Justiça decide que prejuízo por ataque hacker deve ser dividido entre empresas omissas
Decisão da 2ª Turma Recursal do Poder Judiciário de Santa Catarina
A negligência na adoção de medidas de segurança ao contratar um firewall para salvaguardar o ambiente de rede culminou na decisão da 2ª Turma Recursal do Poder Judiciário de Santa Catarina de responsabilizar duas empresas por um ataque hacker.
O sistema invadido resultou em um prejuízo de R$ 3,9 mil, levando à manutenção da sentença do Juizado Especial Cível de São Miguel do Oeste, que determinou que cada empresa arcasse com metade do dano sofrido.
Conforme os autos do processo, em novembro de 2021, uma empresa que atua no segmento de atacado e varejo estabeleceu um contrato com uma empresa responsável pela administração de máquinas de pagamento com cartão de crédito. Em 13 de janeiro de 2022, os funcionários da empresa de atacado enfrentaram dificuldades para acessar sua conta, e no dia seguinte, descobriram a invasão do sistema e a transferência de R$ 3,9 mil para um indivíduo chamado Lucas, que não fazia parte do quadro de colaboradores.
Como vítima do golpe, o atacadista entrou com uma ação por danos materiais contra a empresa de máquina de cartão de crédito, exigindo a restituição do valor indevidamente transferido. Por sua vez, a empresa de cartão alegou culpa exclusiva de terceiros e a inaplicabilidade do Código de Defesa do Consumidor.
Devido à responsabilidade concorrente, a empresa de cartão foi condenada a pagar R$ 1.950 ao atacadista. Insatisfeita, a operadora da máquina de cartão apelou à Turma Recursal, mas teve o pedido negado por unanimidade, com base nos fundamentos da sentença.
"A autora foi, sem dúvida, negligente ao não contratar um firewall para proteger o ambiente de rede e confirmar quem estava acessando o sistema. Por outro lado, também ficou demonstrado que a empresa requerida contribuiu para o ilícito, pois a segurança fornecida pelo sistema disponibilizado por ela ficou abaixo do esperado, seja pela fragilidade da senha fornecida ou pela falta de especificação de qual IP estava acessando o dispositivo", observou a magistrada na sentença (Autos n. 5002265-68.2022.8.24.0067)."
