| 398/18.4T8GVA.C1 |  |
SERVIÇOS DE PAGAMENTO
SERVIÇOS HOMEBANKING
OPERAÇÕES DE PAGAMENTO NÃO AUTORIZADAS
RESPONSABILIDADE PELO REEMBOLSO
ÓNUS DA PROVA
II - Não havendo prova da culpa, nem do utilizador, nem do prestador do serviço, o regime jurídico dos serviços de pagamento constante do anexo I ao Decreto-Lei ao Decreto-Lei n.º 317/2009, de 30 de Outubro, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.º 242/2012, de 7 de Novembro, e pelo Decreto-Lei n.º 157/2014, de 24 de Outubro, fazia recair a responsabilidade pelo reembolso do montante da operação sobre o prestador do serviço.
Processo n.º 398/18.4T8GVA.C1
Serviços de pagamento
Operações de pagamento não autorizadas
Responsabilidade pelo reembolso
Sumário:
I - O prestador do serviço de pagamento é obrigado a reembolsar o utilizador em caso de operação de pagamento não autorizada, não apenas nas hipóteses em que tal execução lhe seja imputável a título culposo, mas também nas hipóteses em que não se prove nenhuma acção censurável nem dele nem do utilizador.
II - Não havendo prova da culpa, nem do utilizador, nem do prestador do serviço, o regime jurídico dos serviços de pagamento constante do anexo I ao Decreto-Lei ao Decreto-Lei n.º 317/2009, de 30 de Outubro, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.º 242/2012, de 7 de Novembro, e pelo Decreto-Lei n.º 157/2014, de 24 de Outubro, fazia recair a responsabilidade pelo reembolso do montante da operação sobre o prestador do serviço.
Acordam na 1.ª Secção Cível do Tribunal da Relação de Coimbra
M (…), Lda, com sede (…), propôs a ressente acção declarativa com processo comum contra C (…), SA, com sede na Rua(…), pedindo:
1. A condenação da ré restituir-lhe as quantias fraudulentamente transferidas da sua conta, no valor global de 3.595,00 euros (três mil quinhentos e noventa e cinco euros), acrescida dos juros legais vencidos e vincendos, calculados de acordo com a aplicação da taxa e respectivo acréscimo legais, desde a data em que a autora negou ter autorizados as operações de pagamento em questão, fixável em 08.02.2016, até à efectiva e integral restituição, que ascendem na presente data a 1 405,00 euros (mil quatrocentos e cinco euros);
2. A condenação da ré no pagamento de indemnização suplementar pelos danos não patrimoniais sofridos, em quantia não inferior a 1500,00 euros (mil e quinhentos euros).
Para o efeito alegou em sínese:
1. Que é detentora de uma conta bancária na agência da ré em(…);
2. Que celebrou com a ré a utilização do serviço electrónico “Multicanal M(…)24 Empresas”, através do qual lhe passou a ser garantido efectuar operações bancárias através da internet, concretamente o pagamento de transferências sem a intervenção directa dos funcionários do Banco;
3. Que a sua conta foi movimentada fraudulentamente através de duas ordens de pagamento, nos montantes, respectivamente de 2 395 euros e 1 200 euros;
4. Que ela, autora, não autorizou as referidas ordens de pagamento, o que comunicou à ré,
5. Que os movimentos só foram possíveis por fragilidades do sistema de segurança do serviço “Multicanal M(…)24 Empresas”;
6. Que a ré está obrigada a reembolsar a autora dos montantes das operações de pagamento não autorizadas e a indemnizá-la dos prejuízos sofridos com tal situação.
A ré contestou, pedindo se julgasse improcedente a acção. Para o efeito alegou que não existiu qualquer violação do seu site e que só por culpa ou negligência grave da autora é que os movimentos em causa foram realizados.
A autora respondeu.
O processo prosseguiu os seus termos e após a realização da audiência foi proferida sentença que, julgando parcialmente procedente a acção, decidiu:
1. Condenar a ré “C (…)S.A.” a pagar à autora “M (…)Lda.” a quantia de € 3.595,00 (três mil, quinhentos e noventa e cinco euros) acrescida de juros de mora vencidos, desde 08.02.2016, e vincendos até efectivo e integral pagamento, e;
2. Absolver a ré do demais peticionado pela autora.
A ré não se conformou com a sentença e interpôs o presente recurso de apelação, pedindo a revogação da sentença e a substituição dela por decisão que a absolva do pedido.
