Acórdão do Tribunal da Relação de Guimarães
| 2406/17.7T8BCL.G1 |  |
PRESTAÇÃO DE SERVIÇOS HOMEBANKING
OPERAÇÕES DE PAGAMENTO NÃO AUTORIZADAS
RESPONSABILIDADE CIVIL
RISCO DO PRESTADOR
NEGLIGÊNCIA DO UTILIZADOR
I – É o prestador de serviços de pagamento quem tem a obrigação de assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador que tenha direito a utilizar o referido instrumento, pertencendo o funcionamento do sistema informático de homebanking à esfera de risco daquele;
II – Com a publicação do Decreto-Lei nº 317/2009, de 30 de outubro, passou a existir uma regulamentação específica dos casos de operações de pagamento não autorizadas, ali se estabelecendo um regime especial de responsabilidade civil objetiva, segundo o qual o risco deve ser suportado pelos bancos, surgindo como regra o reembolso pelo prestador dos serviços;
III – Com vista ao afastamento da referida responsabilidade objetiva do prestador de serviços e de acordo com o Considerando 33) da Diretiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro de 2007, transposta pelo diploma em análise, “para avaliar a eventual negligência cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias”, devendo “as provas e o grau da alegada negligência” “ser avaliados nos termos do direito nacional”;
IV – Face à doutrina portuguesa sobre esta matéria, “negligência grave” corresponde a “negligência grosseira, erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”;
V – A circunstância de um utilizador do sistema de homebanking, desde a adesão, nunca ter efetuado nenhuma operação com o cartão-matriz, só utilizando o referido serviço para consultas – circunstância que permite considerar como natural que o mesmo não atentasse nos procedimentos relativos à utilização do cartão-matriz e aos alertas com tal utilização relacionados – associada à circunstância de, no momento do fornecimento dos dados do cartão-matriz, o utilizador não se encontrar no site do prestador de serviço, onde os avisos da entidade prestadora do serviço de homebanking surgem, deverão conduzir a considerar como não-grave a negligência do mesmo ao inconscientemente fornecer a terceiros, que para o efeito atuaram fraudulentamente, os dados do seu cartão-matriz.
Acordam no Tribunal da Relação de Guimarães:
I. RELATÓRIO:
D. S. instaurou ação declarativa sob a forma de processo comum contra Caixa ... pedindo que a Ré seja condenada a pagar-lhe uma indemnização para ressarcimento dos danos patrimoniais e não patrimoniais por ela sofridos devido às movimentações bancárias elaboradas sem o seu consentimento e autorização, num valor nunca inferior a €.34.057,60, englobando a referida quantia o seguinte:
a. O montante de €.28.596,14, a título de danos patrimoniais, correspondente ao valor das movimentações bancárias efectuadas sem consentimento, acrescido de juros de mora, vencidos e vincendos, contados à taxa legal em vigor, acrescida de 10 pontos percentuais, a contar desde a data das movimentações bancárias até efectivo e integral pagamento, computando-se os vencidos, na presente data, no montante de €.2.961,46;
b. O montante de €.2.500,00, a título de danos não patrimoniais sofridos pela autora, em virtude da presente situação, que será acrescido dos correspectivos juros de mora, contados à taxa legal em vigor, a contar desde a data de liquidação até efectivo e integral pagamento.
Alegou, em síntese, que é titular de uma conta à ordem e de uma conta a prazo na Ré e que aderiu ao serviço de “homebanking” “Net...”, sucedendo que, que entre os dias 04.01.2017 e 07.01.2017, foram realizadas cerca de 60 operações de pagamentos de compra e de pagamentos de serviços e realizada uma transferência bancária da conta a prazo para a conta à ordem no valor de € 5.000,00, sem o conhecimento e o consentimento da Autora, que desconhece quem o fez, tudo sem que a Ré, responsável pelo controlo e segurança dos sistemas de homebanking, tendo como dever evitar a utilização fraudulenta das plataformas informáticas que disponibiliza, tenha tomado qualquer providência, apesar de todas as operações terem sido efetuadas num curto espaço de tempo, a favor da mesma entidade e em quantia não inferior a €.451,00, tendo sido movimentada da sua conta bancária a quantia total de €.28.596,14. Mais alegou que, perante os factos descritos, sente-se angustiada, preocupada, frustrada e lesada nos seus direitos, tendo ficado sem quaisquer rendimentos para fazer face às despesas domésticas e profissionais.
A Ré apresentou contestação, alegando, para além do mais, que o seu sistema informático não sofreu qualquer ataque informático e que as coordenadas foram colocadas na primeira tentativa, não tendo o sistema sido bloqueado por tentativas falhadas, tendo sido dito pela própria Autora que aquando da ativação do cartão matriz, inseriu todas as 72 posições do mesmo, cada uma com 3 dígitos, fornecendo assim todos os dados do cartão matriz a terceiros, contrariando os vários avisos da ré para não o fazer e que a Autora atuou de forma negligente ao responder ao email fraudulento recebido no seu computador, e ao facultar todos os dados do seu cartão matriz, que são pessoais e intransmissíveis, pelo que a Ré não pode ser responsabilizada pelo sucedido.
Procedeu-se a audiência de discussão e julgamento e, seguidamente, foi proferida sentença a julgar improcedente a ação.
Inconformada, a Autora interpôs recurso, apresentando as seguintes conclusões:
I. Nesta ação, a Recorrente pediu pela condenação da Recorrida no pagamento de uma indemnização pelos danos patrimoniais e não patrimoniais sofridos pela primeira, devido à ocorrência de várias movimentações bancárias realizadas sem o consentimento e autorização desta a partir das suas contas bancárias, efetuadas através do serviço de homebanking, computando-se o montante dessa indemnização num valor nunca inferior a € 34.057,60 (trinta e quatro mil e cinquenta e sete euros e sessenta cêntimos).
II. A questão do presente recurso incide sobre a aferição da responsabilidade da Recorrida quanto às operações bancárias realizadas nas contas da Recorrente sem autorização desta.
IMPUGNAÇÃO QUANTO À MATÉRIA DE FACTO
III. O Tribunal a quo deu por provado que a Autora, ora Recorrente, inseriu, no seu computador, as coordenadas do cartão-matriz e que, por isso, foram realizadas cerca de 60 (sessenta) operações bancárias, sob a forma de ''pagamentos de serviços" ou ''pagamento de compras", sem a sua autorização, através do serviço de homebanking.
IV. Considera a Recorrente que, em face à prova colhida nos presentes autos, impunha-se uma decisão diversa da recorrida sobre os pontos da matéria de facto, ao que conclui pela existência de erro notório na apreciação da prova. Por conseguinte, e salvo o devido respeito por opinião em contrário, o Tribunal a quo não deveria ter julgado por provados os factos e1encados em sentença, no ponto 2.1., identificados com os números 28), 55) e 56), que infra se transcreve:
. 28) Nesse telefonema, a autora afirmou que tinha inserido todas as coordenadas do cartão matriz no computador e tinha demorado meia hora. farto 72. o da contestação]
. 55) A autora, de forma não concretamente apurada, inseriu no computador, todas as coordenadas do cartão matriz que a ré lhe tinha enviado em 24.05.2016, tal como referido em 7), conjuntamente com os demais elementos necessários ao acesso ao serviço NET ..., ou seja, o número de identificação da Caixa e o código pin multicanal, que são elementos pessoais e intransmissíveis. farto 86. o da contestação]
. 56) O referido em 55), permitiu o descrito em 17) e 18).
V. Na verdade, tais factos deveriam ter sido dados como não provados, pela falta de prova cabal que permita a sua inequívoca demonstração. Note-se pois que a Meritíssima Juíza do Tribunal a quo formou a sua convicção quanto aos factos supra enumerados com base, única e exclusivamente, do depoimento da testemunha M. C., funcionária da Recorrida e arrolada aos autos pela mesma, a qual declarou a Autora lhe tinha confidenciado, num dos telefonemas, que, em determinada altura que não sabia precisar, tinha recebido um pedido para ativar o cartão-matriz e, nessa sequência, inseriu todas as coordenadas do mesmo no computador.
VI. Tal facto não chegou a ser corroborado por outra testemunha, nem tampouco por prova documental, tendo sido desmentido pela Autora, ora Recorrente, quando a mesma foi questionada pela Meritíssima Juíza a quo, referindo inequivocamente que nunca colocou as coordenadas do cartão-matriz, nem na sua totalidade, nem em parte, no computador (cf. Declarações da Autora D. S., prestadas em audiência de julgamento de 23/11/2018, em tomo dos mm:ss 22:00; 22:21; 23:39; 24:19, como transcrito supra).
VII. Posto isto, não se compreende porque o Tribunal a quo veio a conceder maior credibilidade ao depoimento da Testemunha M. C., visto que a mesma detém uma estrita relação com a Recorrida, de natureza laboral, que já existia na data da ocorrência dos factos que constituem objeto de discussão dos presentes autos, e que permanece, pelo menos, até à data da realização de audiência de julgamento, tomando-se, por isso, evidente que a testemunha não era completamente alheia ao resultado da causa, movida pelo sentimento em não contradizer a posição defendida pela sua entidade patronal.
VIII. Para além disso, e tal como resulta por provado na própria sentença, "a situação da autora não se trata de um caso isolado, pois existem queixas semelhantes em relação ao serviço "Net..." da Caixa ..."; logo, não é a primeira vez que a Recorrida se encontra na posição de Ré num processo judicial cujos factos em discussão se assemelham aos factos constantes dos presentes autos, pelo que se conclui, em suma, que as testemunhas indicadas por esta estão a priori cientes das questões que lhes serão colocadas em audiência de discussão e julgamento e das respostas que têm de ser dadas a essas questões, imbuídas pela ideia (neste caso, errada!) de que a instituição bancária não tem, nem poderia ter tido, influência sobre os factos, os quais ocorreram por culpa exclusiva do lesado.
IX. Da leitura de alguns acórdãos - como, por exemplo o Ac. do Tribunal da Relação de Guimarães, datado de 17/12/2014, Processo n.º 1910/12.8TBVCT.G1 - é retirada esta constatação: certamente não por mera coincidência, o depoimento de algumas testemunhas indicadas pela(s) instituição(ões) bancária(s) são equivalentes às declarações proferidas pelas testemunhas da Recorrida nos presentes autos. No acórdão já referido, uma das testemunhas, gerente de um dos balcões da instituição bancária, declara que, no âmbito da reclamação apresentada por um cliente, vítima de fraude informática, perguntou ao mesmo, se tinha porventura fornecido os códigos a alguém, ao que este respondeu positivamente, referindo que o fez num dos acessos a uma página, que julgou ser do Banco, pois foi-lhe pedida a "atualização de dados" do cartão-matriz, com a introdução de todas as suas coordenadas e sublinhou que essa operação tinha durado cerca de 30 minutos, tal e qual a testemunha M. C..
X. Por outro lado, as declarações da Autora, ora Recorrente, foram proferidas com espontaneidade, clareza e detalhe, pelo que em nada deveriam ser descredibilizadas, em comparação com depoimento da Testemunha da Recorrida, merecendo, por isso, a melhor consideração por parte do Tribunal a quo.
XI. Acresce ainda que Tribunal a quo deu por provado que a Recorrente inseriu no computador todas as coordenadas do cartão-matriz sem, contudo, ter sido apurado o modo de concretizacão: note-se que, no facto provado n.º 55), menciona que "a Autora, de forma não concretamente apurada, inseriu no computador todas as coordenadas". Ou seja, o Tribunal a quo concluiu pela demonstração de determinado facto, sem ter certezas quanto à forma como este foi supostamente realizado, firmando a sua convicção no depoimento de uma só testemunha, a qual apenas referiu que a Recorrente inseriu as coordenadas, mas não especificou, em momento algum, de que modo é que o fez.
XII. Em suma, entende a Recorrente que não foi cabalmente provado que a mesma inseriu todas as coordenadas do cartão-matriz no seu computador, pelo que não se poderá concluir que a fraude informática de que a Recorrente foi vítima ocorreu devido à alegada conduta negligente da mesma.
XIII. Para além disso, defende a Recorrente que a existência de erro na apreciação de prova também se evidencia pelos factos enumerados em sentença como ''factos não provados" identificados com as alíneas a) e b), que deveriam ter sido julgados por provados, sendo estes:
. a) A autora simplesmente memorizou os dados necessários ao acesso da conta via homebanking, e guardou o cartão-matriz em local seguro e privado, mais propriamente em sua casa de morada, não tendo dado uso a este. [art. 9. o da p. i.]
