Acórdão do Tribunal da Relação de Guimarães
| 2869/11.4TBGMR.G1 |  |
INTERNET
HOMEBANKING
2. O aderente tem de cumprir um conjunto de deveres conexos com a segurança do seu sistema informático e uso da chave de acesso concedida pela ré, não a fornecendo a terceiros.
3. A entidade bancária cumpre o seu dever de protecção e informação colocando no seu site toda a informação disponível sobre segurança, que os utentes têm o dever de consultar, para se prevenirem de fraudes.
4. Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador.
MJ…, residente na Av. …Guimarães, e MI…, residente na …, Coimbra, intentaram contra “C…, S.A.”, sociedade anónima com sede na Av…., Lisboa, a presente acção que corre termos sob a forma de processo sumário pedindo a condenação desta a pagar à primeira autora a quantia de € 19.264,61 e à segunda a quantia de € 3500,00, quantias essas acrescidas de juros desde a citação seguindo-se os ulteriores termos do processo até final.
Para tanto e em suma alegaram que a ré exerce profissionalmente a actividade bancária e que a primeira autora é depositante na ré desde 1993, sendo titular única da conta com o nº …, dependência de Guimarães. É ainda titular, juntamente com a segunda autora, de uma outra conta bancária sedeada na ré, esta com o nº…, dependência de Vila das Aves.
Por escrito particular datado de 14 de Janeiro de 2005, a ré acordou com a primeira autora a adesão ao Serviço Caixa directa, por via do qual esta podia aceder a serviços disponibilizados por aquela através de canais telemáticos, via telefónica, internet, WAP, ITV ou outras formas de acesso, possibilitando por esse meio, designadamente, obter informações sobre produtos e serviços do Banco, obter informações e realizar operações bancárias sobre contas de que fosse titular, ou co-titular em regime de solidariedade. Para tanto, a ré atribuiu à primeira autora um número de contrato e uma password secreta, bem como um cartão matriz de coordenadas.
Nos dias 15, 16 e 21 de Julho de 2008, através do serviço Caixa directa, a conta de depósitos com o nº… foi movimentada a débito na quantia global de €15.000,00 (quinze mil euros), correspondente a três movimentos de € 5000,00, um por cada um dos dias referidos.
Por sua vez, no dia 18 de Julho de 2008, através do mesmo serviço, a conta de depósitos com o nº … foi movimentada a débito na quantia de €5.000,00 (cinco mil euros).
As autoras não efectuaram nem autorizaram estas transferências.
Em 21 de Julho de 2008 a primeira autora apercebeu-se dos aludidos movimentos bancários, tendo de imediato e no próprio dia apresentado reclamação escrita junto da ré, que em data posterior lhe restituiu a quantia de € 1255,39.
A primeira autora continua desembolsada da importância global de €16.264,61, sendo que a segunda autora se encontra desembolsada de €2500,00.
As autoras vivem em sobressalto e na incerteza de poder reaver tais quantias o que muito as preocupa e angustia. Este facto consubstancia dano não patrimonial que se liquida em € 3000,00 para a primeira autora e € 1000,00 para a segunda.
A ré contestou pugnando pela improcedência da acção.
Para tanto e em suma, invocou o cumprimento integral das obrigações emergentes do contrato que celebrou com as autoras, designadamente criando um sistema informático seguro e advertindo os clientes - por vários meios de excelente visibilidade - de que deveriam manter fora do alcance de terceiros os códigos de acesso, a password e o cartão matriz e que em circunstância alguma a C… pediria mais do que três dígitos deste cartão. Daí que, tendo sido as próprias autoras a facultar os elementos que permitiram a actuação fraudulenta de um hacker, desconsiderando as informações atinentes à segurança, só a elas é imputável o sucedido.
As autoras responderam, terminando como na p.i. e esclarecendo que a informação que foi solicitada à primeira autora, no sentido de esta introduzir os dados do cartão matriz, surgiu numa página que apareceu no computador da referida autora após a mesma ter introduzido o endereço electrónico do sítio da ré.
Por outro lado, nada na referida página fazia indiciar que não se tratasse de uma página verdadeira e fidedigna, sendo que qualquer pessoa medianamente diligente no lugar da primeira autora ficaria seguramente convicta de que se tratava da página da C….
Mais alegaram nunca ter divulgado os seus códigos pessoais nem ter aberto qualquer mensagem de correio electrónico de origem duvidosa.