Os fundamentos do recurso expostos nas conclusões consistiram na imputação à decisão recorrida da violação do disposto nos artigos 570.º e 799.º, ambos do Código Civil, e nos artigos 67.º e 72.º, ambos do Decreto-Lei n.º 317/2009.
Esta imputação assentou na seguinte alegação:
1. Nos termos do disposto no artigo 73º do RGICSF [Regime Geral das Instituições de Crédito e Sociedades Financeiras], é dever da ré assegurar, em todas as actividades que exerce, elevados níveis de competência técnica e os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência;
2. Em especial aqueles que se reportam à implementação de todo um sistema de segurança que decorre da atribuição de códigos de acesso de utilização a três níveis: a) Número de identificação(…); b) Código de segurança, vulgo Pin, compostos por seis dígitos; c) Cartão matriz;
3. O referido número de identificação e o Código Pin foram atribuídos à autora no momento da adesão ao M(…)24 e o cartão matriz foi enviado para a sede da autora;
4. Até à data, o sistema informático da ré não registou qualquer intrusão, pelo que a autora, não tendo realizado as transferências em causa terá obrigatoriamente de ter incumprido com as mais basilares regras de segurança veiculadas pelo banco aos clientes/utilizadores do serviço de homebanking;
5. Isto porque decorre dos factos provados (23, 24, 25) que as transferências utilizaram o número de cliente, o código pin e as duas coordenadas do cartão matriz, pois sem estes elementos as transferências nunca poderiam ter sido efectuadas;
6. Tendo-se apurado que nos presentes autos as transferências sub judice foram efectuadas fraudulentamente por terceiros com recurso à técnica conhecida por phishing, logo se conclui que tal transferência não ocorreu por causa de uma qualquer avaria do sistema informático do réu, mas apenas por a autora ter cedido a terceiros, ainda que inadvertidamente os aluídos códigos de acesso;
7. Tal foi amplamente e detalhadamente explicado pela testemunha D (…), responsável da ré no departamento de inspecção e fraudes, que depôs de forma séria, esclarecedora e isenta e que não foi devidamente valorado pelo tribunal a quo;
8. Ao que acresce que a ré, no cumprimento do seu dever legal de informação, tem no seu sítio institucional diversos alertas de fraude, com exemplos claros do que é ou não uma situação de fraude;
9. Sendo um contrato de adesão ao homebanking um contrato autónomo, mas umbilicalmente ligado ao contrato de abertura de crédito, importa para ambas as partes a assunção de deveres e obrigações;
10.O banco tem o dever de assegurar um sistema de segurança eficaz e o cliente o dever de não facultar a terceiros elementos que permitam o seu acesso à conta;
11.Da matéria apurada nos autos resultou um comportamento do cliente violador dos seus deveres contratuais, que permitiu o acesso indevido de terceiros à sua conta, pois não fora esse comportamento a situação objecto dos autos não se verificaria;
12.Parece-nos demostrado que a autora, com fez uma utilização negligente e descuidada do serviço, não podendo ser assolada qualquer responsabilidade ao banco recorrido.
13.O que não resultou provado foi o concreto meio através do qual elas forma cedidas, se através da recepção de um email fraudulento ao qual respondeu dando designadamente as coordenadas do cartão matriz (phishing) ou se em página clonada do serviço da ré (pharming).
14.No entanto tem de ser analisado o comportamento do autor na disponibilização das credenciais, importando referir que o acesso ao homebanking é um serviço já oferecido pela banca, há pelo menos 10 anos, tempo suficiente para que o comum utilizador se familiarize com o modo de funcionamento do serviço.
15.O banco disponibiliza já há diversos anos informação detalhada alertando para eventuais situações de fraude, fazendo alertas constantes na sua página de acesso.
16.Demonstrado que está nos autos, pela análise cuidada de todo a prova aqui produzida, que as credenciais foram disponibilizadas pelo autor, pois não haveria outra forma de as transferências serem efectuadas e apesar de não se ter apurado concretamente se foi por email ou por uma página da web falsa, o comportamento do autor foi censurável, reconduzindo à negligência grave prevista no art. 72, nº 3 da RJSP [Regime Jurídico dos Serviços de Pagamento].
A autora não respondeu ao recurso.