. b) Nunca a autora divulgou tais informações a terceiros, nem tampouco as referenciou em local acessível a terceiros (como, por exemplo, bloco de notas ou agenda), bem como, nunca a autora acedeu à sua conta via homebanking por computador, tablet ou outro dispositivo de cariz público ou de um terceiro. [art. 10. o e 11. o da p. i.]
XIV. De facto, entende-se por demonstrado que a Recorrente foi cuidadosa com os dados contidos no cartão-matriz, e que, como tal, não foi por sua culpa que despoletou o sucedido, uma vez que esta sempre guardou o cartão-matriz em local seguro e inacessível a terceiros, sempre usou o seu computador pessoal para aceder à plataforma digital "NET..." e mais nenhum outro dispositivo, nunca permitiu o acesso da sua conta a terceiros, bem como nunca revelou as coordenadas do cartão-matriz a terceiros (cf. Declarações da Autora D. S., prestadas em audiência de julgamento de 23/11/2018, em tomo dos mm:ss 08:57; 09:06; 09:15; 09:58; 10:47, como transcrito supra e também Depoimento da testemunha S. H., prestado em audiência de julgamento de 23/11/2018, em tomo dos mm:ss 05:57; 05:59; 07:33, acima transcrito).
XV. Atentos os cuidados que a Recorrente detinha com os seus dados bancários, nomeadamente os dados do cartão-matriz, compreende-se que a fraude informática não ocorreu por negligência da Recorrente, mas sim pela falta de segurança revelada no sistema informático de homebanking promovida pela Recorrida. É tido por certo que a instituição bancária que faculta ao cliente a possibilidade de efetuar movimentações na sua conta bancária através do serviço de homebanking tem o dever de assegurar que a respetiva plataforma informática seja efetivamente fiável e segura, características que o serviço de homebanking disponibilizado pela Recorrida não possuía, pois, tal como resulta do sucedido, a correspetiva plataforma, para além de não ter impedido o acesso do sistema por terceiros (hackers), também não estava preparada para bloquear a realização de um número significativo de movimentações bancárias, de valor considerável.
XVI. No caso em concreto, a plataforma "NET..." permitiu a realização de uma média de 15 movimentações bancárias por dia, sob forma de "pagamento de serviços" ou "pagamento de compras" efetuadas para a mesma entidade, cada uma no valor nunca inferior a € 451,00 (quatrocentos e cinquenta e um euros), que se totaliza no montante de aproximadamente € 6.765,00 (seis mil setecentos e sessenta e cinco euros) diários; no entanto, esta série de movimentações bancárias não suscitou nenhuma espécie de reação por parte da instituição bancária Recorrida, apesar das mesmas não constituírem movimentações habituais da Recorrente, nem da maioria dos clientes enquanto pessoas singulares. Ora, a atitude inerte da Recorrida - dada por provada em sentença inclusive (cf. factos provados n.ºs 32 e 33) - é, de todo, incompreensível à Recorrente.
XVII. A premissa de que é impossível ao Banco controlar as movimentações bancárias de todos os clientes não é digna de aceitação, pois é sabido que as instituições bancárias, principalmente nos dias de hoje, em que dispõem das novas tecnologias para o efeito, têm acesso ao perfil de cada cliente e do respetivo histórico de movimentações bancárias, tanto que, por norma, quando são realizadas movimentações que não correspondem ao comum desse perfil, as instituições confirmam, junto do próprio cliente, se a movimentação foi efetivamente realizada por este. Este facto acabou por ser confirmado pela própria testemunha da Recorrida M. C. - cf. Depoimento da testemunha M. C., prestado em audiência de julgamento de 23/11/2018, em tomo dos mm:ss 39:48, conforme transcrito supra.
XVIII. Neste seguimento, entende a Recorrente que o facto dado por não provado identificado em sentença na alínea f) foi objetivamente demonstrado:
Y j) É habitual as instituições financeiras confirmarem junto do cliente a movimentação de determinadas quantias pecuniárias, mesmo quando estas sejam realizadas em menor número e em menor montante. farto 33. o da p.i.]
XIX. Tal como resulta por provado em sentença, "a situação da autora não se trata de um caso isolado, pois existem queixas semelhantes em relação ao serviço "Net..." da Caixa ..., sendo que foi realizada uma reportagem jornalística sobre o tema." (cf. facto provado n." 34), facto este que, só por si, atesta quanto à qualidade e ao grau de segurança do serviço de homebanking prestado pela Recorrida. Se o mesmo serviço deu azo a várias queixas, trazidas ao conhecimento por meio da comunicação social, é porque, de facto, este serviço não comporta as medidas de segurança necessárias para garantir que o sistema não seja acedido frequentemente por piratas informáticos. Assim sendo, afigura-se como razoável imputar a responsabilidade pelas consequentes perdas à instituição bancária que está incumbida de gerir e administrar tal serviço.
XX. Na verdade, o cerne do problema do sistema de homebanking da Recorrida residia no facto deste não garantir elevada segurança, pois a colocação de coordenadas contidas num cartão-matriz não é, de todo, o meio mais seguro para realização de movimentações bancárias via on-line, tendo a Recorrida se apercebido desse facto após o recebimento de inúmeras reclamações. Decidiu, portanto, por alterar o sistema de segurança do serviço de homebanking "Net...", optando por um mecanismo que indubitavelmente é mais seguro e eficaz - o sistema "SMS CODE" (cf. Depoimento da testemunha D. C. prestado em audiência de julgamento de 28/11/2018, em tomo dos mm:ss 01:04:32, transcrito supra), o qual consiste no envio de um código para o telemóvel do cliente, código esse gerado de forma automática com a finalidade de ser inserido na plataforma "NET...", confirmando-se desse modo a operação bancária pretendida (cf. facto provado n. o 48).
XXI. Este sistema de segurança, que inicialmente (a partir de julho de 2016) era opcional, tomou-se obrigatório e esta obrigatoriedade seguiu-se pouco tempo após a emissão da reportagem televisiva sobre este tema no Programa de televisão "…", transmitido no dia 24/03/2017, passando o cartão-matriz a ser utilizado conjuntamente com o sistema "SMS CODE" para efetuar determinadas operações bancárias (p.e. transferências, pagamentos de serviços, pagamentos de compras). Esta alteração de sistema de segurança é demonstrada por meio de prova documental, mais propriamente no documento junto com a Contestação (cf. pág. 33 da Contestação), retirado do website da Recorrida em 09/11/2017, intitulado de "Acesso NET... Particulares", no qual se lê: "Dependendo do canal e da operação, poderá ser solicitado o código SMS Code".
XXII. Ora, a alteração do sistema de segurança do serviço de homebanking promovida pela Recorrida afigura um tácito reconhecimento de que tal serviço evidenciava sérias falhas quanto à proteção dos seus clientes em relação à pirataria informática. Logo, não deve este facto ser ignorado pelo Tribunal, ao que o Tribunal a quo deveria ter considerado como demonstrado o facto que e1encou como não provado, identificado com alínea h):
y h) O mediatismo da reportagem referida em 34) foi deveras revelante, que surtiu como efeito imediato na ré a alteração do sistema de segurança do serviço de homebanking "Net...". [art. 57.0 da p.i.]
XXIII. Em suma, e face ao exposto, isto é, dando-se por demonstrado que a Recorrente não agiu com negligência, tendo sempre respeitado os deveres que a incumbiam enquanto utilizadora do serviço de homebanking, e que o sistema de segurança desse mesmo serviço prestado pela Recorrida não era cabal nem eficaz, permitindo assim que o mesmo fosse, por diversas vezes, alvo de pirataria informática, conclui-se que a instituição bancária Recorrida deve ser responsabilizada pelo sucedido, devendo restituir a Recorrente dos danos patrimoniais e não patrimoniais sofridos.
IMPUGNAÇÃO QUANTO À MATÉRIA DE DIREITO
XXIV. O homebanking consiste num serviço disponibilizado por certas instituições bancárias, como a ora Recorrida, através do qual é permitido aos seus clientes proceder a um conjunto de operações bancárias, via "on-line", relativamente à conta de que são titulares, por intermédio de uma página segura da instituição bancária respetiva, sendo, para o efeito, fornecidas chaves de acesso, pessoais e intransmissíveis. A adesão a este serviço implica a celebração de um contrato apresentado pela instituição bancária ao cliente, com um conjunto de cláusulas contratuais gerais pré-definidas, não suscetíveis de negociação pelo cliente.
xxv. O serviço de homebanking era, à data da ocorrência dos factos objeto do litígio, regulado pelo Regime dos Serviços de Pagamento e da Moeda Electrónica, aprovado pelo Decreto-Lei n.o 317/2009, de 30/10,o qual transpôs para a ordem jurídica interna a Diretiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro de 2007.
XXVI. Nos termos do artigo 68.°, n.º 1, al. a) desse mesmo diploma consagra: "O prestador de serviços de pagamento que emite um instrumento de pagamento tem as seguintes obrigações: assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior ", acrescentando o n.º 2 do referido artigo que "o risco do envio ao ordenante de um instrumento de pagamento ou dos respetivos dispositivos de segurança personalizados corre por conta do prestador do serviço de pagamento". Da letra da lei decorre, portanto, que a instituição bancária assume o risco inerente da utilização de instrumentos de pagamento disponibilizados aos seus clientes, tendo esta que garantir a operacionalidade, eficácia e segurança do sistema informático inerente ao serviço de homebanking.
XXVII. Por conta desse risco, a instituição bancária - ''prestador de serviço" - é obrigada a reembolsar o seu cliente - "ordenante" - do montante da operação de pagamento não autorizada - artigo 71.°, n.º 1 do Decreto-Lei n." 317/2009, de 30/10 - ou seja, a execução de um pagamento não autorizado suscita, na instituição bancária, a obrigação de indemnizar o seu cliente pelos danos daí provenientes e esta obrigação deriva do dever que incumbe ao prestador de serviços em assegurar a qualidade e segurança do sistema. Como refere Calvão da Silva, citado na própria sentença proferida pelo Tribunal a quo, o "risco de funcionamento deficiente ou inseguro do sistema de prestação de serviços de pagamento ou transferência localiza-se, portanto, na esfera do seu prestador, a quem incumbe a responsabilidade por operações não autorizadas pelo cliente nem devidas a causa imputável ao cliente".
XXVIII. ln casu, foram efetuadas diversas movimentações bancárias que não foram autorizadas pela Recorrente, enquanto usuária do serviço de homebanking disponibilizada pela Recorrida, pelo que, e de acordo com os ditames da lei, deverá a mesma ser reembolsada do montante da operação de pagamento não autorizada pelo prestador de serviços em apreço: a instituição bancária Recorrida.
XXIX. A responsabilidade da instituição bancária só poderá ser afastada no caso previsto no artigo 72.0 do Decreto-Lei n.º 317/2009, o qual consagra:
«1 - No caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 150.
2 - O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 6º caso em que não são aplicáveis os limites referidos no n. o 1.
3 - Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva.
4 - Após ter procedido à notificação a que se refere a alínea b) do n. o 1 do artigo 67.º o ordenante não suporta quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, roubado ou abusivamente apropriado, salvo em caso de atuação fraudulenta.
5 - Se o prestador de serviços de pagamento não fornecer meios apropriados que permitam a notificação, a qualquer momento, da perda, do roubo ou da apropriação abusiva de um instrumento de pagamento, conforme requerido pela alínea c) do n. o 1 do artigo 68. ~ o ordenante não fica obrigado a suportar as consequências financeiras resultantes da utilização desse instrumento de pagamento, salvo nos casos em que tenha agido de modo fraudulento.»
XXX. De acordo com os preceitos legais supra referenciados, o utilizador de serviços de homebanking apenas deverá suportar todas as perdas resultantes de operações de pagamento não autorizadas caso:
y Fraudulentamente as tiver ordenado ou tiver incumprido deliberadamente uma ou mais das suas obrigações - artigo 72.°, n." 2 do Decreto-Lei n." 317/2009;
y Tenha atuado com negligência grave - artigo 72.°, n." 3 do Decreto-Lei n." 317/2009.
XXXI. Em concreto, nunca foi posto em causa que a Recorrente tenha ordenado fraudulentamente as referidas movimentações nem tampouco que tenha deliberadamente incumprido algumas das suas obrigações, pelo que a aplicação do n." 2 do artigo 72.° daquele diploma está, desde logo, excluída. Posto isto, a responsabilidade da instituição bancária Recorrida, decorrente da aplicação do artigo 71. ° do Decreto- Lei n. ° 317/2009, apenas poderia ser afastada caso fosse demonstrado pela própria Recorrida - detentora do ónus da prova- que a Recorrente atuou com negligência grave, isto é, que a Recorrente "teve qualquer comportamento suscetivel de pôr em causa a segurança do sistema" (Ac. Tribunal da Relação de Lisboa de 21/12/2017, Proc. n." 1318/09.2TBTNV.Ll-6).
