TJ-MG condena Facebook a indenizar influenciadora por omissão em invasão de perfil

O Tribunal de Justiça de Minas Gerais condenou o Facebook (Meta Platforms) ao pagamento de indenização por danos morais no montante de R$ 10 mil a uma influenciadora digital cuja conta no Instagram foi invadida por criminosos para aplicação de fraudes financeiras contra seus contatos. A decisão, proferida pelo 6º Núcleo de Justiça 4.0 – Cível Privado, manteve sentença de primeira instância da Comarca de Guaxupé e responsabilizou a empresa por falha na prestação de serviço e pela omissão em adotar medidas efetivas de proteção após reclamações da usuária.

Contexto

O caso reflete uma crescente judicialização de conflitos envolvendo invasões de contas em redes sociais e a aplicação da lógica consumerista aos serviços digitais. Embora as plataformas argumentem que usuários são responsáveis pela guarda de suas credenciais, a jurisprudência brasileira consolidou-se no sentido de que as relações entre usuário e intermediária digital se submetem ao Código de Defesa do Consumidor (Lei 8.078/1990), independentemente de a conta ser utilizada para fins profissionais ou pessoais.

A invasão de perfil representa um cenário complexo sob a ótica da responsabilidade civil. De um lado, existe a ação de terceiros criminosos — fator que teoricamente poderia afastar o nexo causal. De outro, a responsabilidade da plataforma como fornecedora de serviço de segurança digital é uma obrigação legal implícita. O ponto fulcral deste julgamento reside na omissão: a empresa não apenas falhou em manter a segurança adequada, como também deixou de agir com presteza quando a usuária sinalizou o problema.

O evento ocorreu em agosto de 2024, período em que invasões de contas em redes sociais atingem patamares alarmantes no Brasil, com fraudadores utilizando perfis comprometidos para aplicar golpes de engenharia social contra contatos das vítimas.

O que foi decidido

O desembargador Richardson Xavier Brant, relator do acórdão, rechaçou os argumentos defensivos do Facebook e fundamentou sua decisão em três pilares principais:

Primeiro, assentou que a relação jurídica entre usuário e plataforma é regida pelo CDC, ainda que o perfil seja utilizado para fins comerciais ou profissionais. Essa premissa é fundamental: elimina a pretensão de empresas tecnológicas de se escusar da qualificação como fornecedoras de serviço.

Segundo, identificou falha comprovada na prestação do serviço: o sistema de segurança da plataforma não impediu a invasão. Embora seja tecnicamente impossível garantir proteção integral contra técnicas sofisticadas de ataque, o tribunal considerou que a implementação de camadas de segurança adequadas é obrigação contratual mínima da fornecedora. A empresa não apresentou evidências de que a negligência fosse exclusivamente imputável à usuária — isto é, não provou que houve descuido grosseiro no trato das credenciais.

Terceiro, enfatizou a omissão posterior: o Facebook não adotou providências para restabelecer o acesso ou mitigar os danos, apesar de múltiplas tentativas de contato da influenciadora por canais de suporte. Esse ponto é jurídico essencial: a inação agravou o dano, convertendo-o em omissão comissiva.

Os desembargadores Amauri Pinto Ferreira e Cavalcante Motta acompanharam o voto do relator.

Base normativa e precedentes

• Art. 14, CDC — Responsabilidade objetiva do fornecedor por falhas na prestação de serviços, inclusive serviços digitais. Exclui-se a responsabilidade apenas se demonstrada culpa exclusiva do consumidor ou de terceiro, o que a plataforma não fez.

• Art. 17, CDC — Equiparação de consumidor a toda pessoa que se beneficia de serviço, independentemente de ser usuário pessoa física direto.

• Arts. 5º e 6º, CDC — Direitos básicos do consumidor, incluindo proteção contra práticas abusivas e falhas de segurança, bem como inversão do ônus da prova em favor do consumidor (vulnerabilidade presumida).

• Art. 12, Lei 12.965/2014 (Marco Civil da Internet) — Responsabilidade limitada de intermediários, que não se aplica quando há falha de segurança ou omissão em relação a ilícitos cometidos via plataforma com o conhecimento da empresa.

• Lei 13.709/2018 (LGPD) — Embora não fosse o foco principal, a proteção de dados pessoais (inclusive dados de acesso) é obrigação legal. A invasão configura potencial violação dos direitos dos contatos da influenciadora, ampliando a responsabilidade.

• Jurisprudência consolidada do STJ — Precedentes firmam que redes sociais e intermediárias digitais podem ser responsabilizadas por falhas de segurança e omissão em mitigar danos, especialmente quando há inatividade após notificação de incidente.

Impacto prático

A decisão afeta múltiplos atores:

• Influenciadores e usuários profissionais: Reforça o direito de buscar indenização quando contas são invadidas e utilizadas para fraude. O fato de usar a rede para auferir renda não diminui proteção consumerista — ao contrário, agrava o dano patrimonial e moral.

• Plataformas de redes sociais: Impõe obrigação concreta de implementar e manter sistemas de segurança robustos e de agir com celeridade ao receber notificações de invasão. A omissão é agora vetor de responsabilidade objetiva, não apenas a falha técnica originária.

• Litígios em curso: Decisões similares em outros tribunais tendem a seguir esta precedência. O TJ-MG atua como referência no Sudeste, e tema equivalente pode chegar ao Superior Tribunal de Justiça, consolidando tese.

• Quantificação de danos: Embora R$ 10 mil seja montante modesto comparado a danos patrimoniais (perda de seguidores, engajamento, credibilidade), sinaliza que os tribunais reconhecem dano moral independentemente de prova de prejuízo econômico comprovado.

O que observar

Pontos de abertura jurídica:

1. Modulação de responsabilidade: Decisão não aborda cenários onde a invasão decorre de phishing sofisticado ou malware instalado no dispositivo do usuário. Em tais casos, a culpa residual do consumidor poderia gerar controvérsias. Futuros processos poderão definir linhas mais claras.

2. Recurso ao STJ: Facebook pode recorrer especial ao Superior Tribunal de Justiça, argumentando divergência jurisprudencial ou erro de interpretação do CDC. Tema já foi objeto de discussão no STJ, mas sem súmula vinculante.

3. Ações em cascata: Terceiros que receberam mensagens fraudulentas via conta invadida podem buscar indenização solidária, expandindo responsabilidade da plataforma.

4. Regulamentação regulatória: Agência Nacional de Proteção de Dados (ANPD) pode editar normas técnicas de segurança obrigatória para intermediárias, tornando jurisprudência posição normativa.

5. Limite de responsabilidade: Quanto o dano moral deve ser fixado em casos de invasão? A jurisprudência ainda caminha para valores maiores, especialmente quando há impacto profissional severo.

Recomendações para profissionais:

• Advogados de plataformas devem preparar argumentação mais robusta sobre culpa concorrente ou exclusiva do usuário, com perícias técnicas detalhadas.
• Advogados de vítimas podem ampliar pedidos indenizatórios, incluindo dano material comprovado (redução de seguidores, cancelamento de parcerias) e dano estético à reputação profissional.
• Empresas usuárias de redes sociais devem documentar procedimentos de autenticação multifator e notificar plataformas rapidamente em caso de invasão, gerando prova de diligência.