| 6479/09.8TBBRG.G1.S1 |  |
PHARMING
CONTRATO DE CONTA BANCÁRIA
HOMEBANKING
RESPONSABILIDADE CONTRATUAL
- CADERNOS DE DIREITO PRIVADO, 49, JANEIRO / MARÇO 2015, P. 9-33, ANOT. MARIA RAQUEL GUIMARÃES
- O DIREITO, ANO 147º, 2015, III, P. 715- 743, ANOT. HUGO LUZ SANTOS
DIREITO BANCÁRIO - ACTIVIDADE DAS INSTITUIÇÕES DE PAGAMENTO E A PRESTAÇÃO DE SERVIÇOS DE PAGAMENTO.
DIREITO CIVIL - RELAÇÕES JURÍDICAS / PROVAS - DIREITO DAS OBRIGAÇÕES / FONTES DAS OBRIGAÇÕES / RESPONSABILIDADE CIVIL / CUMPRIMENTO DAS OBRIGAÇÕES / CONTRATOS EM ESPECIAL.
DIREITO PROCESSUAL CIVIL - PROCESSO DE DECLARAÇÃO / RECURSOS.
- Calvão da Silva, Direito Bancário, 2001, 347/351.
- Carolina González, Ángel Torrecilla Respuestas operativas al “phishing”, Policía, Madrid, N.190 (2006), 42/47.
- Engrácia Antunes, Direito dos Contratos Comerciais, 483/488.
- Fernando Fernández Lázaro, La Brigada de Investigación Tecnológica: la investigación policial, Policía, Madrid, N. 199 (2007), 18/21.
- José Lebre de Freitas e Armindo Ribeiro Mendes, “Código de Processo Civil”, Anotado, vol. 3.º, 2003, 118.
- Maria Raquel Guimarães, in Cadernos de Direito Privado, nº41, Janeiro/Março de 2013.
- Mark A Fox, Phishing, Pharming and Identity Theft in The Banking Industry, in Journal of international banking law and regulation, editado por Sweet and Maxwel (2006), Issue 9, 548/552.
- Menezes Cordeiro, Manual de Direito Bancário, 6ª edição, 325/417.
- Pedro Pais de Vasconcelos, Direito Comercial, Volume I, 221/222.
- Pedro Verdelho, in Phishing e outras formas de defraudação nas redes de comunicação, in Direito da Sociedade De Informação, Volume VIII, 407/419.
- Quirino Soares, Contratos Bancários, in Scientia Iuridica, separata, Janeiro-Abril, 2003. Tomo LII-nº295.
- Roberto Flor, Phishing, Identity Theft e Identity Abuse. Le Prospecttive Applicative Del Diritto Penale Vigente, in Revista Italiana di Diritto e Procedura Penale, Fasc 2/3-Aprile-Settembre 2007, 899/9446.
CÓDIGO CIVIL (CC): - ARTIGOS 349.º, 484.º, 496.º, N.º1, 796.º, N.º1, 1185.º, 1187.º.
CÓDIGO DE PROCESSO CIVIL (CPC): - ARTIGO 722.º, N.º2.
DL 317/2009, DE 30 DE OUTUBRO: - ARTIGOS 67º, Nº1, ALÍNEA A), 68º, Nº1, ALÍNEA A), 70.º, N.º3, 72.º, N.º1, 101.º, N.º1, TODOS CONSTANTES DO ANEXO I DESTE DIPLOMA LEGAL.
DL 430/91, DE 2 DE NOVEMBRO, COM AS ALTERAÇÕES INTRODUZIDAS PELO DL 88/2008, DE 29 DE MAIO.
DIRECTIVA 2007/64/CE DO PARLAMENTO EUROPEU E DO CONSELHO DE 13 DE NOVEMBRO.
ACÓRDÃOS DO SUPREMO TRIBUNAL DE JUSTIÇA:
-DE 6 DE JULHO DE 2000, 3 DE JUNHO DE 2004, 16 DE JUNHO DE 2005, IN WWW.DGSI.PT E DE 7 DE JANEIRO DE 2010, IN SASTJ, SITE DO STJ.
-DE 22 DE FEVEREIRO DE 2011 E DE 24 DE OUTUBRO DE 2013, IN WWW.DGSI.PT.
-DE 16 DE OUTUBRO DE 2012 E DE 22 DE OUTUBRO DE 2013, IN WWW.DGSI.PT.
I. Designa-se por contrato de conta bancária (ou abertura de conta) o acordo havido entre uma instituição bancária e um cliente «através do qual se constitui, disciplina e baliza a respectiva relação jurídica bancária».
II. Enquadra-se neste complexo negocial a adesão da Autora ao serviço do Réu, denominado BX Net, através do qual aquela poderia aceder através de um computador (ou telefonicamente) com acesso à internet, 24 horas por dia, 365 dias por ano, tendo aquele fornecido para o efeito as chaves de acesso que permitiam a respectiva utilização pelas respectivas sócias gerentes:
III. Entramos aqui no chamado «home banking», Banco internético (do inglês Internet banking), e-banking, banco online, online banking, às vezes também banco virtual, banco electrónico), concretizado pela possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, online, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet.
III. O phishing (do inglês fishing «pesca») pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente
IV. A outra modalidade de fraude online é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, destinando-se ambas as técnicas (phishing e pharming) à obtenção fraudulenta de fundos
V. Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta dos bancos, do aqui Réu portanto, por a tal conduzir o disposto no artigo 796º, nº1 do CCivil, não se tendo provado, como não se provou, que tivesse havido culpa da Autora.
VI. A esse mesmo resultado se chega com a aplicação do DL 317/2009, de 30 de Outubro, que transpôs para a nossa ordem jurídica o novo enquadramento comunitário em matéria de serviços de pagamentos, maxime a Directiva 2007/64/CE do Parlamento Europeu e do Conselho de 13 de Novembro, o qual, não obstante seja posterior aos factos em causa nesta acção, a eles é aplicável, ex vi do seu artigo 101º, nº1 no qual se predispõe que «O regime constante do presente diploma regime jurídico não prejudica a validade dos contratos em vigor relativos aos serviços de pagamento nele regulados, sendo-lhes desde logo aplicáveis as disposições do presente regime jurídico que se mostrem mais favoráveis aos utilizadores de serviços de pagamentos.».
(APB)
ACORDAM, NO SUPREMO TRIBUNAL DE JUSTIÇA
I T, Lda, intentou acção declarativa com processo ordinário contra a Banco X, SA, pedindo a condenação deste a pagar-lhe a quantia de € 37.953,04, acrescida de juros de mora à taxa legal desde a citação, bem como nos demais danos que vier a sofrer, a fixar em liquidação de sentença, a titulo de indemnização.
Para tanto alegou, em síntese, ter aderido ao serviço disponibilizado pelo Réu para gestão de contas e realização de operações bancárias através da internet, denominado “BX Net Empresas”, que a mesma publicitava como um serviço seguro e confidencial, sem que lhe tenha sido dado conhecimento do respectivo clausulado, o que determina a nulidade das cláusulas 5.3, 6.1, 6.2, 7.2, 8, 12.2, 12.4, 14, 15 e 17.
No entanto, após ter acedido a esse serviço através da internet no dia 30 de Maio de 2008, foi-lhe retirada da conta a quantia de € 13.000,00 sem a sua autorização através de uma transferência não efectuada por si, supostamente mediante a criação por um terceiro de uma página web falsa e copiada na página de abertura do BX net.
