É mais que sabido que as instituições financeiras, bancárias, lojas e demais serviços, dado o crescente número de golpes cibernéticos, valem-se de serviços ligados a antifraudes, com o escopo de preservar as operações dos negócios e a segurança dos clientes.
Estes sistemas, vendidos e integrados em e-commerces, fintechs, projetos DEFIS e outros, atuam em diversas frentes, gerenciando o processo de onboarding, logins, identidade, comportamentos anômalos, validação de dados e permitindo que fluxos sejam criados em negócios digitais.
Os sistemas antifraude, no entanto, não são 100% humanizados, valendo-se de algoritmos, análises de dados e inteligência artificial para avaliar o risco de cada transação, identificando padrões suspeitos e bloqueando as tentativas de fraude. Deste modo, atuam prevenindo as principais modalidades existentes em serviços online: A de créditos de identidade e a de devoluções (chargebacks), fazendo frente também às fraudes internas, que comumente contam com apoio de colaboradores.
É evidente que o bom funcionamento dos sistemas antifraude está atrelado à capacidade de coleta de dados, envolvendo dados espontaneamente cedidos e dados coletados de forma inconsciente, como atividade de navegação, browser fingerprints, dados do dispositivo e dados de outras fontes. Alia-se a isso o uso de Inteligência Artificial (IA), e outras ferramentas de análises e geração de scores sobre atividades e pessoas.
Dentre os critérios usados, diversos, a depender das ferramentas, envolvem facematch, biometria, documentoscopia, análise comportamental, dentre outras validações. É evidente que, enquanto verdadeiras máquinas de bloqueios e impedimentos de golpes, o que de fato é um dos critérios para se evitar responsabilização judicial, por outro lado, aclara uma outra problemática: o bloqueio e negativa de fruição de produtos e serviços, a partir do tratamento automatizado de dados pessoais.
Cabe ao comitê de proteção de dados e data protection officer, conceber e revisar critérios de precisão, juntamente com engenheiros de privacidade, de modo a se evitar transações legítimas rejeitadas, minimizar erros e atuar no suporte à calibragem do sistema.
Questão que vem provocando reflexões, são as negativas de vendas, créditos, abertura de contas ou autenticações feitas por meio de processos automatizados de onboarding, trilhas de auditorias e anti-fraude. Isso pode ter reflexões jurídicas?
Na Europa, a GDRP estabelece em sua consideranda 47, que o tratamento de dados pessoais estritamente necessários aos objetivos de prevenção e controle da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento”.
Como previsto no inciso IX do art. 7. da LGPD, é permitido o tratamento de dados pessoais quando necessário para atender aos interesses legítimos do controlador ou de terceiros. Estaria então a atividade amparada pelo legítimo interesse, o que não significa que os demais direitos dos consumidores e titulares de dados sejam anulados neste contexto. Já o tratamento de dados pessoais sensíveis, só será permitido nas hipóteses previstas nos casos do inciso I e II do art. 11 da LGPD.
Destaque-se ainda que o art. 20 da LGPD confere ao titular de dados pessoais o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados, o que, aliás, é a prática na maior parte das soluções de antifraude bancário e e-commerce.
Deste modo, ao realizar bloqueios indevidos de valores ou contas sob fundamento de suspeita de fraude e ilicitude, e não oportunizando revisão ou desconsiderando documentos apresentados para comprovação da procedência de transações, ou mesmo sem fundamentar adequadamente, apenas justificado “ser o sistema anti-fraude”, a instituição não cumpre seu dever de informação e transparência e em nosso sentir, viola os princípios da informação e da transparência, configurando, portanto, o ato ilícito.
Não é mais crível que alguém se contente com a recusa na fruição dos serviços, com base na informação: “foram nossos sistemas antifraude”.
O bloqueio indevido de contas, transferências, usuários e vendas é infortúnio que de longe ultrapassa o mero aborrecimento e causa inequívoco dano moral e dever de reparação, sobretudo diante da falta de oportunidade de contestação ou desconsideração dos dados enviados no sentido de prova a legitimidade das transações suspensas ou bloqueadas..
A este respeito, cite-se importantes julgados da Justiça Paulista, que vem condenando empresas, lojas e instituições que falharam nos processos de anti-fraude, barrando, negativando ou cancelando operações legítimas, e em alguns casos, não oportunizando defesa:
Responsabilidade civil – Sistema antifraude da fornecedora de serviços que impede consumidor de consumar compras de passagens aéreas com pontos – Compra que foi realizada em outro voo, em condições desvantajosas, com maior demora para chegada no destino da viagem, causa de transtornos – Negativa de responsabilidade pela fornecedora que não se sustenta – Defeito caracterizado pelo bloqueio indevido causado por seu sistema antifraude – Ainda que não houvesse defeito, responderia pelo risco da atividade – Ressarcimento dos pontos a mais gastos para compra de passagens em outro voo – Condenação em indenização por danos morais de R$ 7.000,00 para cada autor – Danos morais configurados – Indenização de R$ 7.000,00 mantida para o primeiro autor, reduzidas, para R$ 5.000,00 para as demais autoras – Recurso provido em parte.
