| 902/13.4TBCNT.C1 |  |
HOMEBANKING
FRAUDE INFORMÁTICA
PHISHING
PHARMING
RESPONSABILIDADE CONTRATUAL
Acordam no Tribunal da Relação de Coimbra
“A... , Lda” com sede na (...) Cantanhede, intentou a presente acção declarativa de condenação, com processo comum, contra o “Banco B... , SA”, com filial na (...) Cantanhede, pedindo a condenação deste no seguinte:
1) Ao pagamento à AA do montante de € 4.540,26 (quatro mil quinhentos e quarenta Euros e vinte e seis cêntimos), correspondente ao capital indevidamente retirado da sua conta;
2) Ao pagamento à AA de uma indemnização correspondente aos danos não patrimoniais por esta sofridos, e montante nunca inferior a € 1.500,00 (mil e quinhentos euros);
3) Ao pagamento à AA dos juros, à taxa legal, a contar da data da citação até efetivo e integral pagamento.
Para tal, alega que no dia 06 de Julho de 2011, na sequência de um ataque informático vulgarmente designado “phishing”, foi feita uma transferência bancária no montante de 4.998,00 € da conta que a autora tinha aberta no balcão de Cantanhede da ré para a conta titulada por C... o qual veio a ser condenado pela prática do crime de burla informática. A autora não autorizou directa ou indirectamente quem quer que fosse para concretizar esta transferência bancária da sua conta que é movimentada para fazer face às despesas correntes da autora. Foi recuperado o montante de 457,74 €, encontrando-se por regularizar o valor de 4.540,26 €. A privação do montante de 4.998,00 € prejudicou e prejudica a actividade comercial da autora, provocando intranquilidade financeira na actividade contabilística da empresa, sendo que devido à ocorrência do ataque informático sofrido, limitou a utilização destes canais informáticos dada insegurança que passou a sentir a efectuar transacções on line.
Contestando, o réu alega que a autora aderiu ao serviço “ B... NET EMPRESAS” do banco da ré no dia 09.04.2007 na modalidade com um único utilizador e autorizador, através de contrato escrito assinado por D... .
A autora definiu o próprio gerente D... como o único utilizador do referido serviço, sendo que apenas este se encontrava autorizado a movimentar a referida conta por intermédio do “ B... NET EMPRESAS”, não podendo de forma alguma ceder, emprestar ou de qualquer forma facultar as credenciais de utilização do referido serviço.
A transferência do dia 06.07.2011 foi efectuada através do serviço “ B... NET EMPRESAS”, tendo sido validada com coordenada do cartão pessoal de coordenadas conferidas, em exclusivo, ao utilizador D... .
O titular da conta da ré destinatária daquele montante autorizou a devolução do valor de 452,74 € que foi entregue à autora em 25.07.2011.
Três meses antes da referida transferência, o utilizador e gerente da autora D... facultou ao seu pai e também gerente da autora, E... , que, por sua vez, os facultou a uma funcionária da empresa de nome F... , os seus códigos de acesso e movimentação do serviço “ B... NET EMPRESAS”.
Esta funcionária e braço direito do gerente da autora E... terá fornecido inadvertidamente a terceiros, ao aceder a página ilícita, as chaves de acesso ao serviço “ B... NET EMPRESAS” e uma ou mais coordenadas do cartão pessoal de coordenadas. Posteriormente, esses códigos terão sido utilizados por terceiros para realizar as operações, ocorrendo uma situação de apropriação abusiva de credenciais para acesso e movimentação do serviço, por meios a que o banco ré é alheio.
O Banco tem vindo a publicar recomendações de segurança sobre o acesso e utilização dos serviços “ B... NET” e “ B... NET EMPRESAS” desde 13.12.2004, e antes da situação ocorrida com a autora, foram publicadas diversas notícias com alertas sobre os cuidados a ter com os pedidos de informação referentes às chaves de acesso e ao cartão pessoal de coordenadas, bem como regras de segurança no acesso aos serviços de “Homebaking”. O Banco publicou já várias notícias com alertas sobre este tipo de ataque, apresentando ainda no acesso ao serviço “ B... NET EMPRESAS” mensagens que visam alertar os clientes do banco para a correcta utilização do serviço disponibilizado pelo banco. Por parte do banco réu nenhuma quebra de segurança se verificou, quer nos sistemas informáticos do mesmo, quer na aplicação por si disponibilizada aos seus clientes “ B... NET EMPRESAS”.
A situação ocorrida é imputável à autora, quer por permitir a utilização das suas credenciais por quem não se encontrava contratualmente autorizado para o fazer, quer por permitir, através de negligente navegação na internet, que outrem tenha capturado as mesmas credenciais de acesso e validação e, de posse das mesmas, tenha efectuado a transferência questionada.
Relativamente aos danos não patrimoniais invocados defende-se por impugnação.
Requer a final a intervenção acessória provocada de C... , titular da conta de destino da transferência.
*
Por despacho de 27.03.14 (cfr. fls. 83 e 84) foi admitida a intervenção acessória de C... que, citado, não interveio nos autos.