Mais, alega que o Réu, não obstante alertada a tempo, não diligenciou pelo cancelamento dessa transferência, o que determinou que a conta da Autora não estivesse provisionada no momento em que uma sua cliente pretendeu proceder ao desconto de um cheque no valor de € 12.602,00, que a Ré devolveu com a indicação de “falta de provisão” e, em virtude do sucedido, alegou ter ficado responsável pelo pagamento de despesas e comissões no valor de € 277,04, viu debitada indevidamente pelo Réu a quantia de € 26,00 de despesas e imposto de selo, viu a convenção do uso do cheque rescindido por parte do Réu e o seu nome incluído na listagem de utilizadores de cheque que ofereciam risco, para além de ter sido despojada da referida quantia de € 13.000,00.
Alegou, ainda, que devido à conduta do Réu perdeu um importante cliente, que deixou de lhe proporcionar bem-estar económico e lucros, ficou impedida de competir com as empresas suas concorrentes pelo facto do seu nome se encontrar registado no Banco de Portugal e viu o seu bom nome afectado, pretendendo assim a fixação de uma compensação de valor não inferior a € 24.000,00.
Citado o Réu contestou. Em sede de defesa indirecta, deduziu o incidente da incompetência territorial do tribunal e em sede de defesa directa impugnou a generalidade dos factos alegados na petição inicial, nomeadamente no que respeita ao conhecimento por parte da Autora das vantagens do serviço disponibilizado (que é o “BX Net Negócios” e não o “BX Net Empresas”) e do clausulado integral do contrato, que foi lido pelas representantes da Ré de forma pausada e esclarecida e compreendido, refutando assim a invocada nulidade parcial do clausulado.
Por outro lado, alegou que a transferência do montante de € 13.000,00 já havia sido enviada para a SIBS quando a gerente da Autora a alertou, tendo sido infrutíferas todas as diligências efectuadas pelo Réu (que reagiu de imediato e com prontidão) junto da CGD no sentido de obter a devolução dos fundos. Mais, afasta qualquer responsabilidade da sua parte, pois a ser verdade o relatado pela Autora, a conduta fraudulenta e abusiva terá sido praticada por terceiros desconhecidos.
Alegou ainda ter dado instruções em 26 de Novembro de 2008 com vista ao reembolso à Autora da referida quantia, o que não veio a suceder face à recusa desta em subscrever uma minuta necessária para o efeito.
Por fim, impugnou os danos não patrimoniais invocados pela Autora, requereu a suspensão da instância até à conclusão do processo de inquérito que se encontrava pendente na Polícia Judiciária e invocou, ainda, o abuso de direito.
Na réplica a Autora deduziu oposição à excepção de incompetência relativa, abuso de direito e ao pedido de suspensão da instância, reiterando o que havia alegado na Petição Inicial.
Procedeu-se a audiência preliminar, na sequência da qual o Réu veio a fls. 360 declarar que considerava “prejudicada a arguição da incompetência territorial”.
A fls. 363 foi decidido o indeferimento da suspensão da instância requerida pelo Réu.
A final foi produzida sentença na qual se decidiu julgar parcialmente procedente a acção e em consequência condenou o Réu, Banco X, SA, a pagar à Autora a quantia de € 33.303,04, acrescida de juros de mora, às taxas legais em cada momento em vigor nos termos da Portaria nº 597/2005, de 19/07, contados desde a citação até integral pagamento, absolvendo o Réu do demais peticionado.
Inconformada com a decisão dela recorreu o Réu, tendo a Apelação sido julgada improcedente.
Face à dupla conformidade, veio o Réu recorrer de Revista excepcional, a qual foi admitida, tendo concluído da seguinte forma:
- Inexistiu da parte do Banco recorrente qualquer quebra de segurança, na criação, manutenção e execução de operações no seu site bxnet.
- Verificou-se quebra de segurança por parte da recorrida no acesso ao referido site, o que, de forma causal, determinou que um terceiro se tenha apropriado das credenciais da mesma recorrida para a realização de operações, via homebanking.
- O Banco recorrente não pode ser responsabilizado, por qualquer intromissão fraudulenta no computador do cliente, o que in casu aconteceu.
- Só responde o recorrente pela intromissão, que possa sofrer o seu site, a partir dos computadores e sistemas informáticos do próprio Banco.
- Ora a recorrida tinha a noção clara da quebra de segurança, por si cometida no dia 30/05/2008, no acesso em causa, de acordo com o teor contratual assinado, violando as normas de procedimento no acesso ao bxnet e também tendo em conta todas as noticias de segurança disponíveis no próprio site e no site institucional do Banco apelante.
- A recorrida tinha a obrigação de não violar tais normas de funcionamento do sistema de homebanking.
- Qualquer presunção de culpa que onerasse o Banco recorrente, se encontra pois, de todo em todo, ilidida.
- A vulnerabilidade verificada, ocorreu aliás confessadamente, no computador da recorrida e não em qualquer sistema informático do próprio Banco recorrente ou por si dominado.
- Não colhe o argumento subsidiário da responsabilidade pelo risco, relativamente ao depósito bancário, precisamente porquanto inexistiu qualquer extravio ou dissipação da quantia depositada na referida conta bancária!
- Factualmente ocorreu sim a errada utilização do predito sistema de homebanking, por culpa própria da recorrida, o que permitiu o acesso indevido e movimentação da sua conta bancária.
- Consubstanciando a mesma utilização negligente das prerrogativas operacionais cometidas pelo contrato de homebanking celebrado, sendo a recorrida responsável contratual e legalmente pelos prejuízos por si sofridos, emergentes da autorização da transferência em apreço.
- Não sofrendo aliás a cláusula 6.2 do citado contrato qualquer tipo de nulidade.
- Inexiste qualquer responsabilidade por parte do Banco recorrente na efectivação da transferência em apreço, cuja execução apenas e só se deveu a flagrante quebra de segurança por parte da recorrida.
- De forma clara se percebe a licitude e legitimidade do mesmo Banco recorrente para a devolução do cheque de € 12.602,00 e consequente rescisão da convenção de cheque e inclusão da própria apelada na LUR.
- De forma alguma tal inserção do nome da apelada na referida LUR, consubstancia qualquer ofensa à personalidade moral da mesma recorrida.
- Tal inserção apenas e só espelhava a situação real e factual da ora recorrida perante o próprio Banco recorrente.
- Como tal é a mesma insusceptível, causalmente, de poder produzir os danos não patrimoniais fixados, que além do mais e por mera cautela de patrocínio, se reputam no mínimo, como exagerados.
- Ao arrepio de toda a jurisprudência nacional sobre a matéria.
- 0 que de todo em todo se diga em relação à responsabilização pela pagamento das despesas em causa, no valor de € 303,04.
- A decisão recorrida, violou, por errada interpretação e aplicação as normas constantes dos artigos 192 e 222, ambos do RJ.C.C.G., e artigos 702º, 483º, 484º,496º, 562º, 566º, nº 3 e 799º, todos do c.c
Nas contra alegações a Autora pugna pela manutenção do Aresto impugnado.
II Põe-se como problema a resolver no âmbito do presente recurso o de saber se sobre o Réu/Recorrente impende a responsabilidade pela transferência fraudulenta dos fundos da conta da Autora.
