Cibercrime fatura mais que narcotráfico

[Kappel]

Primeiramente quero dizer que as colocações dos usuários acima, bem como o debate produzido entre eles é muito proveitoso e só vem a agregar conhecimento a todos. Quanto ao tema, é oportuno separar de quem é a responsabilidade civil e de quem é a responsabilidade penal sobre o delito cometido. Entendo que a prática de phishing, na esfera penal, trata-se do crime de "furto mediante fraude", sendo seu único responsável o autor do delito.

No que diz respeito a esfera civil, o tema se mostra mais complexo e formador de doutrinas diversas. A grande dúvida concentra-se nas instituições financeiras e a possibilidade de serem responsabilizadas civilmente e consequentemente ter que reparar o dano causado ao usuário (consumidor). Entendo que para podermos ampliar tal debate seja necessário primeiro definir qual o codex que se aplica ao tema proposto para aí então podermos dar seguimento ao debate.

Com o surgimento do CDC, muito se discutiu o Art. 3, §2º, que equipara as Instituições Financeiras à figura do fornecedor. Claro que as Instituições financeiras não iriam deixar o disposto no referido codex passar, sem ao menos tentar descaracterizar a aplicação do mesmo as relações bancárias. Assim, através da CONSIF adentraram com uma Adin nº 2.591 junto ao STF, entendendo ser inconstitucional tal artigo enunciado no CDC. Ocorre que tal Adin não prosperou sendo hoje incontroverso a aplicação do CDC as relações bancárias.


Mas por qual motivo as Instituições Bancárias temiam tanto a aplicação do CDC na relação estabelecida com seus clientes? A principal função do CDC é proteger a parte mas fraca, o consumidor, e tentar de alguma maneira equiparar as partes envolvidas em uma lide, de tal forma que não houvesse a produção de um dano, sem que houvesse uma reparação. Uma vez que o CDC adota por padrão a Teoria da Responsabilidade Civil Objetiva, onde não há o pressuposto "culpa", ou seja, não se questiona se o agente agiu com culpa ou não, devendo indenizar a parte lesada pelo simples risco da atividade desenvolvida ( Teoria do Risco Criado).

Para a Teoria da Responsabilidade Civil Subjetiva, além dos pressupostos "dano" e "nexo causal" existentes também na teoria anteriormente citada, há também a análise da "culpa" cabendo a parte lesada provar a culpa do agente, o que terminava em grande parte dos casos sem atingir o seu objetivo principal que é a manutenção da paz social e a reparação do dano produzido.


Para tanto, o CDC em seu art. 6º, inc. VIII estabeleceu a inversão do ônus da prova, cabendo ao fornecedor, demonstrar que não deu causa a produção do dano, assim como o art. 8º e seguintes, regrando que ao fornecedor cabe tomar todas as medidas protetivas e de informação a fim de que o usuário (consumidor) não venha a sofrer danos.


Os arts. 12 (produto) e 14 (prestação de serviços) por sua vez explicitam a responsabilidade do fornecedor independente de culpa, devendo para tanto reparar o dano.

Aí surgem as primeiras indagações. Deve o fornecedor, no caso das Instituições Financeiras indenizar a vítima (consumidor) por um dano independente de culpa e sem ao menos poder se defender, violando o princípio constitucional da ampla defesa? Se tal aplicação passar a vigorar pelos magistrados como um simples "copia e cola" de decisões sem uma análise completa e minuciosa ao caso concreto, não poderá aí surgir uma nova indústria de "fabricação de sentenças forjadas" em fatos planejados por pessoas mal intencionadas a fim de obter indenizações junto a esfera jurídica em desvios feitos por elas próprias? Que tipo de ordem social e satisfação jurídica se atinge com isso?

Já que não há mais a análise da culpa, como resposta para todas perguntas elencadas acima, resta as Instituições Financeiras, tentar realizar a quebra do "nexo causal", entre a sua conduta e o dano sofrido pelo consumidor, uma vez que, inexistentes os pressupostos da responsabilidade civil, não há o que se falar em indenização. Neste sentido, para poder se aplicar tais excludentes da responsabilidade civil, deve as Instituições Financeiras buscar defesa no próprio CDC, de forma mais precisa nas exceções previstas no Art. 12, §3º, in verbis:

§3º -O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar:

I- que não colocou o produto no mercado;
II - que, embora haja colocado o produto no mercado, o defeito inexiste;
III- a culpa exclusiva do consumidor ou de terceiro.