XXXII. De modo a descortinar o significado e a abrangência do conceito de "negligência grave", o Ac. do Tribunal da Relação de Guimarães, de 17/12/2014, Proc. n." 1910/12.8TBVCT.G1, optou por colher e citar alguns autores da doutrina:
. Na opinião do Prof. Inocêncio Galvão Teles, a culpa grave apresenta-se como "uma negligência grosseira", pelo que "só por uma pessoa particularmente negligente se mostra suscetível de ser cometida".
. O Prof. Pinto Monteiro defende que o conceito de "negligência grave" concerne a atuações incompatíveis com os valores atinentes ao princípio da boa-fé, isto é, quando o devedor não observe "as regras elementares de prudência".
- A Prof.ª Ana Prata refere que culpa grave é o mesmo que "negligência grosseira, erro imperdoável. desatenção inexplicável, incúria indesculpável- vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes", aproveitando para citar René Savatier, que caracteriza a culpa grave como "uma conduta em que a má-fé é verosímil, mas não se encontra absolutamente demonstrada".
. Alude ainda que conceito de "negligência grave" tem um sentido similar ao conceito de "negligência consciente" do Direito Penal, o qual se aproxima do conceito de "dolo eventual", e que é definido na alínea a) do artigo 15.° do Código Penal como o comportamento daquele que ''por não proceder com o cuidado a que, segundo as circunstâncias, está obrigado e de que é capaz", representa como possível "a realização de um facto que preenche um tipo de crime" mas que atua "sem se conformar com essa realização".
XXXIII. Ora, atendendo a que foram erroneamente dados como provados os factos relativos à inserção de coordenadas do cartão-matriz pela Recorrente no seu computador factos identificados em sentença com os n." 28), 55) e 56) - conclui-se que a Recorrente nunca atuou com negligência, visto que cumpriu irrepreensivelmente os deveres de confidencialidade a que estava adstrita. A Recorrida não conseguiu afastar a presunção de culpa que sobre esta incidia. Assim, jamais se poderá determinar pela aplicação do n." 3 do artigo 72.° do Decreto-Lei n." 317/2009; deste modo, recai sobre a Recorrida a responsabilidade de reembolsar a Recorrente pelas perdas resultantes dos pagamentos não autorizados que foram efetuados na conta desta última, nos termos do disposto nos artigos 68.0 e 71.0 do Decreto-Lei n." 31712009.
No entanto, e sem prescindir, sempre se dirá:
XXXIV. Ainda que se dê por aceite todos os factos que foram dados por provados pelo Tribunal a quo, isto é, mesmo considerando que a Recorrente tenha inserido as coordenadas do cartão-matriz no computador, e que, deste modo, tenha agido negligentemente, o que apenas por mera cautela de patrocínio se equaciona, jamais poderia o Tribunal a quo, salvo devido respeito por opinião em contrário, ter decidido pela não responsabilização da Recorrida pelos danos emergentes das operações bancárias não autorizadas.
XXXV. O Ac. do Supremo Tribunal de Justiça, de 18/12/2013, Proc. n." 6479/09.8TBBRG.G1.S1, faz previamente uma descrição sobre estas modalidades de ataques cibernautas que visam unicamente a "obtenção fraudulenta de fundos":
y "O phishing (do inglês fishing «pesca») pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais(número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente";
y O pharming "consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador. através de programas que captam os códigos de pulsação do teclado (os ditos kevloggers).o que pode ser feito através da difusão de virus via spam, o que leva o usuário a pensar que está a aceder a um determinado site - por exemplo o do seu banco - e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e ai poderem efectuar as operações que entenderem".
XXXVI. Neste seguimento, profere o Ac. do Tribunal da Relação do Porto, de 07/10/2014, Proc. n." 747112.9TJPRT.P1, o seguinte: "A jurisprudência tem vindo a entender, nesta matéria, que os riscos da falha do sistema informático utilizado bem como dos ataques cibernautas ao mesmo correm por conta do banco por a tal conduzir o disposto no artigo 796º nº1 do CCivil, desde que não se prove a culpa do cliente/utilizador. (vide Ac. do STJ de 18/12/2013, proc. nº 6479/09.8TBBRG.G1.S1 in… Também se tem utilizado o instituto da responsabilidade civil contratual, fazendo-se recair a presunção de culpa, prevista no artigo 799º nº 1 do C. Civil, sobre o banco por causa das deficiências de segurança no serviço homebanking. Tem-se chamado ainda à colação o Regime das Cláusulas contratuais legais. Na verdade, é sabido que o contrato de homebanking à partida comporta risco e esse risco tem de ser repartido de uma forma equitativa, tendo em conta os direitos e deveres contratuais e os que emergem do quadro normativo existente.". O Ac. do Supremo Tribunal de Justiça, de 18112/2013, Proc. n.º 6479/09.8TBBRG.G1.S1, sublinha ainda: "decorre que os riscos pela utilização normal do sistema correm por conta do prestador de serviços, isto é sobre o Banco, o que não deixa de ser uma obrigação perfeitamente normal já que é o Banco que vai retirar os maiores benefícios económicos do seu bom funcionamento". Por esse motivo, incumbe às instituições bancárias ilidir a presunção de culpa que sobre estas recai.
XXXVII. Ora, a responsabilidade da instituição bancária somente é afastada quando esta demonstre que o cliente atuou com grave negligência e que, por conta dessa atuação negligente, resultaram tais perdas. Neste contexto, expressa inequivocamente o Ac. Tribunal da Relação do Porto, de 29/04/2014, Proc. n." 225/12.6TNNF.P1 que "não age com culpa o depositante que, por via de uma fraude informática levada a efeito por terceiros, na convicção que estava na página on-line do Banco/homebanking, introduziu numa página clonada da internet do Banco. as suas certificações. pessoais e intransmissiveis, que abusivamente vieram a ser utilizadas no acesso, por terceiros, à conta de que era titular", entendimento este que é igualmente seguido e partilhado pelo Ac. do Tribunal da Relação de Guimarães, de 17/12/2014, Proc. 1910/12.8TBVCT.G1 e pelo Ac. do Tribunal da Relação de Coimbra, de 02/02/2016, Proc. n.º 902/13.4TBCNT.Cl.
XXXVIII. Em casos de fraude informática como o phishing e o pharming, tem-se entendido que, quando o utilizador do serviço de homebanking insere dados que são confidenciais em determinada página web, o faz movido pelo sentimento de confiança que deposita na própria instituição bancária. De facto, os hackers, quando engendram o modo de alcançar os seus objetivos, fazem-no de forma que a pessoa comum - cujos conhecimentos informáticos sejam básicos, tal como é o caso da Recorrente - seja induzida em erro e forneça a informação que pretendem, sem causar mínima desconfiança. Apenas uma pessoa muito experiente e muito conhecedora do meio de navegação em ambiente eletrónico é que poderia desconfiar de tal estratagema. Portanto, uma vez tratando-se de uma situação recorrente, em que várias pessoas são induzidas em erro, independentemente da idade, género e habilitações literárias que apresentam, não é correto afirmar que tal conduta - a inserção de dados bancários confidenciais em página web ou afim - evidencie negligência grave por parte dos clientes das instituições bancárias.
XXXIX. Por outro lado, e tal como sublinha o já citado Ac. do Tribunal da Relação de Guimarães, de 17/12/2014, as instituições bancárias, com os meios informáticos de que dispõem e o conhecimento das pessoas que são seus clientes habituais, podem facilmente traçar o perfil do utilizador, de modo a evitar a realização de operações repetidas realizadas num curto lapso de tempo e de tudo o que saia da normalidade que o cliente vem revelando, contribuindo assim para uma maior segurança do sistema. Além disso, somente as instituições bancárias encontram-se na disposição de aperfeiçoar as medidas segurança do respetivo serviço de homebanking.
XL. Destarte, mesmo que se dê por provado que a Recorrente procedeu à inserção de todas as coordenadas do cartão-matriz, não é correto afirmar que a mesma, em comparação com o homem comum, agiu de uma forma particularmente negligente. Assim sendo, a responsabilidade que, nos termos do artigo 71.° do Decreto-Lei n." 317/2009, incide sobre o prestador de serviço não foi afastada, pois, mesmo considerando por demonstrados todos os factos dados por provados em sentença, não é aplicável o artigo 72.°, n." 3 do citado diploma. Por conseguinte, deverá a ora Recorrida ser responsabilizada pelo sucedido e, em adição, deverá a mesma responder pela reposição das quantias indevidamente apropriadas por terceiros da conta bancária da aqui Recorrente.
XLI. Em suma, deveria o Tribunal a quo ter decidido pela procedência total da presente ação e, em consequência, condenar a Recorrida no pagamento de uma indemnização devida pela à ocorrência de várias movimentações bancárias na conta da Recorrente realizadas sem o consentimento e autorização desta.
Concluiu pedindo seja dado provimento ao recurso e, em consequência, seja revogada a sentença recorrida, julgando-se a ação por provada e procedente.
A Recorrida contra-alegou, pugnando pela improcedência do recurso.
Colhidos os vistos legais, cumpre decidir.
*
II. DELIMITAÇÃO DO OBJETO DO RECURSO:O objeto do recurso é delimitado pelas conclusões da alegação do recorrente, ressalvadas as questões que sejam do conhecimento oficioso do tribunal (artigos 635º, n.º 4 e 639º, n.º 1 do NCPC).
No caso vertente, as questões a decidir que ressaltam das conclusões recursórias são as seguintes:
- Saber se houve erros na apreciação da prova e na subsunção jurídica dos factos, sendo estes últimos consequência daqueles;
- Saber se, a manter-se a decisão da primeira instância relativa à matéria de facto, a conduta da Autora (utilizadora do serviço de pagamentos eletrónicos) consubstanciará, nas concretas circunstâncias do caso, uma atuação com culpa grave, excludente da responsabilidade da Ré (prestadora do serviço) pelos prejuízos resultantes das operações não autorizadas fraudulentamente realizadas por terceiros através do sistema de serviço de homebanking da mesma.
*
III. FUNDAMENTOS:Os factos.
Na primeira instância foi dada como provada a seguinte factualidade:
1) A ré é uma instituição bancária que tem como actividade a prestação de serviços financeiros, dedicando-se, essencialmente, à celebração de contratos de depósito bancário e similares. [art. 1.º da p.i.]
2) A autora celebrou com a ré, em 14.10.2014, contrato de abertura de conta de depósito e de comercialização de produtos e serviços, e a partir de tal data é titular da conta bancária de depósitos à ordem, com o n.º ... (IBAN PT50 ...1), da agência de …, da Caixa ..., ora R., com sede na Avenida …, Barcelos. [art. 2.º da p.i. e doc. de fls. 160 e ss.]
3) A autora é também titular da conta a prazo n.º …, da mesma instituição bancária, ora ré, designada de conta “Caixa ... Poupança Certa”, no prazo de 3 anos, não renovável, constituída em 30/06/2015. [art. 3.º da p.i.]
4) A ré disponibiliza aos seus clientes, o acesso ao homebanking, permitindo este serviço a realização de inúmeras operações, sem que o cliente tenha de se deslocar a um balcão presencialmente. [arts. 13.º e 15.º da contestação]
5) A autora aderiu ao serviço de homebanking “Net...”, o qual permitia o acesso à sua conta bancária de depósitos à ordem e a realização de operações bancárias, através de canais telemáticos (internet, telefone, WAP, etc.), em 14.10.2014, conforme contrato de abertura de conta de depósito e de comercialização de produtos e serviços de fls. 160 e ss. cujo teor se dá aqui por reproduzido para todos os efeitos legais. [art. 4.º da p.i. e arts. 14.º e 17.º da contestação e doc. de fls. 161]
6) A autora, no dia 23.05.2016, requereu à ré a emissão de um novo cartão matriz. [art. 21.º da contestação]
7) A ré remeteu à autora, em 24.05.2016, um novo cartão matriz, por via postal. [art. 22.º da contestação]
8) Para o efeito, foram fornecidos pela ré à autora, os códigos de acesso/credenciais de utilização a três níveis:
a. Número de identificação Caixa ... (número de utilizador);
b. Código Pin multicanal, compostos por seis dígitos;
c. Cartão matriz (que consiste num cartão de coordenadas para validação de operações passíveis de alteração do património detido no Caixa ...). [art. 5.º da p.i. e 26.º da contestação]
9) O número de identificação Caixa ... (número de utilizador) e o Código Pin Multicanal foram atribuídos à autora no momento da adesão ao Caixa ... 24. [art. 5.º da p.i. e 27.º da contestação]
10) Sendo certo que estas duas credenciais apenas permitem a realização de operações e consultas que não comportem alterações de património, tal como foi explicado pela ré à autora. [art. 6.º da p.i. e 28.º da contestação]
11) Por seu turno, o cartão matriz – que era necessário para a realização de operações bancárias tal como a ré explicou à autora -foi enviado para a sede da Autora, via CTT, em estado de pré-activo, e posteriormente activado pela autora mediante validação prévia dos códigos de acesso (número de cliente/utilizador e PIN multicanal). [art. 6.º da p.i. e 29.º da contestação]
12) O novo cartão foi activado pela autora no dia 02.06.2016. [art. 23.º da contestação]
13) Desde a adesão, a autora fez uso do referido serviço de homebanking para aceder à sua conta bancária mas nunca efectuou qualquer movimentação bancária, como pagamento de serviços ou compras, transferências bancárias, ou outros através do mesmo. [art. 7.º e 8.º da p.i.]