As instâncias deram como assentes os seguintes factos:
- A autora dedica-se à actividade de importação, exportação e representação de produtos nacionais e internacionais, em especial produtos de limpeza industrial e mobiliário [A) dos factos assentes];
- A ré dedica-se à actividade bancária [B) dos factos assentes];
- Em 20-7-2004, as partes outorgaram um contrato de depósito bancário, com abertura de conta de depósitos à ordem (n.º ...), no Balcão de F, em Y [C) dos factos assentes];
- Desde então e até 30-5-2008, a autora movimentou valores, a crédito e a débito, na sua conta de depósito [D) dos factos assentes];
- Em 20 de Julho de 2004, na agência da ré de F/Y, a autora, representada pelas sócias gerentes A e M, outorgou um contrato denominado BX Directo/BX Net - Contrato de Adesão, que as mesmas sócias assinaram no acto, conforme documento sob o n.º 1 junto com a petição inicial, cujo se teor se tem por reproduzido [E) dos factos assentes];
- Na mesma ocasião, a ré forneceu à autora as chaves de acesso que permitiam a utilização do Serviço BX Directo/BX Net pelas duas sócias gerentes, a referida A e M [F) dos factos assentes];
- A ré informou que o código secreto que indicou, com cinco caracteres numéricos, só era válido para o primeiro acesso, devendo ser alterado para um código secreto pessoal da autora, também com 5 caracteres numéricos, o que esta fez [G) dos factos assentes];
- A autora utilizou o serviço no escritório com regularidade, desde 2004 e até 30-5-2008 [H) dos factos assentes];
- No dia 2-6-2008, ao fim da tarde, numa caixa ATM verificou que tinha sido retirado da aludida conta a importância de 13.000,00€ [J) dos factos assentes];
- Por força dessa transferência a conta ficou com um saldo no valor de 582,97€ [K) dos factos assentes];
- A autora emitiu o cheque com o n.º0000, a favor da empresa “H, S.L.”, no valor de 12.602,00€ [L) dos factos assentes];
- Em 4-6-2008 o referido cheque foi apresentado a pagamento e não foi pago, tendo sido devolvido com a indicação de falta de provisão [M) e N) dos factos assentes]; 13. Em 12-6-2008, a ré enviou uma carta à sócio-gerente da autora A, a fim de regularizar a situação até 21-7-2008 (cf. DL. 454/91, de 28 de Dezembro) com a advertência de que, não o fazendo, rescindia a convenção do seu uso, ficando proibida de emitir cheques sobre qualquer instituição de crédito, bem como impedida (tal como as sócias) de celebrar ou manter convenção de cheque, com inclusão do nome na listagem de utilizadores que oferece risco, divulgada pelo Banco de Portugal [O) dos factos assentes];
- Em 13-6-2008 a ré enviou à autora uma carta a informar que o cheque acima descrito, apresentado à compensação de 4-6-2008 foi devolvido por falta de provisão [P) dos factos assentes];
- Em 13-6-2008 a ré enviou à autora um aviso de lançamento, a informar o débito na conta da autora, n.º 0-0000/000/001, do valor de 26,00€, relativo a 25,00€, despesas com notificação cheques devolvidos e 1,00€ de imposto de Selo sobre Despesas de Notificação (TGIS 17.2.4: 4%) [Q) dos factos assentes];
- Em 23-6-2008 o mandatário da autora enviou uma carta ao administrador executivo da ré que constitui o documento junto com a petição inicial sob o n.º 10 [R) dos factos assentes];
- Em 8-7-2008, a autora enviou uma carta ao Banco de Portugal a informar/justificar o ocorrido, a devolução do cheque e a postura do BPI, inclusive por não ter enviado sequer nota de lançamento do valor de 13.000,00€, apesar de devida e solicitada, e a dar conhecimento da pendência de processo-crime [S) dos factos assentes];
- Em 21-7-2008 a ré enviou uma carta à autora a comunicar a Rescisão da Convenção do Uso de Cheque, devendo a autora abster-se de emitir cheques sobre a Ré ou qualquer outra e devolver no prazo de 10 dias úteis os módulos de cheques fornecidos e não utilizados [T) dos factos assentes];
- Mais informou que a conta de depósito podia ser movimentada utilizando qualquer meio de pagamento que viesse a ser disponibilizado pela Ré, nomeadamente talões de levantamento e cheques bancários e que a decisão de rescisão ia ser objecto de comunicação ao Banco de Portugal, sendo o nome da autora incluído na listagem de utilizadores de cheque que ofereçam risco [U) dos factos assentes];
- Em 19-11-2008 a autora enviou nova carta à ré, desta vez, na pessoa do Presidente, com conhecimento de Comissão de Auditoria, onde reproduziu a carta anterior [V) dos factos assentes];
- No início do mês de Dezembro foi contactada a autora e foi-lhe apresentado um documento para assinatura, com vista a que ser creditada a conta com o valor de 13.000,00€ [W) dos factos assentes];
Tal documento referia o seguinte:
“Minuta de declaração
A, residente em Rua …, F, titular do bilhete de identidade n. …. e representante da empresa T, Lda., com sede social na morada supra-citada, declara, para os devidos efeitos, perante o Banco X, SA., o seguinte: Em 02/06/2008, a conta à ordem n.º 0-0000, da empresa T foi debitada pelo montante de 13.000 euros;
O referido débito resultou de lima transferência bancária ordenada por via electrónica (serviço BX Net), ou seja, mediante a utilização dos códigos deste serviço que me formam fornecidos pelo banco;
A transferência referida em b) não foi, no entanto, efectuada por mim, mas por terceiros, a quem, inadvertidamente, forneci os códigos de serviço de acesso ao BX Net;
d) A transferência referida em b) foi feita de forma abusiva, uma vez que não correspondeu à minha vontade, não assenta em instruções que tenha dado para o efeito e não decorre de qualquer obrigação que tenha sido por mim assumida no sentido da sua realização ou da realização de pagamento por mim devido:
e) Em virtude do referido na alínea anterior apresentei em (preencher com a data da participação) participação criminal contra incertos, à qual ficou a caber o número (preencher o número da participação) (cópia do documento em anexo).
f) Apesar de ter presente que o Banco não é responsável pela transferência acima descrita e pelos danos que para mim dela resultam solicitei ao Banco que procedesse à reversão da transferência em apreço e ao crédito na minha conta 0-0000 do valor transferido,
g) Em dd/mm/aaaa, o Banco BPI satisfez a solicitação referida na alínea anterior, tendo a minha conta sido creditada pelo valor de 13.000,00 euros.
Y, (data) de Novembro de 2008” [X) dos factos assentes];
23. A representante da autora não assinou a minuta e comunicou esse facto à ré, tendo remetido carta de 9-12-2008, através de mandatário, que constitui o documento junto com a petição inicial sob o n.° 20 [Y) dos factos assentes];
- A ré, por carta de 7-1-2009 respondeu que não detectara qualquer indício de falha de segurança no serviço homebanking, e que provavelmente houve uma apropriação abusiva das credenciais para acesso e utilização do citado serviço por meios e/ou expedientes que o Banco não era responsável, contudo, prezando a relação de confiança que a autora mantinha com a ré e que gostaria de ver preservada, aceitou que fosse efectuado o reembolso dos valores transferidos antes da conclusão do inquérito, acrescentando que o banco aceitava antecipar-se às conclusões dessa averiguação [Z) dos factos assentes];
- Mas não admitiu rever o texto da referida minuta [AA) dos factos assentes];
- No âmbito da actividade desenvolvida pela autora era frequente a mesma ter relações comerciais com empresas estrangeiras, mercado europeu e africano, principalmente com Angola (resposta ao facto 1º da base instrutória);
- A autora mantinha relações comerciais regulares com um cliente, "A O, Lda" sediado em Luanda, movimentando os valores através da ré (resposta ao facto 2º da base instrutória);
- Por tal motivo e em virtude das condições de segurança anunciadas pela ré, a autora aderiu ao serviço referido em 5º (resposta ao facto 3º da base instrutória);
- Relativamente às informações de segurança sobre o BX NET, a ré divulga o seguinte:
“Segurança O BX garante confidencialidade e segurança nas operações realizadas através dos seus canais de acesso directo, com o uso de Chaves de Acesso e Cartão Pessoal de Coordenadas, únicas no sistema, bem como pela utilização das mais sofisticadas tecnologias de encriptação de dados. Comunicação através da Internet - Para garantir um elevado nível de segurança na comunicação através da Internet, o BX desenvolveu uma infra-estrutura que utiliza tecnologia avançada - encriptação com chaves a 128 bits- a qual, fora dos Estados Unidos, só está disponível para Instituições Financeiras. Browsers aprovados - Os acessos estão limitados aos browsers que apresentem as normas mínimas de segurança e que suportem encriptação de dados a 12 bits. Em particular, só são permitidos Browsers que não gravem no disco rígido do computador a informação bancária, excepto com a sua aprovação explícita. Assim, o acesso a estes serviços deverá ser efectuado através dos Browsers Microsoft Internet Explorer (versão 6.0 ou superior), Netscape Navigator (versões 4.79, 6.2 e 7.0) e Mozilla Firefox (versão 2.0). FireWall - Para segurança da infra-estrutura do sistema do Banco, existe um Firewall que tem como função restringir o acesso a Clientes que utilizem o protocolo definido - protocolo HTTPS - ou, noutras palavras, que utilizem a linguagem aceite pelo sistema.