Como também a aplicação das exceções previstas no Art. 14, §3º, referente a prestação de serviços, aplicável as Instituições Financeiras, in verbis:

§3º - O fornecedor de serviços só não será responsabilizado quando provar:

I- que, tendo prestado o serviço o defeito inexiste;
II - a culpa exclusiva do consumidor ou de terceiro.


Ressalvo a importância de se realizar uma análise profunda ao caso em tela para tentar se obter a decisão mais justa ao caso concreto e a efetivação do direito. Quando se fala em Instituições Financeiras, nos referimos de modo latu sensu, sendo que há a necessidade de que a situação seja analisada de forma stricto sensu, pois entendo que situações tal como falsificação de cheques, implementação de "chupa cabras" em caixas eletrônicos, assalto a agências bancárias não devem ser julgados da mesma forma dos crimes virtuais, de forma mais específica atraves de phishing, ainda que envolvam Instituições Financeiras. No Brasil a doutrina majoritária relativa ao "nexo causal", é denominada de "Teoria da causa adequada", onde juntado todos as possíveis causas ensejadoras do dano, se faz uma análise individual sobre elas a fim de identificar a real conduta que provocou o dano. Como exemplo posso citar:

Executivo, tem um vôo marcado às 14:00 para São Paulo, no entanto ao se dirigir ao aeroporto o taxista errou o caminho e em consequência disso o executivo perdeu o vôo naquele horário, sendo obrigado a realizar a viagem no vôo seguinte as 16:00. Infelizmente ocorre um acidente com o avião, provocado por falha mecânica e todos passageiros vêm a falecer. Qual foi a causa ensejadora do dano? o taxista que errou o caminho e fez com que o executivo perdesse a viagem ou a falha mecânica do avião? Se analisados de forma individual, poderemos concluir que foi a falha do avião que causou a morte de todos passageiros e a consequente obrigação de indenizar por parte da empresa aérea.


Assim, até que ponto um provedor é responsável pelas informações que são transmitidas ou alocadas em seus servidores? A justiça americana e parte da doutrina brasileira tem entendido que o provedor foi um mero instrumento utilizado para se concretizar o ilícito, não tendo nexo entre a sua conduta e o dano causado, inexistindo a obrigação de indenizar, tal qual se aplica nos casos em que alguém comete um homicidio mediante utilização de arma de fogo. Quem deve ser condenado a reparar o dano civilmente ? O agente causador do dano ou a empresa fabricante da arma que serviu de instrumento à concretização do crime? A resposta neste último caso obedece o citado entendimento anterior.


Voltando a situação do Pishing e ao disposto no inciso I e II (primeira parte), parágrafo 3º do artigo 14, pergunta-se: Qual instituição financeira deixou de prestar as devidas informações ao clientes no que diz respeito aos cuidados que o usuário deve ter ao utilizar o Internet Banking? Tais informações não estão disponíveis no site de cada uma das Instituições Financeiras? Quantos usuários sabem o que é certificado digital? Qual Instituição Financeira disponibiliza acesso ao Internet Banking obrigando o usuário a utilizar apenas produtos da Microsoft? O usuário optando pela utilização de um sistema operacional que deve ser pago, possui nota fiscal e licença válida a fim de não estar cometendo pirataria conforme disposição da Lei 9.609/98 e consequentemente não estar cometendo uma conduta negligente e imprudente visto a possibilidade de estar instalando programa já com algum tipo de malware acoplado a mídia? O usuário possui algum tipo de antivírus e ou firewall lícitos instalados no computador utilizado para acessar o Internet Banking? O usuário tem os cuidados necessários quanto a segurança, abrindo apenas e-mails de procedência não duvidosa, assim como a não efetuação de downloads da Internet de aplicações consideradas piratas, ou que ainda na "modalidade de teste", tenham sido efetuados diretamente do site do desenvolvedor?