*
Síntese das questões suscitadas pelo recurso
Saber se, ao condenar a ré no pagamento da quantia de € 3 595,00 (três mil, quinhentos e noventa e cinco euros) acrescida de juros de mora vencidos e vincendos, a sentença violou as disposições legais indicadas pelo recorrente.
*
Não tendo havido impugnação da decisão relativa à matéria de facto e não havendo razões para a alterar oficiosamente, consideram-se provados e não provados os seguintes factos:
Factos provados:
1. A autora é uma sociedade comercial que se dedica à actividade de construção civil, obras públicas e acabamentos, bem como ao comércio de material e equipamentos de construção.
2. A ré é uma instituição de crédito que tem por objecto o exercício da actividade bancária, podendo efectuar todas as operações previstas no artigo 4.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovado pelo Decreto-Lei n.º 298/92, de 31.12, e estando autorizada pelo Banco de Portugal a efectuar serviços de pagamento, nos termos do respectivo regime jurídico aprovado pelo Decreto-Lei n.º 317/2009, de 30.10.
3. Por contrato de abertura de conta, celebrado entre a autora e a ré, em 06.03.2013, foi aberta, na agência da ré, na cidade de(…), uma conta bancária a que foi atribuído o n.º 141.10.005074-1.
4. Desde a sua abertura, a autora tem vindo a movimentar a identificada conta bancária, nela fazendo depósitos de recursos monetários e sobre ela fazendo os mais diversos pagamentos com vista ao apoio da sua actividade empresarial.
5. Por contrato, vulgarmente designado por “homebanking”, celebrado em 07.05.2013, a autora contratou com a ré a utilização do serviço electrónico “Multicanal M(…)24 Empresas”, através do qual, relativamente à supramencionada conta, lhe passou a ser permitido efectuar operações bancárias através da internet, concretamente, pagamentos e transferências sem a intervenção directa dos funcionários do banco.
6. Após a celebração deste contrato, a autora passou a usar este serviço, procedendo, através dele, a operações de pagamentos e transferências, e bem assim, a consultas de saldos da sua identificada conta, sendo certo que, de acordo com o mencionado contrato, estava autorizado a realizar as operações previstas o representante da autora, M (…)
7. A realização de uma operação bancária, concretamente uma transferência, depende, depois de se ter acedido à página informática do serviço “Multicanal M(…)24 Empresas”, da correcta inserção do número do contrato e respectiva credencial de autenticação, que é pessoal e intransmissível, e bem assim de três números aleatórios do cartão matriz associado ao contrato.
8. No dia 04.02.2016, a hora não concretamente apurada, mas no final do dia, um funcionário da ré contactou telefonicamente o representante legal da autora, informando-o de que algo de anormal se poderia estar a passar com a sua conta bancária.
9. De imediato, o legal representante da autora verificou a movimentação da conta bancária da sua empresa e constatou que a mesma havia sido movimentada sem o seu consentimento, dela tendo sido retirada, através de duas ordens de pagamento, os valores, respectivamente, de € 2 395,00 e € 1 200,00 euros, na quantia global de € 3 595,00.
10. Na sequência de tal constatação, o legal representante da autora, desde logo transmitiu verbalmente aos funcionários da ré que as referidas ordens de pagamento não foram por si autorizadas e que as mesmas foram realizadas à sua revelia.
11. No dia seguinte, a 05.02.2016, o legal representante da autora deslocou-se ao balcão da ré, na cidade de(…), entregando pessoalmente um documento escrito com os seguintes dizeres: “Eu, M (…) (…) gerente da empresa de construção civil M (…) com sede na mesma morada, venho por este meio informar o M(…) que me foram efetuados dois levantamentos no dia 04 de Fevereiro de 2016, sem o meu conhecimento. Estes levantamentos um de 2.395,00 € às 16:45 h e outro de 1.200,00€ às 16:52, perfazem um total de 3.595.00 € da conta bancária da empresa supracitada. Eu, no papel de gerente da empresa e lesado por toda esta situação, apresentei queixa crime no posto da GNR de(…), no dia 08 de Fevereiro pelas 09:00 h, cujo processo ficou registado com o número 18/16.1GBGVA. Mais declaro que esta empresa não possui qualquer cartão multibanco nem caderneta, possuindo apenas um livro de cheques cuja única pessoa habilitada de assinatura sou eu, M (…). Declaro ainda que efetuo pagamentos via Internet, uma vez que possuo cartão matriz fornecido pelo banco, contudo estes pagamentos são repetidos todos os meses, uma vez que se referem apenas a despesas telefónicas da empresa e contribuições fiscais como por exemplo a Segurança Social dos Empregados, o IVA e o IRS. Acrescento, ainda, que por norma estes pagamentos executados via Internet apenas surgem depois das 19 h, como podem constatar nos débitos e créditos mensais/anuais. Declaro ainda que o cartão matriz está guardado em local próprio na minha residência, não sendo possível a ninguém ter acesso a ele. Por todos estes motivos, peço que seja reposto na conta bancária da empresa o valor levantado indevidamente.”.