Monitorização permanente - O Banco dispõe de quadros especializados que têm como responsabilidade a monitorização permanente da utilização do BX Net, BX Directo, BX Net Mobile e BX Net SMS, para certificação da segurança do sistema” (resposta ao facto 4º da base instrutória);
- No acto da assinatura do contrato, as duas gerentes da autora declararam tomar conhecimento integral de todas as disposições do mesmo (resposta ao facto 5º da base instrutória);
- As outorgantes procederam à leitura do contrato previamente à sua assinatura e foi entregue à autora uma cópia assinada por ambas as partes (resposta aos factos 6º e 7º da base instrutória);
- A autora, na pessoa das suas duas gerentes, compreendeu e inteirou-se do teor integral das cláusulas do contrato, sem que, até à data dos factos em causa, tenha suscitado qualquer tipo de dúvida, reserva ou incompreensão quanto ao mesmo contrato (resposta aos factos 8º e 9º da base instrutória);
- O acesso à internet e serviço bancário, bem como à conta respectiva da autora, era feito através do serviço Telecom e da linha 253674418 (resposta ao facto 9º- A da base instrutória);
- A autora usou o sistema de pagamento para território nacional e estrangeiro, sempre em conformidade com a recomendação da ré e sem qualquer incidente (resposta aos factos 10º, 11º e 12º da base instrutória);
- Em 30-05-2008, durante a tarde, a autora, na pessoa da sócia gerente A, voltou a usar o referido serviço, seguindo as indicações da ré para o acesso, desta feita para consulta de movimentos e saldo (resposta aos factos 13º e 14º da base instrutória);
- Pretendia saber se havia sido apresentado a pagamento o cheque emitido pela autora, no valor de 12.602,00€ (resposta ao facto 15º da base instrutória);
- No dia 30-05-2008, quando a representante da autora executava as tarefas indicadas para acesso ao BX NET, foi-lhe exigido que fornecesse coordenadas (resposta aos factos 16º, 17º e 18º da base instrutória);
- Introduziu as coordenadas pedidas, colocou o número correspondente e, após aceder ao serviço, A efectuou consulta de movimentos bancários (resposta aos factos 19º, 20º e 21º da base instrutória);
- No dia 3-6-2008, pelas 9.14 horas, A efectuou contacto telefónico para o BX geral, a quem comunicou que havia constatado um débito na conta da autora de 13.000,00€, pretendendo saber a que se devia (resposta aos factos 22º, 23º e 24º da base instrutória);
- Pelos serviços da ré foi dito que iam fazer a transferência da chamada para o Balcão de F, o que fizeram acto contínuo (resposta aos factos 25º e 26º da base instrutória);
- A autora solicitou a informação pretendida e, pelas 10,13 horas, voltou a contactar o BX, para insistir pela informação (resposta ao facto 27º, 28º e 29º da base instrutória);
- Por indicação telefónica do balcão de F, às 12,07 horas foi efectuada chamada para o BX Directo iniciada pelo filho de A e que esta prosseguiu, reportando-se ao movimento bancário aludido na resposta ao quesito 24 e solicitando ajuda (resposta aos factos 33º e 34º da base instrutória);
- Como não recebera mais nenhum contacto do Banco, dirigiu-se à agência de Ferreiros, por volta das 13 horas, sabendo-se nessa altura que a conta destino dessa transferência na conta nº… correspondia ao NIB 0000000 (resposta aos factos 35º e 37º da base instrutória);
- A A dirigiu-se de seguida a uma agência da … e, explicando a situação, pediu para reterem o dinheiro, tendo sido então informada pelo funcionário da … que deveria ser o BX a tratar do assunto (resposta aos factos 38º e 39º da base instrutória);
- Por volta das 14 horas dirigiu-se novamente à agência de F da Ré, procurando saber porque motivos não diligenciavam junto da … para evitar a transferência efectiva do capital (resposta aos factos 40º e 41º da base instrutória);
- Foi-lhe sempre comunicado que se estava a tratar do assunto e foi-lhe solicitada confirmação de não ter sido a sócia a fazer a operação, o que confirmou (resposta aos factos 42º, 43º e 44º da base instrutória);
- Pelas 17 horas A recebeu contacto telefónico do BX NET, feito pelo Sr. J S, dando informação sobre a existência de página Web falsa, imitando a página de abertura do BX NET (resposta ao facto 45º da base instrutória);
- A foi questionada sobre se alguma vez fornecera coordenadas no acesso ao BX NET e a mesma insistiu que apenas ela e a sua sócia acedem e possuem as coordenadas para aceder à conta, reiterando que não efectuaram qualquer transferência (resposta aos factos 46º, 47º e 48º da base instrutória);
- Na mesma altura indagou A se ainda era possível bloquear a transferência efectiva do dinheiro, tendo-lhe sido dado a entender que esse dinheiro havia acabado de ser levantado (resposta aos factos 49º e 50º da base instrutória);
- A operação referente à transferência não foi efectuada ou autorizada pela autora (resposta ao facto 52º da base instrutória);
- A ré cancelou, então, tal serviço e coordenadas de acesso (resposta ao facto 53º da base instrutória);
- O pedido de coordenadas no acesso ao BX NET é uma situação anormal e irregular (resposta aos factos 56º e 57º da base instrutória);
- Na área de Segurança do site da ré, consta o link http://www.bancoX.ptlpagina.asp?s=l&a=40&opt=a (resposta ao facto 60º da base instrutória);
- Com frequência a ré presta aos seus clientes e público em geral, esclarecimentos, boas práticas e instruções, relativas ao acesso e utilização das plataformas homebanking que o mesmo Banco ofereceu e oferece (resposta ao facto 61º da base instrutória);
- Nos sites BX NET e BANCO X, a ré publicou notícias sobre ataques mediante o envio de um e-mail com o objectivo de obter códigos de acesso e dados financeiros (resposta ao facto 62º da base instrutória);
- Cessaram todos os pagamentos e débitos directos que até então eram realizados através da conta bancária (resposta ao facto 64º da base instrutória);
- O “Banco S S.A.” onde fora depositado o cheque n.º…..debitou ao cliente da ré o valor de 277,04€, por despesas e comissão cobrada, respectivamente, de 25,00€ e 252,04€ (resposta ao facto 65º da base instrutória);
- A autora deixou de ter meios para solver o seu compromisso e de pagar o dito cheque (resposta ao facto 66º da base instrutória);
- Encontrando-se devedora à dita empresa do seu valor e das despesas bancárias que suportou de 277,04€ (resposta ao facto 67º da base instrutória);
- Por força do sucedido, o cliente “A” deixou de recorrer aos serviços da autora (resposta ao facto 68º da base instrutória);
- A autora deixou de ter acesso ao crédito e de poder competir com as concorrentes, em virtude do nome se encontrar registado no Banco de Portugal (resposta ao facto 69º da base instrutória);
- O não pagamento do referido cheque pôs em causa o nome da autora e a comunicação ao Banco de Portugal agravou tal situação (resposta aos factos 74º e 75º da base instrutória);
- A ré recusou à autora e sócia gerente A cheques avulsos e cartões de débito (resposta ao facto 76º da base instrutória);
- A autora viu-se obrigada a comunicar aos clientes que estava inibida do uso de cheques (resposta ao facto 77º da base instrutória);
1.Do contrato de conta bancária.
