Impacto dos ciberataques no programa contratual: Tendências Jurisprudenciais

Este artigo foi escrito em co-autoria por Joana Neves, Associada Coordenadora e João Pinto Ramos, Consultor, advogados na Vieira de Almeida.

Num contexto de transição para a Economia Digital, a cibersegurança tem-se revelado cada vez mais um tema de enorme relevância e atualidade. Os últimos anos têm sido fortemente marcados pela ocorrência de ciberataques de grande dimensão, sendo, aliás, considerados no Relatório Global de Risco (2022) do World Economic Forum como um risco crescente para as indústrias e para as organizações, conforme também identifica o relatório Cybersecurity Series I – Ameaças, Desafios e Ações para 2022.

Neste sentido, observa-se que a cibersegurança tem consubstanciado uma preocupação central das empresas e organizações em múltiplos setores e áreas de prática – e.g., governamental, media, banca e seguros, telecomunicações, transportes, saúde, entre outros. Segundo um muito recente relatório da McKinsey, três principais preocupações têm sido identificadas: (i) o acesso imediato a grandes conjuntos de dados e de informação através de plataformas digitais; (ii) a maior sofisticação dos ciberataques, em virtude do recurso a técnicas de Inteligência Artificial e de machine learning; e (iii) a ausência de conhecimento especializadodas empresas em matéria de gestão de ciberataques.

Esta crescente preocupação com a ocorrência de ciberataques decorre, igualmente, do elevado risco de litigiosidade que tais eventos poderão acarretar. Efetivamente, os ciberataques levantam questões jurídicas diversas, quer no domínio penal e contraordenacional, quer ainda, sobretudo, no âmbito da litigância cível.

No plano cível, e no contexto das relações B2C, em particular, são conhecidos os litígios emergentes de ciberataques, conforme sucedeu, recentemente, nas ações coletivas propostas contra as empresas British Airways e EasyJet, bem como o grupo de hotelaria Marriot International, todas elas referentes a violações de dados pessoais[1].

No entanto, é também expectável que os ciberataques causem perturbações no plano contratual, seja porque são suscetíveis de tornar impossível ou excessivamente onerosa a realização da prestação principal de um contrato, seja porque podem gerar uma situação de desequilíbrio que não havia sido prevista ou controlada pelas partes.

Segundo o relatório mais recente do Centro Nacional de Cibersegurança (CNCS), os ciberataques mais comuns têm seguido diferentes metodologias, designadamente: (i) negação de serviço distribuído (Distributed Denial of Service – DDoS); (ii) comprometimento da conta ou da cadeia de fornecimento; (iii) vírus do tipo malware; (iv) ransomware; (v) phishing; (vi) ciberespionagem; entre outras. Estas práticas poderão gerar consequências negativas para a execução do contrato, tais como a indisponibilidade dos recursos informáticos, ou ainda o incumprimento definitivo da prestação principal, em virtude de quebra objetiva da confiança da contraparte, nomeadamente por ter havido intrusão ou acesso indevido aos seus dados.

Assim, além dos litígios em matéria de proteção de dados pessoais, a jurisprudência internacional tem igualmente analisado o impacto dos ciberataques no âmbito das relações contratuais em contexto B2B. Esta análise tem incidido, predominantemente, sobre a aplicação do instituto da força maior, discutindo-se se a ocorrência de um ciberataque pode consubstanciar um facto imprevisível e inevitável que seja suscetível de excluir a responsabilidade da entidade a quem incumbiria a segurança dos dados. Neste sentido, importa assinalar que as decisões sobre esta matéria têm sido divergentes:

-A favor da aplicação do instituto da força maior, destaca-se a sentença proferida pelo Tribunal do Distrito da Pensilvânia Ocidental dos Estados Unidos da América, no âmbito do caso Heritage Valley Health Sys., Inc. v. Nuance Commc’ns, Inc., 479 F. Supp. 3d 175, 184 n.4 (W.D. Pa. 2020). Trata-se de uma ação de responsabilidade civil que foi iniciada pela Heritage Valley Health System, Inc. – uma empresa de prestação de serviços médicos – contra a empresa de software Nuance Communications, Inc., com quem celebrou um contrato de manutenção. A Heritage Valley Health System, Inc. foi alvo de um ciberataque, através de um malware de origem russa, designado NetPetya, que violou o sistema informático e bloqueou o acesso a ficheiros médicos informatizados. Por esse motivo, foi requerido o pagamento de uma indemnização para compensar os danos sofridos, nomeadamente perda de receitas, custos associados à reparação e recuperação dos sistemas informáticos, e ainda danos reputacionais. O Tribunal considerou que um vírus desta natureza, suscetível de entrar no sistema informático de diversas entidades (incluindo entidades governamentais) se encontra fora da esfera de controlo da contraparte (“As such, a cyber-attack launched by the Russian government which affected many other companies and organizations worldwide was arguably beyond Nuance’s reasonable control”) e, como tal, consubstancia um motivo de força maior.Face ao exposto, o Tribunal julgou improcedente o pedido formulado pela Heritage Valley Health System, Inc, absolvendo a Nuance Communications, Inc.