12. Na sequência da queixa-crime apresentada pela autora, e que deu origem ao Processo n.º 18/16.1GBGVA, apurou-se que os movimentos bancários foram efectuados através do endereço de IP 178.162.222.228 (Alemanha) no dia 04.02.2016 pelas 16H45 e 16H52, respectivamente, sendo creditados nos cartões pré-pagos n.º (…) (titulado por I (…)) e n.º (…) (titulado por R (…)
13. No âmbito da referida investigação foram constituídos arguidos I (…), em 03.11.2017, e R (…), em 20.06.2018.
14. Por sentença proferida no dia 23 de Maio de 2019, foram os arguidos I (…) e R (…) condenados pela prática de um crime de apropriação ilegítima de coisa achada, previsto e punido pelo artigo 209.º, n.ºs 1 e 2 do Código Penal.
15. A autora conhecia as recomendações de segurança de utilização do sistema “Multicanal M(…)24 Empresas” da ré, nomeadamente, o carácter pessoal, secreto e intransmissível, dos dados pessoais que lhe foram fornecidos aquando da celebração do contrato de “homebanking” (número do contrato e respectiva credencial de autenticação e cartão matriz associado ao contrato).
16. O legal representante da autora mantinha o cartão de acesso ao “Multicanal M(…)24 Empresas” guardado no cofre do seu escritório.
17. Não tendo obtido resposta da ré à comunicação referida em 11), em 24.05.2016, remeteu nova comunicação à ré, insistindo para que esta se pronunciasse, tendo a ré respondido através de ofício datado de 02.06.2016, com o seguinte teor: “No seguimento do pedido de esclarecimentos sobre transações não reconhecidas, que mereceu a melhor atenção desta Provedoria, cumpre-nos, em primeiro lugar, lamentar o desagrado manifestado e apresentar as nossas desculpas pela demora na resposta, que se ficou a dever a tentativas de recuperação dos valores em causa. Relativamente ao assunto exposto, informamos que foram vítimas de uma fraude informática que resultou em dois pagamentos de serviços por débitos processados, via Homebanking, em 2016.02.04, que lesaram a conta à ordem n.º 141.10.005074-1. Para tal terá concorrido o facto de terem fornecido coordenadas do seu cartão-matriz (foram necessárias 4 posições), quando ao aceder a um site que se fez passar pelo legítimo, lhes foi solicitado o preenchimento dos campos do cartão matriz. Munido das credenciais de acesso e das coordenadas do cartão matriz, o pirata informático acedeu ao site legítimo do M(…), onde terá realizado as seguintes operações: (…). Na oportunidade, prestamos ainda as seguintes informações: a) Os sistemas do M(…)são revestidos de infraestruturas de segurança, de acordo com os mais rigorosos standards internacionais nesta matéria. Já os sistemas domésticos, pela sua natureza, estão mais vulneráveis aos ataques perpetrados por “piratas” informáticos; b) Existem dois aspetos importantes que terão permitido a concretização do movimento: Primeiro, não dotar o computador que utiliza com um adequado sistema de segurança ou não se certificar que o computador é seguro. Segundo, fornecer posições do Cartão Matriz em resposta a correio electrónico malicioso supostamente enviado em nome do M(…), sem terem efetuado operação que o requeresse; c) O M(…)nunca lhes solicita a realização de qualquer atualizaçãode segurança de códigos de identificação via correio eletrónico, nem procede ao seu envio com links diretos para o site oficial; d) Neste sentido, ocorreu um crime de burla informática, alheio a esta Instituição, em que terceiros terão obtido, ilicitamente, acesso às credenciais necessárias, para realização, via homebanking, dos pagamentos dos serviços que terão lesado a conta à ordem. e) Não obstante as diligências desenvolvidas, não fomos sucedidos na recuperação dos valores junto da respetiva Entidade. No entanto, prestaremos todas as informações que nos forem solicitadas pelas Autoridades de Investigação ou Judiciais, no âmbito da queixa-crime intentada. (…)”.