Entre a Autora e o Réu foi celebrado um contrato de conta bancária, através da abertura de conta DO, efectuada em 20 de Julho de 2004, sendo através dessa conta que a Autora procedia aos respectivos movimentos a crédito e a débito, como deflui da matéria constante das alíneas C) e D) da matéria assente.
Designa-se por contrato de conta bancária (ou abertura de conta) o acordo havido entre uma instituição bancária e um cliente «através do qual se constitui, disciplina e baliza a respectiva relação jurídica bancária», cfr Engrácia Antunes, Direito dos Contratos Comerciais, 483.
Associado a essa abertura de conta, aparece-nos o depósito bancário (regulado pelo DL 430/91, de 2 de Novembro com as alterações introduzidas pelo DL 88/2008, de 29 de Maio), operação essa que se encontra indissociavelmente ligada à abertura de conta e que constitui um pressuposto sine qua non desta, já que nenhuma conta poderá ser aberta sem quaisquer fundos.
De qualquer modo, aquela abertura de conta constitui o ponto de partida para o vasto complexo negocial que constitui a relação bancária, cr Engrácia Antunes, ibidem, 484; Menezes Cordeiro, Manual de Direito bancário, 6ª edição, 325/417.
Esta complexa figura contratual, tem sido subsumida a nível jurisprudencial e pela maior parte da doutrina na espécie negocial de depósito, tal como a mesma nos é definida pelos artigos 1185º e 1187º do CCivil, através do qual a Autora colocou à disposição do Réu o seu dinheiro e para que este o guardasse e o restituísse quando fosse exigido, constituindo esta figura um depósito irregular ao qual se aplicam as regras do mútuo, com as necessárias adaptações, cf Calvão da Silva, Direito Bancário, 2001, 347/351; Ac STJ de 22 de Fevereiro de 2011 (Relator Sebastião Póvoas) e de 24 de Outubro de 2013 (Relator Granja da Fonseca), in www.dgsi.pt.
Na mesma data, a Autora, representada pelas sócias gerentes A e M, outorgou com o Réu um contrato denominado BX Directo/BX Net - Contrato de Adesão, que as mesmas sócias assinaram no acto, como deflui da alínea E) da matéria assente.
Não obstante se encontrar provada a outorga de «outros contratos» com o Réu nesse mesmo dia da abertura de conta (contrato mãe, chamemos-lhe assim), não estamos perante uma multiplicidade de relações contratuais autónomas e estanques entre si, mas antes perante um complexo negocial interligado, configurando uma união de contratos, o qual tem por base aquele convénio principal e que vai ter a sua existência e razão de ser no mesmo, continuando o banco a ter a obrigação de guardar o dinheiro depositado, restituindo-o quando e se lhe for solicitado; sobre os depositantes, poderão acrescer outros deveres, consoante as obrigações que forem assumindo com o depositário por via de outras vias negociais encetadas e às quais podem ter acesso por serem titulares daquele contrato de conta bancária, maxime, através da submissão a cláusulas contratuais gerais, cfr Engrácia Antunes, ibidem, 483/488; Pedro Pais de Vasconcelos, Direito Comercial, Volume I, 221/222; Quirino Soares, Contratos Bancários, in Scientia Iuridica, separata, Janeiro-Abril, 2003. Tomo LII-nº295.
Enquadra-se neste complexo negocial a adesão da Autora ao serviço do Réu, denominado BX Net, através do qual aquela poderia aceder através de um computador (ou telefonicamente) com acesso à internet, 24 horas por dia, 365 dias por ano, tendo aquele fornecido para o efeito as chaves de acesso que permitiam a respectiva utilização pelas duas sócias gerentes, as referidas A e M, tendo-as informado que o código secreto que indicou, com cinco caracteres numéricos, só era válido para o primeiro acesso, devendo ser alterado para um código secreto pessoal da Autora, também com 5 caracteres numéricos, o que esta fez, alíneas E, F) e G) dos factos assentes.
Entramos aqui no chamado «home banking» (Banco internético (do inglês Internet banking), e-banking, banco online, online banking, às vezes também banco virtual, banco electrónico), concretizado pela possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, on line, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet.
Através deste serviço que os bancos põem à disposição dos seus clientes, estes podem efectuar, além do mais, consultas de saldos, pagamentos de serviços/compras, carregamentos de telemóveis, transferências de valores depositados para contas próprias ou de terceiros, para a mesma ou para diversa instituição de crédito.
Como resulta da matéria dada como provada a «autora utilizou o serviço no escritório com regularidade, desde 2004 e até 30-5-2008», cfr alínea H) dos factos assentes.
E, com interesse para a economia da questão solvenda, convoca-se a seguinte factualidade:
«Relativamente às informações de segurança sobre o BX NET, a ré divulga o seguinte:
“Segurança O BX garante confidencialidade e segurança nas operações realizadas através dos seus canais de acesso directo, com o uso de Chaves de Acesso e Cartão Pessoal de Coordenadas, únicas no sistema, bem como pela utilização das mais sofisticadas tecnologias de encriptação de dados. Comunicação através da Internet - Para garantir um elevado nível de segurança na comunicação através da Internet, o BPI desenvolveu uma infra-estrutura que utiliza tecnologia avançada - encriptação com chaves a 128 bits- a qual, fora dos Estados Unidos, só está disponível para Instituições Financeiras. Browsers aprovados - Os acessos estão limitados aos browsers que apresentem as normas mínimas de segurança e que suportem encriptação de dados a 12 bits. Em particular, só são permitidos Browsers que não gravem no disco rígido do computador a informação bancária, excepto com a sua aprovação explícita. Assim, o acesso a estes serviços deverá ser efectuado através dos Browsers Microsoft Internet Explorer (versão 6.0 ou superior), Netscape Navigator (versões 4.79, 6.2 e 7.0) e Mozilla Firefox (versão 2.0). FireWall - Para segurança da infra-estrutura do sistema do Banco, existe um Firewall que tem como função restringir o acesso a Clientes que utilizem o protocolo definido - protocolo HTTPS - ou, noutras palavras, que utilizem a linguagem aceite pelo sistema.
Monitorização permanente - O Banco dispõe de quadros especializados que têm como responsabilidade a monitorização permanente da utilização do BX Net, BX Directo, BX Net Mobile e BX Net SMS, para certificação da segurança do sistema” (resposta ao facto 4º da base instrutória);
- No acto da assinatura do contrato, as duas gerentes da autora declararam tomar conhecimento integral de todas as disposições do mesmo (resposta ao facto 5º da base instrutória);
- As outorgantes procederam à leitura do contrato previamente à sua assinatura e foi entregue à autora uma cópia assinada por ambas as partes (resposta aos factos 6º e 7º da base instrutória);
- A autora, na pessoa das suas duas gerentes, compreendeu e inteirou-se do teor integral das cláusulas do contrato, sem que, até à data dos factos em causa, tenha suscitado qualquer tipo de dúvida, reserva ou incompreensão quanto ao mesmo contrato (resposta aos factos 8º e 9º da base instrutória);
- O acesso à internet e serviço bancário, bem como à conta respectiva da autora, era feito através do serviço Telecom e da linha 253674418 (resposta ao facto 9º- A da base instrutória);
- A autora usou o sistema de pagamento para território nacional e estrangeiro, sempre em conformidade com a recomendação da ré e sem qualquer incidente (resposta aos factos 10º, 11º e 12º da base instrutória);
Decorre dos termos contratuais havidos entre a Autora e o Réu, no que tange ao acesso ao serviço BX Net:
«6. Confidencialidade
6.10 Banco compromete-se a manter sob rigorosa confidencialidade as Chaves de Acesso e a informação constante do Cartão de Coordenadas.