Além disso, mantiveram sempre um sistema de anti-vírus actualizado; nunca utilizaram computadores públicos para aceder ao serviço de internet banking; verificavam com a regularidade exigível a qualquer cliente da ré as suas contas pessoais; sempre terminaram as suas sessões de internet banking através da opção “sair”.
Alegam também que a ré poderia ter feito muito mais para impedir que este tipo de lesão ocorresse, com prejuízo para os clientes, fazendo notar que em 04/04/2008 aquela fez inserir no seu site uma notícia alertando para fraudes no seu cartão matriz, tendo-se contudo abstido de enviar uma carta, e-mail ou comunicação escrita aos seus clientes.
E isto apesar de saber que qualquer cliente deste ou de serviço idêntico acede ao site para realizar operações bancárias e não para obter informações acerca do que se passa no universo da C…, o que significa que os clientes normalmente não lêem tais notícias.
Sublinham também que posteriormente a terem ocorrido os factos alegados, foi introduzido no site do serviço Caixa directa um “Alerta de Segurança” que surge praticamente a toda a extensão de um ecrã de um computador, prevenindo os utilizadores contra acções como aquela de que as autoras foram vítimas, sendo que esse alerta aparece independentemente da vontade do utilizador.
Posteriormente a Julho de 2008, a ré introduziu outras medidas reforçadas de segurança, designadamente enviando passwords para os telemóveis dos utilizadores a fim de estes poderem efectuar determinadas operações bancárias.
Por fim, nota que a ré, ao criar serviços do tipo do Caixa directa fá-lo também porque com eles reduz significativamente os seus custos.
Nessa medida, com o benefício virá também o ónus de dotar esse serviço das necessárias salvaguardas para protecção do património dos clientes.
Foi proferido despacho saneador e dispensada a elaboração da base instrutória nos termos constantes de fls. 86 dos autos.
Realizou-se o julgamento com observância das formalidades legais.
Foi proferida sentença que julgou a acção parcialmente procedente condenando a ré ““C…, S.A.” a pagar às autoras MJ… e MI…, respectivamente, a quantia de €16.264,61 (dezasseis mil, duzentos e sessenta e quatro euros e sessenta e um cêntimos) e € 2.500,00 (dois mil e quinhentos euros), acrescidas de juros à taxa legal contados desde a citação até integral pagamento.
Mais vai a ré condenada no pagamento das quantias de €1500,00 (mil e quinhentos e euros) e € 250,00 (duzentos e cinquenta euros), respectivamente, às autoras MJ… e MI…”.
Inconformada com o decidido, a ré interpôs recurso de apelação formulando conclusões.
Houve contra-alegações que pugnaram pelo decidido.
Das conclusões do recurso ressaltam as seguintes questões, a saber:
1. Impugnação na vertente do facto
1.1 Alteração ao ponto 27 dos factos consignados na decisão recorrida no sentido de que “Desde Abril de 2008, logo que chegou ao seu conhecimento este tipo de fraudes idêntica à que as AA foram vítimas, a C…, na área denominada e destinada a segurança do seu site fez constar avisos prevenindo os utilizadores do Caixa directa on line para aquele (e outros) tipos de fraude.
1.2. Alteração ao ponto 28 nos termos seguintes: No facto provado 28 deve constar em vez de “Em data anterior à referida em 6, a expressão em 10 de Julho de 2008”
1.3. Alteração ao ponto 29 nos termos seguintes: “ A autora, embora tenha sido direccionada para uma página que não era da C…, antes a imitava, não detectou nada de estranho a que acedera e considerou tratar-se da página verdadeira e fidedigna do site da C.., fornecendo os elementos mencionados em 28)”.
1.4. Aditamento de um ponto de facto com o número 32, nos termos seguintes: “Para a execução dos movimentos bancários referidos em 6) e 7) o sistema informático da C… considerou que as respectivas ordens de transferência recebidas emanavam das AA porquanto foram introduzidos correctamente o número de contrato, a password e os dígitos correspondentes às coordenadas do cartão matriz que foram solicitadas nessas operações, pela CGD.”
2.Impugnação na vertente do direito.
2.1. Se a ré implementou a segurança necessária no seu sistema para evitar fraudes.
2.2. Se o comportamento da autora MJ… é censurável, ao fornecer a totalidade dos dígitos do cartão matriz, quando realizou uma operação de transferência de capital das sua contas.