18. A actuação da ré, acima descrita, levou a que a autora procedesse ao cancelamento da utilização dos canais informáticos da ré, pela insegurança que o legal representante da autora passou a sentir a efectuar transacções online.
19. Mercê da actuação da ré, acima descrita, o legal representante da autora deixou de utilizar o cartão multibanco e passou a deslocar-se pessoalmente ao balcão da ré, sempre que pretendia efectuar depósitos, realizar pagamentos ou consultar saldos.
20. O serviço “NET24” disponibiliza ao seu utilizador a realização de inúmeras operações bancárias, sem necessitar de contacto presencial com o banco.
21. A ré dispõe de mecanismos técnicos para garantir uma correcta utilização do sistema homebanking, designadamente para garantir a validade das ordens de pagamento e demais operações emitidas pelo ordenante, dotando o sistema informático de mecanismos técnicos que obstem à intrusão nos seus serviços.
22. O contrato de adesão celebrado entre a autora e a ré prevê a disponibilização de credenciais de autenticação que permitem o acesso e a correcta validação da intenção do utilizador de emitir uma ordem ao banco, seja para realização de um pagamento ou subscrição de um outro serviço.
23. Na data de adesão ao serviço por parte da autora, a ré tinha como mecanismos de segurança: a) Número do contrato b) Password c) Cartão Matriz, sendo o número de contrato e a password fornecidos presencialmente ao cliente no momento de subscrição do serviço.
24. O processo de validação das operações emitidas através do portal “Net24” realiza-se através da colocação do número de contrato e password para aceder à plataforma.
25. Para autenticação das operações, o sistema requer a indicação de duas coordenadas do cartão matriz, de forma única e que nunca mais se repete.
26. A ré disponibiliza informações referentes a uma utilização segura do sistema de homebanking às quais a autora tem acesso assim que entra no site institucional.
27. Após aceder à plataforma de homebanking, o cliente dispõe de uma área de mensagens, emitindo ainda o sistema avisos de segurança, requerendo a alteração da password de acesso, caso já tenha decorrido muito tempo da última actualização.
Factos não provados:
a) Que mercê da actuação da ré, ao não repor os valores referidos em 9), a autora viu-se obrigada a reorganizar a sua contabilidade, a fim de conseguir honrar todos os compromissos a que estava adstrita;
b) Que a circunstância descrita em 19) causou um enorme transtorno na vida profissional do legal representante da autora, para além dos custos inerentes;
c) Que a autora, através do seu legal representante, transmitiu as credenciais de acesso ao homebanking a um terceiro, contrariando todos os avisos de segurança da ré;
d) Que a autora, através do seu legal representante, forneceu, permitiu ou facilitou o acesso a terceiros dos seus códigos pessoais de acesso, com base nos quais foram realizados movimentos na sua conta.
*
Descritos os factos passemos à resolução das questões de direito suscitadas pelo recurso.
Previamente importa dizer o seguinte sobre a origem e os traços essenciais do litígio que opõe a autora à ré.
Na sua origem está a retirada de fundos de uma conta de pagamentos da autora na agência da ré, na cidade de(…), através da plataforma electrónica denominada “Multicanal M(…)24 Empresas”, disponibilizada pela ré aos seus clientes e que lhes permite efectuar operações bancárias através da internet, concretamente, pagamentos e transferências sem a intervenção directa dos funcionários do banco.
Apesar de as operações de pagamento terem sido ordenadas com a utilização das credenciais de autenticação fornecidas pela ré à autora, esta, logo que teve conhecimento de tais operações, negou que fosse ela a dar ordem para a sua execução.
A sentença sob recurso decidiu que cabia à ré reembolsar a autora do montante das operações de pagamento, tanto à luz do Código Civil, concretamente do disposto no artigo 796.º, n.º 1, como à luz do regime jurídico dos serviços de pagamento e da moeda electrónica, constante do anexo I ao Decreto-Lei n.º 317/2009, de 30 de Outubro, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.º 242/2012, de 7 de Novembro, e Decreto-Lei n.º 157/2014, de 24 de Outubro [a partir de agora designado por RSP].