-Em sentido idêntico, foi proferida, em março de 2022, uma sentença em Espanha, pela Audiência Nacional, Seção Social, Sentencia 37/2022 de 14 março de 2022, Rec. 13/2022, que decidiu autorizar a aplicação de um mecanismo extraordinário de suspensão de contratos de trabalho, denominado ERTE (Expediente de Regulación Temporal de Empleo), a uma empresa do ramo das telecomunicações que foi vítima de um ransomware, por considerar que estava preenchido o requisito de fuerza mayor. De notar que esta ação, em bom rigor, não tinha como objeto um contrato, mas sim um ato administrativo, mais precisamente a impugnação da decisão do Ministério do Trabalho que recusou a essa empresa a aplicação do mecanismo de ERTE. Ainda assim, o caso reveste enorme relevância, porquanto densifica os requisitos da aplicação do instituto jurídico da força maior perante situações de ciberataque, sendo que tais considerações poderão, com as devidas adaptações, ser aplicadas para efeitos de desvinculação ou exoneração de responsabilidade contratual. Em síntese, o Tribunal da Audiência Nacional considerou que, para avaliar a “inevitabilidade” do ciberataque, importa também analisar as medidas de segurança que foram implementadas pela empresa que foi alvo do ciberataque, bem como o seu grau de diligência e, ainda, a complexidade e o impacto do evento externo que provocou a situação de impossibilidade objetiva de prestação de serviços (“Cuando se trata de supuestos previsibles, la inevitabilidad debe analizarse ponderando, de un lado, las medidas implantadas por la empresa para la evitación del ataque y, de otro, la complejidad de la circunstancia externa que provoca la imposibilidad objetiva”). Neste caso, foi ponderado o facto de se tratar de uma empresa de telecomunicações que estabeleceu medidas de segurança adequadas (“el nivel de diligencia empresarial para prevenir este riesgo ha sido el suficientemente elevado como para descartar que su conducta empresarial pueda calificarse como negligente”) e que se confrontou com a impossibilidade fáctica de realização da prestação principal que lhe incumbe em virtude de um ataque cibernético cujas consequências, mais do que imprevisíveis, eram inevitáveis (“el ciberincidente sufrido en los sistemas (…) impactó sobre todos los componentes que dependen de esta infraestructura, y, en consecuencia, se resiente la prestación de servicios por la imposibilidad de los agentes de utilizar los programas computacionales”).

– Por fim, e em sentido diverso das decisões acima referidas, destaca-se  a decisão do Tribunal de Apelação de Paris Arrêt Cour d’appel de Paris, Pôle 05 ch. 11, n°18/03616, 07-02-2020. Estava em causa um contrato de suporte e manutenção celebrado entre a empresa EXM – Euro et Expertise Monétique (EXM) – que se dedica à venda, instalação e manutenção de terminais de pagamento por cartão de crédito – e a empresa Mise a Jour Informatique, especializada em serviços de IT, e à qual incumbia prestar serviços de assistência, manutenção, segurança e de backup de dados para cerca de vinte estações de computador. A empresa EXM foi alvo de um vírus do tipo malware que infetou milhares de ficheiros. Uma vez que a empresa de IT Mise a Jour Informatique não conseguiu recuperar os dados, nem tinha efetuado backups válidos ao sistema durante os seis meses anteriores ao ataque, a EXM requereu a resolução judicial do contrato, bem como uma indemnização por incumprimento. Tanto o tribunal de primeira instância (Tribunal de Comércio de Lyon), como o Tribunal de Apelação de Paris consideraram que um vírus informático não tem um caráter “imprevisível” nem “inevitável”, pelo que não pode consubstanciar um evento fortuito ou um motivo de força maior, suscetível de excluir a responsabilidade da empresa de IT pelo incumprimento da obrigação à qual se encontrava vinculada (“un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité”).