14) Desde a adesão, a autora utilizou o serviço de homebanking, sem apresentar qualquer tipo de reclamação à ré, pelo menos, até ao dia 16.01.2017. [art. 18.º da contestação]
15) No dia 16.01.2017, a autora deslocou-se à agência bancária da ré, sita na Avenida …, Barcelos, onde efectuou o depósito de notas no valor €.480,00 (quatrocentos e oitenta euros) para a conta bancária de que é titular. [art. 12.º e 13.º da p.i.]
16) Posteriormente, a autora acedeu à sua conta bancária através do mencionado serviço de homebanking “Net...”, para verificar se a quantia depositada estava disponível e ao consultar o extracto de movimentos bancários, constatou que foram realizadas as operações de pagamentos de serviços e de compras infra descritas em 17), no período ocorrido entre 04.01.2017 e 07.01.2017. [art. 14.º e 15.º da p.i.]
17) Entre 04.01.2017 e 07.01.2017, foram realizadas as seguintes operações a partir da conta da autora supra referida em 2):
17.1) Em 04.01.2017, foram realizados:
i. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
ii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
iii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
iv. Um pagamento de serviços a favor da entidade ..., no valor de €.482,78.
v. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
vi. Um pagamento de compras a favor da entidade ..., no valor de €.482,78.
vii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
viii. Um pagamento de compras a favor da entidade ..., no valor de €.476,63.
ix. Um pagamento de compras a favor da entidade ..., no valor de €.479,70.
x. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xi. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xii. Um pagamento de serviços a favor da entidade ..., no valor de €.451,00.
xiii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xiv. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
17.2) Em 05.01.2017, foram realizados:
xv. Um pagamento de serviços a favor da entidade ..., no valor de €.481,75.
xvi. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xvii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xviii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xix. Um pagamento de compras a favor da entidade ..., no valor de €.482,78.
xx. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xxi. Um pagamento de compras a favor da entidade ..., no valor de €.482,78.
xxii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xxiii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xxiv. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xxv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xxvi. Um pagamento de serviços a favor da entidade ..., no valor de €.482,78.
xxvii. Um pagamento de compras a favor da entidade ..., no valor de €.481,75.
xxviii. Um pagamento de compras a favor da entidade ..., no valor de €.482,86.
17.3) Em 06.01.2017, foram realizados:
xxix. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxx. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxxi. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxxii. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxxiii. Um pagamento de compras a favor da entidade ..., no valor de €.534,36.
xxxiv. Um pagamento de compras a favor da entidade ..., no valor de €.539,29.
xxxv. Um pagamento de compras a favor da entidade ..., no valor de €.539,50.
xxxvi. Um pagamento de compras a favor da entidade ..., no valor de €.534,36.
xxxvii. Um pagamento de serviços a favor da entidade ..., no valor de €.535,39.
xxxviii. Um pagamento de serviços a favor da entidade ..., no valor de €.536,42.
xxxix. Um pagamento de compras a favor da entidade ..., no valor de €.534,43.
xl. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
17.4) Em 07.01.2017, foram realizados:
xli. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xlii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xliii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xliv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xlv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xlvi. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xlvii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xlviii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xlix. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
l. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
li. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
liii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
liv. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
17.5) Em 08.01.2017, foram realizados:
lv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lvi. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lvii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lviii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80. [arts. 15.º, 18.º e 19.º da p.i.]
18) Em 06.01.2017, foi realizada uma transferência no valor de €.5.000,00 (cinco mil euros) da conta a prazo identificada em 3), para a conta de depósitos à ordem identificada em 2). [art. 20.º da p.i.]
19) Todas as operações descritas em 17) foram realizadas sem o conhecimento e o consentimento da autora, que desconhece quem poderia ter acedido à sua conta bancária. [arts. 16.º e 17.º da p.i.]
20) De igual modo, a transferência referida em 18) foi concretizada sem o consentimento da autora, que desconhece quem tenha efectuado a mesma. [arts. 21.º e 22.º da p.i.]
21) As movimentações referidas em 17) e 18) foram realizadas sem a autorização e contra a vontade da autora. [art. 23.º da p.i.]
22) Em face ao sucedido, a autora deslocou-se, juntamente com o marido, ao Balcão da ré sito em …, para apresentar uma reclamação uma vez que lhes faltavam valores na conta por si titulada e para apurar o motivo de tal ocorrência, ao que lhe informaram que teria havido clonagem do cartão. [art. 24.º e 25.º da p.i. e 65.º da contestação]
23) Nesta sequência, a autora inactivou de imediato as correspectivas contas bancárias. [art. 26.º da p.i.]
24) E dadas as informações prestadas pela autora e pelo marido, a gerente aconselhou que deveriam formalizar queixa-crime. [art. 67.º da contestação]
25) Ainda no mesmo dia, em 16.01.2017, a autora apresentou competente participação no Posto Territorial de Barcelos da Guarda Nacional Republicana, que deu origem ao Processo n.º 52/17.4JABRG, que corre actualmente os seus termos nos Serviços do Ministério Público junto do Tribunal de Barcelos [art. 27.º e 28.º da p.i.]
26) Na sequência da reclamação apresentada em 22) e enquanto a autora se deslocou à GNR nos termos referidos em 25), a gerente do balcão de ..., M. C., ficou a analisar a conta da autora para aferir de que forma ocorreram as saídas dos valores mencionados pela autora. [art. 68.º da contestação]
27) Depois de ter realizado pesquisas e tendo percebido que tinha sido através do homebanking, de imediato ligou à autora informando-a que os valores reclamados teriam saído da conta por essa via. [art. 69.º da contestação]
28) Nesse telefonema, a autora afirmou que tinha inserido todas as coordenadas do cartão matriz no computador e tinha demorado meia hora. [art. 72.º da contestação]
29) Nesta sequência, foi então dirigida, em 18.01.2017, uma reclamação, ao Banco de Portugal (RCO/2017/...) e outra ao Provedor dos Participantes da Caixa ..., tudo conforme documentos n.ºs 4 e 5, juntos a fls. 17v a 27v e cujo teor aqui se dá por reproduzido para todos os efeitos legais. [art. 60 º da p.i.]
30) Todavia, a ora ré eximiu-se de toda e qualquer responsabilidade, transmitindo a sua posição por carta datada de 09.02.2017, conforme documento n.º 6 junto a fls. 30 e 31 dos autos, cujo teor aqui se dá por integralmente reproduzido para todos os efeitos legais. [art. 61 º da p.i.]
31) O valor de €.28.596,14, que foi retirado da conta bancária da autora, corresponde às poupanças que a autora angariou ao longo de vários anos, sendo resultado dos seus rendimentos de trabalho, bem como de prendas de casamento. [art. 30.º da p.i. e 78.º da contestação]
32) A conta da autora foi movimentada nos termos referidos em 17) e 18), sem que a ré efectuasse qualquer providência ou sem que alertasse a cliente do ocorrido. [art. 32.º da p.i.]
33) A ré, perante os movimentos referidos em 17) e 18), não efectuou nenhuma diligência, nem no sentido de evitar a retirada do dinheiro, nem tampouco de informar e alertar a autora do elevado número de pagamentos que estavam a ser realizados. [art. 42.º e 43.º da p.i.]
34) A situação da autora não se trata de um caso isolado, pois existem queixas semelhantes em relação ao serviço “Net...” da Caixa ..., sendo que foi realizada uma reportagem jornalística sobre o tema. [art. 55.º e 56. da p.i.]
35) Perante o supra referido, a autora sente-se angustiada, preocupada, frustrada e lesada nos seus direitos. [art. 29.º da p.i.]
36) A realização das operações referidas em 17) e 18) provocaram instabilidade financeira à autora, dado que a mesma ficou sem aqueles rendimentos para fazer face às suas despesas domésticas e profissionais, o que lhe causou enormes preocupações, ansiedade e tristeza. [art. 71.º e 72.º da p.i.]
37) Desde o sucedido a autora, outrora uma pessoa extrovertida, social e alegre, tornou-se numa pessoa mais reservada, taciturna e desanimada. [art. 73.º da p.i.]
***
38) O cartão matriz possui uma matriz de coordenadas, com 72 posições, cada uma com 3 dígitos. [art. 30.º da contestação] 39) Para validação das operações, as coordenadas são sempre solicitadas de forma aleatória pelo sistema informático. [art. 31.º da contestação]
40) Tais coordenadas do cartão matriz são inseridas pelos utilizadores do homebanking uma única vez, sem lugar a repetições de coordenadas, e apenas do conhecimento do titular do cartão. [art. 32.º da contestação]
41) O sistema informático que produz os cartões matriz é automatizado, não havendo qualquer intervenção da ré. [art. 33.º da contestação]
42) Sempre que um cliente acede ao sistema “Net...”, pela primeira vez e sempre que acede num computador novo, o sistema emite uma janela pop up como a de fls. 51v, de leitura obrigatória, só fechando após o cliente demonstrar ter compreendido a mensagem, alertando ainda para o facto de apenas ser solicitado o fornecimento de 2 coordenadas do cartão, para autenticação das mais variadas operações. [art. 34.º da contestação].
43) No canto superior direito do cartão lê-se “Atenção: Nunca indique mais do que 2 dígitos deste Cartão Matriz”. [art. 35.º da contestação]
44) A ré dispõe ainda, no seu site institucional, www.Caixa ....pt, de vários avisos de segurança, de forma a prevenir os seus clientes para o risco inerente à utilização da internet. [art. 36.º da contestação]
45) A ré dispõe de sistemas de segurança que indicam ao cliente estar no site institucional, conforme demonstra fls. 57v e 58 e através de janelas, avisos e alertas de segurança adverte para a política de autenticação de operações. [art. 41.º da contestação]
46) No momento, em que a autora acede ao portal “NET...”, e antes de inserir a sua password de acesso (o código pin multicanal), são emitidos diversos avisos de segurança, nomeadamente:
a. “1.Valide que está a aceder a uma página segura“
b. “2.Cartão Matriz O Caixa ... nunca lhe solicitará mais que 2 posições do seu Cartão Matriz. Na activação do Cartão Matriz não são solicitadas posições do mesmo.” [art. 42.º da contestação]
47) As movimentações em conta através do serviço “NET ...”, operam da seguinte forma: introdução do número de identificação Caixa ..., password (o código pin multicanal) e 2 posições do cartão matriz. [art. 44º da contestação]
48) Podendo o cliente ainda optar pela activação do sistema “SMS CODE”, disponibilizado em Julho de 2016, o qual consiste no envio de um código para o telemóvel do cliente, código esse gerado de forma automática e que deverá ser inserido na plataforma “NET...”, confirmando-se desse modo a operação pretendida. [art. 45º e 46.º da contestação]
49) A autora optou por não aderir a este mecanismo extra de segurança. [art. 47.º da contestação]
50) O cartão matriz comporta 9 campos por 8, sendo que cada quadrícula compõe 3 números de validação, o que totaliza 216 posições possíveis em cada cartão. [art. 49.º da contestação]
51) O que permite realizar 108 operações e tendo sido realizadas 59 operações tal como referido em 17) e 18), isso corresponde a uma utilização de 118 posições das 216 possíveis. [art. 50º e 51.º da contestação]
52) Aquando da realização das movimentações referidas em 17) e 18), o sistema informático da ré não sofreu qualquer tipo de ataque e as coordenadas foram colocadas na primeira tentativa, com excepção de uma única vez no dia 04.01.2017, em que houve um erro na introdução de uma coordenada. [art. 60.º da contestação]
53) O sistema não bloqueou por tentativas falhadas. [art. 61.º da contestação]
54) Em data não apurada, mas posterior a 16.01.2017, a autora deslocou-se, acompanhada de mandatário, ao balcão identificado em 2) de Barcelos. [art. 75.º da contestação]
55) A autora, de forma não concretamente apurada, inseriu no computador, todas as coordenadas do cartão matriz que a ré lhe tinha enviado em 24.05.2016, tal como referido em 7), conjuntamente com os demais elementos necessários ao acesso ao serviço NET ..., ou seja, o número de identificação da Caixa e o código pin multicanal, que são elementos pessoais e intransmissíveis. [art. 86.º da contestação]
56) O referido em 55), permitiu o descrito em 17) e 18).