No que diz respeito ao inciso II (segunda parte), parágrafo 3º do artigo 14, pergunta-se: Tendo o usuário optado por um sistema operacional pago e consequentemente tendo nota fiscal e licença de uso deste produto, a empresa desenvolvedora deste programa não tem a obrigação de garantir segurança para quem tenha adquirido a licença? A empresa desenvolvedora não tem a obrigação de corrigir e informar todas as falhas de segurança existentes ou que venham a surgir nos seus produtos e não aquelas que tenham interesse? O firewall disponibilizado junto com estes sistemas operacionais pode ser facilmente desabilitado por um criminoso cibernético, a fim de provocar uma falsa sensação de segurança no usuário? O sistema de senhas e gerenciamento de usuários destes sistemas operacionais é seguro e possui medidas que evitem a criação de um acesso de administrador via console sem emitir qualquer informação sobre tal alteração no sistema? O sistema operacional possui uma política protetiva aos arquivos de configuração do sistema, a fim de evitar que criminosos alterem determinados arquivos redirecionando o acesso a sites? O sistema operacional ao ser instalado permite que o usuário decida quais os serviços serão instalados naquele momento, a fim de que serviços desnecessários não venham a permitir o acesso remoto de terceiros no computador sem o seu conhecimento do mesmo? O sistema operacional possui medidas protetivas quanto ao compartilhamento de pastas e impressoras em uma rede sem que para isso o usuário tenha um conhecimento técnico a fim de desabilitar tais configurações? O acesso a API(s) do sistema por aplicações de terceiros possui alguma medida protetiva ou de caráter informativo ao usuário?


Enfim, me parece que após uma análise destas questões elencadas acima, poderão então os magistrados formular uma decisão dentro da imparcialidade e justiça, mantendo uma tutela jurisdicional efetiva em nosso ordenamento jurídico, a fim de verificar a causa que realmente ensejou o dano, bem como considerar que o serviço de Internet Banking apenas serviu de instrumento à concretização do ilícito, aplicando-se por analogia o entendimento americano e de alguns doutrinadores brasileiros aos casos que envolvam os provedores e a consequente quebra do nexo causal deste com o dano produzido e o dever de indenizar. É necessário que se aplique as excludentes previstas nos arts. 12 e 14 do CDC, pois cabe ao usuário manter uma conduta aceitável frente à sociedade, adaptando-se aos novos meios tecnológicos sem ter uma conduta negligente e ou imprudente além de respeitar as regras e normas existentes em nosso ordenamento jurídico frente ao direito autoral e a pirataria de software; no que diz respeito ao fato de terceiro, assim como as empresas desenvolvedoras de programas tem direitos autorais previstos em nosso ordenamento jurídico, de forma mais precisa na Lei 9609/98, possuem obrigações frente ao comprador da licença conforme explícito nos arts. 7º e 8º em consonância ao Art. 10º da supracitada lei, devendo disponibilizar no mercado, produtos seguros e fornecer informações sobre o mesmo, bem como garantir a correção de eventuais erros, de modo que terceiros não tirem proveito destes defeitos para obter acesso ao computador do usuário, que acreditando estar seguro, tem seus dados pessoais e ou de caráter financeiro subtraído.


Espero ter contribuído.

[caiorossi]

Caro Kappel, bom texto, grato pela colaboração.

No entanto, esse assunto já foi amplamente discutido por aqui, seque alguns tópicos referentes ao tema:

Banco responde por desvio de dinheiro pela internet
Transações bancárias não autorizadas e culpa exclusiva do correntista
Quem é responsável por um roubo no Internet Banking via "0-day exploit" no cliente?

Primeiro, não acho que haja prejuízo ao banco advindo da presunção de culpabilidade, ou seja, da inversão do ônus da prova cabendo ao mesmo ter que provar que não foi culpado pelo dano causado. É que o banco lucra com o sistema e assumiu o risco na hora de disponibilizá-lo em um ambiente promíscuo como a Internet.

Ademais, como bem posto por você, resta a ele ter que provar que não foi exclusivamente o culpado pelo dano sofrido, e neste ponto, o CDC lhe ampara satisfatoriamente, permitindo o pleno exercício do direito de defesa. Portanto, tem o banco todos os meios assegurados pela lei e pela Constituição para o fiel desempenho do contraditório e ampla defesa.

Pois bem, então como estamos de acordo (ou em parte pelo menos) que o direito abstrato será concretizado de maneira justa e legal as partes, cabe agora definirmos o que é concreto. E quanto a isso, não concordo com seus argumentos.