*
Possibilitada a pronúncia da autora relativamente à defesa por excepção, veio esta dizer que nunca divulgou os seus códigos pessoais a terceiros e que nunca agiu de forma negligente ou violando as regras de segurança impostas pelo contrato (cfr. fls. 112 a 114).
*
Foi proferido despacho saneador e bem assim o despacho a que se reporta o art. 596º, nº 1 do CPC, o qual não foi objecto de reclamação (cfr. fls. 118 a 120).
Teve lugar a audiência de discussão e julgamento, com recurso à gravação da prova nela produzida, finda a qual foi proferida a sentença de fl.s 163 a 173, na qual se fixou a matéria de facto considerada como provada e não provada e respectiva fundamentação e, a final, se decidiu o seguinte:
“Pelo exposto, decide-se julgar a presente acção parcialmente procedente e, em consequência, condenar a ré a pagar à autora a quantia de 4.540,26 € (quatro mil euros quinhentos e quarenta euros e vinte e seis cêntimos) a que acrescem juros de mora, à taxa legal, desde citação até efectivo e integral pagamento.
*
Custas da acção por ambas as partes na proporção de decaimento (art. 527º do Código de Processo Civil)”.
Inconformado com a mesma, interpôs recurso o réu B... , recurso, esse, admitido como de apelação, com subida imediata, nos próprios autos e com efeito devolutivo – (cf. despacho de fl.s 194), rematando as respectivas motivações, com as seguintes conclusões:
1. Considerou a sentença revidenda que não se pode assacar à Recorrida qualquer culpa pela movimentação fraudulenta da sua conta, correndo os riscos da falha do sistema informático utilizado por conta do Recorrente, nos termos do art. 796º, nº 1 do CC.
2. Mas tal consideração, não é compaginável com 2 realidades, com arrimo processual nos autos e relevância substantiva nos mesmos.
3. A de que a recorrida claramente incumpriu as obrigações contratuais e de segurança, relativas à utilização do serviço B... NET - v.g. al. H dos factos provados e de que um terceiro – o chamado nos autos - foi condenado e julgado por tais feitos- vg. Al. I, dos mesmos Factos.
4. Como se vê do 1º de tais factos, certo é que tal conduta da recorrida é ela própria, em si mesmo, causadora de uma grave quebra na segurança das operações em causa, como o seria se, em caso análogo, houver um simples empréstimo de um cartão de débito ou de crédito a um terceiro, com os inerentes Códigos de acesso e de validação…
5. Processando-se o acesso da Recorrida, já não de forma presencial e mediante a conferência de assinaturas, mas antes por meios electrónicos, mediante a disponibilização pelo Recorrente do respectivo serviço e fornecimento de senhas pessoais, cartões matrizes contendo uma infinidade de composições numéricas, exigindo-se um sistema de autenticação que passa pela utilização de uma, duas, ou mais coordenadas, sendo esse cartão do exclusivo conhecimento e acesso do cliente/utilizador autorizado, foram desenvolvidos meios pelo chamado de aceder de forma ilícita a esses dados, e assim apropriar-se de valores depositados nesta conta.
6. Demonstrado ficou nos autos que, pese embora tal serviço tenha sido solicitado pela Recorrida que o contratou com o Recorrente, sendo único utilizador autorizado D... , seu então gerente, há data da transferência em causa já havia entregue o cartão de coordenadas a quem não se encontrava legal e contratualmente autorizado a tal.
7. Invocada a culpa da recorrida, consistente na entrega do cartão a quem não era utilizador autorizado do mesmo, o que constitui notório incumprimento das condições contratadas e acima descritas.
8. A funcionária em causa não era procuradora da Recorrida, nem titular da conta, nem pessoa autorizada por qualquer modo a movimentá-la.
9. A este serviço só podiam aceder “utilizadores autorizados” e indicados pela Recorrida que os podia acrescentar ou retirar.
10.A Recorrida tal como o Banco Recorrente estava obrigada a deveres de confidencialidade, incumbindo à mesma não divulgar estes elementos a terceiros e muito menos permitir a utilização por parte de terceiros (sendo irrelevante que fosse pessoa da sua absoluta confiança) deste serviço.
11.Sendo equiparadas juridicamente as Chaves de Acesso às assinaturas manuscritas do Recorrida nas Condições Gerais das Contas, o fornecimento pela mesma da sua assinatura para utilização por terceiros, constitui quebra grave do dever de sigilo e confidencialidade a seu cargo, tornando-a responsável pela eventual utilização abusiva que venha a ser feita destas “assinaturas digitais”.
12.Não pode pois ser o resultado da violação deste dever contratual, absolutamente essencial por parte da recorrida, ser imputado ao Recorrente.
13.Pode o Recorrente ilidir a sua presunção de culpa, quer afastando-a quer “demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso (…). No primeiro caso, o Banco pode ainda ser responsabilizado pelo risco, enquanto na segunda hipótese a responsabilidade é do cliente.” (Ac. da Relação de Guimarães de 23/10/2012, proferido no Proc. nº 305/09.5TBCBT.G1).