2.3. Se houve concorrência de culpas entre a autora e a ré na operação de fornecimento de dígitos do cartão matriz.
Vamos conhecer das questões enunciadas, começando pela impugnação da matéria de facto, para fixarmos a matéria fáctica provada, indispensável à aplicação do direito.
Vamos conhecer das questões, no seu todo, porque implica uma análise da prova global.
1.1, 1.2, 1.3 e 1.4. – As três primeiras versam sobre alterações pontuais ao que foi fixado na decisão recorrida, enquanto o quarto incide sobre o aditamento de um ponto de facto.
Referem-se à segurança ou falta dela na implementação do programa de “ Caixa Directa On-Line”, em que os clientes aderentes têm acesso via Internet às suas contas bancárias e a outros serviços fornecidos pela ré. Está em causa, essencialmente, a data a partir da qual apareceram ataques de “fishing” relacionados com o cartão matriz, a forma como foi dado o seu conhecimento, e como as autoras foram defraudadas com estes ataques.
No ponto 27 a ré pretende dois aditamentos, um relacionado com o início da publicitação (Abril de 2008) e o outro com a prontidão revelada pela ré.
O tribunal recorrido no ponto 27 apenas deu como provado que “Desde data não concretamente apurada que na área denominada e destinada à segurança do site da CGD constam avisos prevenindo os utilizadores do Caixa directa on-line para aquele (e outros) tipo de fraude”. A ré pretende os seguintes aditamentos – “Desde Abril de 2008, logo que chegou aos seu conhecimento este tipo de fraudes idêntica à que as AA. foram vítimas…” com alteração da redacção do restante ponto em discussão.
O tribunal não se convenceu da data do início da publicitação, porque os depoimentos das três testemunhas arroladas pela ré não foram explícitas neste ponto, nem os documentos mencionados revelam qualquer data.
O certo é que da ponderação dos três depoimentos, ligados à fiscalização (Dr. L…), à gestão da informação do respectivo site (Dra. P…) e da segurança do sistema (Eng. Informático J…), se pode concluir que as fraudes com o cartão de matriz se iniciaram em Abril de 2008, tendo em conta que a sua utilização, pela ré, monta ao ano de 2007. E que, logo que a ré teve notícia de fraudes, publicitou-as no seu site, na área de segurança, onde colocou avisos genéricos que poderiam ser visualizados, mais especificadamente, através de consulta no menu segurança. Mas não se provou que logo nessa data as fraudes fossem idênticas à que surgiu às autoras, porque esta traduziu-se num ecrã com o cartão matriz e a pedir a inserção de todo o seu conteúdo, quando, as referidas pelas testemunhas se centraram nos e-mails a pedir dados ou informações pessoais ligados ao cartão matriz.
Assim, a única alteração a fazer centra-se na data, passando o ponto 27 a ter a seguinte redacção “Desde Abril de 2008 que na área denominada e destinada à segurança do site da C… constam avisos prevenindo os utilizadores do Caixa directa on-line para aquele e (outros) tipo de fraude”.
Quanto ao ponto 28 em que a ré pretende aditar a data de “ 10 de Julho de 2008”, em substituição da expressão “em data anterior à referida em 6” as autoras estão de acordo com esta substituição, como emerge das suas contra-alegações, e está em consonância com o documento junto pelas autoras a fls. 9 e 10, em que uma delas explicita 10 de Julho de 2008, como data do pedido dos dados do cartão matriz pelo site, o que foi alegado pela ré no artigo 33 da sua contestação, que não foi objecto de impugnação. Assim é de alterar o ponto 28 neste aspecto, que passará a ter a seguinte redacção “ A 10 de Julho de 2008, após a primeira autora ter introduzido o endereço electrónico do sítio da ré, foi-lhe solicitada a introdução dos dados do cartão matriz”.