Faço a mesma coisa, pergunta-se: Por que um fabricante de SO ou antivirus deveria assegurar a segurança de seu produto e o banco não? Por que o banco só alerta sobre os tais "cuidados" (mesmo superficial que seja) como você afirmou, mas esquece de avisar o cliente que se ele não tiver profundos conhecimentos em informática tão logo é uma vítima em potencial das fraudes? Por último, o Bill Gates me obriga a usar Windows da mesma forma como o banco me obriga a usar o terminal pela internet quando se quer fazer alguns serviços?

Como diria o ditado: "Pior cego é o que não quer ver". E mais, esse discurso foi concernente a somente os "atos preparatórios" do crime. Pois o que tem a ver pirataria ou sistema operacional com o fato do banco deixar o dinheiro sair da conta do cliente sem se certificar que o cliente é mesmo o cliente?

Veja bem, eu não sou contra o banco provar que não é culpado, mas daí concluir que todo mundo é culpado, menos ele eu não concordo e creio que o judiciário também não esteje.

E outra, se banco estivesse preocupado em ressarcir clientes ele já tinha comprado algum deputado ou senador para criar uma lei aplicando a teoria da culpa objetiva não contra ele, mas a favor. Se ele não faz isso, é porque desse jeito tá bom pra ele, e se tá bom, é porque ele lucra com o sistema. Por isso que eu digo, as vezes tem que se tomar cuidado quando o intuito é querer defender bancos.

[Kappel]

Que bom que tenha gostado do material. Espero poder contribuir e aprender mais com este fórum visto que entrei nesta semana. Vi que existem diversos tópicos sobre o tema neste fórum, entretanto com muitas opiniões técnicas de informática e pouco conhecimento jurídico atual e seguro. Poucos doutrinadores jurídicos(poucos mesmo), se arriscam a fomentar um entendimento sobre o tema visto o baixo conhecimento sobre tecnologia de informação e as constantes modificações em nossa sociedade.

Respeito muito suas observações, uma vez que ressalvo a importância do debate e democracia. Neste sentido acho oportuno dispor:

Faço a mesma coisa, pergunta-se: Por que um fabricante de SO ou antivirus deveria assegurar a segurança de seu produto e o banco não? Por que o banco só alerta sobre os tais "cuidados" (mesmo superficial que seja) como você afirmou, mas esquece de avisar o cliente que se ele não tiver profundos conhecimentos em informática tão logo é uma vítima em potencial das fraudes? Por último, o Bill Gates me obriga a usar Windows da mesma forma como o banco me obriga a usar o terminal pela internet quando se quer fazer alguns serviços?

Quanto a primeira indagação, não entendo que a empresa de Antivirus tenha obrigação nesta relação. Conforme explicitei alteriormente, existe a necessidade de se analisar o caso concreto a fim de se definir a real causa e o dever de indenizar. Quantos hackers já invadiram um banco e furtaram contas de clientes? Na informática nada é impossível mas não é o que acontece em 99,99% dos casos, pois do contrário qualquer pessoa, ainda que não tivesse acesso por internet banking poderia ser vítima de furto pela internet. Hoje incontroverso pois a aplicação da Responsabilidade Objetiva nas relações de consumo, não sendo só aplicável a Teoria do Risco aos Bancos, mas também a toda e qualquer empresa, tenha ela fins lucrativos ou não. Neste sentido, não podemos dizer que o Banco deve indenizar só porque ele ganha "muito dinheiro" e o resto é detalhe sem importância. O judiciário brasileiro precisa adaptar-se ao "monstro criado" que é essa teoria, de tal modo que não venha a cometer injustiças, conforme países mais desenvolvidos já estão fazendo e acredito que nosso país venha a seguir. A teoria da causa mais adequada, também citada anteriormente e amplamente majoritária em nosso país, norteia o rumo a ser seguido. Ora, se não houve falha no sistema do banco, não houve invasão de seus servidores, e tal delito ocorreu por uma falha no SO, esta é incontestávelmente a causa que ensejou a produção do dano e a empresa desenvolvedora do mesmo DEVE ser sim responsabilizada pelo pleito de forma isolada ou solidária. As informações disponibilizadas pelo banco aos usuários são suficientes e dentro do que o serviço disponibilizado por eles propõe. O banco tem a obrigação de informar sobre seus programas e riscos, cabendo a empresa que desenvolve e comercializa SO fazer o mesmo, uma vez que tal teoria também se aplica a ela. Quanto a escolha do SO, o usuário pode usar linux para acessar o banco, pois todos disponibilizam acesso para este SO, como eu faço por OPÇÃO, da mesma forma que o Internet Banking também é uma OPÇÃO cabendo ao cliente definir o que é melhor as suas necessidades.