(TJ-SP – RI: 10019302520188260125 Capivari, Relator: Mauro Antonini, Data de Julgamento: 30/04/2019, 1ª Turma Recursal Cível, Data de Publicação: 16/05/2019)
Indenizatória – Contrato de transporte aéreo – Emissão de bilhete pela internet com pagamento via sistema de pontos (“Pontos Fidelidade”) – Prova do vínculo e pagamento – Cancelamento do bilhete e negativa de embarque da passageira pela não confirmação da licitude da operação feita via internet – Regularidade de sistema antifraude – Não reconhecimento – Ônus da companhia aérea como fornecedor do serviço derivado da disponibilização da possibilidade de compra de passagens aéreas pela internet – Risco da atividade que não pode ser repassado ao consumidor do serviço – Inexistência de fato plausível a justificar o comportamento da ré. Dano material – Perdas e danos – Devolução do valor pago por desembolso – Termo “a quo” de incidência dos juros de mora a partir da data da citação – Inteligência do art. 405 do Código Civil – Sucumbência exclusiva do réu. Compensação moral – Artigos 186 e 927, do Código Civil – Regra de unicidade – Fatos da causa – Fixação de valor único – Dever de observância – Ausência de prova da ocorrência de danos imateriais próprios e desvinculados dos fatos objeto da relação contratual mantida pela ré com a uma das partes reclamantes – Prática de atos por reclamante limitados a expressão de vontade – Responsabilidade das partes limitada ao ajuste, inclusive quando às perdas e danos igual ao efetivo prejuízo – Código Civil artigo 402. – Correção do valor – Não aplicação da Súmula 54, do STJ – Incidência dos juros de mora a partir do arbitramento – Artigo 407 do Código Civil. Recurso provido em parte, com determinação.
(TJ-SP – APL: 09522682620128260506 SP 0952268-26.2012.8.26.0506, Relator: Henrique Rodriguero Clavisio, Data de Julgamento: 18/10/2016, 18ª Câmara de Direito Privado, Data de Publicação: 24/10/2016)
Recurso inominado. Gestão de pagamentos. Falhas no procedimento. Sistema antifraude. Bloqueio não devidamente justificado por considerável lapso. Privação dos recursos próprios. Dever de indenizar. Danos morais configurados. Fixação do montante razoável e proporcional. Sentença mantida. Recurso não provido.
(TJ-SP – RI: 00006598620218260094 SP 0000659-86.2021.8.26.0094, Relator: Maria Esther Chaves Gomes, Data de Julgamento: 20/03/2022, Turma Recursal Cível e Criminal, Data de Publicação: 20/03/2022)
Recurso de decisão do Tribunal Geral – Cláusula compromissória – Convenções de subvenção celebradas no âmbito do Programa de Apoio à Política de Tecnologias da Informação e da Comunicação (TIC) – Relatório de auditoria – Notas de débito emitidas pela Comissão Europeia com vista à cobrança de determinados montantes – Recurso de anulação – Inquérito do Organismo Europeu de Luta Antifraude (OLAF) – Pedido reconvencional – Reembolso integral das subvenções em causa – Direitos de defesa – Princípio da boa administração – Imparcialidade – Princípio da proporcionalidade – Dever de fundamentação.
(Acórdão do Tribunal de Justiça (Sétima Secção) de 29 de setembro de 2022 – Health Information Management (HIM)/Comissão Europeia)
Como visto, a não adequada “justificativa” do bloqueio por meio de sistemas anti-fraude é um dos principais fatores que ensejam a condenação de serviços. De fato, ao confiar em sistemas de terceiros o anti-fraude, muitos e-commerces e negócios colocam verdadeiras soluções fechadas, incapazes de detalhar como os algoritmos funcionam em um caso concreto e esse generalismo começa a ser visto como violador pela Justiça.
O sistema antifraude precisa de cuidado especial do encarregado de proteção de dados (DPO) e engenheiro de privacidade, com monitoramento constante, garantindo-se que transações legítimas não sejam bloqueadas acidentalmente e principalmente, que informações claras sejam prestadas por estes serviços terceirizados em casos de questionamentos de clientes, de modo a reduzir riscos de responsabilização.
A revisão contratual da fintech, banco ou loja com os serviços anti-fraude, sobretudo com cláusulas de responsabilização e cooperação em casos de questionamentos por clientes e titulares é mais que fundamental.
Neste contexto, ponderando reflexões sobre este intrigante tema e sem pretensão de exaurir a temática, considerando a necessária observância às dinâmicas do serviços antifraude, é possível estabelecer claramente que um sistema que vem para beneficiar pode se constituir um risco se não alinhado com práticas e princípios de compliance e privacidade.
Considerando os direitos dos consumidores e sobretudo o direitos ligados ao tratamento automatizado de dados, é importante que empresas estabeleçam capacitação de seus colaboradores, revisão constante das ferramentas de monitoramento, estabeleçam processos de revisão manual que considerem dados pessoais, registros de compra, transações financeiras, formas de pagamentos e demais dados e principalmente, constituam efetivos canais de contato para que os clientes e consumidores possam contestar de forma fácil uma transação ou serviço negado a partir das conclusões algorítmicas automatizadas.
A recusa automatizada de operações e transações legítimas pode não só ser prejudicial à marca, mas representar processos administrativos e judiciais com prejuízos significativos àqueles que negligenciam com processos claros e assertivos de análise.
Fale conosco
Tem dúvidas? Envie seu comentário ou sugestão para [email protected] e não se esqueça de se inscrever no Youtube (http://www.youtube.com/josemilagre) ou pelo instagram (@dr.josemilagre).
JM Advocacia: www.direitodigital.adv.br Instragram: @direitodigital.adv.br
José Milagre & Advogados
É um dos nomes mais lembrados no Brasil na advocacia de direito digital e crimes cibernéticos. Diretor de Forense Digital e Resposta a Incidentes da CyberExperts, especializada em investigação forense de fraudes e golpes online e com criptomoedas. Advogado e Perito Especialista em Segurança Digital, Resposta a Incidentes e Crimes Cibernéticos. Certificações CIPM, CDPO IAPP, DPO EXIN, ISO 27701 Lead Implementer PECB, Graduação em Análise de Sistemas, Pós-graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela Universidade Estadual Paulista UNESP, Presidente da Comissão de Direito Digital da OAB Barueri/SP.