A Engenharia Social é um termo utilizado na área da segurança de dados, definida como um conjunto de métodos e técnicas utilizadas por golpistas para obter informações sigilosas e conseguir acesso à computadores ou aplicativos, como as credenciais de acesso as contas bancárias, por exemplo, com a finalidade de alcançar vantagens ilícitas [1].
É certo que as Instituições Financeiras e as empresas que fazem transações pela internet no Brasil possuem sistemas dos mais avançados no mundo virtual para coibir golpes como esses e a cada ano investem em segurança para combater os ataques desses fraudadores.
Contudo, o engenheiro social, ou estelionatário, se utiliza hoje da colaboração dos clientes para penetrar seu cadastro nos sistemas bancário e de e-commerce. Assim, se as pessoas que fazem uso dos serviços bancários, por exemplo, não fornecessem as informações como suas credenciais, isto é, senha pessoal e iToken (senha dinâmica, vinculada aos aplicativos de Bancos), dificilmente as Instituições Financeiras teriam seus sistemas penetrados por cibecriminosos.
São diversos os meios de contato utilizados, como o envio de e-mails falsos para induzir a vítima a clicar em links maliciosos e captar os dados digitados durante transações financeiras, bem como através de ligações. Nessa última, o engenheiro social entra em contato telefônico com o cliente se passando por funcionário do Banco ou da empresa, e solicita dados pessoais para atualização no cadastro, ocasião em que o cliente confirma seus respectivos dados e passa suas credencias ao engenheiro social. Então, a vítima sem desconfiar do golpe, acaba expondo seus dados e facilitando o acesso a sua conta bancária e diversos outros cadastros para a consumação do ato ilícito.
Nesse sentido, no Recurso Especial de nº. 1.741.796 – PR, do Superior Tribunal de Justiça, excluiu a responsabilidade da Instituição Financeira Recorrida, por entender que a ora Recorrente agiu com desídia ao receber uma ligação supostamente feita pelo Banco, e ter passado senha pessoal que viabilizou o saque fraudulento em sua conta corrente. Assim, nos termos do Artigo 14, § 3º, inciso II, do Código de Defesa do Consumidor, a responsabilidade civil objetiva do fornecedor é afastada quando demonstrado que o dano somente ocorreu em razão da culpa exclusiva da vítima, como no caso em que a correntista fornece senha gerada por token a golpista em ligação telefônica, sem se certificar da origem do telefonema [2].
Esse tipo de fraudador explora o ambiente do cliente, que é o elo mais vulnerável na relação de consumo, mas os ataques só são possíveis porque ele mesmo facilita a entrada à conta bancária e aos perfis de acesso em diversas plataformas. Para que isso não ocorra, é preciso que não só as Instituições Financeiras e as empresas de e-commerce invistam em segurança, mas que os consumidores não exponham suas credenciais e fiquem atentos as informações circuladas nos mais diversos canais de comunicação sobre esse tipo de fraude, para que o engenheiro social não tenha sucesso em seu ataque.
Dayana Faria Nogueira
Advogada da área Cível do Vigna Advogados Associados. |
[1]Disponível em: <https://cmsportal.febraban.org.br/Arquivos/documentos/PDF/cartilha_eng_social_final.pdf> Acesso em 22/07/2019.[2]Disponível <em:https://scon.stj.jus.br/SCON/decisoes/toc.jsp?l