57) Os limites máximos diários permitidos pela ré são os seguintes:
a) €.2500,00 para pagamento de serviços e €.2500,00 para pagamentos de compras pelo sistema NET... (computador).
b) €.1250,00 para pagamento de serviços e €.1250,00 para pagamentos de compras pelo sistema NET ... (telemóvel).
58) Por causa do referido em 57), a ré não permitiu a realização dos seguintes pagamentos:
a) Pagamento de serviços no valor de €.482,76, pela NET ..., às 23:16:49 do dia 04.01.2017.
b) Pagamento de serviços no valor de €.534,36, pela NET ..., às 10:05:39 do dia 06.01.2017.
c) Pagamento de compras no valor de €.535,39, pela NET ..., às 10:08:45 do dia 06.01.2017.
59) Das condições gerais do contrato de abertura de conta de depósito e de comercialização de produtos e serviços consta, para além do mais, na cláusula 27, o seguinte:
«27.9 A partir do momento da adesão, o Cliente autoriza a Caixa ... a realizar as operações através dos meios electrónicos do Serviço Caixa .... A Caixa ... fica expressamente autorizada pelo cliente a executar as ordens verbais pelo telefone, VOIP, Internet ou outras formas telemáticas de contacto, no âmbito do Serviço Caixa ..., desde que tais ordens sejam validadas pela aposição de credenciais de autenticação solicitadas. Em qualquer momento pode a Caixa ..., através do serviço Caixa ..., solicitar que as ordens sejam confirmadas por escrito, mediante comunicação por carta ou fax, sempre que hajas dúvidas objectivas quanto à identidade do ordenante, ou sempre que os montantes envolvidos na operação sejam de elevado valor, ou ainda sempre que se julgue necessário, para a concretização de adesões a produtos ou serviços, ou a inclusão de documentação adicional.
27.10 A partir da adesão ao Serviço Caixa ..., os clientes autorizam a Caixa ... de forma irrevogável, e, sempre que esta considere necessário: (…)
c) A não executar ordens quando não sejam facultadas credenciais de autenticação do cliente ou representante, consideradas necessárias para as realizar;
d) A suspender o Serviço Caixa ..., no todo, ou em parte, sempre que seja excedido o limite máximo de três tentativas de acesso inválido. (…)
27.16. O cliente compromete-se, igualmente, a guardar sob segredo as suas credenciais de autenticação, bem como a prevenir adequadamente a sua utilização abusiva por parte de terceiros. O cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço Caixa ... por parte de terceiros, com excepção do estabelecido no ponto 27.19.»
E como não provada a seguinte:
a) A autora simplesmente memorizou os dados necessários ao acesso da conta via homebanking, e guardou o cartão-matriz em local seguro e privado, mais propriamente em sua casa de morada, não tendo dado uso a este. [art. 9.º da p.i.]
b) Nunca a autora divulgou tais informações a terceiros, nem tampouco as referenciou em local acessível a terceiros (como, por exemplo, bloco de notas ou agenda), bem como, nunca a autora acedeu à sua conta via homebanking por computador, tablet ou outro dispositivo de cariz público ou de um terceiro. [art. 10.º e 11.º da p.i.]
c) O pedido referido em 6) foi realizado através do serviço “NET...”, tendo a autora nesse momento alegado que o anterior cartão tinha sido “roubado”. [art. 21.º da contestação]
d) Considerando o pedido da autora referido em 6) e d), a autora não guardou o cartão matriz emitido em 2014 do modo mais correcto e cuidado. [art. 24.º da contestação]
e) Na data da celebração do aludido contrato, em 14.10.2014, a ré cuidou de explicar à autora as condições de utilização do serviço homebanking assim como de a alertar para as questões de segurança. [art. 25.º da contestação]
f) É habitual as instituições financeiras confirmarem junto do cliente a movimentação de determinadas quantias pecuniárias, mesmo quando estas sejam realizadas em menor número e em menor montante. [art. 33.º da p.i.]
g) Consta aliás que a entidade que beneficiou dos pagamentos efectuados sem o consentimento da autora – identificada com o n.º ... – está associada a diversos crimes de burla e a fraudes informáticas. [art. 53.º da p.i.]
h) O mediatismo da reportagem referida em 34) foi deveras revelante, que surtiu como efeito imediato na ré a alteração do sistema de segurança do serviço de homebanking “Net...”. [art. 57.º da p.i.]
i) Durante o telefonema referido em 27), M. C., para aferir o que poderia estar a ocorrer, perguntou à autora se esta tinha o cartão matriz consigo, e se o mesmo estava activo, em resposta, a autora afirmou que tinha consigo o cartão e que o mesmo se encontrava activo. [art. 70.º e 71.º da contestação]
j) Tendo presente as possibilidades de burla informática, a ré disponibiliza no seu site alguns exemplos, como forma de mitigar o risco do ordenante para não facultar os dados requeridos, deixando claro de igual modo, quais os meios de comunicação que a ré adopta para contacto com os seus clientes, não sendo o e-mail um deles. [arts. 87.º a 89.º da contestação]
*
O demais alegado pela autora e pela ré constitui matéria de direito, de negação ou conclusiva ou é irrelevante para a decisão.*
O Direito.- Impugnação da matéria de facto:
Sustenta a Autora/Recorrente que houve erro na apreciação da prova no que toca à decisão relativa à matéria de facto porquanto o Tribunal a quo não deveria ter julgado por provados os factos identificados com os números 28), 55) e 56), que infra se transcrevem:
. 28) Nesse telefonema, a autora afirmou que tinha inserido todas as coordenadas do cartão matriz no computador e tinha demorado meia hora (facto 72. o da contestação)
. 55) A autora, de forma não concretamente apurada, inseriu no computador, todas as coordenadas do cartão matriz que a ré lhe tinha enviado em 24.05.2016, tal como referido em 7), conjuntamente com os demais elementos necessários ao acesso ao serviço NET ..., ou seja, o número de identificação da Caixa e o código pin multicanal, que são elementos pessoais e intransmissíveis ( facto 86. o da contestação]
. 56) O referido em 55), permitiu o descrito em 17) e 18).
Defende as mesmas que tais factos deveriam ter sido dados como não provados, pela falta de prova cabal que permita a sua inequívoca demonstração, por terem sido considerados provados com base, única e exclusivamente, no depoimento da testemunha M. C., funcionária da Recorrida, a qual declarou que a Autora lhe tinha confidenciado, num dos telefonemas, que, em determinada altura (que não precisou), tinha recebido um pedido para ativar o cartão-matriz e, nessa sequência, inseriu todas as coordenadas do mesmo no computador, depoimento esse não corroborado por nenhuma outra prova e desmentido pela Autora nas suas declarações, ao que acresce que, tal como resulta provado na própria sentença, "a situação da autora não se trata de um caso isolado, pois existem queixas semelhantes em relação ao serviço "Net..." da Caixa ...".
A este respeito, pode ler-se na Motivação da sentença recorrida:
Quanto aos factos dados como provados em 28) e 55), o tribunal atendeu às declarações da autora e ao depoimento de M. C., em conjugação com os documentos de fls. 131 e ss. e 139 e ss., avaliados à luz das regras da experiência e da normalidade comuns.
No que respeita ao facto provado em 28), temos duas versões: a da testemunha e a da autora, sendo que a autora negou ter dito que tinha inserido todas as coordenadas do cartão matriz no computador, tal como negou a inserção dos números no computador. Contudo, valorizou-se o depoimento da testemunha M. C., que nos mereceu total credibilidade. É certo que a testemunha é funcionária da ré e que esse facto poderia toldar a isenção e sinceridade do depoimento e por consequência, abalar a credibilidade do mesmo. Contudo, entendemos que tal não ocorreu nesta situação. Com efeito, a testemunha depôs de forma espontânea, sincera e relatou o telefone com bastante detalhe, referindo mesmo que a autora disse que demorou meia hora a introduzir os números no computador. E não é só porque a testemunha disse que esta conversa ocorreu, que depois concluímos nos termos em que demos por provado em 55).
Na verdade, foram realizadas 58) operações de pagamentos de serviços e de pagamentos de compras e ainda a transferência da conta a prazo para a conta à ordem. Como decorre dos documentos de fls. 131 e ss. e 139 e ss., em todas as operações foi introduzido o número de identificação da Caixa, o código pin multicanal e duas coordenadas. Apenas numa das vezes, houve um lapso na inserção da segunda coordenada – vide fls. 159v, às 23:48:28 – a qual foi de imediato, inserida correctamente. Ou seja, foram introduzidas 116 das 216 coordenadas do cartão, sempre sem lapsos, à excepção do referido.
À luz das regras da normalidade da vida e da experiência comum, é quase impossível alguém conseguir inserir 116 de 216 coordenadas sem qualquer erro, sem que tenha previamente acesso à totalidade das coordenadas. Por outro lado, em quase todos os outros casos conhecidos de situações semelhantes a estas (…), as pessoas de alguma forma – consciente ou inconscientemente – forneceram os dados no computador, ou em resposta a emails fraudulentos, ou até porque se tinham infiltrado no computador e pensavam estar na página verdadeira do banco, mas que por ter sido corrompido o domínio do banco, o cliente é reencaminhado para um site falso, mas similar ao verdadeiro.
E como se diz no Ac. do T.R.Lisboa de 12.07.2018, relatado por Higina Castelo, no proc. 2256/17.0T8LSB.L1-7, publicado in ww.gde.mj.pt «… E teve de introduzir – facultar a terceiros – todas as posições do seu cartão matriz. Insistimos, todas as 216 posições do seu cartão matriz. Considerando que está provado que foram efectuadas com sucesso cerca de 30 operações, para cada uma das quais foram pedidas aleatoriamente duas posições do cartão matriz – não é possível, sem o conhecimento total do cartão, os terceiros terem acertado em 60 posições que aleatoriamente lhes foram pedidas. Pode calcular-se a probabilidade de, por exemplo, os malfeitores acertarem nas 60 posições conhecendo apenas metade (108) das posições do cartão matriz (note-se que o incumprimento culposo da autora seria tão grave facultando a terceiros 108, 60 ou 216 posições de um cartão). A probabilidade de isso acontecer aproxima-se da de acertar duas vezes seguidas na chave do Euromilhões. Ademais, sabemos … e porque o sistema regista esses dados, que os malfeitores acertaram à primeira nas posições pedidas, com excepção de 2 ou 3 lapsos que logo rectificaram acertando à segunda.»
Ou seja, à luz das regras da lógica e da experiência comuns, a única conclusão que se pode retirar da factualidade apurada e que nos permite concluir nos termos provados em 55), é que autora teve de introduzir todos os elementos de identificação – número de identificação, código pin multicanal e as coordenadas do cartão matriz – no computador (…).
Ouvida a gravação do referido depoimento e as declarações da Autora, não podemos, exclusivamente com base no respetivo conteúdo, chegar a uma conclusão sobre o valor relativo destes dois meios de prova.
Por um lado, nunca é demais salientar que estando nós, como estamos, no âmbito da livre apreciação da prova, as declarações de parte da Autora valem como quaisquer outros elementos com força probatória não regulada.
Tal como se defende no acórdão da Relação de Lisboa de 26.04.2017 (Relator Luís Filipe Pires de Sousa), entendemos que, no que excede a confissão, as declarações de parte integram um testemunho de parte e que “a degradação antecipada do valor probatório das declarações de parte não tem fundamento legal bastante, evidenciando um retrocesso para raciocínios típicos e obsoletos de prova legal”, devendo entender-se que “os critérios de valoração das declarações de parte coincidem essencialmente com os parâmetros de valoração da prova testemunhal, havendo apenas que hierarquizá-los diversamente”.
Assim sendo, em abstrato, as declarações de parte prestadas pela Autora e o depoimento da testemunha M. C. não apresentam um peso diverso na ponderação da prova a efetuar.
Mas vejamos se, em concreto, este se deve sobrepor àquelas.