A recorrente contrapõe que a perda resultante das duas operações de pagamento recai sobre a autora, por a execução de tais operações se ter ficado a dever ao facto de esta ter incumprido, com negligência grave, as obrigações que impendiam sobre si enquanto utilizadora do serviço de homebanking, designadamente a obrigação de não facultar a terceiros as credenciais de autenticação de acesso ao serviço. Fundamentou juridicamente a sua pretensão no disposto nos artigos 570.º e 799.º, ambos do Código Civil, e nos artigos 67.º e 72.º, ambos do RSP.
No entender deste tribunal, a legalidade da decisão recorrida deve ser aferida à luz do regime jurídico dos serviços de pagamento constante do anexo I ao Decreto-Lei ao Decreto-Lei n.º 317/2009, de 30 de Outubro, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.º 242/2012, de 7 de Novembro, e Decreto-Lei n.º 157/2014, de 24 de Outubro.
Com efeito:
1. Tal diploma regula os serviços de pagamento por parte de instituições de crédito, como é o caso da ré, através de homebanking;
2. A execução das operações de pagamento por parte da ré, no âmbito do serviço electrónico “Multicanal M(…)24 Empresas”, constitui um serviço de pagamento, na definição da alínea c) do n.º 2 do artigo 2.º e da alínea c) do artigo 4.º do RSP;
3. Apesar de tal diploma já não estar em vigor neste momento, por ter sido revogado pelo artigo 3.º, n.º 1, do Decreto-Lei n.º 91/2018, de 12 de Novembro, que aprovou o novo Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, transpondo a Directiva (UE) 2015/2366, era, no entanto, o que estava em vigor aquando da execução das operações de pagamento [4 de Fevereiro de 2016].
Segundo o regime dos serviços de pagamento, as operações de pagamento que estão na origem do litígio são de considerar como operações de pagamento não autorizadas, visto o disposto no n.º 1 do artigo 65.º do diploma acima referido e as seguintes circunstâncias:
1. A autora, utilizadora do serviço de pagamento, negou ter autorizado as operações de pagamento executadas pela ré;
2. Segundo o n.º 2 do artigo 70.º do RSP, caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo utilizador;
3. A ré não provou que a autora consentiu na execução das duas operações de pagamento.
O regime da responsabilidade do utilizador do serviço de pagamentos por operações de pagamento não autorizadas consta do artigo 72.º do RSP e é o seguinte:
1. No caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de € 150.
2. O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67.º, caso em que não são aplicáveis os limites referidos no n.º 1.
3. Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva.
Resulta do preceito acabado de transcrever que o utilizador do serviço de pagamento suporta todas as perdas resultantes de operações de pagamento não autorizadas por ele, quando estas forem devidas à sua actuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas o artigo 67.º, ou seja:
1. Da obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão ou utilização;
2. Da obrigação de comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento;
3. Da obrigação de tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados.
Segue-se do exposto que o utilizador suportará todas as perdas resultantes de operações de pagamento que declare não ter autorizado, quando se provar que elas foram devidas a acção fraudulenta dele ou ao incumprimento deliberado das suas obrigações.
Fora destes casos [actuação fraudulenta do utilizador ou de incumprimento deliberado de uma ou mais das obrigações previstas o artigo 67.º], o utilizador suportará ainda perdas, mas em montante limitado, resultantes de operações que ele alegue não terem sido autorizadas por si, se tais operações forem devidas a negligência grave dele [n.º 3 do artigo 72.º] ou a mera negligência [n.º 1]. No primeiro caso, as perdas têm como limite o saldo disponível ou a linha de crédito associada à conta ou ao instrumento de pagamento; no segundo, têm como limite o saldo disponível ou a linha de crédito associada à conta ou ao instrumento de pagamento até ao máximo de 150 euros.
No caso de não haver prova de nenhuma das situações previstas no artigo 72.º [fraude do utilizador, incumprimento deliberado das suas obrigações, negligência grave (grosseira) ou mera negligência], vale a regra do artigo 71.º do regime, ou seja:
1- ”… em relação a uma operação de pagamento não autorizada, o prestador de serviços de pagamento do ordenante deve reembolsá-lo imediatamente do montante da operação de pagamento não autorizada e, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada;
2- “Sempre que o ordenante não seja imediatamente reembolsado pelo respetivo prestador de serviços de pagamento nos termos do número anterior, são devidos juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada, até à data do reembolso efetivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar”.
