Um dos casos de grande repercussão no segmento de tecnologia consiste na possível invasão hacker ao sistema das Americanas – bem como de suas lojas “irmãs”, como o Submarino, o Shoptime e o Soubarato –, o que tem deixado o sistema da varejista fora do ar desde o último final de semana.

Afinal, caso confirmado o ataque, como os consumidores devem proceder para se proteger? Quando seria o caso de entrar com ação judicial contra a loja? E o que o ocorrido deixa de lição a empresas quanto às prevenções de situações do tipo? O Detetive TudoCelular procurou especialistas e explica a você em detalhes agora.

Uma das principais preocupações no caso está em um possível comprometimento dos dados dos clientes da varejista, durante a invasão. Isso poderia resultar na exploração das informações dos consumidores para a aplicação de golpes diretamente ou por meio de fraudes em bancos e outros sistemas.

Segundo o especialista em Direito Digital do Urbano Vitalino Advogados, Nagib Barakat, este tipo de situação faz com que os cuidados sejam redobrados por parte dos usuários. Ele alerta para a necessidade de prestar atenção a e-mails e mensagens SMS recebidas.

“Em qualquer caso de incidente de segurança, especialmente se houver a confirmação do vazamento de dados pessoais, é necessário precaução a fim de evitar uma série de consequências danosas que podem ser resultado da atuação de golpistas que tiveram acesso aos dados pessoais eventualmente vazados. As tecnologias por si só já nos impõem alguns cuidados, os quais devem ser redobrados nesses momentos, como uma maior atenção aos e-mails e mensagens recebidas via celular.”

Nagib Barakat

Especialista em Direito Digital do Urbano Vitalino Advogados

Nagib ainda ressalta que os golpistas tentam se passar por empresas ou instituições legítimas, com mudanças sutis em seus métodos de contato. Por isso, é necessário observar se as informações do remetente realmente procedem.

“É importante confirmar o endereço eletrônico ou telefone do remetente, já que golpistas costumam utilizar o nome de grandes empresas, e até mesmo de instituições bancárias, para tentar iludir a vítima fazendo com que o contato pareça oficial. Mudanças sutis, como a inclusão de uma letra a mais no nome da entidade, mudança de ".com.br" para ".net.br", dentre outras táticas, são usuais nesse tipo de golpe, cujo foco é estimular a vítima a clicar em um link malicioso ou fornecer mais informações pessoais. Portanto, desconfie de mensagens que apresentam links clicáveis e fique atento com as ligações e contatos via mensagens; pode ser que o golpista tente obter mais dados a respeito da vítima. Afinal, quanto mais informações ele tiver sobre você, mais assertivo será na hora de aplicar um golpe em terceiros, no seu banco, realizar furto de identidade para abrir contas bancárias ou em sites de compras e vincular seus dados a cartões fraudados.”

Os consumidores também devem ter cautela se houver algum contato que diz ser da empresa prejudicada – no caso, as Americanas –, além de trocar as senhas de acesso dos sites envolvidos e habilitar autenticação de dois fatores quando disponível.

“Também convém ficar atento a comunicações por parte da entidade que foi vítima de incidente de segurança, observando aqui todos aqueles cuidados já mencionados, e ainda alterar senhas de acesso aos sites envolvidos. Habilitar autenticação de dois fatores nos aplicativos que este recurso estiver disponível é outra medida de segurança bastante relevante.”

Se, de fato, houve vazamento de dados dos clientes das Americanas, o cliente pode ir à Justiça contra o e-commerce para tomar medidas legais? Segundo Barakat, o simples fato de ter suas informações nas mãos de cibercriminosos não caracteriza um motivo para pedir indenização.

O advogado explica que, para entrar com algum processo, é necessário antes comprovar que o vazamento gerou algum dano concreto ao usuário, para ser considerado procedente na ação.

“As pessoas que tenham efetivamente suportado prejuízo em virtude de vazamento de dados pessoais poderão recorrer à Justiça. Porém, a tendência é que os pedidos de indenização apenas sejam julgados procedentes quando for possível comprovar, de forma concreta, que o dano sofrido foi decorrente do vazamento de dados pessoais. O vazamento, por si só, não deve gerar o dever de indenizar por parte das empresas; esse dever fica vinculado à comprovação do dano sofrido.”

E em que parte se encaixa a Lei Geral de Proteção de Dados (LGPD) neste caso das Americanas? A legislação brasileira inclui as regras mais importantes aplicáveis à privacidade, tratamento e proteção de dados pessoais. Ela também contém as normas para o relacionamento entre titulares de dados – os usuários –, agentes de tratamento e a Autoridade Nacional de Proteção de Dados (ANPD).