14.Neste caso, entende pois o Banco recorrente que existe culpa e grosseira da Recorrida não se entendendo que se possa apontar qualquer culpa ao mesmo Recorrente, pelos factos acima descritos.
15.O chamado, nos presentes autos, foi acusado, julgado e condenado, com trânsito em julgado pela utilização fraudulenta da conta em causa.
16.Foi o mesmo que se apropriou dos códigos de acesso e de movimentação da conta da ora Recorrida e que de posse dos mesmos, pode operar a transferência bancária extractada nos autos.
17.Pelo que conhecida está a autoria e o responsável jurídico por tais feitos.
18. A decisão recorrida, no segmento em recurso, violou, por errada interpretação e aplicação as normas constantes dos artigos 796º, 804º, 805º, 806º, 1114º e 1206º, do Código Civil e artº 67º, 68º, 70º, 71º, 101º, do Regime jurídico anexo ao D.L. 317/2009.
Termos em que:
No provimento integral do interposto recurso, deve a sentença em causa no segmento recorrido, ser revogada, decretando-se a absolvição integral do Banco ora recorrente.
Assim se fazendo integral
JUSTIÇA
Contra-alegando, a autora, pugna pela manutenção da decisão recorrida, com o fundamento em ser de atribuir ao réu a responsabilidade pelas quebras de segurança do seu sistema informático, não se tendo provado qualquer facto que aponte para a culpabilidade da autora na produção do evento danoso, designadamente que tenha sido por acção de qualquer dos seus gerentes ou funcionários, que o chamado acedeu à sua conta e se apropriou das quantias em causa, sendo irrelevante que a chave e as coordenadas tenham sido transmitidas de gerente para gerente e para a funcionária da autora, dado não se ter provado que foi por causa disso ou por acção de qualquer deles, que o terceiro, acedeu à conta bancária da autora.
Dispensados os vistos legais, há que decidir.
Tendo em linha de conta que nos termos do preceituado nos artigos 635, n.º 4 e 639.º, n.º 1, ambos do NCPC, as conclusões da alegação de recurso delimitam os poderes de cognição deste Tribunal e considerando a natureza jurídica da matéria versada, a questão a decidir é a de saber sobre quem recai a responsabilidade pela movimentação fraudulenta da conta bancária da autora, através da internet (Serviços Homebanking).
É a seguinte a matéria de facto dada por provada na decisão recorrida:
A) A AA é uma sociedade comercial por quotas, que tem como objeto social o comércio de ferragens, ferramentas, materiais de construção e máquinas.
B) A RR é uma instituição bancária, e tem como atividade a prestação de serviços financeiros.
C) A AA abriu uma conta bancária no balcão da RR sito em Cantanhede, com o número de conta 4-3827393.000.001.
D) A A. aderiu ao Serviço B... NET EMPRESAS do Banco R. no dia 09/04/2007, na modalidade com um único utilizador e autorizador.
E) O contrato, denominado por “Contrato de Adesão ‐ B... Net Empresas –”, foi assinado por D... na qualidade de representante legal da autora e de “utilizador.
F) Tendo a A., ao longo desses 4 anos, utilizado, de forma regular, o serviço em questão, usufruindo e disfrutando de todas as suas vantagens e utilidades.
G) Constituem condições gerais do contrato, para além de outras, as nºs 1, a), b), e), j), l), m) e o), 2, 3.2, 3.4, 3.6, 6, 7, 13.3, 13.4 que são do seguinte teor:
1. Noções
Para efeitos do presente contrato, entende-se por:
a) Serviço: possibilidade conferida ao Cliente de manter relações com o Banco através do acesso a canais remotos;
b) Canais Remotos: acesso ao Serviço por Internet ou outras formas de acesso remoto que venham a ser definidas pelo Banco;
(…)
e) Utilizador(es): a(s) pessoa(s) singular(es) designada(s) pelo Cliente pela forma e nos termos previstos no presente contrato e respectivos anexos, a quem são atribuídos poderes pelo Cliente para, através do Serviço, e nos termos previstos neste contrato e seus anexos, consultar e/ou praticar, em seu nome, todos os actos e celebrar todos os negócios que são susceptíveis de ser praticados ou celebrados através desse mesmo Serviço. É da inteira e exclusiva responsabilidade do Cliente quer a selecção, designação e remoção dos Utilizadores, os quais poderão ser ou não colaboradores do Cliente, quer a definição do seu perfil. O Cliente expressamente reconhece e aceita que a utilização, pelos Utilizadores, dos Serviços disponibilizados pelo Banco, bem como a contratação, pelos mesmos, de operações com o Banco, nos termos previstos neste contrato será sempre tida, em qualquer caso e para todos os efeitos legais, como uma actuação em nome e por conta do Cliente, única contraparte do Banco no presente contrato. O Cliente assegura ao Banco que aos Utilizadores, estão atribuídos, de uma forma válida e eficaz, poderes de representação para, através do Serviço, e nos termos previstos neste contrato, praticar por si só todos os actos e celebrar todos os negócios que são susceptíveis de ser praticados ou celebrados através desse mesmo Serviço e que esses poderes se manterão enquanto o presente contrato vigorar;
(…)
j) Nome de Acesso: nome de identificação de cada Utilizador, único, pessoal e intransmissível. Cada Utilizador pode personalizar o seu Nome de Acesso;
l) Código Secreto: número secreto de cada Utilizador, pessoal e intransmissível;
m) Chaves de Acesso: o Nome de Acesso e o Código Secreto. As Chaves de Acesso são os elementos que permitem a identificação inequívoca do Utilizador perante o sistema. O acesso ao Banco efectua-se através da utilização das Chave de Acesso ou de qualquer outra forma ou meio alternativo, com condições de segurança equivalentes, que o Banco disponibilize ao Cliente;
o) Cartão de Coordenadas: cartão personalizado que permite aos Utilizadores com Poderes de Autorização autorizarem operações;
2. Objecto
Em resultado da celebração do presente contrato, o Cliente passa, por intermédio dos Utilizadores, a poder aceder e movimentar através do Serviço todas as Contas.