Para a primeira instância e de acordo com a motivação, a credibilidade da testemunha assenta na circunstância de a mesma ter relatado o telefone(ma) com bastante detalhe, referindo mesmo que a autora disse que demorou meia hora a introduzir os números no computador.
Todavia, ouvida a gravação, não cremos que se possa afirmar que, no que a esta particular questão concerne, o depoimento da referida testemunha tenha sido detalhado.
Na verdade, a testemunha limitou-se a referir que perguntou à Autora se tinha recebido um pedido para ativação do cartão recentemente e que, perante resposta afirmativa da mesma, lhe perguntou se tinha introduzido as coordenadas todas (do dito cartão), ao que a Autora disse que sim, sendo nessa ocasião que, segundo a mesma, a Autora lhe teria dito que demorou seguramente meia hora a levar a cabo aquela tarefa.
Perante isto, ao invés de detalhado, muito vago e pouco especificador foi o depoimento em causa, nada se esclarecendo no mesmo, como a própria sentença recorrida reconhece, sobre o contexto em que as aludidas coordenadas teriam sido introduzidas pela Autora, nomeadamente, se em resposta a um email – como se refere no art. 86º contestação – e em que momento temporal, de modo a, por um lado, se perceber o exato significado das supostas respostas dadas pela Autora e, por outro, a tornar possível testar a veracidade da conversa relatada (nomeadamente com exame pericial ao computador da Autora para, caso tivesse sido esse o meio usado, confirmar o rasto do envio do email a que aludiu a Ré), sendo a menção ao tempo de introdução dos números o único ponto da conversa em que se pode referir ter existido pormenorização (e sobre o valor deste “detalhe” infra nos debruçaremos).
Cremos, pois, que, tal como numa situação em tudo similar à ora em apreço se entendeu no Acórdão desta Relação de 17.12.2014, Processo n.º 1910/12.8TBVCT.G1, para dar credibilidade ao depoimento da funcionária do Banco Réu “era necessário que se acrescentassem mais pormenores da “conversa” para se saber do enquadramento que nela tiveram as expressões atribuídas (no caso) à Autora (…)”, certo que “as referidas expressões não traduzem mais do que a que era a posição da (no caso) Apelada perante situações idênticas”, Apelada que, crente na “absoluta invulnerabilidade do seu sistema, imputava invariavelmente ao utilizador a “cedência” dos códigos de acesso, sobretudo os que constam do cartão-matriz” como também no caso se pode confirmar pelo teor da resposta padrão (constante de fls. 30 e 31) à reclamação apresentada pela Autora, onde, diferentemente da menção à concreta conversa em questão (que, segundo a testemunha, por ela teria sido de imediato reportada à auditoria) que, a ser verídica tal conversa, se esperaria encontrar, apenas se lê “terceiros apoderaram-se de coordenadas do cartão matriz, que lhe terão sido fornecidas por Vossa Excelência ou por quem a ele foi permitido o acesso”, referência claramente genérica e padronizada, destinada a todas as reclamações relacionadas com situações de fraude com utilização das aludidas coordenadas, sabendo-se, face ao que consta como assente (sem controvérsia), da própria sentença recorrida, que efetivamente a situação da autora não se trata de um caso isolado, pois existem queixas semelhantes em relação ao serviço "Net..." da Caixa ....
Por outro lado, não podemos deixar de ser sensíveis à argumentação da Recorrente quando sublinha que não é a primeira vez que a Recorrida se encontra na posição de Ré num processo judicial cujos factos em discussão se assemelham aos factos constantes dos presentes autos, pelo que (…) as testemunhas indicadas por esta estão a priori cientes das questões que lhes serão colocadas em audiência de discussão e julgamento e das respostas que têm de ser dadas a essas questões, imbuídas pela ideia (…) de que a instituição bancária não tem, nem poderia ter tido, influência sobre os factos, os quais ocorreram por culpa exclusiva do lesado.
E, quanto ao único “detalhe” do depoimento acima assinalado, lido o já referido acórdão desta Relação de Guimarães, verificamos efetivamente que daquele consta que uma das testemunhas, gerente de um dos balcões da instituição bancária, declarou que, no âmbito da reclamação apresentada por um cliente, vítima de fraude informática, o mesmo lhe referiu em conversa que a introdução de todas as coordenadas do seu cartão tinha demorado “meia hora”, surgindo, neste contexto, o dito “detalhe” do depoimento da testemunha M. C. com a aparência de um decalque daqueloutro depoimento.
Acresce que, se é certo que efetivamente existiu um telefonema no momento em que a Autora se encontrava na GNR, telefonema que se encontra comprovado pelo documentado no auto de fls. 15 e 16, mas também confirmado pela própria Autora – que, em audiência de julgamento, declarou ter sido nessa ocasião que a funcionária bancária lhe disse que as operações em causa teriam sido feitas através do sistema NET ..., negando, porém, perentoriamente, o restante teor da conversa por aquela relatado –, analisado o teor do referido auto, o que dele resulta é que a queixosa, imediatamente a seguir ao dito telefonema, terá declarado à GNR que “recebeu um telefonema da instância bancária a questionar se teria acedido ao balcão online, a mesma informou que sim, onde foi informada pela gestora de conta que a sua conta teria sido pirateada através da internet e a partir dessa data teriam feito os referidos levantamentos/pagamentos entre os dias 04-01-2017 e os dias 08-01-2017”, sem qualquer referência, no documentado, ao alegado questionamento sobre a ocorrência de um pedido de ativação do cartão e ao fornecimento de todas as coordenadas do cartão matriz, isto num momento em que a ora Autora não estava acompanhada de qualquer advogado que lhe pudesse transmitir o que deveria ou não deveria dizer sobre o teor do dito telefonema e em que, portanto, tendencialmente, as suas declarações terão sido espontâneas.
Por último, comparando o que foi alegado pela Ré com o que foi dito pela aludida testemunha, verifica-se (cfr. art. 70º da contestação) que, segundo a primeira, a pergunta feita pela aludida funcionária teria sido se a Autora tinha o cartão-matriz consigo e se o mesmo estava ativo (e não se a Autora teria recebido um pedido de ativação), ao que a Autora deu resposta afirmativa “tendo ainda esclarecido que, aquando da ativação do cartão matriz, inseriu todas as 72 posições do mesmo (…) o que lhe terá demorado bastante tempo”, o que dá a ideia de que esta informação teria sido prestada de motu próprio e não na sequência da colocação de uma concreta questão sobre essa matéria.
Face ao exposto, não vemos como se possa conferir maior credibilidade à referida funcionária da Ré do que à Autora ou considerar mais consistente o depoimento da primeira dos que as declarações da última, em nada contribuindo para esclarecer o cerne da questão de facto ora em causa os documentos juntos aos autos, nomeadamente os indicados pela Recorrida, nem o depoimento da testemunha D. C., responsável pela segurança informática da Recorrida.
Mas imporão as regras da normalidade da vida e da experiência comum conclusão diversa?
Analisada a este nível a argumentação da decisão recorrida, começará por se dizer que, também para nós, é uma evidência que a ausência de falhas (exceto num caso e logo retificada) num tão grande número de operações eletrónicas implica, necessariamente, o conhecimento, pelos agentes da fraude, de todas as coordenadas do cartão matriz.
Todavia, esquece a julgadora da primeira instância que esse conhecimento tanto pode advir da indicação pelo próprio titular do cartão da totalidade dos números neste contidos como da obtenção fraudulenta desses dados na fase de emissão e envio do cartão – e isto não obstante o sistema de produção dos cartões ser automatizado porque a verdade é que não há sistemas infalíveis –, ou até em momento ulterior mediante ataque direto ao sistema informático do próprio banco (que, necessariamente, detém todos os dados dos cartões matriz e os demais elementos necessários ao acesso ao serviço NET ... – de forma a poder conferir a autenticação das operações realizadas – e que pode, também ele, ser vítima de software malicioso), ataque esse que não tem de ser simultâneo às operações fraudulentas (sendo, portanto, indiferente que no momento da realização das movimentações ora em causa o mesmo não tenha sofrido qualquer tipo de ataque – ponto 52 dos Factos provados) e que pode não ser detetado pelos respetivos colaboradores, não tendo, “in casu”, o Banco Réu diligenciado por apresentar qualquer prova proveniente de entidade externa e isenta confirmativa da inexistência de ataques prévios do referido tipo que excluíssem tal hipótese.
É certo que, como se refere no acórdão do STJ de 18.12.2013 (Relatora Ana Paula Boularot), “quer o protocolo da página bancária, quer o tráfego de toda a informação nela processada, o que inclui as sobreditas senhas de acesso, são encriptadas, tornando quase impossível um terceiro obter ou alterar a informação depois de enviada”, todavia, como logo a seguir ali se sublinha, “a criptografia, apanágio deste sistema, por si só, não elimina a possibilidade de ataques informáticos por hackers e a intercepção das senhas enquanto estão a ser digitadas, vulgo keylogging”, não se podendo esquecer que “a internet constitui uma fonte inesgotável de conhecimento e informação o que gera, concomitantemente e necessariamente uma apetência por banda dos aficionados na busca de quebras dos sistemas, sendo que estas actuações maliciosas são facilitadas pela circunstância de tudo na rede (ser) tendencialmente anónimo, podendo-se tomar como certas determinadas actuações que na vida real nunca seriam admissíveis”, havendo, sempre, que ter presente que o sistema não é infalível “podendo mesmo com a observância de todos os cuidados adequados, ser alvo de brechas”.
Na verdade, os ciberataques, entendidos como “ataques lançados geralmente a partir de um computador, recorrendo ao método de intrusão e que tem como finalidade adquirir, explorar, perturbar, romper, negar, degradar ou destruir informação constante em computadores ou em redes de computadores, com sistemas e equipamentos electrónicos ligados a outros equipamentos ou sistemas, ou que partilhem a mesma estrutura de energia ou o mesmo espaço de emissão electromagnética, bem como os próprios computadores, redes de computadores, sistemas e equipamentos”. (Cfr. João Manuel Dias Moreira, in “O impacto do ciberespaço como nova dimensão nos conflitos”, in Boletim Ensino, Investigação n.º 13, 2012, disponível em www.ium.pt) são cada vez mais frequentes e sofisticados, de nada valendo os métodos de criptografia mais avançados, sendo disso um triste exemplo a morte do jornalista Jamal Khashoggi, que ingenuamente confiou na encriptação das mensagens trocadas via WhatsApp.
Neste contexto, não há, pois, razões objetivas que tornem mais provável a versão da Ré do que a versão da Autora.
E, assim sendo, é de ter por verificado o invocado erro na decisão relativa aos factos identificados com os números 28), 55) e 56) que, consequentemente, deverão ser eliminados do elenco dos “factos provados” passando a constar do elenco dos “não provados”.
Já não assim relativamente às alíneas a) e b) dos Factos não provados, já que, em coerência com o anteriormente decidido, não obstante o teor das declarações da Autora e o depoimento da testemunha S. H., não se pode, tendo em conta a prova contraditória produzida, afirmar uma probabilidade prevalente da versão apresentada pela Autora em relação à que foi apresentada pela Ré.
Deve, aliás, salientar-se que o relevante quanto à utilização do cartão feita pela Autora já resulta da conjugação dos pontos 5) a 11) – que descreve o sistema do serviço “Net...” e a função do cartão matriz (“cartão de coordenadas para validação de operações passíveis de alteração do património detido no Caixa ...”) – com o ponto 13) dos Factos provados – onde se considerou provado que “desde a adesão, a autora fez uso do referido serviço para aceder à sua conta bancária mas nunca efectuou qualquer movimentação bancária, como pagamento de serviços ou compras, transferências bancárias, ou outros, através do mesmo”, não cabendo, tampouco, à Autora a prova dos cuidados tidos com o cartão.
Entende ainda a Recorrente que o facto dado por não provado identificado na sentença na alínea f) - É habitual as instituições financeiras confirmarem junto do cliente a movimentação de determinadas quantias pecuniárias, mesmo quando estas sejam realizadas em menor número e em menor montante – deveria ter sido considerado provado por ter sido confirmado pela testemunha M. C..
Ouvido o aludido depoimento, não se vê que dele resulte a confirmação do ponto em questão, dele resultando, porém, que as instituições financeiras têm conhecimento da movimentação efetuada nas contas dos seus clientes, podendo confirmá-las junto destes quando as mesmas, habitualmente, forem realizadas em menor número e em menor montante (facto que é um menos em relação ao alegado pela Autora), pelo que, nessa medida, se deverá aditar ao elenco dos “Factos provados” um novo ponto com esse conteúdo, passando a constar dos “Factos não provados” somente que seja habitual as instituições financeiras procederem do aludido modo.
