Seção: Tutoriais Banda Larga

 
Internet Banking I: Provedor de E-mail

 

Muito dificilmente se pode invocar a responsabilidade do provedor de serviços de e-mail[25] pelos prejuízos sofridos por um usuário vítima desse tipo de golpe. Não só aqui como em outros países, a tendência tem sido a de isentar o provedor pelo conteúdo das informações que trafegam em seus sistemas, sobretudo quando postadas por terceiros com os quais não mantém vínculo contratual. Em relação aos serviços de e-mail, não se pode exigir que o provedor tenha uma obrigação de triagem das mensagens.

 

Ainda que no caso de simples spams, o provedor não pode ser obrigado a indenizar por perdas e danos, mesmo quando as mensagens indesejadas conduzam vírus (em arquivos atachados), a menos que o contrato com o usuário contenha cláusula expressa nesse sentido, com a promessa de uso de sistemas especiais e infalíveis de filtragem (firewalls e outros sistemas de bloqueio)[26]. Algumas mensagens de phishing sequer vêm acompanhadas de arquivos infectados (programas maliciosos ou vírus), daí que a idéia de imputação ao provedor de responsabilidade por falha de segurança fica ainda mais insustentável. Sem conter anexos, fica difícil para o provedor detectar a natureza delas (se fraudulentas ou não).

 

A única medida que parece razoável exigir por parte dos provedores (de serviços de e-mail), em matéria de phishing (e de um modo geral em relação a qualquer prática fraudulenta via spam), é que prestem informações aos seus usuários sobre essa prática, deixando bem claro até onde se responsabilizam e como configurar seu servidor de e-mail, indicando as medidas e a tecnologia de que se vale para (se não evitá-las) minimizar suas conseqüências. A informação do usuário sobre as características fundamentais do funcionamento do serviço é de suma importância.

 

Ele deve ser esclarecido sobre os aspectos técnicos dos serviços, tais como suas limitações e riscos a que pode ficar sujeito, a fim de que possa formar sua convicção e melhor exercer sua opção quanto à escolha da prestadora. Deve também o usuário ser devidamente orientado sobre cuidados imprescindíveis, visando à sua própria conduta, como as cautelas que deve ter com a utilização do serviço de e-mail.

 

O Gmail[27], serviço de webmail do Google[28], divulgou recentemente que está testando uma ferramenta desenhada para alertar seus usuários contra mensagens que aparentem ser ataques de phishing. Quando o usuário abre uma mensagem suspeita, a tela exibe um alerta. Trata-se de uma ferramenta que funciona com a mesma lógica dos instrumentos técnicos que operam contra o spam.

 

Quando o time de técnicos do Gmail toma conhecimento de um determinado ataque de phishing, configura o sistema para que automaticamente identifique futuras mensagens semelhantes. Um tipo de filtro similar ao que automaticamente desvia as mensagens de spam para uma pasta específica – a mensagem não entra na "caixa de entrada" (ou "inbox"), faz com que o sistema mostre um aviso, alertando para a possibilidade de ataque phishing, de modo a que o usuário tome cuidados antes de clicar em um link e fornecer informações pessoais.

 

As políticas de combate à atuação de fraudadores, no sentido de criar barreiras ou algum tipo de proteção contra o phishing, não diferem muito das políticas que já são empregadas em relação ao spam em geral. E não poderia ser diferente, já que, como se disse, o phishing é uma modalidade mais letal de spam. As tecnologias disponíveis permitem um grau limitado de impedimento de chegada das mensagens fraudulentas à caixa postal dos usuários. Em geral, os prestadores de webmail divulgam um compromisso de combater o spam, através da utilização de filtros e outras ferramentas que se utilizam de inteligência artificial para apagar ou bloquear automaticamente mensagens não solicitadas[29].

 

Outra técnica também bastante difundida é a de possibilitar que os próprios usuários bloqueiem certos endereços de e-mail. Ao receber múltiplas mensagens da mesma fonte, e desejando bloquear o endereço de envio, o usuário pode ativar um bloqueador para não receber e-mails daquele endereço ou domínio[30]. Mas são sempre recursos limitados, que não garantem uma eficácia absoluta. A mesma dificuldade de natureza técnica se observa em relação ao phishing. As informações no site do Gmail deixam bem claro que o sistema anti-phishing não é infalível, tanto que possibilita ao usuário validar uma mensagem indicada como tal ou relatar uma tentativa de ataque não detectada.