3. Condições de Utilização do Serviço
3.2 O Cliente poderá proceder à designação de novos Utilizadores, efectuando a adesão dos novos Utilizadores através do preenchimento e envio ao Banco do Anexo – Adesão de Utilizador. O Cliente poderá, também, a qualquer momento, proceder à remoção de qualquer Utilizador.
3.4 Qualquer das alterações previstas nos números anteriores, bem como das solicitações previstas no número 5.3. deste contrato, só serão válidas se observarem a seguinte forma: documento em suporte de papel, assinado pelos representantes legais do Cliente.
3.6 O Banco e o Cliente aceitam a equiparação jurídica das Chaves de Acesso às assinaturas manuscritas do Cliente nas Condições Gerais das Contas.
6. Confidencialidade
6.1 O Banco compromete-se a manter sob rigorosa confidencialidade as Chaves de Acesso e a informação constante do Cartão de Coordenadas.
6.2 O Cliente obriga-se a guardar sob segredo, e a assegurar que os Utilizadores guardam sob segredo, as Chaves de Acesso e o Cartão de Coordenadas e, bem assim, a assegurar que a sua utilização é feita exclusivamente pelos Utilizadores e a prevenir o seu uso abusivo por parte de terceiros.
7. Responsabilidade
7.1 O Banco não será, em caso algum, responsável pelos prejuízos derivados de erros de transmissão, deficiências técnicas, interferências ou desconexões ocorridas por via e no âmbito dos sistemas de comunicação utilizados para a prestação do Serviço.
7.2 O Cliente e os Utilizadores assumem inteira responsabilidade pela utilização negligente, indevida ou fraudulenta das Chaves de Acesso e Cartão de Coordenadas.
7.3 O Cliente é responsável e suportará todos os prejuízos resultantes de uma utilização abusiva do Serviço por intermédio de pessoas diferentes dos Utilizadores, quer estes sejam membros do órgão de administração ou colaboradores do Cliente ou outras pessoas, sem prejuízo do estabelecido no n.º 8.2.
13. Eficácia Jurídica
13.3 A validade do presente contrato fica condicionada à recepção pelo Banco de um exemplar do contrato devidamente assinado pelos representantes legais do Cliente.
13.4 As ordens transmitidas pelos Utilizadores, e executadas pelo Banco, através do Serviço, gozarão de plenos efeitos jurídicos na esfera do Cliente, não podendo o Cliente ou os Utilizadores:
a) alegar a falta de assinatura para o cumprimento das obrigações assumidas nessas ordens;
b) invocar a falta ou abuso de poderes por parte dos Utilizadores.
H) D... , tendo-se afastado da gerência de facto da autora, em data não concretamente apurada, mas situada entre Abril e Maio de 2011 entregou os códigos de acesso à conta ao Pai (sócio Gerente da A.) que os entregou à funcionária da autora F... e “braço direito” deste, para efectuar os pagamentos.
I) No dia 6 de Julho de 2011 C... , sozinho ou em colaboração com terceiros, após ter tomado conhecimento e na posse do nome de utilizador, palavra-chave e dos códigos de acesso e de movimentação da conta da autora através do sistema informático, efectuou, sem autorização e contra a vontade da desta, uma transferência bancária da referida conta para a conta n.º 4563836.000.001, da sua titularidade, no montante de € 4.998,00 (quatro mil novecentos e noventa e oito euros).
J) A transferência em causa, foi validada com coordenada do cartão pessoal de coordenadas conferidas, em exclusivo, ao utilizador D... .
K) A referida conta referida em C) é utilizada para fazer face às despesas correntes da AA, e utilizada em exclusivo benefício da atividade comercial da AA.