No que tange ao ponto 29, a ré pretende o aditamento da expressão “ ..embora tenha sido direccionada para uma página que não era da C…, antes a imitava…”. Isto refere-se à forma como terá actuado o vírus informático, na perspectiva da ré, assente nos depoimentos das testemunhas, por si arroladas, que, de uma maneira genérica, referiram que o vírus, pelo que têm conhecimento da análise de outros factos, actua desta forma para capturar os dados do cartão matriz. Começa por se alojar no sistema informático do utilizador, entrando via e-mail furtivo, captura o número do contrato, a password, quando o utilizador tenta entrar no site e depois copia a pagina do site, engendra um link e quando o utilizador tenta entrar mais tarde no site, na área de serviço propriamente dita, encaminha-o para outra página idêntica à do site e pede os dados do cartão matriz. O certo é que este relato assenta apenas em deduções face a factos que os depoentes tiveram conhecimento. Mas, no caso em apreço, não houve uma vistoria ou uma inspecção ao computador da autora MJ… após a denúncia do caso, o que era possível e aconselhável, para se descobrir como entrou o vírus no sistema. Não basta ter a convicção de que os factos ocorreram de determinada maneira se não há um apuramento de dados concretos ao aparelho que a autora MJ… utilizou e se confrontou com um site muito parecido como o da Caixa directa on-line. Situação que apareceu a outras pessoas, como testemunhas arroladas pelas autoras. Pelo que referiram as testemunhas arroladas pela ré, o seu sistema informático é inviolável, e qualquer vírus só pode vir do utilizador, que não cuidou bem do seu computador. Porém, este facto não foi provado, por falta de inspecção ao aparelho da autora MJ…, pelo que não se poderá fazer o aditamento pretendido pela ré, por falta de prova.
No que concerne ao ponto 32, que a ré pretende aditar, estamos perante uma conclusão e não matéria de facto. Na verdade, uma vez na posse de todos os dados de validação, o pirata informático passa no sistema como se das autoras se tratasse, cumprindo todas as ordens que lhe foram solicitadas. O sistema não tem a virtualidade de distinguir o verdadeiro do falso dono. Apenas conhece as credenciais de validação, e uma vez introduzidas, quem as digitalizou é reconhecido como se fosse o verdadeiro dono. Daí que não é de aditar este ponto porque não versa matéria de facto, mas conclusiva.
Vamos fixar a matéria de facto consignada na decisão recorrida, com as alterações acima apontadas aos pontos 27 e 28, que passamos a transcrever:
1. A ré é uma instituição bancária que exerce profissionalmente a actividade bancária auferindo lucros dessa actividade.
2. A primeira autora é cliente da ré, sendo titular única da conta com o nº…, da dependência de Guimarães e contitular, juntamente com a segunda autora, de uma outra conta bancária sedeada na ré, esta com o nº …, dependência de Vila das Aves.
3. Por escrito particular datado de 14 de Janeiro de 2005, a ré acordou com a primeira autora a adesão ao Serviço Caixa directa, por via do qual estas poderia aceder aos serviços disponibilizados por aquela através de canais telemáticos, via telefónica, internet, WAP, ITV ou outras formas de acesso, possibilitando por esse meio, designadamente, obter informações sobre produtos e serviços do Banco, obter informações e realizar operações bancárias sobre contas de que fosse titular, ou co-titular em regime de solidariedade.
4. Através desse serviço era facultado à primeira autora aceder e movimentar as contas referidas em 2) através do telefone ou da Internet, funcionando on-line.
5. Para tanto, a ré atribuiu à primeira autora um número de contrato e uma password secreta, bem como um cartão matriz de coordenadas.
6. Nos dias 15, 16 e 21 de Julho de 2008, através do serviço Caixa directa, a conta de depósitos com o nº … foi movimentada a débito na quantia global de €15.000,00 (quinze mil euros), correspondente a três movimentos de € 5000,00, um por cada um dos dias referidos.
7. No dia 18 de Julho de 2008, através do mesmo serviço, a conta de depósitos com o nº … foi movimentada a débito na quantia de €5.000,00 (cinco mil euros).
8. Tais movimentos a débito consistiram em transferências bancárias efectuadas para outra conta também sedeada na ré, por alguém cuja identidade as autoras desconhecem, sem a sua autorização e contra a vontade destas.
9. Em 21 de Julho de 2008, a primeira autora apercebeu-se dos movimentos bancários referidos em 7) e 8), tendo de imediato e no próprio dia apresentado reclamação escrita junto da ré.
10. Posteriormente àquelas datas a ré restituiu à primeira autora a quantia de € 1.255,39.
11. O referido em 8) colocou as autoras em sobressalto e na incerteza de poder reaver tais quantias o que muito as preocupa e angustia.
