A negligência ao adquirir um firewall para resguardar o ambiente de rede resultou na confirmação, pela 2ª Turma Recursal do Poder Judiciário de Santa Catarina, da decisão que imputa a responsabilidade a duas companhias por um ataque cibernético.
O dano de R$ 3,9 mil decorrente da invasão do sistema levou à manutenção da sentença do Juizado Especial Cível de São Miguel do Oeste. A decisão mantém a obrigação de cada empresa arcar com metade do prejuízo sofrido.
LEIA TAMBÉM: CNI lança Guia de Boas Práticas para a indústria com orientações sobre a LGPD
Conforme registrado no procedimento legal, em novembro de 2021, uma entidade envolvida no comércio de atacado e varejo estabeleceu um acordo com uma firma encarregada da gestão de dispositivos para transações com cartão de crédito. Em 13 de janeiro de 2022, as trabalhadoras da organização de venda por atacado encontraram dificuldades ao tentar entrar na conta em questão. No dia subsequente, detectaram a invasão no sistema e a transição de R$ 3,9 mil para um indivíduo denominado Lucas, que não faz parte do conjunto de colaboradores.
O atacadista, vítima do golpe, ingressou com uma ação por danos financeiros contra a entidade que opera o dispositivo de pagamento com cartão de crédito. Pleiteou a restituição da transferência imprópria.
Enquanto isso, a empresa de cartão defendeu a responsabilidade única de terceiros e a falta de aplicabilidade do Código de Defesa do Consumidor.
LEIA TAMBÉM: Entenda mais sobre a dimensão coletiva da proteção de dados
Devido à responsabilidade compartilhada, a companhia de cartão foi sentenciada a desembolsar R$ 1.950 ao distribuidor. Insatisfeita, a entidade que administra o dispositivo de pagamento interpôs recurso perante a Turma Recursal, entretanto, teve sua solicitação rejeitada de forma unânime com base nos mesmos princípios da decisão anterior.
“Não há dúvida de que a autora foi relapsa quanto à ausência de contratação de firewall para proteção do ambiente de rede e confirmação de quem estava acessando o sistema. (…) Por outro lado, ficou também demonstrado que a empresa requerida contribuiu para o ilícito, pois a segurança exigida pelo sistema por ela disponibilizado ficou aquém do esperado, seja porque a senha fornecida era ‘fraca’ ou porque não houve indicação específica de qual IP estava acessando o dispositivo”, anotou a magistrada na sentença (Autos n. 5002265-68.2022.8.24.0067).
Fonte: TJSC
Autor(a): Ângelo Medeiros