L) A autora, através de advogado, remeteu à ré, que recebeu, a carta que faz fls. 9, onde consta, além do mais que “Assim, a n/cliente aguarda, com a máxima celeridade, que a v/ instituição proceda à reposição das importâncias indevidamente transferidas, o que se exige”.
M) Em 25.07.11 A Ré devolveu à AA o montante de € 457,74 (quatrocentos e cinquenta e sete euros e setenta e quatro cêntimos).
N) O Banco R. tem vindo a publicar recomendações de Segurança sobre o acesso e utilização dos serviços B... Net e B... Net Empresas desde 13/12/2004.
O) Estas recomendações têm sido publicadas sob a forma de banners, páginas de campanha e notícias nos sites B... Net, B... Net Empresas e Banco B... .
P) Relativamente às precauções a ter com o Cartão Pessoal de Coordenadas, a primeira notícia, especificamente sobre este tema, data de 01/06/2007.
Q) Foram já publicadas ‐ antes da situação ocorrida com a A. ‐ diversas notícias com alertas sobre os cuidados a ter com os pedidos de informação referentes às chaves de acesso e ao cartão pessoal de coordenadas, bem como regras de segurança no acesso aos Serviços de Homebanking.
R) O Banco R. publicou já várias notícias com alertas sobre este tipo de ataque, sendo de destacar a seguinte notícia, de 04/11/2010, que apresenta imagens de páginas fraudulentas.
S) No acesso ao B... NET EMPRESAS também são apresentadas mensagens que visam alertar os Clientes do Banco R. para a correcta utilização do serviço disponibilizado pelo Banco;
T) Sendo de destacar os alertas de Segurança que são apresentados na página de acesso ao Serviço B... NET EMPRESAS (ainda antes dos Clientes do Banco R. entrarem no site), sendo que, de entre as várias recomendações, é referido que o Banco R. nunca solicita a introdução de mais do que uma coordenada.
U) Nas páginas de confirmação de operações também são apresentados alertas de Segurança.
V) A A. desde o seu início de actividade tinha como gerentes os referidos D... e E... , respectivamente filho e pai.
W) Tendo em 20/01/2012, a A. feito chegar ao Banco R. o pedido de retirada do citado D... , como representante da ora A. por já não ter as funções de gerente.
X) D... , entretanto renunciou ao cargo de gerente da ora A., por carta de 12/03/2012.
Factos não provados (com relevância para a decisão da causa)
1) F... forneceu a terceiros (ao aceder a página ilícita) as chaves de acesso ao “ B... NET EMPRESAS” e/ou ao navegar na internet permitiu que outrem tenha capturado as credenciais de acesso e validação.
2) Em consequência do ataque informático descrito e ao ser privada do montante monetário de € 4.998,00, a A viu a sua atividade comercial colocada em causa, mormente no que diz respeito a pagamentos a colaboradores, fornecedores e tantos outros intervenientes comerciais.
3) Privação essa que prejudicou a tesouraria da empresa, tendo conseguido a A, a muito custo, logrado os seus compromissos, com recurso a outros fluxos financeiros, reagendando pagamentos e negociando com os sujeitos já referidos pagamentos diferidos.
4) Desde a ocorrência do ataque informático sofrido que a A consequentemente sente insegurança a efetuar transações online, o que limitou a utilização destes canais informáticos, nas datas posteriores aos factos.
Sobre quem recai a responsabilidade pela movimentação fraudulenta da conta bancária da autora, através da internet (Serviços Homebanking).
Como resulta da factualidade provada, estamos perante um caso em que a autora abriu uma conta bancária na agência do réu, em Cantanhede e, no âmbito de tal abertura, aderiu ao designado “Serviço B... Net Empresas, na modalidade de único utilizador e autorizador.
Tudo funcionou bem até que, cf. consta da alínea I) dos factos provados, em 06 de Julho de 2011, nas circunstâncias aí referidas, um terceiro, através do sistema informático, contra a vontade e sem autorização da autora, logrou obter a transferência da quantia de 4.998,00 €, da conta da autora, para uma de sua titularidade.
Incumbe, pois, averiguar, quem deve arcar com a responsabilidade decorrente da existência da referida transferência bancária efectuada de modo fraudulento.
Inexiste dissídio entre as partes de que na génese dos presentes autos está o contrato de abertura de conta, que se tem vindo a entender como de depósito irregular, por via do qual, incumbe ao devedor provar que a falta de cumprimento ou o cumprimento defeituoso não procede de culpa sua, como decorre do disposto no artigo 799.º, n.º 1, do Código Civil.
Depósito irregular a que se aplicam, na medida do possível, as normas relativas ao contrato de mútuo, cf. artigo 1206.º, do Código Civil.
Ora, nos termos do disposto no artigo 1144.º, do mesmo Código, as coisas mutuadas tornam-se propriedade do mutuário pelo facto da entrega.
O que acarreta a que, nos termos do disposto no artigo 796.º, n.º 1, do Código Civil, seja o banco, que recebe as quantias depositadas, a arcar com os riscos do perecimento ou deterioração das quantias depositadas.