12. Na sequência da adesão da primeira autora ao serviço Caixa Directa on-line foi-lhe entregue um envelope fechado com os códigos de acesso às contas por si tituladas, via Caixa directa.
13. (…) e foi-lhe dito que esses códigos eram pessoais e intransmissíveis, que os deveria guardar cuidadosamente e nunca em circunstância alguma os deveria revelar a terceiros, na medida em que, através deles, terceiros poderiam aceder às contas da mesma.14. Posteriormente foi-lhe enviado o cartão matriz, sem o qual seria impossível qualquer movimentação a débito das suas contas para contas de terceiros.
15. Na perspectiva do utente/cliente da ré, o acesso a esse serviço processa-se do seguinte modo: depois de o cliente aceder ao site Caixa directa via on-line, a ré solicita-lhe que insira o número de contrato e a password.
16. Se pretender apenas informações sobre as contas bancárias ou efectuar transferência entre contas de que seja titular na CGD, basta que indique a conta origem, a conta destino e os valores a transferir.
17. Se o utente pretender transferir para qualquer outra conta de que não seja ele o titular (ou sendo-o, seja de outro banco) a C…solicita-lhe que indique três dígitos que constam de determinadas coordenadas do seu cartão matriz.
18. O cartão matriz contém 192 dígitos, divididos em grupos constituídos, cada um, por 3 dígitos, sendo cada um dos grupos para cada coordenada.
19. Existem tantas coordenadas quanto as que resultam da combinação de oito letras A a H e oito números (1 a 8), pelo que para a realização da operação a C… exige aleatoriamente 3 algarismos que integrem as coordenadas.
20. Em relação a cada uma das pretendidas transferências a C… nunca repete as coordenadas que o cliente deverá indicar para validar a transferência.
21. Se, interferindo numa transferência a ser efectuada pelo cliente, um pirata informático puder ter conhecimento dos números das coordenadas que a C… pediu para aquela concreta transferência, de nada lhe valerá essa informação porquanto, numa tentativa futura de transferência a seu favor, as coordenadas que lhe irão ser pedidas serão diferentes daquelas que fixou.
22. Se o cliente errar um dos números das coordenadas que lhe são solicitados, no terceiro erro, quer este ocorra na mesma utilização daqueles serviços, quer em utilização diferente, seguida ou não, fica definitivamente bloqueado o acesso às contas, através daquele contrato e daquela password.
23. Ao aderir ao Caixa directa o cliente da C… é informado e avisado de que terá que manter em segurança, não os revelando nem por qualquer forma os tornando acessíveis a terceiros, o número do contrato, password e coordenadas do cartão matriz.
25. Na carta enviada pela ré para disponibilização do cartão matriz foi consignado, entre o demais, o seguinte: «Junto enviamos-lhe o seu cartão matriz, uma nova forma de validação das operações efectuadas nos serviços Caixa directa e Caixa e-Banking, que lhe confere ainda maior segurança na utilização dos serviços de banca directa da C…. Desta forma, a confirmação de algumas operações, nomeadamente pagamentos ou transferências, deixa de ser efectuada através do seu número de contribuinte, passando a ser solicitadas três posições do seu cartão matriz (…). É importante que active já o seu cartão e que o guarde sempre consigo para que possa continuar a efectuar todas as operações nestes serviços, com a máxima segurança e tranquilidade».
26. Nessa carta está também consignado o seguinte teor: Para sua segurança: - Nunca divulgue os seus códigos pessoais. - Não abra mensagens de correio electrónico de origem duvidosa. - Mantenha um software de antivírus actualizado. – Não utilize computadores públicos para aceder ao internetbanking. Verifique regularmente as suas contas pessoais, bem como a data e hora do último acesso. – Termine sempre a última sessão de internetbanking através da opção sair”». Em 2008, no site caixa directa on-line, a C… fez inserir uma informação relativa a fraudes com o cartão matriz, estando o texto desenvolvido numa subsecção do site denominada de “Segurança”, área a que se acedida com um clique.
27. Desde Abril de 2008 que na área denominada e destinada à segurança do site da C…constam avisos prevenindo os utilizadores do Caixa directa on-line para aquele e (outros) tipo de fraude.
28. A 10 de Julho de 2008, após a primeira autora ter introduzido o endereço electrónico do sítio da ré, foi-lhe solicitada a introdução dos dados do cartão matriz.
