A Booking.com foi condenada a indenizar uma empresa de aluguel por temporada após ataques cibernéticos realizados por meio de sua plataforma gerar 571 reservas falsas, bloqueando a locação legítima de imóveis. A decisão, proferida pelo juiz Fernando Jorge Ribeiro Raposo, da 16ª Vara Cível do Recife (PE), reconheceu falhas na segurança do site e determinou o pagamento de danos materiais, cujo valor será calculado com base na média de faturamento da empresa nos últimos cinco anos.
Os ataques ocorreram entre junho e julho de 2023, período de alta temporada turística. Criminosos utilizaram a plataforma para criar reservas fraudulentas em 19 imóveis anunciados, ocupando toda a disponibilidade e impedindo que clientes reais fechassem negócios. De acordo com a empresa de aluguel, os fraudadores agiram por meio de robôs automatizados (bots), e, apesar dos alertas enviados à Booking.com, não houve solução eficaz para conter o problema. Estima-se que 155 reservas legítimas deixaram de ser realizadas em decorrência da fraude.
Em sua defesa, a Booking.com afirmou que disponibiliza ferramentas de segurança e pagamento, mas que a empresa optou por não utilizá-las. A plataforma negou a ocorrência de um ataque cibernético e argumentou que os parâmetros de segurança não podem ser ajustados individualmente.
Ao analisar o caso, o juiz destacou que a relação entre as partes é de natureza contratual e empresarial, afastando a aplicação do Código de Defesa do Consumidor. No entanto, ressaltou que plataformas de intermediação podem ser responsabilizadas civilmente com base no Código Civil quando deixam de adotar sistemas adequados de verificação ou falham em comunicar comportamentos suspeitos.
O magistrado aplicou a responsabilidade subjetiva, exigindo a comprovação de omissão, dano, nexo causal e culpa. Além disso, destacou que, mesmo em casos de fraude praticada por terceiros, a plataforma tem o dever de colaborar com a apuração e adotar medidas para evitar novos incidentes.
Um laudo pericial confirmou que houve um ataque cibernético em massa por meio da Booking.com e apontou falhas nos mecanismos de prevenção e resposta. O perito observou que a plataforma não apresentou documentos técnicos ou certificações como a ISO/IEC 27001, que comprovasse a adoção de medidas de segurança adequadas.
“O demandado se absteve de apresentar várias documentações requeridas pelo perito judicial, esquivando-se, portanto, do dever de demonstrar a adoção de todas as cautelas legais”, afirmou o juiz na sentença.
Com base nessas conclusões, foi determinada a indenização por danos materiais, cujo valor será apurado em liquidação de sentença.
Processo: 0106825-28.2023.8.17.2001
Leia a decisão aqui.