6.2 O Cliente obriga-se a guardar sob segredo, e a assegurar que os Utilizadores guardam sob segredo, as Chaves de Acesso e o Cartão de Coordenadas e, bem assim, a assegurar que a sua utilização é feita exclusivamente pelos Utilizadores e a prevenir o seu uso abusivo por parte de terceiros.
7. Responsabilidade
7.1 O Banco não será, em caso algum, responsável pelos prejuízos derivados de erros de transmissão, deficiências técnicas, interferências ou desconexões ocorridas por via e no âmbito dos sistemas de comunicação utilizados para a prestação do Serviço.
7.2 O Cliente e os Utilizadores assumem inteira responsabilidade pela utilização negligente, indevida ou fraudulenta das Chaves de Acesso e Cartão de Coordenadas.
7.3 O Cliente é responsável e suportará todos os prejuízos resultantes de uma utilização abusiva do Serviço por intermédio de pessoas diferentes dos Utilizadores, quer estes sejam membros do órgão de administração ou colaboradores do Cliente ou outras pessoas, sem prejuízo do estabelecido no n.º 8.2.
B. Perda, roubo ou extravio
8.1 No caso de perda, roubo ou extravio do Cartão de Coordenadas, o Cliente, através dos Utilizadores ou de outra pessoa com poderes para o obrigar, deverá comunicar imediatamente ao Banco tal facto por carta, fax, telefone, correio electrónico ou presencialmente.
8.2 O Banco apenas será responsável pelos prejuízos ocorridos após a recepção da comunicação da referida ocorrência.»
Da aceitação pela Autora desta disciplina negocial, no âmbito do serviço ajustado com o Réu, em sede de home banking, podemos extrair dois corolários: o banco obrigou-se a manter sob sob rigorosa confidencialidade as Chaves de Acesso e a informação constante do Cartão de Coordenadas; por seu turno o cliente obrigou-se a guardar sob segredo, e a assegurar que os Utilizadores guardam sob segredo, as Chaves de Acesso e o Cartão de Coordenadas e, bem assim, a assegurar que a sua utilização é feita exclusivamente pelos Utilizadores e a prevenir o seu uso abusivo por parte de terceiros.
As relações contratuais assim estabelecidas entre a Autora e o Réu, correram dentro da normalidade desde a data da abertura de conta e formalização do acesso a este serviço on line em 2004 e até 30 de Maio de 2008, tendo o acesso sido feito por aquela, regularmente, no seu escritório.
Nesse mesmo dia 30 de Maio de 2008 a Autora através da sócia gerente A, voltou a usar o referido serviço, seguindo as indicações da ré para o acesso, desta feita para consulta de movimentos e saldo, pois pretendia saber se havia sido apresentado a pagamento o cheque emitido por aquela, no valor de € 12.602,00, conforme respostas aos pontos 13., 14. e 15. da base instrutória.
Ainda nesse dia, quando aquela representante da Autora executava as tarefas indicadas para acesso ao BX NET, foi-lhe exigido que fornecesse coordenadas, o que fez, tendo colocado o número correspondente e, após aceder ao serviço, AA efectuou a consulta dos movimentos bancários a que se propunha, cfr resposta aos factos 16., 17., 18., 19., 20. e 21. da base instrutória);
Mas, como igualmente decorre da factualidade apurada, no dia 2 de Junho de 2008, ao fim da tarde, numa caixa ATM uma das sócias da empresa Autora, verificou que tinha sido retirado da aludida conta a importância de € 13.000,00, conta essa que por via desse movimento a débito, ficou com um saldo no valor de € 582,97, cfr alíneas J) e K)dos factos assentes].
Desta materialidade o segundo grau concluiu o seguinte «(…) Assim é, nossa convicção que não se apurou, de entre as técnicas de fraude referidas, o modo como aconteceu aquela transferência da conta da A..
No entanto, dúvidas não se suscitam que a mesma não foi por si efectuada nem ela a autorizou.
Perante o que se apurou, é possível admitir que tenha ocorrido uma situação idêntica, àquelas que usualmente são designadas de “phishing”, (atento o que esta significa nos termos que deixámos transcrito) mas, como referido na decisão recorrida, por ausência de prova documental que suporte essa possibilidade, não pode a mesma ser dada por assente, até porque como vimos as técnicas utilizadas pelos hackers são diversas e, em permanente evolução e sofisticação.(…)»
Quer dizer as instâncias retiraram uma presunção judicial: a transferência ocorrida da conta da Autora foi devida a uma fraude informática, tendo admitido que tal fraude pudesse ser caracterizada de phishing.
Analisemos então.
1.1.O sistema.
Antes de nos debruçarmos especificamente sobre a questão recursiva, da responsabilidade ou irresponsabilidade do Réu, façamos um breve sobrevoo interlocutório sobre o sistema bancário na sua vertente telemática.
O progresso tecnológico dos últimos anos, veio revolucionar todo o comércio jurídico, nomeadamente a nível das relações bancárias, pois começamos com a emissão de cartões, de crédito e de débito, sendo que com estes se podem realizar uma infinidade de operações utilizando-se para o efeito os terminais de caixa automática, vulgo ATM e podemos agora, através dos sistemas de homebanking, aceder a uma variedade de operações bancárias, on line, utilizando para o efeito um computador pessoal.
Para o efeito os bancos fornecem aos seus clientes senhas de acesso pessoais, bem como cartões matriz constituídos por uma infinidade de composições numéricas, que normalmente são solicitadas no final de cada operação efectuada por meios telemáticos e por forma a autentica-la, já que esse cartão matriz deverá apenas ser do conhecimento do cliente, único a poder utiliza-lo, não lhe sendo permitido fornecer nenhum dos dados nele insertos a terceiros, uma vez que, quer o protocolo da página bancária, quer o tráfego de toda a informação nela processada, o que inclui as sobreditas senhas de acesso, são encriptadas, tornando quase impossível um terceiro obter ou alterar a informação depois de enviada.
Todavia a criptografia, apanágio deste sistema, por si só, não elimina a possibilidade de ataques informáticos por hackers e a intercepção das senhas enquanto estão a ser digitadas, vulgo keylogging.
Embora os sites bancários sejam de uma maneira geral fiáveis, não nos podemos esquecer que a internet constitui uma fonte inesgotável de conhecimento e informação o que gera, concomitantemente e necessariamente uma apetência por banda dos aficionados na busca de quebras dos sistemas, sendo que estas actuações maliciosas são facilitadas pela circunstância de tudo na rede é tendencialmente anónimo, podendo-se tomar como certas determinadas actuações que na vida real nunca seriam admissíveis.
Os ataques cibernautas tornaram-se comuns, tendo surgido novas modalidades de actuações ilícitas como o phishing e o pharming, que visam essencialmente as instituições de crédito.
O phishing (do inglês fishing «pesca») pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente, cfr Pedro Verdelho, in Phishing e outras formas de defraudação nas redes de comunicação, in Direito da Sociedade De Informação, Volume VIII, 407/419: Maria Raquel Guimarães, in Cadernos de Direito Privado, nº41, Janeiro/Março de 2013; Mark A Fox, Phishing, Pharming and Identity Theft in The Banking Industry, in Journal of international banking law and regulation, editado por Sweet and Maxwel (2006), Issue 9, 548/552; Roberto Flor, Phishing, Identity Theft e Identity Abuse. Le Prospecttive Applicative Del Diritto Penale Vigente, in Revista Italiana di Diritto e Procedura Penale, Fasc 2/3-Aprile-Settembre 2007, 899/9446.