29. A autora não detectou nada de estanho na página a que acedera e considerou tratar-se da página verdadeira e fidedigna do site da C…, fornecendo os elementos mencionados em 28).
30. Por causa do referido em 29) a primeira autora inscreveu os dígitos do cartão matriz no local indicado no site para aposição dos mesmos.
31.Por causa do referido em 30) é que veio a suceder o referido em 6) a 8).
2.1, 2.2 e 2.3 – Vamos tratar das três questões enunciadas de uma forma global, porque se conexionam.
Estamos em presença de um contrato de depósito bancário em coligação com um outro pelo qual os clientes do banco aderentes têm a possibilidade de aceder às sua contas bancárias e a outros serviços por ele disponibilizados. Este contrato de execução continuada envolve uma obrigação complexa com deveres principais e acessórios de molde a que se atinja o seu objectivo. Para tal, o banco garante segurança na implementação deste contrato, e o cliente um conjunto de obrigações conexas com a segurança, uma vez que lhe é fornecida pelo banco uma chave que lhe permite o acesso. E, para um uso seguro desta chave, é necessário que a mesma não seja transmitida a terceiros por qualquer forma, porque o sistema apenas conhece a chave e não o seu portador. Digitada a chave de forma correcta, o sistema valida-a e assume que está em presença do verdadeiro portador da mesma.
Daí a ênfase que o banco dá ao momento da adesão ao contrato, com a entrega do número do contrato, o envio do envelope com o código pessoal e do cartão matriz e com as recomendações impostas, alertando para a importância dos deveres de segurança que o aderente terá de seguir na execução do contrato, para que se consiga atingir o objectivo final, que é aceder às contas, movimentá-las em segurança, sem que terceiros desviem dinheiro das mesmas para outras.
É um contrato que exige colaboração mútua e transmissão de informação permanente. O banco terá o dever de informar o cliente das regras de segurança a seguir na execução do contrato, de situações que envolvam fraudes através de intrusos informáticos no sistema, para esclarecer os perigos e a forma de os contornar. E os clientes devem comunicar ao banco todas as situações duvidosas fora das rotinas normais.
Por sua vez, os clientes que adiram a este contrato devem ter uma cultura informática mínima, capazes de saberem viajar na Web, conscientes dos perigos que isso importa, mas que, seguindo à risca as instruções do banco, não haverá perigo. E isto, porque a senha envolve três elementos que terão de conjugar-se entre si, para que a movimentação das contas, para fora do património do cliente, seja possível, em que se destaca o uso do cartão matriz, peça fundamental, na lógica do sistema.
Depois de traçados os princípios gerais em que se movimenta a execução deste contrato de acesso bancário via Internet, vamo-nos centrar no caso em apreço.
Questiona-se o cumprimento do dever de segurança e de informação por parte da ré na execução deste contrato, porque foram movimentadas as contas das autoras, por terceiros, contra a sua vontade.
Está provado que, quando o sistema começou a ser atacado por piratas informáticos, no ano de 2008, a ré colocou informação no seu site, logo em Abril de 2008, de molde a que os seus clientes pudessem ser elucidados dos métodos utilizados para capturarem dados pessoais. Essa informação apareceu na primeira página e os detalhes estavam guardados no menu segurança, onde podiam ser consultados com apenas um clique. Em face deste comportamento, julgamos que a ré cumpriu com o seu dever de informação, dando a conhecer no local onde os clientes, neste caso as autoras, podiam ter acesso a toda a informação sobre os perigos de fraude a que os aderentes estavam sujeitos, só pelo facto de terem celebrado este contrato. Esta informação enquadra-se no dever de segurança que a ré tinha de prestar na execução do contrato. Pois, com uma utilização correcta dos dados fornecidos, sem que passassem para terceiros, o sistema seria seguro.
Coloca-se também a questão de saber se a conduta da autora MJ… é-lhe censurável, quando num site parecido com o da ré, que não lhe criou qualquer dúvida sobre a sua genuinidade, digitou todos os números do cartão matriz, perante uma solicitação nesse sentido.
