A 3ª Turma do Superior Tribunal de Justiça (STJ) isentou o Google de responsabilidade por prejuízos sofridos por um usuário que, após ataque hacker ao seu e-mail, perdeu criptomoedas que estavam depositadas em uma conta específica. Para a turma, não ficou demonstrado nexo de causalidade entre a conduta do provedor e o dano sofrido pelo usuário.
No mesmo julgamento, os ministros decidiram que provedores de aplicações que oferecem serviços de e-mail – como o Google – não têm o dever de armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas de sua conta.
A invasão na conta ocorreu em 2017. Além de transferir para outra conta 79 criptomoedas – avaliadas, na época, em R$ 1 milhão –, o hacker excluiu todas as mensagens eletrônicas da vítima. Elas não foram recuperadas.
Ao analisar o caso, o juízo de primeiro grau condenou a empresa a fornecer as informações referentes ao acesso à conta e a pagar indenização de R$ 15 mil por danos morais. O pedido de reparação de danos materiais foi negado, porque o magistrado reconheceu culpa exclusiva da vítima – o proprietário da conta de e-mail e das criptomoedas. O Tribunal de Justiça de São Paulo manteve a indenização por danos morais.
Mensagens deletadas
No recurso julgado pelo STJ, os ministros entenderam que não há previsão legal para os provedores armazenarem mensagens deletadas.
A relatora, ministra Nancy Andrighi, considerou que, no Marco Civil da Internet (Lei 12.965/2014), há apenas duas categorias de dados que devem ser obrigatoriamente armazenados: os registros de conexão (artigo 13), pelo prazo de um ano; e os registros de acesso à aplicação (artigo 15), por seis meses.
“A previsão legal para guarda desses dados objetiva facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil, conforme o artigo 3º, VI, da mencionada lei”, afirmou, na decisão (REsp 1.885.201).
Na avaliação da ministra, a regra para os provedores de aplicação de internet tem o objetivo de limitar as informações armazenadas à quantidade necessária para a condução de suas atividades, não havendo previsão para armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.
Senha da carteira virtual
O STJ ainda isentou o Google de pagar indenização por danos materiais ao usuário. Os ministros não viram nexo de causalidade entre o dano sofrido – o furto das criptomoedas – e a falha na prestação do serviço pelo provedor.
“O acesso à carteira de criptomoedas exige, necessariamente, a indicação da chave privada, ou seja, ainda que a gerenciadora adote o sistema de dupla autenticação afirmado pelo recorrente, qual seja, digitação da senha e envio, via e-mail, do link de acesso temporário, a simples entrada neste é insuficiente para propiciar o ingresso na carteira virtual e, consequentemente, viabilizar a transação das cryptocoins”, afirmou a ministra Nancy Andrighi.
Dessa forma, a relatora entendeu que é provável que o invasor tenha obtido a senha do usuário – seja porque ele a tinha armazenado no e-mail, seja porque forneceu a terceiro, ou ainda em razão de eventual falha apresentada no sistema da gerenciadora.
Para a ministra, nenhuma dessas circunstâncias tem relação com a conduta do provedor ou com o risco do serviço por ele desenvolvido, razão pela qual não está configurado o nexo de causalidade. Fonte: Valor Econômico – Por Valor — São Paulo 15/02/2022