Segue-se o exposto que, enquanto o utilizador só suportará perdas resultantes de operações que ele declare não terem sido autorizadas por si, se elas forem devidas a acções ou omissões dele, passíveis de censura, o prestador do serviço pode ser obrigado a reembolsar o utilizador em caso de operação de pagamento não autorizada, não apenas nas hipóteses em que tal execução lhe seja imputável a título culposo, mas também nas hipóteses em que não se prove nenhuma acção censurável nem dele nem do utilizador. Não havendo prova da culpa, nem do utilizador, nem do prestador do serviço, o RSP faz recair a responsabilidade pelo reembolso do montante da operação sobre este último.
Socorrendo-nos das palavras de Mafalda Miranda Barbosa, “Se a imputação ao prestador do serviço pode ocorrer por uma destas vias – ou porque incumpriu determinados deveres, agindo censuravelmente, ou porque assume o risco de funcionamento do sistema de pagamentos –, a imputação ao ordenante opera por via da culpa, conduzindo a uma diminuição ou a uma exclusão da responsabilidade preliminarmente assumida pelo primeiro [Serviços de pagamentos, repartição do risco e responsabilidade civil – algumas reflexões a propósito da nova diretiva dos serviços de pagamentos (DSP2) publicado em https://www.revistadedireitocomercial.com/servicos-de-pagamentos.
A favor da interpretação supra exposta, citam-se o acórdão do STJ proferido em 18-12-2013, no processo n.º 6479/09.8TBBRG.C1 e o acórdão do mesmo tribunal proferido em 14-12-2016, no processo n.º 1063/12.1TVLSB.L1.S1, ambos publicados em www.dgsi.pt. e na doutrina citam-se Calvão da Silva [[Revista de Legislação e Jurisprudência, ano 144.º, n.º 3991, páginas 320 a 326]] e Maria Raquel Guimarães, Cadernos de Direito Privado, n.º 49, Janeiro/Março 2015, páginas 27 a 33.
Interpretado o RSP com o sentido e o alcance expostos, é de afirmar que ele não dá acolhimento à alegação da recorrente. Vejamos. A tese do recurso assenta, como já se expôs acima, na seguinte linha argumentativa:
1. Que ela, recorrente, cumpriu todos os seus deveres de informação, dando conhecimento à autora dos perigos de fraude a que devia estar atenta;
2. Que o seu sistema informático não registou qualquer intrusão;
3. Que as movimentações de fundos foram efectuadas com as credenciais de acesso ao sistema de pagamento fornecidas à autora [número de cliente, pin, coordenadas do cartão matriz];
4. Que as credenciais foram introduzidas sem qualquer erro;
5. Que as coordenadas só poderão ter sido facultadas pelo representante da autora, à revelia de todos os alertas dados pela ré;
6. Que o que não ficou provado foi o concreto meio através do qual foram facultadas as credenciais, se através da recepção de um email fraudulento ao qual respondeu, dando as coordenadas ou através de ma página clonada do serviço da ré;
7. Que era certo, no entanto, que as credenciais foram disponibilizadas pela autora pois não havia outra forma de as transferências serem efectuadas, o que se reconduzia á negligência grave prevista no n.º 3 do artigo 72.º.
Se é certo que a matéria de facto aponta no sentido de que a recorrente cumpriu os seus deveres de informação, dando conhecimento à autora dos perigos de fraude a que devia estar atenta, de que o seu sistema informático não registou qualquer intrusão e que as movimentações de fundos foram efectuadas com as credenciais de acesso ao sistema de pagamento fornecidas à autora [número de cliente, pin, coordenadas do cartão matriz], já não é certo que se possa afirmar, como faz a recorrente, que as coordenadas pessoais de acesso à página do serviço “Multicanal M(…)24 Empresas” só poderão ter sido facultadas pelo representante da autora, à revelia de todos os alertas dados pela ré.
E não se pode fazer esta afirmação porque ela tem contra si, desde logo, o n.º 2 do artigo 70.º do RSP, na parte em que dispõe que, “caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento, a circunstância de os dispositivos de segurança personalizados do instrumento de pagamento terem sido usados na execução da operação não é, por si só, necessariamente suficiente para demonstrar que tal só aconteceu por negligência grave do utilizador do serviço de pagamento” e o facto de autora ter negado o seu consentimento às operações de pagamento.