Nas decisões jurisprudenciais acima elencadas, observa-se uma tendência dos tribunais de reconduzirem a relevância dos ciberataques ao conceito de “força maior” exigindo que possam ser caracterizados como eventos “inevitáveis”, i.e., fora da esfera de controlo das partes e da sua razoável diligência na implementação de medidas de organização e de segurança.

Diferentemente, em Portugal não se conhece, até ao momento, jurisprudência dos tribunais superiores que se debruce sobre o impacto dos ciberataques no programa contratual e em contexto de relações B2B. A questão tem sido discutida, essencialmente, no âmbito das relações B2C, mais precisamente no contexto do regime jurídico do homebanking, previsto no Decreto-Lei n.º 91/2018, de 12 de novembro.

Nos casos de acesso indevido e de operações de pagamento não autorizadas, a ocorrência de ciberataques afigura-se, muitas vezes, como causa de incumprimento (parcial ou total) do contrato celebrado entre o prestador de serviços de pagamento e o utilizador/cliente. Para resolver estes problemas, tendo como pano de fundo o regime jurídico do homebanking, os tribunais portugueses têm-se focado, sobretudo, na transferência do risco (artigo 796.º do Código Civil) e da presunção de culpa do prestador de serviços (artigo 799.º do Código Civil). A este propósito, e a título meramente exemplificativo, atente-se nas seguintes decisões:

Acórdão do Supremo Tribunal de Justiça, de 18.12.2013, proc. n.º 6479/09.8TBBRG.G1.S1 (relator Ana Paula Boularot), referente a uma fraude efetuada por meio de técnicas de phishing e de pharming, e no qual se decidiu que “[o]s riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta dos bancos (…) por a tal conduzir o disposto no artigo 796º, nº1 do CCivil”;

Acórdão do Tribunal da Relação de Guimarães, de 10.07.2019, proc. n.º 2406/17.7T8BCL.G1 (relator Margarida Sousa), referente a um caso de acesso indevido a conta bancária por terceiros através do cartão matriz, e no qual se decidiu que “[é] o prestador de serviços de pagamento quem tem a obrigação de assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador (…), pertencendo o funcionamento do sistema informático de homebanking à esfera de risco daquele”; e

Acórdão do Tribunal da Relação de Lisboa, de 12.07.2018, proc. n.º 2256/17.0T8LSB.L1-7 (relatora Higina Castelo), referente a um caso de acesso indevido a conta bancária por disponibilização dos dados de acesso do cartão matriz, decidiu no seguinte sentido: sendo ilidida a presunção de culpa do prestador de serviços, “[o] cliente do banco (…) suporta (até ao limite do saldo disponível ou da linha de crédito associada à conta) as perdas resultantes de operações de pagamento efetuadas em execução de ordens dadas através do sistema de homebanking por terceiros a quem, por atuação gravemente negligente, facultou os códigos e chaves necessários a que tais ordens fossem identificadas como tendo sido dadas por si”.

Tendo em conta a tendência destas ameaças cibernéticas e o impacto no programa contratual, urge refletir acerca do enquadramento destes eventos nos institutos jurídicos que admitem a adaptação do contrato, nomeadamente em matéria de modificação e/ou exclusão das obrigações contratuais e da responsabilidade. Temos, por um lado, a praxis internacional que nos aponta para o instituto da força maior, desde que preenchido o critério da “inevitabilidade”, a qual só poderá ser aferida depois de se avaliar a esfera de risco e de controlo das partes contratantes, bem como a diligência que lhes é legal ou contratualmente exigida em matéria de segurança. Por outro lado, observa-se na jurisprudência nacional uma tendência para reconduzir estes casos às matérias sobre repartição e imputação do risco, embora num contexto mais específico – o das relações B2C ou, mais precisamente, de homebanking – que poderá não ser totalmente transponível para as relações B2B.


[1] Para uma análise mais detalhada deste tema, cf. Cybersecurity risks and litigation – are businesses considering the whole picture?.

The opinions expressed within the article are solely the author’s and do not reflect in any way the opinions and beliefs of WhatNext.Law or of its affiliates. See our Terms of Use for more information.

Leave a Comment

We'd love to hear from you

We’re open to new ideas and suggestions. If you have an idea that you’d like to share with us, use the button bellow.