Como diria o ditado: "Pior cego é o que não quer ver". E mais, esse discurso foi concernente a somente os "atos preparatórios" do crime. Pois o que tem a ver pirataria ou sistema operacional com o fato do banco deixar o dinheiro sair da conta do cliente sem se certificar que o cliente é mesmo o cliente?
Veja bem, eu não sou contra o banco provar que não é culpado, mas daí concluir que todo mundo é culpado, menos ele eu não concordo e creio que o judiciário também não esteje.

Como diria a frase de Calmon de Passos: “Os gigantes de ontem só nos são úteis se permitirem que, subindo em seus ombros, possamos ver além do que foram capazes de vislumbrar” Ora, pirataria é a questão chave para definir se houve culpa da vítima ou não e a possibilidade de se repassar a responsabilidade. Como o autor de uma ação reparatória pode pleitear uma indenização se ele mesmo deu causa para que o fato ocorresse. A tal situação é aplicável por analogia o disposto nas decisões em que uma pessoa com o intuíto de se matar se joga a frente de um veículo que apenas serviu de instrumento à concretização dos objetivos da vítima (jurisprudência amplamente dominante). Como uma pessoa, ao cometer uma conduta tipificada em nosso ordenamento jurídico como crime, inclusive com a possibilidade de prisão, que de forma natural e sem sofrer nenhum tipo de coação INSTALA em seu computador um SO piratada, com a intenção de obter vantagem financeira ( não pagar o custo da licença), ainda quer pleitear a reparação de um dano que tenha sofrido, devido a instalação de um programa pirata, sem garantia de correções as falhas e com a possibilidade de ter na própria mídia um malware embutido. Não há neste caso como repassar a responsabilidade aos bancos e nem ao desenvolvedor do SO, pois este não tem a obrigação de garantir um programa pirata ( Art. 12, Inc. I CDC). Assim, quem deu a real e única causa ao dano sofrido? O próprio usuário, que nem ao mesmo poderá alegar que não sabia que instalar software pirata é uma conduta ilegal, conforme dispõe a LICC (não lembro do artigo, mas é um dos primeiros). Por isso a pirataria é a chave principal e o primeiro ponto a ser indagado, estando o usuário de posse da nota fiscal e licença, aí sim, o banco poderá trazer a lide a empresa desenvolvedora do SO, que terá que provar, que as inúmeras falhas que todos conhecem, não deu causa ao dano sofrido

E outra, se banco estivesse preocupado em ressarcir clientes ele já tinha comprado algum deputado ou senador para criar uma lei aplicando a teoria da culpa objetiva não contra ele, mas a favor. Se ele não faz isso, é porque desse jeito tá bom pra ele, e se tá bom, é porque ele lucra com o sistema. Por isso que eu digo, as vezes tem que se tomar cuidado quando o intuito é querer defender bancos.

"Comprar um deputado ou senador" conforme explicitado por você não é sinômino de satisfação. Além do mais, o caso em tela não implica na criação de uma lei específica ao tema, visto ao meu ver que o CDC de forma latu sensu está bem preparado e estruturado para isso. O que deve acontecer, é "abrir as mentes" de todos envolvidos na esfera jurídica, a fim de termos novas indagações e decisões fundamentadas de forma brilhante e coesa, sem deixar de ser imparcial e atingir o objetivo proposto, e não um "copia e cola" e/ou decisões formuladas por estagiários de forma irresponsável. Os bancos não estão contentes com a aplicação do CDC as suas relações, tanto é que impetraram com a Adin supracitada não tendo sucesso, muito mais preocupados com contratos revisionais e cartão de crédito do que com o Internet Banking, além do mais, o que buscamos não é condenar ou não estes, mas sim o que realmente justo, uma vez que não necessariamente quem tem mais, tem que pagar os que tem menos pelo simples exercício de uma atividade.

[patrickwifu]

os 2 lados da vida em um so encontro!

[Robot Bastard]

Meus sensores visuais estão inundados de fluido limpador.
Texto maravilhoso, Kappel! Apenas chamo a atenção para o fato de que os ataques não se restringem aos S.O. piratas, mas também aos originais, mesmo os devidamente atualizados. Nenhum S.O. é imune a usuário com Síndrome do Clique Compulsivo. Os ataques de phishing e pharming (vide o recente problema da NET/Virtua) são eficazes e mostram que o problema vai além do S.O.