Por último, defende a Recorrente que o Tribunal a quo deveria ter considerado como demonstrado o facto que e1encou como não provado, identificado com alínea h): O mediatismo da reportagem referida em 34) foi deveras revelante, que surtiu como efeito imediato na ré a alteração do sistema de segurança do serviço de homebanking "Net...". [art. 57.0 da p.i.]
Apesar de não haver prova da alegada causa, certo é que, nomeadamente do depoimento da testemunha D. C. e do documento junto com a Contestação (cf. Fls. 52 dos autos), no qual se lê "Dependendo do canal e da operação, poderá ser solicitado o código SMS Code", resulta incontroverso que em momento ulterior à verificação das operações fraudulentas ora em causa, a Ré procedeu à alteração do sistema de segurança do serviço de homebanking "Net...", passando, como refere a Recorrente, o cartão-matriz a ser utilizado conjuntamente com o sistema "SMS CODE" para efetuar determinadas operações bancárias.
Assim sendo, aos factos provados acrescentar-se-á um outro com o seguinte teor:
“Em momento ulterior à verificação das operações fraudulentas ora em causa, a Ré procedeu à alteração do sistema de segurança do serviço de homebanking "Net...".
Simultaneamente, manter-se-á como não provado que a alteração do sistema de segurança do serviço Net... tenha sido efeito da referida reportagem.
Procede, pois, na medida do referido, a impugnação da Autora/Recorrente.
***
Face ao ora decidido, passa a ser o seguinte o elenco dos “Factos provados”:1) A ré é uma instituição bancária que tem como actividade a prestação de serviços financeiros, dedicando-se, essencialmente, à celebração de contratos de depósito bancário e similares. [art. 1.º da p.i.]
2) A autora celebrou com a ré, em 14.10.2014, contrato de abertura de conta de depósito e de comercialização de produtos e serviços, e a partir de tal data é titular da conta bancária de depósitos à ordem, com o n.º ... (IBAN PT50 ...1), da agência de …, da Caixa ..., ora R., com sede na Avenida ..., Barcelos. [art. 2.º da p.i. e doc. de fls. 160 e ss.]
3) A autora é também titular da conta a prazo n.º …1, da mesma instituição bancária, ora ré, designada de conta “Caixa ... Poupança Certa”, no prazo de 3 anos, não renovável, constituída em 30/06/2015. [art. 3.º da p.i.]
4) A ré disponibiliza aos seus clientes, o acesso ao homebanking, permitindo este serviço a realização de inúmeras operações, sem que o cliente tenha de se deslocar a um balcão presencialmente. [arts. 13.º e 15.º da contestação]
5) A autora aderiu ao serviço de homebanking “Net...”, o qual permitia o acesso à sua conta bancária de depósitos à ordem e a realização de operações bancárias, através de canais telemáticos (internet, telefone, WAP, etc.), em 14.10.2014, conforme contrato de abertura de conta de depósito e de comercialização de produtos e serviços de fls. 160 e ss. cujo teor se dá aqui por reproduzido para todos os efeitos legais. [art. 4.º da p.i. e arts. 14.º e 17.º da contestação e doc. de fls. 161]
6) A autora, no dia 23.05.2016, requereu à ré a emissão de um novo cartão matriz. [art. 21.º da contestação]
7) A ré remeteu à autora, em 24.05.2016, um novo cartão matriz, por via postal. [art. 22.º da contestação]
8) Para o efeito, foram fornecidos pela ré à autora, os códigos de acesso/credenciais de utilização a três níveis:
a. Número de identificação Caixa ... (número de utilizador);
b. Código Pin multicanal, compostos por seis dígitos;
c. Cartão matriz (que consiste num cartão de coordenadas para validação de operações passíveis de alteração do património detido no Caixa ...). [art. 5.º da p.i. e 26.º da contestação]
9) O número de identificação Caixa ... (número de utilizador) e o Código Pin Multicanal foram atribuídos à autora no momento da adesão ao Caixa .... [art. 5.º da p.i. e 27.º da contestação]
10) Sendo certo que estas duas credenciais apenas permitem a realização de operações e consultas que não comportem alterações de património, tal como foi explicado pela ré à autora. [art. 6.º da p.i. e 28.º da contestação]
11) Por seu turno, o cartão matriz – que era necessário para a realização de operações bancárias tal como a ré explicou à autora -foi enviado para a sede da Autora, via CTT, em estado de pré-activo, e posteriormente activado pela autora mediante validação prévia dos códigos de acesso (número de cliente/utilizador e PIN multicanal). [art. 6.º da p.i. e 29.º da contestação]
12) O novo cartão foi activado pela autora no dia 02.06.2016. [art. 23.º da contestação]
13) Desde a adesão, a autora fez uso do referido serviço de homebanking para aceder à sua conta bancária mas nunca efectuou qualquer movimentação bancária, como pagamento de serviços ou compras, transferências bancárias, ou outros através do mesmo. [art. 7.º e 8.º da p.i.]
14) Desde a adesão, a autora utilizou o serviço de homebanking, sem apresentar qualquer tipo de reclamação à ré, pelo menos, até ao dia 16.01.2017. [art. 18.º da contestação]
15) No dia 16.01.2017, a autora deslocou-se à agência bancária da ré, sita na Avenida ..., Barcelos, onde efectuou o depósito de notas no valor €.480,00 (quatrocentos e oitenta euros) para a conta bancária de que é titular. [art. 12.º e 13.º da p.i.]
16) Posteriormente, a autora acedeu à sua conta bancária através do mencionado serviço de homebanking “Net...”, para verificar se a quantia depositada estava disponível e ao consultar o extracto de movimentos bancários, constatou que foram realizadas as operações de pagamentos de serviços e de compras infra descritas em 17), no período ocorrido entre 04.01.2017 e 07.01.2017. [art. 14.º e 15.º da p.i.]
17) Entre 04.01.2017 e 07.01.2017, foram realizadas as seguintes operações a partir da conta da autora supra referida em 2):
17.1) Em 04.01.2017, foram realizados:
i. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
ii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
iii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
iv. Um pagamento de serviços a favor da entidade ..., no valor de €.482,78.
v. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
vi. Um pagamento de compras a favor da entidade ..., no valor de €.482,78.
vii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
viii. Um pagamento de compras a favor da entidade ..., no valor de €.476,63.
ix. Um pagamento de compras a favor da entidade ..., no valor de €.479,70.
x. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xi. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xii. Um pagamento de serviços a favor da entidade ..., no valor de €.451,00.
xiii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xiv. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
17.2) Em 05.01.2017, foram realizados:
xv. Um pagamento de serviços a favor da entidade ..., no valor de €.481,75.
xvi. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xvii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xviii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xix. Um pagamento de compras a favor da entidade ..., no valor de €.482,78.
xx. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xxi. Um pagamento de compras a favor da entidade ..., no valor de €.482,78.
xxii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xxiii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xxiv. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xxv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xxvi. Um pagamento de serviços a favor da entidade ..., no valor de €.482,78.
xxvii. Um pagamento de compras a favor da entidade ..., no valor de €.481,75.
xxviii. Um pagamento de compras a favor da entidade ..., no valor de €.482,86.
17.3) Em 06.01.2017, foram realizados:
xxix. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxx. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxxi. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxxii. Um pagamento de serviços a favor da entidade ..., no valor de €.539,50.
xxxiii. Um pagamento de compras a favor da entidade ..., no valor de €.534,36.
xxxiv. Um pagamento de compras a favor da entidade ..., no valor de €.539,29.
xxxv. Um pagamento de compras a favor da entidade ..., no valor de €.539,50.
xxxvi. Um pagamento de compras a favor da entidade ..., no valor de €.534,36.
xxxvii. Um pagamento de serviços a favor da entidade ..., no valor de €.535,39.
xxxviii. Um pagamento de serviços a favor da entidade ..., no valor de €.536,42.
xxxix. Um pagamento de compras a favor da entidade ..., no valor de €.534,43.
xl. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
17.4) Em 07.01.2017, foram realizados:
xli. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xlii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xliii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xliv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xlv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
xlvi. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xlvii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xlviii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
xlix. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
l. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
li. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
liii. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
liv. Um pagamento de compras a favor da entidade ..., no valor de €.483,80.
17.5) Em 08.01.2017, foram realizados:
lv. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lvi. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lvii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80.
lviii. Um pagamento de serviços a favor da entidade ..., no valor de €.483,80. [arts. 15.º, 18.º e 19.º da p.i.]
18) Em 06.01.2017, foi realizada uma transferência no valor de €.5.000,00 (cinco mil euros) da conta a prazo identificada em 3), para a conta de depósitos à ordem identificada em 2). [art. 20.º da p.i.]
19) Todas as operações descritas em 17) foram realizadas sem o conhecimento e o consentimento da autora, que desconhece quem poderia ter acedido à sua conta bancária. [arts. 16.º e 17.º da p.i.]
20) De igual modo, a transferência referida em 18) foi concretizada sem o consentimento da autora, que desconhece quem tenha efectuado a mesma. [arts. 21.º e 22.º da p.i.]
21) As movimentações referidas em 17) e 18) foram realizadas sem a autorização e contra a vontade da autora. [art. 23.º da p.i.]
22) Em face ao sucedido, a autora deslocou-se, juntamente com o marido, ao Balcão da ré sito em ..., para apresentar uma reclamação uma vez que lhes faltavam valores na conta por si titulada e para apurar o motivo de tal ocorrência, ao que lhe informaram que teria havido clonagem do cartão. [art. 24.º e 25.º da p.i. e 65.º da contestação]
23) Nesta sequência, a autora inactivou de imediato as correspectivas contas bancárias. [art. 26.º da p.i.]
24) E dadas as informações prestadas pela autora e pelo marido, a gerente aconselhou que deveriam formalizar queixa-crime. [art. 67.º da contestação]
25) Ainda no mesmo dia, em 16.01.2017, a autora apresentou competente participação no Posto Territorial de Barcelos da Guarda Nacional Republicana, que deu origem ao Processo n.º 52/17.4JABRG, que corre actualmente os seus termos nos Serviços do Ministério Público junto do Tribunal de Barcelos [art. 27.º e 28.º da p.i.]
26) Na sequência da reclamação apresentada em 22) e enquanto a autora se deslocou à GNR nos termos referidos em 25), a gerente do balcão de ..., M. C., ficou a analisar a conta da autora para aferir de que forma ocorreram as saídas dos valores mencionados pela autora. [art. 68.º da contestação]
27) Depois de ter realizado pesquisas e tendo percebido que tinha sido através do homebanking, de imediato ligou à autora informando-a que os valores reclamados teriam saído da conta por essa via. [art. 69.º da contestação]
28) Nesta sequência, foi então dirigida, em 18.01.2017, uma reclamação, ao Banco de Portugal (RCO/2017/...) e outra ao Provedor dos Participantes da Caixa ..., tudo conforme documentos n.ºs 4 e 5, juntos a fls. 17v a 27v e cujo teor aqui se dá por reproduzido para todos os efeitos legais. [art. 60 º da p.i.]
29) Todavia, a ora ré eximiu-se de toda e qualquer responsabilidade, transmitindo a sua posição por carta datada de 09.02.2017, conforme documento n.º 6 junto a fls. 30 e 31 dos autos, cujo teor aqui se dá por integralmente reproduzido para todos os efeitos legais. [art. 61 º da p.i.]
30) O valor de €.28.596,14, que foi retirado da conta bancária da autora, corresponde às poupanças que a autora angariou ao longo de vários anos, sendo resultado dos seus rendimentos de trabalho, bem como de prendas de casamento. [art. 30.º da p.i. e 78.º da contestação]
31) A conta da autora foi movimentada nos termos referidos em 17) e 18), sem que a ré efectuasse qualquer providência ou sem que alertasse a cliente do ocorrido. [art. 32.º da p.i.]
32) A ré, perante os movimentos referidos em 17) e 18), não efectuou nenhuma diligência, nem no sentido de evitar a retirada do dinheiro, nem tampouco de informar e alertar a autora do elevado número de pagamentos que estavam a ser realizados. [art. 42.º e 43.º da p.i.]
33) A situação da autora não se trata de um caso isolado, pois existem queixas semelhantes em relação ao serviço “Net...” da Caixa ..., sendo que foi realizada uma reportagem jornalística sobre o tema. [art. 55.º e 56. da p.i.]
34) Perante o supra referido, a autora sente-se angustiada, preocupada, frustrada e lesada nos seus direitos. [art. 29.º da p.i.]