A outra modalidade de fraude on line é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, cfr ibidem.
O processo baseia-se, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, cfr ibidem.
Qualquer uma destas técnicas visam a obtenção fraudulenta de fundos, obrigando os usuários a ter de usar das maiores precauções no uso destes meios informáticos, sendo usual os conselhos no sentido de verificar sempre os remetentes de e-mails e nunca abrir nenhum e-mail cujo remetente seja desconhecido; não abrir nem executar ficheiros que não tenham sido solicitados; ter sempre um antivírus actualizado no computador; ter sempre o Windows actualizado; e possuir um firewall habilitado.
Estas são as actuações pertinentes com vista a evitar qualquer ataque fraudulento ao sistema, sem embargo de, apesar de tais indicações serem seguidas à risca, o sistema não ser infalível, podendo mesmo com a observância de todos os cuidados adequados, ser alvo de brechas.
Da matéria dada como provada nos autos não resulta directamente o modo como ocorreu a transferência, sendo certo que as instâncias consideraram que a mesma havia sido efectuada por forma fraudulenta por via de presunção judicial retirada da matéria dada como provada nos pontos 13 a 21 da base instrutória.
Dispõe o artigo 349º do CCivil que «Presunções são as ilações que a lei ou o julgador tira de um facto conhecido para firmar um facto desconhecido.».
Tendo em atenção o normativo inserto no artigo 722º, nº2 do CPCivil, dele decorre não caber no âmbito dos poderes deste Supremo Tribunal, enquanto Tribunal de Revista, ocupar-se da matéria de facto, nomeadamente aquela que advenha do recurso a presunções judiciais, a não ser que tal decisão tenha sido obtida com a violação de uma disposição expressa que imponha um determinado meio de prova para a existência do facto o que não aconteceu no caso sujeito, cfr José Lebre de Freitas e Armindo Ribeiro Mendes, Código de Processo Civil Anotado, vol 3º, 2003, 118 e inter alia os Ac STJ de 16 de Outubro de 2012 (Relator Nuno Cameira) e deste mesmo colectivo de 22 de Outubro de 2013, in www.dgsi.pt.
E, as instâncias, com base nesta presunção, não obstante tivessem constatado que não resulta que tipo de fraude ocorreu, se phishing se pharming, admitiram como possível que tal fraude pudesse integrar o phishing .
Esta designação efectuada pelas instâncias, no que tange à técnica electrónica utilizada, transcende o domínio do facto, entrando já no âmbito da qualificação técnico-jurídica, que pode e deve ser corrigida por este Supremo Tribunal.
Entendemos, ao contrário da especulação efectuada pelo segundo grau, estar-se em presença de uma fraude de pharming, que não de phishing, posto que esta técnica pressupõe a abertura e resposta a spamming de mensagens de correio electrónico, não se tendo apurado que a representante da Autora haja recebido uma qualquer mensagem (e-mail) a solicitar-lhe elementos relativos à sua conta bancária e que aquela os tenha fornecido, tendo ficado provado antes (cfr respostas aos pontos 13. a 21. da base instrutória) que a representante da Autora entrou directamente na página que lhe apareceu no ecran do seu PC como sendo do a página do Réu e nela fez as suas certificações e operações usuais (já vimos supra que este acesso directo a uma página, que pensamos ser a verdadeira, é elemento caracterizador do pharming), sempre se acrescentando que quer fosse uma das técnicas ou a outra, qualquer delas consubstancia fraudes informáticas, conduzindo aos mesmos resultados em termos de responsabilidade.
Este nosso entendimento de que estamos perante pharming é corroborado, embora sem quaisquer implicações como já enunciamos, não só pela resposta ao ponto de facto 45. onde se deu como provado que no dia 3 de Junho de 2008 «Pelas 17 horas AA recebeu contacto telefónico do BX NET, feito pelo Sr. J S, dando informação sobre a existência de página Web falsa, imitando a página de abertura do BX NET» (esta entrada direccionada a uma página que se pensa ser a página original, sendo a página maliciosa, é elemento do pharming), como também pelo facto dado como assente na alínea Z) de que «A ré, por carta de 7-1-2009 respondeu que não detectara qualquer indício de falha de segurança no serviço homebanking, e que provavelmente houve uma apropriação abusiva das credenciais para acesso e utilização do citado serviço por meios e/ou expedientes que o Banco não era responsável, contudo, prezando a relação de confiança que a autora mantinha com a ré e que gostaria de ver preservada, aceitou que fosse efectuado o reembolso dos valores transferidos antes da conclusão do inquérito, acrescentando que o banco aceitava antecipar-se às conclusões dessa averiguação», cfr para a caracterização da operação como pharming Carolina González, Ángel Torrecilla Respuestas operativas al “phishing”, Policía, Madrid, N.190 (2006), 42/47; Fernando Fernández Lázaro, La Brigada de Investigación Tecnológica: la investigación policial, Policía, Madrid, N. 199 (2007), 18/21.
Concluindo, no que à economia da resolução da questão suscitada diz respeito, houve uma violação fraudulenta do sistema informático que proporcionou o desvio da quantia de € 13.000,00 da conta da Autora.
2.Da responsabilidade.
Insurge-se o Recorrente contra o Aresto sob censura uma vez que na sua tese inexistiu da qualquer quebra de segurança, na criação, manutenção e execução de operações no seu site bxnet, tendo verificado antes uma quebra de segurança por parte da Recorrida no acesso ao referido site, o que, de forma causal, determinou que um terceiro se tenha apropriado das credenciais da mesma recorrida para a realização de operações, via homebanking, não podendo o Recorrente ser responsabilizado, por qualquer intromissão fraudulenta no computador do cliente, o que in casu aconteceu.
Prima facie, cumpre-nos consignar que da factualidade apurada pelas instâncias não resulta que tenha havido por banda da Autora qualquer comportamento indiciador de quebra de segurança no acesso ao site BX.Net, que tivesse proporcionado a um terceiro (?) as coordenadas para a realização das operações bancárias via homebanking.
Como resulta das cláusulas contratuais gerais havidas entre a Autora e a Ré no que a este serviço concerne, que supra ficaram enunciadas aquela obrigou-se a guardar sob segredo, e a assegurar que os Utilizadores guardam sob segredo, as Chaves de Acesso e o Cartão de Coordenadas e, bem assim, a assegurar que a sua utilização é feita exclusivamente pelos Utilizadores e a prevenir o seu uso abusivo por parte de terceiros, não tendo o Réu provado que a Autora tivesse tido qualquer comportamento que pudesse por em causa a segurança do sistema, nomeadamente que tivesse quebrado o seu dever de segredo sobre as chaves de acesso e que por algum modo, voluntário, grosseiro, negligente ou outro as tivesse cedido a terceiro, de forma a poder ser responsabilizada pela ocorrência fraudulenta.
O que aconteceu foi que a Autora, através da sua representante «entrou» no que pensou ser a página do Réu para efectuar as suas operações, foram-lhe pedidas coordenadas, ao que aquela acedeu, sem se dar conta que estava afinal numa página «clonada».
Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta do Réu, por a tal conduzir o disposto no artigo 796º, nº1 do CCivil, não se tendo provado, como não se provou, que tivesse havido culpa da Autora.
A esse resultado se chega com a aplicação do DL 317/2009, de 30 de Outubro, que transpôs para a nossa ordem jurídica o novo enquadramento comunitário em matéria de serviços de pagamentos, maxime a Directiva 2007/64/CE do Parlamento Europeu e do Conselho de 13 de Novembro, o qual, não obstante seja posterior aos factos em causa na acção, a eles é aplicável, ex vi do seu artigo 101º, nº1 no qual se predispõe que «O regime constante do presente diploma regime jurídico não prejudica a validade dos contratos em vigor relativos aos serviços de pagamento nele regulados, sendo-lhes desde logo aplicáveis as disposições do presente regime jurídico que se mostrem mais favoráveis aos utilizadores de serviços de pagamentos.»