Nagib Barakat reforça que o tratamento de dados pessoais poderá ser promovido desde que haja uma base legal – ou um fundamento – e desde que o tratamento seja utilizado para finalidade específica – a qual deva ser informada de maneira transparente ao titular dos dados. Tudo isso dentro do que é especificado pela LGPD.

O advogado ainda detalha que, dentro de um incidente no qual envolva os dados dos clientes, há algumas providências que devem ser tomadas. Uma delas é comunicar o ocorrido à Autoridade Nacional de Proteção de Dados, a fim de indicar quais os impactos, as medidas de segurança usadas e os riscos envolvidos.

“A LGPD elenca direitos do titular de dados pessoais e impõe compromissos a quem realize as operações de tratamento. Nesse sentido, há medidas preventivas que devem ser implementadas para prevenir os riscos oriundos de um incidente de segurança que envolva dados pessoais, bem como algumas providências que necessariamente serão tomadas quando o incidente se materializa, a exemplo da comunicação do ocorrido à Autoridade Nacional de Proteção de Dados com a descrição da natureza dos dados pessoais afetados, informações acerca dos titulares impactados, indicação das medidas técnicas e de segurança utilizadas, informação sobre os riscos envolvidos e sobre as medidas adotadas para mitigá-los.”

Por parte das empresas, há uma série de riscos a se preocupar em relação à segurança digital. Em todos os portes, as companhias estão sujeitas a situações do tipo. Os casos em grandes empresas, como foi o caso das Americanas, que possuem um setor de TI e segurança da informação estruturado, servem de alerta a outras de pequeno e médio porte.

O Head de Seguros Corporativos da Acqua-Vero Investimentos, Caio Almeida, conta que essas companhias menores podem ser consideradas a porta de entrada dos cibercriminosos no país, visto que possuem mais fragilidade em seus sistemas de TI.

“Hoje acompanhamos na mídia ataques ocorridos com as grandes empresas como Fleury, CVC e agora esse possível ataque à Americanas. Essas empresas atualmente possuem grandes áreas de TI e segurança da informação, bem desenvolvidas, com apoio de profissionais especializados nessas áreas, e mesmo assim não estão livres de sofrer ataques. Depois que as multas da LGPD começaram a ser aplicadas, a partir de agosto de 2021, chegando a até R$ 50 milhões, as empresas de pequeno e médio porte correm riscos gigantescos, por apresentarem maior fragilidade no seu sistema de TI, falta uma defesa ampla, e acabam se tornando uma porta de entrada dos hackers no país. Com o Brasil entre os países com maior índice de tentativa de ataque cibernético, esse perigo está iminente.”

Caio Almeida

Head de Seguros Corporativos da Acqua-Vero Investimentos

O especialista ainda destaca como principais riscos para as empresas o vazamento de dados de terceiros e de informações próprias – como as dos funcionários –, bem como endereços e folhas de pagamento, além do sequestro de dados com a exigência de se pagar um resgate.

“Entre os riscos estão o vazamento de dados de terceiros da base da empresa, vazamentos de dados próprios como informações dos funcionários, endereços e folhas de pagamento e o sequestro de dados em que hackers travam o sistema da empresa, causando prejuízos, e exigem o pagamento de um resgate.”

Como estar preparado para enfrentar esses perigos sem ter qualquer prejuízo? Se você possui uma empresa, deve se atentar de um lado para estar de acordo com as normas estabelecidas pela LGPD; e do outro, em investir em soluções de seguro que possam cobrir eventuais danos.

Caio Almeida acrescenta que os riscos já citados podem quebrar uma empresa de pequeno ou médio porte. Vale destacar que, mesmo uma varejista com o tamanho das Americanas, houve uma perda de quase R$ 2 bilhões em valor de mercado apenas no final do pregão de segunda-feira (21).

“Como forma de minimizar esses riscos, não basta estar adequado com a implementação da LGPD, que hoje é uma obrigação, é necessário investir em outras soluções, como o seguro de Cyber Risk. Atualmente poucas seguradoras oferecem, mas o seguro oferece apólices que vão cobrir desde um pagamento de resgate de sequestro de dados a possíveis problemas jurídicos que a empresa pode ter com um vazamento de dados de terceiros. Esses riscos são grandes e podem quebrar uma empresa de pequeno ou médio porte, com a multa e os prejuízos.”

Qual é a sua avaliação sobre a possível invasão no sistema das Americanas e todo o desdobramento que o caso tem tomado nos últimos dias? Participe conosco!