Dispõe-se neste preceito que:
“Nos contratos que importem a transferência do domínio sobre certa coisa ou que constituam ou transfiram um direito real sobre ela, o perecimento ou deterioração da coisa por causa não imputável ao alienante corre por conta do adquirente.”.
Como decorre do disposto nos artigos 1142.º e 1187.º, al. c), ambos do Código Civil, incumbe ao banco a guarda dos valores que lhe foram entregues em depósito e a restitui-los, com os respectivos frutos, arcando com os riscos inerentes ao seu perecimento, nos termos expostos.
A questão está em saber se esta responsabilidade se mantém no caso de celebração dos designados contratos de “home banking”.
Como refere Maria Raquel Guimarães, in “A repartição dos prejuízos decorrentes de operações fraudulentas de banca electrónica (home banking)”, Cadernos de Direito Privado, n.º 41, Janeiro/Março de 2013, a pág. 58, a realização de operações de home banking pressupõe um complexo de contratos que permite regular, de antemão, as relações entre o banco prestador de serviço e o seu cliente, visando a simplificação dos procedimentos a adoptar para a concretização de cada uma das operações por ele permitidas.
Como se refere in http://bancario.pt/internet-banking-e-banking:
“No domínio da banca, a inovação procura superar as tendências de mercado e permanecer um passo à frente com vista a antecipar as necessidades e desejos dos clientes. Foi precisamente deste espírito de constante aposta no desenvolvimento que nasceu o Internet Banking (…) um dos mais revolucionários progressos das últimas décadas no sector, e cuja implementação veio alterar profundamente a tradicional relação entre prestador e receptor de serviços bancários.
(…)
O conceito de e-banking alargou-se desde então a qualquer actividade bancária efectuada com recursos a meios tecnológicos de informação, aplicando-se tanto a nível interno como externo às organizações. Enquanto dentro das empresas tem essencialmente funções estruturais, junto dos clientes é uma espécie de banco de acesso instantâneo a qualquer momento e em qualquer local,…”.
A designada banca electrónica ou on-line, por contraposição à tradicional, que exigia a presença física “surge como um conjunto de serviços e acções que habitualmente eram fornecidos através de um banco (presença física) e que agora são oferecidos a qualquer indivíduo através de meios de acesso electrónicos ou digitais … como um conjunto de procedimentos que suportam as actividades electrónicas que permitam a aplicação de interacções bancárias.” – cf. Juliana Paiva Tavares, Caracterização das Soluções Tecnológicas do E-Banking em Portugal, UTAD, 2008, disponível in http://repositorio.utad.pt/bitstream/10348/190/1/msc_jptavares.pdf.
Surgiu, pois, a figura do e-banking como forma de evitar a deslocação das pessoas às agências bancárias, como se fazia, possibilitando a realização dos mais variados actos sem sair de casa, com potenciais e anunciados benefícios para ambas as partes, desde que respeitados os moldes para tal previstos.
Como refere Maria Raquel Guimarães, ob. cit., a pág. 59, as operações de transferência electrónica de fundos, correspondem a actos de execução do previamente contratado, potenciador de uma multiplicidade de contratos subsequentes (tantos quantos as operações realizadas).
Com a proliferação deste tipo de contratos surgiu a necessidade de regulamentar tal actividade, o que, entre nós, se consagrou através do DL 317/2009, de 30 de Outubro (transpondo Directiva Comunitária), de acordo com o qual se estipulam obrigações quer para o utilizador dos serviços de pagamento quer para o seu prestador, de que assumem especial relevo, para a situação sub judice, o disposto nos seus artigos 67.º a 72.º.
Designadamente, para o utilizador, assume especial importância a obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; comunicar, atempadamente, a perda, roubo ou apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento e impondo-se-lhe que tome todas as medidas razoáveis, para preservar a eficácia dos dispositivos de segurança personalizados do instrumento de pagamento.
Conforme o seu artigo 68.º, ao prestador de serviços impõe-se que assegure que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador.
A ter, ainda, em conta, o disposto no artigo 70.º, n.º 2, de acordo com o qual, se um utilizador negar a regularidade de uma transferência executada, não é suficiente para provar que a mesma foi autorizada pelo ordenante, que este agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, alguma das obrigações que sobre si impendem.
Quanto à responsabilidade decorrente de operações de pagamento não autorizadas, a mesma, cf. artigos 71.º e 72.º, é de imputar ao prestador do serviço, se vier a comprovar-se que a mesma não foi autorizada e não se verificar o incumprimento de nenhuma das obrigações que são impostas ao utilizador ou a este, em caso de perda, roubo, apropriação abusiva de instrumento de pagamento ou quebra da confidencialidade dos dispositivos de segurança personalizados, respectivamente.
Associada ao home-banking anda a fraude informática, que possibilita que terceiros, de forma não autorizada e/ou abusiva, tenham acesso aos elementos identificadores de segurança personalizados, corrompendo ou subvertendo os meios informáticos utilizados no home banking, revertendo-os para seu próprio benefício e, por via disso, se apoderem das quantias depositadas, através dos referidos meios informáticos, os designados “hackers”.
