Booking.com deverá indenizar empresa de aluguel por temporada após ataques cibernéticos serem realizados por meio da plataforma, gerando 571 reservas falsas e bloqueando a locação legítima de imóveis.
A sentença foi proferida pelo juiz de Direito Fernando Jorge Ribeiro Raposo, da 16ª vara Cível do Recife/PE, que reconheceu a falha na segurança do site e determinou o pagamento de indenização por danos materiais, a ser apurado em liquidação de sentença com base na média de faturamento dos últimos cinco anos.
Invasão hacker
Segundo a empresa de aluguel por temporada, os crimes ocorreram entre junho e julho de 2023, justamente em época de alta demanda turística. Os fraudadores usaram o site da Booking para criar centenas de reservas falsas em 19 imóveis anunciados, bloqueando a disponibilidade das unidades e impedindo que fossem alugadas por clientes reais. Ao todo, foram 571 reservas fraudulentas criadas em massa por robôs automatizados, conhecidos como “bots”.
A empresa informou que alertou a plataforma sobre os ataques, mas, mesmo após abrir reclamações, não obteve solução eficaz. Calcula que cerca de 155 reservas legítimas deixaram de ser feitas em razão da fraude.
Em sua defesa, a Booking afirmou que disponibiliza ferramentas de segurança e pagamento, mas que a autora optou por não utilizá-las. Negou que tenha havido qualquer ataque cibernético e sustentou que os parâmetros de segurança não podem ser ajustados individualmente.
Falha de segurança
Ao analisar o caso, o juiz destacou que a relação entre as partes tem natureza contratual e empresarial, afastando a aplicação do CDC.
Ainda assim, afirmou que plataformas de intermediação podem ser responsabilizadas civilmente com base no CC quando não adotam sistemas adequados de verificação, deixam de comunicar comportamentos suspeitos ou facilitam fraudes por falhas em seus mecanismos de segurança.
Nessas hipóteses, aplica-se a responsabilidade subjetiva, exigindo prova de omissão, dano, nexo causal e culpa. O magistrado também observou que, mesmo diante de fraudes praticadas por terceiros, a plataforma tem o dever de colaborar com a apuração e adotar medidas para evitar novas ocorrências.
Com base no laudo pericial, que confirmou a ocorrência de um ataque cibernético em massa por meio da Booking, o juiz reconheceu a omissão da plataforma. O perito apontou que a empresa não apresentou documentos técnicos nem certificações como a ISO/IEC 27001 e concluiu que houve falhas nos mecanismos de prevenção e resposta.
"A demandada se absteve de apresentar várias documentações requeridas pelo perito judicial, esquivando-se, portanto, do dever de demonstrar a adoção de todas as cautelas legais.”
Por essas razões, foi fixada indenização por danos materiais, a ser apurada com base na média de faturamento dos cinco anos anteriores.
- Processo: 0106825-28.2023.8.17.2001
Leia a decisão.