[]s,

RB

[Lord Enigm@]

(...)Poucos doutrinadores jurídicos(poucos mesmo), se arriscam a fomentar um entendimento sobre o tema visto o baixo conhecimento sobre tecnologia de informação e as constantes modificações em nossa sociedade(...)

Esse é um dos pontos que ao meu ver irá complicar em muito com as novas leis que estão por vir sobre cibercrimes, não somente em relação aos bancos.

Como o judiciário está reagindo e quais diretrizes irão nortear para tentar ao menos mitigar essa situação?

Muito bem colocado RB.
Além dos originais não podemos nos esquecer dos livres também.

[Kappel]

Meus sensores visuais estão inundados de fluido limpador.
Texto maravilhoso, Kappel! Apenas chamo a atenção para o fato de que os ataques não se restringem aos S.O. piratas, mas também aos originais, mesmo os devidamente atualizados. Nenhum S.O. é imune a usuário com Síndrome do Clique Compulsivo. Os ataques de phishing e pharming (vide o recente problema da NET/Virtua) são eficazes e mostram que o problema vai além do S.O.
[]s,
RB

Mais uma vez agradeço aos colegas deste site pelo incentivo. Concordo com vc Robot, não apenas os SO piratas possuem defeitos, bem como os originais também. Mas como coloquei no texto acima, a falta de licença em SO pagos(pirataria), no meu entendimento tira o direito da vítima de pleitear uma indenização do fabricante do programa, faz-se por contrário se a licença e nota fiscal o mesmo tiver.

Quanto ao caso da NET/Virtua, terias como resumir eu um tópico esta nova modalidade de phishing empregada?

[caiorossi]

Kappel,
Eu estou aqui como cidadão comum, não como defensor de banco. Sei que há muitos doutrinadores, juizes, ministros iletrados sobre a matéria de tecnologia. Mas não é por causa disso que vou defender banco, pelo contrário, sou a favor da democracia e direitos iguais. "Copia e cola" também acontece com criminoso, pedófilo, etc. e ninguém vem aqui execercer suas defesas, alías ninguém é culpado até a sentença final, ou seja, é inocente até prova contrária, incluindo todos e os bancos também.

Contudo, você está cometendo alguns vícios quando o assunto é computação. Se somente considerado o SO pirata de maneira isolada, isso não teria o condão de causar fraudes, muito pelo contrário, se considerarmos que 20 a 30% usam e nem um décimo disso é vítima de fraude, então o argumento é inválido. Todavia, pirataria já é um crime autônomo tipificado em lei, o que ao meu ver poderia incidir dupla punição pela mesma falta contra o cidadão, veja porque:

No âmbito computador x internet banking temos trojans, envenenamento de DNS local e no servidor (este último como aconteceu com o NET Virtua), sites espelho de bancos, etc, sendo esses citados os meios mais usados. Então não prospera a alegação de que um sistema pirata em si pode invocar o princípio da presunção de culpabilidade do "usuário-cliente", pois para tanto ainda precisaríamos periciar o computador e concluir que um trojan foi instalado junto com os arquivos de sistema do SO e que realmente foi ele o responsável pela fraude. O que convenhamos, não faz parte das estatísticas de incidentes relacionados a matéria. Normalmente é mesmo o "clique aqui"/phishing por e-mail. Outra possibilidade ou possível falha não creio que um SO pirata possa gerar que não também o original ou um em código aberto. Você chegou a citar a questão dos updates... ok, exploits de qualquer tipo em um binário executável ou aproveitando uma falha no SO da vítima não são comuns hoje em dia, o que vemos são geralmente aplicações web sendo exploradas, daí mais uma vez o SO se mostra figura relativa na questão da fraude. Então, repare como não podemos pegar um caso hipotético e o revestirmos de um caráter absoluto (e você está incorrendo neste erro no caso da pirataria).

Eu acho que em seu modo de ver, a definição para marcar a culpa do usuário ou empresa de software me parece ampla demais, o que poderia vir a se tornar extremamente perigoso ao consumidor, mesmo ele não tendo agido de má fé ou incorrido em erro evitável.