As modalidades mais comuns de fraude informática são o “phishing” e o “pharming”.
Seguindo, mais uma vez, Raquel Guimarães, ob. cit., pág. 63, o “phishing”, efectiva-se através do “envio de mensagens de correio electrónico tentando obter palavras-passe de serviços de banca electrónica, PINS de cartões bancários ou outras informações dos destinatários que permitam aceder às suas contas. Estas mensagens surgem com uma aparência fidedigna, “camufladas” muitas vezes, como mensagens da própria instituição de que o destinatário é cliente.”.
Ao invés, o “pharming”, consiste numa técnica mais sofisticada que permite que seja “corrompido o próprio nome de domínio (…) de uma instituição financeira, redireccionando o utilizador para um site falso – em tudo similar ao verdadeiro – sempre que este digita no teclado a morada correcta do seu banco. Uma vez na página falsa, o utilizador indica as suas chaves secretas de acesso que depois são utilizadas na página verdadeira para transferências fraudulentas.”.
In casu, como resulta da factualidade provada (alínea I), demonstrou-se que em 6 de Julho de 2011, o terceiro ali identificado, sozinho ou em colaboração com terceiros, após ter tomado conhecimento e na posse do nome de utilizador, palavra-chave e dos códigos de acesso e de movimentação da conta da autora através do sistema informático, efectuou, sem autorização e contra a vontade desta, uma transferência bancária da conta da autora para uma outra de que é titular.
Concomitantemente, é, ainda, de ter em conta o que consta do item 1.º dos factos não provados, de acordo com o qual não se provou que a funcionária da autora (a quem haviam sido cedidos os necessários elementos – cf. item h) dos factos provados – tenha fornecido a terceiros (ao aceder a página ilícita) as chaves de acesso ao serviço em causa e/ou ao navegar na inter-net permitiu que outrem tenha capturado as credenciais de acesso e validação.
Na sentença recorrida, com vista a afastar qualquer responsabilização da autora, escreveu-se o seguinte:
“De acordo com as condições gerais do contrato o Banco réu comprometeu-se a manter sob rigorosa confidencialidade as chaves de acesso e a informação constante do cartão de coordenadas, sendo ainda, nos termos legais acima assinalados, o garante da fiabilidade daquele sistema de acesso à conta bancária. Por seu turno, a autora obrigou-se a guardar sob segredo, a assegurar que os utilizadores guardam sob segredo, as chaves de acesso e o cartão de coordenadas e, bem assim, a assegurar que a sua utilização é feita exclusivamente pelos utilizadores e a prevenir o seu uso abusivo por parte de terceiros.
Ora, o Banco réu não provou, como lhe competia, qualquer comportamento da autora que pudesse pôr em causa o sistema de segurança do sistema, ou qualquer outra violação do contrato, designadamente a quebra do dever de confidencialidade relativamente às chaves de acesso que tenha estado na origem da fraude electrónica que permitiu a transferência ilícita.
Com efeito, não resulta da matéria provada que a autora, “única contraparte do Banco no presente contrato” – cfr. condição 1º, al. e) – através dos seus representantes legais ou qualquer funcionário, tenha divulgado a terceiros os elementos necessários para o acesso às suas contas bancárias através do serviço “ B... net empresas”, não podendo sequer concluir-se por uma utilização imprudente daquele serviço por parte da autora.
É certo que ficou demonstrado que a pessoa - um dos então seus sócios gerentes - (o denominado “utilizador”) a quem a autora atribuiu poderes para em seu nome usar o serviço a que aderiu, em data anterior à transferência, entregou os códigos de acesso à conta ao Pai (sócio gerente da A.) que o entregou à funcionária da autora, F... , e “braço direito” deste para efectuar os pagamentos, sem que a autora comunicasse ao Banco réu tal alteração nos termos das condições gerais 3.2 e 3.4. Contudo, para além de não se vislumbrar qualquer prejuízo para o banco decorrente de tal omissão face ao disposto na condição geral 3.6, há que ter em conta, por um lado, que, com tal entrega, os códigos de acesso não saíram da esfera de domínio da autora não traduzindo por isso esse comportamento, usual no giro empresarial, qualquer quebra do dever de segredo sobre as chaves de acesso, e, por outro, que nada foi apurado no sentido de que tenha sido essa alteração de facto de utilizador, ou a utilização do sistema pela referida funcionária, que tenha propiciado a intromissão ilegítima do sistema informático que permitiu a transferência ilícita. Em tese, o autor da fraude pode até ter obtido os códigos de acesso em momento anterior àquela transmissão.”.
Concordamos, em absoluto, com tal conclusão.
Efectivamente, não é pelo facto de os códigos de acesso personalizados terem sido transmitidos por um dos sócios da autora (quando deixou de o ser) a outro e deste para uma funcionária da empresa, que se pode concluir que existiu violação do disposto no artigo 67.º do referido DL 317/2009.