 

Realmente, tendo em vista a natureza do serviço de e-mail e o atual estado da técnica referente às comunicações e transmissões eletrônicas de dados via Internet, não é razoável exigir que os provedores sejam responsabilizados pelos danos que mensagens de phishing (ou qualquer modalidade de spam) possam acarretar aos computadores dos usuários. O que é aceitável se esperar, em termos de conduta do provedor nessa matéria, é que empregue seus melhores esforços para assegurar que os serviços de e-mail funcionem da melhor forma e com o melhor padrão de segurança possível[31].

 

Colocar a responsabilidade do controle das mensagens indesejadas e fraudulentas nos ombros do provedor pode, por outro lado, provocar conseqüências socialmente prejudiciais. Tal solução levaria os provedores a regular de forma mais rígida o controle dos filtros, aumentando as probabilidades de bloqueio de uma quantidade maior de mensagens lícitas[32], com o risco de liquidar ou prejudicar o valor real do e-mail como ferramenta de comunicação, comprometendo o desenvolvimento da Internet. Portanto, a política mais acertada é a da responsabilização penal e civil do phisher (ou spammer), e não do provedor[33].

 

 

Refêrencias

 

[25] Que pode ser o seu próprio provedor de acesso à Internet, cujo servidor armazena em espaço em disco uma "caixa postal", onde ficam transitoriamente as mensagens até serem baixadas para o computador do usuário, que tem seu próprio programa gerenciador de e-mails (o Outlook Express, por exemplo), ou um provedor de serviços de webmail, onde as mensagens são armazenadas exclusivamente em seu servidor – o destinatário lê as mensagens na tela do programa que usa para navegar na Web. O Yahoo!, o Hotmail e o GMail são exemplos de provedores desses serviços de webmail. O internauta se conecta à rede Internet através de seu provedor de acesso e adentra nesses sites de serviços webmail pelo seu programa de navegação (browser). As mensagens que os usuários recebem ficam armazenadas de forma definitiva nos servidores desses prestadores de serviços.

 

[26] Nesse sentido é a posição defendida pelo Min. Castro Filho, do STJ, no artigo "Da Responsabilidade do Provedor de Internet nas relações de consumo", apoiando-se na opinião de Erica Barbagalo (Aspectos da Responsabilidade civil dos provedores de serviços de Internet, in LEMOS, Ronaldo (Org.). Conflitos sobre nomes de domínio: e outras questões jurídicas da Internet. São Paulo: Revista dos Tribunais, 2003, p. 345.

 

[27] http://gmail.google.com/

 

[28] O Google é uma das mais populares ferramentas de busca na Internet.

 

[29] O Yahoo! Mail utiliza a tecnologia patenteada como SpamGuard, que direciona automaticamente todas as mensagens de spam para uma pasta de "e-mails em massa".

 

[30] Enquanto o endereço de envio for o mesmo (assim como o domínio), o bloqueador baseado na informação do campo "De" (ou “From”) é bastante efetivo.

 

[31] O Projeto de Lei n. 6.210/2002 apresentado na Câmara dos Deputados em 05.03.02, de autoria do Dep. Ivan Paixão (PPS-SE), trazia a seguinte disposição: "§ 3º Não será responsabilizado pelo recebimento indevido de mensagem eletrônica não solicitada o provedor de acesso ou de serviço de correio eletrônico que tenha se utilizado, de boa fé, de todos os meios a seu alcance para bloquear a transmissão ou recepção da mensagem." O projeto, no entanto, foi arquivado em 31 de janeiro de 2003. Ver informações a respeito no site da Câmara dos Deputados.

 

[32] As soluções técnicas, os filtros de spam, são soluções paliativas. Os programas de filtragem são constituídos de uma série de regras que visam a determinar a semelhança de uma mensagem analisada com um spam. Os programas são regulados para bloquear mensagens segundo alguns critérios pré-definidos, levando em conta, p. ex., se a mensagem é proveniente de alguns servidores listados como sendo de spammers, ou se é enviada para um número alto de destinatários, ou se contém certa palavra, entre outros padrões. Esses programas, contudo, são sempre limitados, e geralmente terminam filtrando mais mensagens do que o desejado.

 

[33] É nessa linha que se situam as leis alienígenas que regulam a atividade de envio de mensagens eletrônicas não solicitadas, a exemplo do CAN-Spam Act, a lei americana editada com a finalidade de combater o spam.