Volto a perguntar, o banco possui meios para identificar a fraude no momento em que ela acontece? O banco pode frustrar a fraude mesmo tendo o criminoso já iniciado os "atos preparatórios" (roubado a senha)? E não obstante, o banco pode aperfeiçoar o sistema para identificar melhor o cliente que acessa efetivamente o terminal pela internet, de modo que possa evitar a fraude?

Pra mim, todas as respostas são afirmativas.

Em verdade, com o atual CDC o banco dificilmente conseguirá se livrar da presunção de culpa. Já que ele é também responsável e convivente nisso tudo, não só o cliente ou a "microsoft" (ora se o sistema internet banking não é seguro, em termos de certificação de identidade, de modo que eu possa até conseguir forjar o furto, eu sendo o banco não posso me queixar desse problema pois ele [o banco] pode evitá-lo. E neste sentido a lei é clara:

Art. 14 §3º do CDC:
O fornecedor de serviços só não será responsabilizado quando provar:
....
II - a culpa exclusiva do consumidor ou de terceiro.

Faço minhas as palavras de Guilherme Damásio Goulart (Molho) retirado de um trecho de sua matéria para o site Conjur:

A ciência da computação, ao tratar também da segurança da informação, utiliza a seguinte premissa “Nenhuma corrente á mais forte do que seu elo mais fraco”. Ao que sabemos essa expressão foi cunhada originalmente por Arthur Conan Doyle (Nenhuma cadeia é mais forte do que seu elo mais fraco). A idéia é que todas as proteções de segurança aplicadas a um sistema tornam-se ineficazes se houver um ou mais controles ineficientes ou fracos. A segurança, então, é um processo que se não observado em todas as suas fases, torna o sistema mais ou totalmente inseguro.

Fazendo uma analogia, é como se alguém trancasse todas as portas de sua casa mas deixasse uma janela aberta. Esse “elo mais fraco” é a parte humana e diga-se de passagem, todo o especialista em segurança da informação sabe disso. O banco inclusive sabe muito bem disso. Por saber disso, os sistemas devem ser adaptados e protegidos contra essa vulnerabilidade. A construção dos sistemas deve observar sempre tal vulnerabilidade. A questão é saber se um sistema que permite a exploração desta vulnerabilidade pode ser considerado potencialmente inseguro. Entendemos que tal situação torna sim o sistema inseguro nos termos do CDC.

Tal insegurança provém, entre outras coisas, da disparidade de informações que tem o fornecedor e o consumidor. Como disto, o consumidor não tem condições técnicas de avaliar corretamente os riscos provenientes do uso do home-banking; não há como se exigir do consumidor o conhecimento das técnicas de engenharia social utilizadas pelos criminosos. Isso foge do conhecimento do homem comum, do homem médio. Tais relações baseiam-se na confiança que o consumidor deposita no serviço de home banking. Como ensina o professor Christoph Fabian, na obra já citada, a informação prestada pelo fornecedor deve atentar para os riscos do uso do produto ou serviço:

Os perigos previsíveis não são apenas aqueles que resultam do uso adequado. Eles abrangem também os perigos de utilizações erradas que podem naturalmente ou facilmente acontecer.

[caiorossi]

...não apenas os SO piratas possuem defeitos, bem como os originais também. Mas como coloquei no texto acima, a falta de licença em SO pagos(pirataria), no meu entendimento tira o direito da vítima de pleitear uma indenização do fabricante do programa, faz-se por contrário se a licença e nota fiscal o mesmo tiver.

O debate já findou? Cadê o juiz para dar a sentença.
Como alegações finais, agora sustento legítima defesa ao usar um sistema pirata:

Malware found on brand new Windows netbook

O mundo da tecnologia gira rápido. RB, cuidado com a ferrugem rs.

[Lord Enigm@]

E nessa eu falei sozinho, bá!! , normal, é a idade... :D

Bom, sem demagogias, eu tenho que concordar com mestre Caio, ao meu ver, qualquer empresa que presta serviços pela rede mundial deve se preocupar com a segurança de seus clientes independente de plataformas utilizadas. Deveriam fazer ações de conscientização no próprio sítio deles, palestras, cartilhas, enfim, ações que poderiam estar a esclarecer mais os clientes acerca dessa matéria e assim, tentar mitigar essas situações desagradáveis à ambas as partes e não simplesmente empurrar o ônus da prova para os usuários como se tivessem a obrigação de serem analistas de risco ou de SI.