Julgamos que, apesar da aparência genuína do site, a solicitação dos dígitos do cartão matriz, em si, é muito estranha, dentro do contexto e lógica do sistema de segurança implementado pela ré. Na verdade, seria muito incongruente da sua parte pedir a totalidade dos dígitos do cartão matriz, quando tinha de ter na sua posse uma cópia, para confirmar, validar as operações de movimentos de património para fora das contas da autora. E era o único instrumento que a ré tinha para se certificar que podia, com segurança, aceitar a movimentação das contas para terceiros. E contrariava toda a preocupação que implementou na informação prestada a partir de Abril de 2008, a exemplificar as técnicas fraudulentas a que o sistema estava sujeito, prevenindo os seus clientes para terem cuidado, muita atenção, para não caírem no engodo. E temos de ter em conta que houve um intervalo de mais de três meses entre o início desta publicitação e a ocorrência, em 10 de Julho de 2008, da digitalização de todo o conteúdo do cartão matriz.
Daí que o seu comportamento seja censurável, negligente na forma como abordou a informação, por falta de atenção. Pois, para um utilizador informático minimamente diligente, cuidadoso, e minimamente informado no uso desta tecnologia, sabendo ou tendo o dever de saber dos perigos que assolavam o sistema (através da informação prestada pela ré sobre o assunto e colocada no site onde as pessoas eram logo alertadas e podiam informar-se melhor acedendo ao menu segurança) e a Web em geral, tinha que se questionar perante tal solicitação. E, perante esta dúvida, tinha um de dois caminhos a seguir, ou contactava rapidamente com a ré, via telefone, ou ignorava a solicitação e comunicava o acontecimento à ré. E só em face da solução que lhe fosse dada, é que continuaria a usar o programa.
Tinha de ter a consciência que estava numa situação que não era normal e tinha de sanar a dúvida. Não ter dúvidas, como aconteceu com a autora, revela desatenção e falta de informação, por desinteresse em olhar para o site e ter a curiosidade que se impõe, para quem quer usar um programa que sabia que tinha de ter muitas cautelas devido aos perigos a que estava sujeita. É como alguém que pisa terreno minado e não se informa e toma os cuidados devidos para as circunstâncias. Corre um grande risco de ser atingido por uma mina e sofrer graves danos.
E não se diga que os utilizadores deste sistema apenas se focam na entrada imediata no serviço para acederem às contas com vista a consultá-las ou movimentá-las, desinteressando-se dos anúncios referentes ao banco. Muitos podem ter esse comportamento, mas julgamos que é incorrecto, na medida em que o contrato a que aderiram impõe-lhes regras de segurança cujo desenvolvimento é contínuo, como é do conhecimento geral dos utentes da Web. Estes sabem ou devem saber que as regras de segurança são importantes para se defenderem dos piratas informáticos. E, um site, onde há alertas de segurança, cujo desenvolvimento está num menu, é um sinal de alerta ao utente do programa para se informar, tomar conhecimento do que se está a passar. Deve ter a curiosidade e o tempo necessário para se cultivar, para que não corra riscos desnecessários. Se o banco informa é porque o assunto merece a sua atenção, é importante para o desenvolvimento do contrato.
Assim, é de concluir que o comportamento da autora foi negligente, violador das regras de segurança impostas pelo contrato, que foram causa directa da movimentação das suas contas por terceiros. A ré, ao provar a culpa da autora na transmissão dos dados do cartão matriz a terceiros, ilidiu a presunção de culpa prevista no artigo 799 do C. Civil, aplicável a este contrato. Assim sendo, não é responsável pela movimentação das contas, de forma fraudulenta, porque deveu-se a culpa exclusiva da autora, que não teve o cuidado devido ao executar o contrato a que estava vinculada, traduzida no fornecimento dos dados do cartão matriz a terceiro.
Concluindo: 1.No contrato coligado de depósito bancário e de serviços de acesso via Internet à sua movimentação e a outros serviços disponibilizados pela ré, entidade bancária, esta tem o dever de protecção e de informação, na sua execução continuada.
2. O aderente tem de cumprir um conjunto de deveres conexos com a segurança do seu sistema informático e uso da chave de acesso concedida pela ré, não a fornecendo a terceiros.
3. A entidade bancária cumpre o seu dever de protecção e informação colocando no seu site toda a informação disponível sobre segurança, que os utentes têm o dever de consultar, para se prevenirem de fraudes.
4. Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador.
Decisão
Pelo exposto, acordam os juízes da Relação em julgar procedente a apelação e, consequentemente, revogam a decisão recorrida.
Custas a cargo das apeladas.
Guimarães, 25/11/2013
Espinheira Baltar
Henrique Andrade
Eva Almeida