Socorrendo-nos das palavras de Calvão da Silva, na obra supracitada, página 320, “… a utilização… do serviço de homebanking através das coordenadas pessoais não pode fazer presumir o acordo ou consentimento do titular à operação, nem que este o tenha transmitido, para assim lhe imputar a culpa grave”.
Em segundo lugar, a imputação de negligência grave à autora tem contra si o n.º 2 do artigo 342.º do Código Civil, na parte em que dispõe que a prova dos factos impeditivos compete àquele contra quem a invocação é feita, o artigo 414.º do CPC, na parte em que dispõe que a dúvida sobre a realidade de um facto resolve-se contra a parte a quem o facto aproveita e a circunstância de não se terem provados quais factos relativas ao modo como, quem ordenou as operações de pagamento, teve acesso às credenciais de autenticação fornecidas à autora, de onde se concluísse que a autora afastou-se, de modo grosseiro, da diligência de um bom pai de família, em face das circunstâncias do caso [n.º 2 do artigo 487.º do Código Civil].
Vejamos.
O n.º 3 do artigo 72.º do RSP, interpretado à luz do considerando 33, na parte acima transcrita, aponta no sentido de que a negligência grave é avaliada nos termos do direito nacional.
Tal significa, em primeiro lugar, que a culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso [n.º 2 do artigo 487.º do Código Civil].
E significa também que o ónus de provar a negligência grave do utilizador cabe ao prestador do serviço, visto que a negligência grave do utilizador constitui um facto impeditivo do direito ao reembolso do montante da operação de pagamento não autorizada e segundo o n.º 2 do artigo 342.º do CC cabe àquele contra quem for um direito o ónus de provar os factos impeditivos desse direito. Depõe no mesmo sentido o artigo 572.º do Código Civil, ao dispor que àquele que alega a culpa do lesado incumbe a prova da sua verificação” favor desta interpretação cita-se Calvão da Silva, na obra supracitada, página 320].
Segue-se do exposto que cabia à ré a prova dos factos constitutivos da negligência grave da autora.
Ora o juízo sobre a negligência assenta na comparação entre a conduta concreta, provada, do agente e uma conduta hipotética que tem por referência a diligência de um bom pai de família, em face das circunstâncias de cada caso.
Socorrendo-nos das palavras de Inocêncio Galvão Teles, Direito das Obrigações, 7ª Edição, Reimpressão, Coimbra Editora, página 353, “com esta maneira de dizer quer-se visar o homem de diligência normal”. Isto é, o legislador toma como referência, como modelo ou padrão de conduta, para efeitos de apreciação da culpa, o comportamento do homem de diligência normal.
Sucede que no caso este juízo comparativo não é possível, dado que como reconhece a recorrente, desconhece-se não só o terceiro ou terceiros que ordenaram as operações de pagamento como se ignora o modo e as circunstâncias relativas ao acesso deles aos dispositivos de segurança do homebanking. Além de nada se ter apurado, julgou-se não provado que a autora, através do seu legal representante, transmitiu as credenciais de acesso ao homebanking a um terceiro, contrariando todos os avisos de segurança da ré e que a autora, através do seu legal representante, forneceu, permitiu ou facilitou o acesso a terceiros dos seus códigos pessoais de acesso, com base nos quais foram realizados movimentos na sua conta.
A ignorância do tribunal sobre aspectos essenciais para a formação do juízo de culpa, resolve-se contra a ré por aplicação do princípio enunciado no artigo 414.º do CPC, na parte em que dispõe que a dúvida sobre a realidade de um facto resolve-se contra a parte a quem o facto aproveita.
Pelo exposto, ao condenar a ré a reembolsar a autora dos montantes das operações de pagamento não autorizadas, a sentença sob recurso não violou as disposições legais indicadas pela recorrente. Em consequência é de manter o que foi decidido.
*
Decisão:
Julga-se improcedente o recurso e, em consequência, mantém-se a decisão recorrida.
Responsabilidade quanto a custas:
Visto o disposto no n.º 1 do artigo 527.º do CPC e o n.º 2 do mesmo preceito e o facto de o recorrente ter ficado vencido no recurso, condena-se o mesmo nas respectivas custas.
Coimbra, 10 de Dezembro de 2020
Emídio Santos ( Relator )
Catarina Gonçalves
Maia João Areias