O que ali se impõe é que o utilizador preserve a confidencialidade dos dispositivos de segurança, o que se não mostra violado porque os mesmos permaneceram sempre na esfera de actuação de pessoas ligadas à organização da autora e sem que se prove que, alguém, os tenha fornecido a terceiros ou tenha praticado qualquer facto que tal o tenha permitido, como resulta do item 1.º dos factos não provados.
De resto, como consta das cláusulas 6.2 e 7.2 e 7.3 do contrato (transcritas na al. G) dos factos provados), o que se pretende evitar é que haja um uso abusivo por parte de terceiros.
Numa actividade empresarial não se pode exigir que seja só uma mesma pessoa a efectuar operações através do e.banking, como, igualmente, no caso de conta conjunta titulada por um casal, tem de se haver por permitido o acesso por parte de qualquer dos cônjuges, ainda que só um deles esteja identificado como utilizador.
O que resulta de tais cláusulas contratuais e do disposto no artigo 67.º do DL 317/2009, é que sobre o cliente/utilizador incumbe a obrigação de tudo fazer para que os elementos de segurança não cheguem ao conhecimento de terceiros.
Se a utilização e conhecimento destes elementos permanecem no âmbito restrito das pessoas que fazem o “giro comercial” da empresa, não se pode falar nem em uso abusivo por parte de terceiros, nem que se trate de uma utilização por parte de terceiros.
Nos termos do citado artigo 67.º, o que se impõe ao utilizador é que não denuncie os elementos de segurança, nem os forneça a terceiros e isso não se demonstrou bem, pelo contrário.
De resto, nos termos do disposto no artigo 72.º, n.º 2, do referido DL 317/2009, a utilização dos elementos de segurança correctos não permite extrair a conclusão de que a operação de pagamento foi autorizada pelo ordenante.
Como refere Maria Raquel Guimarães, in As Transferências Electrónicas de Fundos e os Cartões de Débito, Almedina, pág. 195 (embora para o caso de cartão multibanco, mas as razões são as mesmas e foi a solução que veio a ser seguida, cf. ora referido DL 317/2009) o uso correcto dos elementos personalizadores apenas indicia que se possa afirmar que a maioria das operações automáticas são levadas a cabo pela pessoa autorizada a fazê-lo, mas sem que, necessariamente, assim seja.
Efectivamente, o que se demonstrou é que um terceiro, através do sistema informático, obteve aqueles elementos, após o que logrou transferir as quantias em causa e como não está demonstrada a existência de nenhuma mensagem informaticamente recebida pela autora, na sequência da qual houve quebra de confidencialidade (cf. item 1.º dos factos não provados), só poderemos estar perante um caso de “pharming”, o que afasta a responsabilidade da autora.
Como refere Maria Raquel Guimarães, Cadernos …, cit., a pág. 64 “dificilmente haverá nestes casos de pharming, um comportamento culposo do utilizador, com excepção daquelas situações em que, de facto, existam avisos de segurança passíveis de ser apreendidos pelo utilizador e que são por este negligentemente ignorados.
(…)
É o banco que deve suportar o risco de o seu sistema de home banking não ser seguro e permitir a intromissão de terceiros. Mais uma vez recai sobre o banco o risco dos meios informáticos utilizados.”.
Reiterando a pág. 65 que:
“é o prestador de serviços de pagamento electrónicos – independentemente da modalidade de instrumento de pagamento utilizado – que deve arcar com os danos potenciados pelas fragilidades dos sistemas de pagamento que comercializa.”.
A responsabilização do banco (prestador de serviços de pagamento) em tais casos é, também, propugnada por M. Januário da Costa Gomes, in Contratos Comerciais, Almedina, 2012, pág.s 245 a 247.
Na jurisprudência, em idêntico sentido, podem ver-se, v.g. o Acórdão do STJ, de 18/12/2013, Processo 6479/09.8TBBRG.G1.S1; os Acórdãos da Relação de Lisboa, de 03/03/215, Processo 1727/13.2TJLSB.L1-1 e da Relação do Porto, de 29/04/2014, Processo 225/12.6TJVNF.P1 e de 07/10/2014, Processo 747/12.9TJPRT.P1, cada um deles, disponível no sítio do itij, do respectivo Tribunal.
Como acima já referido, in casu, não é de imputar à autora qualquer comportamento, que permita concluir ter sido a causa de o terceiro ter obtido os elementos necessários para a efectivação da transferência que consumou.
Pelo que se verifica a responsabilidade do réu (artigo 68.º do DL 317/2009) e inerente obrigação de reembolso da quantia pedida e respectivos juros de mora (cf. artigo 71.º, do mesmo DL).
Consequentemente, nada há a censurar na decisão recorrida.
Pelo que, improcede o recurso.
Nestes termos se decide:
Julgar improcedente o presente recurso de apelação, em função do que se mantém a decisão recorrida.
Custas pelo apelante.
Coimbra, 02 de Fevereiro de 2016.
Arlindo Oliveira (Relator)
Emidio Francisco Santos
Catarina Gonçalves