segundo. Em 2017, cerca de 62 milhões de brasileiros foram vítimas de cibercrime, o que representa 61% da população adulta conectada do país.
O aumento dos ataques faz crescer também o gasto mundial com segurança da informação das empresas. No mundo, o investimento deve atingir a marca de US$ 96,3 bilhões somente em 2018. No Brasil, o investimento em segurança da informação cresce de 30% a 40% por ano, sendo que em 2018 estima-se o gasto de R$ 8 bilhões em programas de proteção.
Apesar do investimento, estudos apontam que 96% dos sistemas de defesa profissionais já foram violados, ou seja, a ferramenta de proteção não foi efetiva. No mundo, as perdas totais por ano são estimadas em 608 bilhões de dólares anuais. Em 2017, os crimes cibernéticos causaram prejuízos de US$ 22 bilhões ao Brasil, sendo que cada vítima perdeu uma média 34 horas com as consequências dos ataques.
Aí surge a questão da responsabilidade civil dos programas de proteção a esses ataques, aqui resumidos na palavra “antivírus”. Em que medida uma empresa ou pessoa física pode exigir do antivírus o ressarcimento por prejuízos causados por esses ataques virtuais? Como se dá a responsabilidade civil desses prestadores de serviços?
A responsabilidade civil – Código de Defesa do Consumidor
O Código de Defesa do Consumidor indica de maneira clara a responsabilidade civil objetiva dos prestadores de serviços, ou seja, não há que se falar em culpa ou dolo para fazer nascer o direito a indenizar. Ademais, o prestador de serviço responde pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
E na dicção do artigo 14, §1º, considera-se defeituoso o serviço quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração o modo de seu fornecimento, o resultado e os riscos que razoavelmente dele se esperam, bem como a época em que foi fornecido.
Somente não será responsabilizado o prestador de serviços quando provar que o defeito inexiste ou houve a culpa exclusiva do consumidor ou de terceiro.
Importa ressaltar que a força maior não se aplica no caso. Apesar do ataque cibernético se constituir em uma força irresistível, se constitui em algo rotineiro e esperado, não podendo ser considerado uma excludente de responsabilidade.
O contrato de adesão dos antivírus
Toda vez que é instalado o antivírus, o consumidor está formatando um contrato com a empresa. E as marcas mais conhecidas de antivírus estruturam-se em cláusulas contratuais que limitam a responsabilidade em caso de ataque virtual. Não por menos, os serviços por elas oferecidos (gratuitos ou pagos) não dão qualquer garantia, e nem asseguram que e proteção acabará com todas as vulnerabilidades.
Também criam uma limitação ao valor da indenização, acaso surja, no montante ao valor do contrato. Ainda, é comum encontrar termos que indicam que a solução “é fornecida” “no estado em que se encontra”, “com todas as falhas” e “quando disponíveis”, sem nenhuma garantia de qualquer tipo e sem suporte ou outros serviços por parte do fornecedor.
Estruturam-se sobre contratos de adesão, normalmente traduzidos do inglês e fundamentados nas noções de responsabilidade civil de outros países.
O Código de Defesa do Consumidor e os contratos dos antivírus
O Código de Defesa do Consumidor é uma lei protetiva e tem uma forte presença impositiva sobre as disposições bilaterais (contratos), tornando abusivo todo item que contrariar as disposições legais.
Discorre no artigo 51 sobre uma série de itens considerados abusivos por parte dos fornecedores (antivírus), ou seja, as cláusulas são nulas de pleno direito. Destaca-se a nulidade do texto que impossibilite, exonere ou atenue a responsabilidade do fornecedor por vícios de qualquer natureza dos produtos e serviços ou impliquem renúncia ou disposição de direitos.
Neste sentido, as cláusulas contratuais de limitação de responsabilidade civil, a rigor, serão desconsideradas pelo Poder Judiciário, especialmente porque é direito básico do consumidor a efetiva prevenção e reparação de danos patrimoniais e morais, individuais, coletivos e difusos.
Já no tocante ao ressarcimento por danos decorrentes de ataques virtuais, é importante registrar a maneira e extensão do anúncio/publicidade realizado pelo antivírus. Trata-se de uma obrigação do fornecedor prestar informação adequada e clara sobre os diferentes serviços, com especificação correta de quantidade, características, composição, qualidade, tributos incidentes e preço, bem como sobre os riscos que apresentem.
O problema é que na divulgação do antivírus, salvo raras exceções, os desenvolvedores não divulgam, de maneira clara e objetiva, que o produto não fornece qualquer garantia. Desta forma, acabam assumindo uma obrigação de resultado (de conferir uma efetiva proteção).
Neste sentido, por não destacar os riscos e limitações do antivírus no momento da publicidade/contratação, muitos antivírus acabam assumindo a responsabilidade objetiva pela reparação dos danos causados aos consumidores, ou seja, poderão ser compelidos a indenizar os prejuízos causados àqueles que sofreram ataques cibernéticos.
Não por menos, o mercado já vem sugerindo uma solução alternativa: a contratação de seguros contra ataques virtuais.