Deflui desde logo do artigo do artigo 68º, nº1, alínea a) do Anexo I de tal Regime o seguinte: «O prestador de serviços de pagamento que emite um instrumento de pagamento tem as seguintes obrigações: a) Assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior.».
Daqui decorre que os riscos pela utilização normal do sistema correm por conta do prestador de serviços, isto é sobre o Banco, o que não deixa de ser uma obrigação perfeitamente normal já que é o Banco que vai retirar os maiores benefícios económicos do seu bom funcionamento.
É óbvio que sobre o cliente, enquanto utilizador daqueles meios que são postos à sua disposição recai a especial obrigação de os utilizar de acordo com as condições que regem a sua emissão e utilização, além do mais, cfr artigo 67º, nº1, alínea a), do mencionado diploma.
Como já demos conta, no caso sujeito provou-se que a Autora não violou nenhuma das suas obrigações contratuais e que foi estranha à transferência de € 13.000 ocorrida, não tendo sido aquela a dar a ordem de pagamento da aludida importância, o que afasta a construção feita pelo Recorrente em sede de argumentário conclusivo que houve a utilização negligente das prerrogativas operacionais cometidas pelo contrato de homebanking sendo a Recorrida responsável contratual e legalmente pelos prejuízos por si sofridos, emergentes da autorização da transferência em apreço, posto que esta não deu qualquer ordem de transferência da mencionada quantia, não havendo que curar aqui da eventual nulidade da cláusula 6.2, que não foi sequer declarada, tratando-se de um falso problema.
Nestas circunstâncias e ainda segundo as regras que decorrem do DL 317/2009, de 30 de Outubro, porque a transferência não autorizada foi logo comunicada ao Réu, incumbia a este o ónus de alegar e provar que a operação de pagamento fora autorizada pela Autora, ou que esta agira de forma fraudulenta ou que não cumprira, deliberada ou por forma gravemente negligente as suas obrigações contratuais, cfr artigo 70º, nº3 e 72º, nº1 (continuamos no âmbito das presunções, as quais decorriam já do disposto no artigo 796º, nº1 do CCivil, que o aqui Recorrente não logrou afastar).
A responsabilidade pelo reembolso das quantias objecto de transferências não autorizadas, posto que se não venha a apurar que o ordenante tenha tido qualquer culpa na sua efectivação, impende sobre o prestador de serviços, por força do artigo 72º, nº1 do supra aludido DL (responsabilidade essa que, repetimos, provinha já da responsabilidade contratual geral, por via do disposto no artigo 796º, nº1 do CCivil).
As conclusões soçobram quanto a este conspectu da responsabilidade pelos danos decorrentes da transferência indevida da quantia de € 13.000, a qual impende sobre o Banco Réu.
3.Dos danos morais e da sua responsabilização.
Insurge-se ainda o Réu contra o Acórdão recorrido uma vez que a sua conduta ao comunicar ao Banco de Portugal a existência de um cheque sem provisão emitido pela Autora e a inserção do nome da apelada na LUR, não consubstancia qualquer ofensa à personalidade moral da mesma, apenas e só espelhava a situação real e factual da ora Recorrida perante o próprio Banco recorrente, insusceptível, causalmente, de poder produzir os danos não patrimoniais fixados, que além do mais se reputam no mínimo, como exagerados.
Vejamos.
Dispõe o artigo 484º do CCivil que «Quem afirmar ou difundir um facto capaz de prejudicar o crédito ou o bom nome de qualquer pessoa, singular ou colectiva, responde pelos danos causados».
Com base neste normativo, tendo em atenção a factualidade dada como provada, nomeadamente que o Réu comunicou ao Banco de Portugal a existência de um cheque sem provisão emitido pela Autora o que levou à revogação do uso de cheque por esta, bem como a obrigou a comunicar aos clientes essa situação, tendo ficado sem meios para cumprir os seus compromissos, pontos 69. e 74. a 77. da base instrutória, as instâncias fixaram em € 20.000 a indemnização devida pelo Réu à Autora.
Dúvidas não se nos suscitam que o Réu dentro do quadro negocial havido com a Autora e tendo em atenção todos os contornos do caso concreto, deverá ser responsabilizado não só pelo montante decorrente da operação de pagamento não autorizada, como também, pelo dispêndio da quantia de € 277,04 que o “Banco S SA” onde foi depositado o cheque n.º….. (devolvido por falta de provisão por força do levantamento fraudulento de fundos), debitou ao cliente da Ré, por despesas e comissão cobrada e que esta lhe terá de satisfazer, para além do montante titulado pelo cheque.
Mas estas quantias são devidas a título de danos patrimoniais.
A título de danos não patrimoniais, parece ser pacifica a tese de que os mesmos são indemnizáveis, desde que sejam graves e mereçam a tutela do direito, de harmonia com o normativo inserto no artigo 496º, nº1 do CCivil, acrescendo a circunstância de estarmos em sede de responsabilidade bancária, onde a reputação dos sujeitos envolvidos reveste da maior importância no giro comercial dos mesmos, cfr Menezes Cordeiro, ibidem, 399/404.
Assim sendo se é difundida uma informação que não corresponde à verdade e se por via dessa informação a imagem comercial do sujeito é afectada, maxime, com a sua inclusão na lista de pessoas que oferecem risco e por isso são inibidas do uso de cheque, como aconteceu no caso em apreço.
Impunha-se que o Réu, tendo em atenção os contornos da ocorrência, se tivesse abstido por um lado de não recusar à Autora os cheques para que a mesma pudesse solver os seus compromissos e de outra banda, de comunicar ao Banco de Portugal a existência de um cheque sem provisão (cuja culpa do não provisionamento da conta para o respectivo pagamento, sobre si impendia), o que originou a inibição do uso de cheque.
Todos estes factos nos conduzem ao dever de indemnizar a Autora, improcedendo por aqui as conclusões do Réu/Recorrente.
Todavia, não podemos deixar de dar razão do Réu quando se insurge contra o montante excessivo da indemnização que foi arbitrada àquela pelas instâncias, até por comparação com casos de indemnização por danos não patrimoniais decorrentes de acidente de viação, cfr inter alia os Ac STJ de 6 de Julho de 2000 (Relator Tomé de carvalho), 3 de Junho de 2004 (Relator Lucas Coelho), 16 de Junho de 2005 (Relator Neves Ribeiro, in www.dgsi.pt e de 7 de Janeiro de 2010 (Relator Pereira da Silva), in SASTJ, site do STJ.
Não questionamos que tenha havido danos, mas não podemos deixar empolar os mesmos através da fixação de uma indemnização que transcenda os limites do razoável, sendo este o montante do dano patrimonial ocorrido (veja-se que este se cifrou em € 13.000).
Assim sendo, entendemos como razoável a fixação da quantia de € 10.000 a esse título, procedendo nesta parte as conclusões de recurso do Recorrente.
III Destarte, concede-se parcialmente a Revista no que à indemnização por danos não patrimoniais concerne, revogando-se a decisão plasmada no Acórdão sob recurso no que a esse particular concerne, condenando-se o Réu a satisfazer à Autora a esse titulo a quantia de € 10.000, mantendo-se no mais o aí decidido.
Custas da Revista e nas instâncias, pela Autora e pelo Réu, na proporção do respectivo decaimento.
Lisboa, 18 de Dezembro de 2013
(Ana Paula Boularot)
(Azevedo Ramos)
(Silva Salazar)