35) A realização das operações referidas em 17) e 18) provocaram instabilidade financeira à autora, dado que a mesma ficou sem aqueles rendimentos para fazer face às suas despesas domésticas e profissionais, o que lhe causou enormes preocupações, ansiedade e tristeza. [art. 71.º e 72.º da p.i.]
36) Desde o sucedido a autora, outrora uma pessoa extrovertida, social e alegre, tornou-se numa pessoa mais reservada, taciturna e desanimada. [art. 73.º da p.i.]
37) As instituições financeiras têm conhecimento da movimentação efetuada nas contas dos seus clientes, podendo confirmá-las junto destes quando as mesmas, habitualmente, forem realizadas em menor número e em menor montante.
38) Em momento ulterior à verificação das operações fraudulentas ora em causa, a Ré procedeu à alteração do sistema de segurança do serviço de homebanking "Net...".
***
39) O cartão matriz possui uma matriz de coordenadas, com 72 posições, cada uma com 3 dígitos. [art. 30.º da contestação] 40) Para validação das operações, as coordenadas são sempre solicitadas de forma aleatória pelo sistema informático. [art. 31.º da contestação]
41) Tais coordenadas do cartão matriz são inseridas pelos utilizadores do homebanking uma única vez, sem lugar a repetições de coordenadas, e apenas do conhecimento do titular do cartão. [art. 32.º da contestação]
42) O sistema informático que produz os cartões matriz é automatizado, não havendo qualquer intervenção da ré. [art. 33.º da contestação]
43) Sempre que um cliente acede ao sistema “Net...”, pela primeira vez e sempre que acede num computador novo, o sistema emite uma janela pop up como a de fls. 51v, de leitura obrigatória, só fechando após o cliente demonstrar ter compreendido a mensagem, alertando ainda para o facto de apenas ser solicitado o fornecimento de 2 coordenadas do cartão, para autenticação das mais variadas operações. [art. 34.º da contestação].
44) No canto superior direito do cartão lê-se “Atenção: Nunca indique mais do que 2 dígitos deste Cartão Matriz”. [art. 35.º da contestação]
45) A ré dispõe ainda, no seu site institucional, www.Caixa ....pt, de vários avisos de segurança, de forma a prevenir os seus clientes para o risco inerente à utilização da internet. [art. 36.º da contestação]
46) A ré dispõe de sistemas de segurança que indicam ao cliente estar no site institucional, conforme demonstra fls. 57v e 58 e através de janelas, avisos e alertas de segurança adverte para a política de autenticação de operações. [art. 41.º da contestação]
47) No momento, em que a autora acede ao portal “NET...”, e antes de inserir a sua password de acesso (o código pin multicanal), são emitidos diversos avisos de segurança, nomeadamente:
a. “1.Valide que está a aceder a uma página segura“
b. “2.Cartão Matriz O Caixa ... nunca lhe solicitará mais que 2 posições do seu Cartão Matriz. Na activação do Cartão Matriz não são solicitadas posições do mesmo.” [art. 42.º da contestação]
48) As movimentações em conta através do serviço “NET ...”, operam da seguinte forma: introdução do número de identificação Caixa ..., password (o código pin multicanal) e 2 posições do cartão matriz. [art. 44º da contestação]
49) Podendo o cliente ainda optar pela activação do sistema “SMS CODE”, disponibilizado em Julho de 2016, o qual consiste no envio de um código para o telemóvel do cliente, código esse gerado de forma automática e que deverá ser inserido na plataforma “NET...”, confirmando-se desse modo a operação pretendida. [art. 45º e 46.º da contestação]
50) A autora optou por não aderir a este mecanismo extra de segurança. [art. 47.º da contestação]
51) O cartão matriz comporta 9 campos por 8, sendo que cada quadrícula compõe 3 números de validação, o que totaliza 216 posições possíveis em cada cartão. [art. 49.º da contestação]
52) O que permite realizar 108 operações e tendo sido realizadas 59 operações tal como referido em 17) e 18), isso corresponde a uma utilização de 118 posições das 216 possíveis. [art. 50º e 51.º da contestação]
53) Aquando da realização das movimentações referidas em 17) e 18), o sistema informático da ré não sofreu qualquer tipo de ataque e as coordenadas foram colocadas na primeira tentativa, com excepção de uma única vez no dia 04.01.2017, em que houve um erro na introdução de uma coordenada. [art. 60.º da contestação]
54) O sistema não bloqueou por tentativas falhadas. [art. 61.º da contestação]
55) Em data não apurada, mas posterior a 16.01.2017, a autora deslocou-se, acompanhada de mandatário, ao balcão identificado em 2) de Barcelos. [art. 75.º da contestação]
56) Os limites máximos diários permitidos pela ré são os seguintes:
a) €.2500,00 para pagamento de serviços e €.2500,00 para pagamentos de compras pelo sistema NET... (computador).
b) €.1250,00 para pagamento de serviços e €.1250,00 para pagamentos de compras pelo sistema NET ... (telemóvel).
57) Por causa do referido em 57), a ré não permitiu a realização dos seguintes pagamentos:
a) Pagamento de serviços no valor de €.482,76, pela NET ..., às 23:16:49 do dia 04.01.2017.
b) Pagamento de serviços no valor de €.534,36, pela NET ..., às 10:05:39 do dia 06.01.2017.
c) Pagamento de compras no valor de €.535,39, pela NET ..., às 10:08:45 do dia 06.01.2017.
58) Das condições gerais do contrato de abertura de conta de depósito e de comercialização de produtos e serviços consta, para além do mais, na cláusula 27, o seguinte:
«27.9 A partir do momento da adesão, o Cliente autoriza a Caixa ... a realizar as operações através dos meios electrónicos do Serviço Caixa ...24. A Caixa ... fica expressamente autorizada pelo cliente a executar as ordens verbais pelo telefone, VOIP, Internet ou outras formas telemáticas de contacto, no âmbito do Serviço Caixa ..., desde que tais ordens sejam validadas pela aposição de credenciais de autenticação solicitadas. Em qualquer momento pode a CAIXA ..., através do serviço Caixa ..., solicitar que as ordens sejam confirmadas por escrito, mediante comunicação por carta ou fax, sempre que hajas dúvidas objectivas quanto à identidade do ordenante, ou sempre que os montantes envolvidos na operação sejam de elevado valor, ou ainda sempre que se julgue necessário, para a concretização de adesões a produtos ou serviços, ou a inclusão de documentação adicional.
27.10 A partir da adesão ao Serviço Caixa ..., os clientes autorizam a Caixa ... de forma irrevogável, e, sempre que esta considere necessário: (…)
c) A não executar ordens quando não sejam facultadas credenciais de autenticação do cliente ou representante, consideradas necessárias para as realizar;
d) A suspender o Serviço Caixa ...24, no todo, ou em parte, sempre que seja excedido o limite máximo de três tentativas de acesso inválido. (…)
27.16. O cliente compromete-se, igualmente, a guardar sob segredo as suas credenciais de autenticação, bem como a prevenir adequadamente a sua utilização abusiva por parte de terceiros. O cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço Caixa ... por parte de terceiros, com excepção do estabelecido no ponto 27.19.»
E o seguinte o elenco dos “Factos não provados”:
a) No telefonema referido em 27), a autora tenha afirmado que tinha inserido todas as coordenadas do cartão matriz no computador e tinha demorado meia hora. [art. 72.º da contestação]
b) A autora, de forma não concretamente apurada, tenha inserido no computador, todas as coordenadas do cartão matriz que a ré lhe tinha enviado em 24.05.2016, tal como referido em 7), conjuntamente com os demais elementos necessários ao acesso ao serviço NET ..., ou seja, o número de identificação da Caixa e o código pin multicanal, que são elementos pessoais e intransmissíveis. [art. 86.º da contestação]
c) O referido em a), tenha permitido o descrito em 17) e 18).
d) A autora simplesmente memorizou os dados necessários ao acesso da conta via homebanking, e guardou o cartão-matriz em local seguro e privado, mais propriamente em sua casa de morada, não tendo dado uso a este. [art. 9.º da p.i.]
e) Nunca a autora divulgou tais informações a terceiros, nem tampouco as referenciou em local acessível a terceiros (como, por exemplo, bloco de notas ou agenda), bem como, nunca a autora acedeu à sua conta via homebanking por computador, tablet ou outro dispositivo de cariz público ou de um terceiro. [art. 10.º e 11.º da p.i.]
f) O pedido referido em 6) foi realizado através do serviço “NET...”, tendo a autora nesse momento alegado que o anterior cartão tinha sido “roubado”. [art. 21.º da contestação]
g) Considerando o pedido da autora referido em 6) e f), a autora não guardou o cartão matriz emitido em 2014 do modo mais correcto e cuidado. [art. 24.º da contestação]
h) Na data da celebração do aludido contrato, em 14.10.2014, a ré cuidou de explicar à autora as condições de utilização do serviço homebanking assim como de a alertar para as questões de segurança. [art. 25.º da contestação]
i) Seja habitual as instituições financeiras procederem do modo descrito em 37) [parte do art. 33.º da p.i.]
j) Consta aliás que a entidade que beneficiou dos pagamentos efectuados sem o consentimento da autora – identificada com o n.º ... – está associada a diversos crimes de burla e a fraudes informáticas. [art. 53.º da p.i.]
l) O referido em 38 ) tenha sido efeito do mediatismo da reportagem referida em 33) [art. 57.º da p.i.]
m) Durante o telefonema referido em 27), M. C., para aferir o que poderia estar a ocorrer, perguntou à autora se esta tinha o cartão matriz consigo, e se o mesmo estava activo, em resposta, a autora afirmou que tinha consigo o cartão e que o mesmo se encontrava activo. [art. 70.º e 71.º da contestação]
n) Tendo presente as possibilidades de burla informática, a ré disponibiliza no seu site alguns exemplos, como forma de mitigar o risco do ordenante para não facultar os dados requeridos, deixando claro de igual modo, quais os meios de comunicação que a ré adopta para contacto com os seus clientes, não sendo o e-mail um deles. [arts. 87.º a 89.º da contestação]
***
- Subsunção jurídica dos factos:No caso em apreço, a questão jurídica que se coloca contende com a problemática da tutela do utilizador de serviços de pagamento em caso de operação de pagamento não autorizada, no âmbito do chamado homebanking, concretizado, como se refere no já citado paradigmático acórdão do STJ de 18.12.2013 (Relatora Ana Paula Boularot), “pela possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, on line, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o que se reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet”, através do mesmo se podendo efetuar, além do mais, consultas de saldos, pagamentos de serviços/compras, carregamentos de telemóveis, transferências de valores depositados para contas próprias ou de terceiros, para a mesma ou para diversa instituição de crédito.
Sobre esta matéria, regia, à data dos factos ora em apreço, o Decreto-Lei n.º 317/2009 de 30 de Outubro – com as alterações introduzidas pelo Decreto-Lei n.º 242/2012, de 07.11, e pelo Decreto-Lei n.º 157/2014, de 24.10 – onde se encontrava estabelecido o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, Decreto-Lei aquele que transpôs para a ordem jurídica interna a Diretiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro de 2007, cujos “Considerandos preambulares” devem presidir à interpretação dos normativos legais daquele diploma.
O referido diploma foi entretanto revogado pelo DL n.º 91/2018, de 12 de novembro, que transpôs para a ordem jurídica portuguesa a nova Diretiva (UE) 2015/2366, do Parlamento Europeu e do Conselho, de 25 de novembro de 2015 – que, desde já se dirá, veio implementar exigências adicionais ao nível da autenticação forte na autorização da operação de pagamento –, o qual, porém, não é, atenta a data dos factos, aplicável ao caso em análise.
Se antes da consagração do aludido regime jurídico especial se podia equacionar a aplicação do regime geral de responsabilidade civil contratual, com a publicação do Decreto-Lei nº 317/2009 passou a existir um preceito que especificamente regula os casos de operações de pagamento não autorizadas, como as ocorridas na situação sub judice.
Com efeito, nos termos do artigo 72.º daquele diploma, no caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou de apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essa operação dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de 150 € (n.º 1); se aquela situação for devida a atuação fraudulenta ou ao incumprimento deliberado das obrigações previstas no artigo 67.º do DL 317/2009, o utilizador suporta todas as perdas (n.º 2); havendo negligência grave do utilizador, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada ou ao instrumento de pagamento, ainda que superiores a 150 €, dependendo da natureza dos dispositivos de segurança personalizados ou do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva (n.º 3).
E aqui se relembra que, de acordo com o referido artigo 67.º, são “obrigações” do utilizador de serviços de pagamento:
- “Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização” (alínea a) do n.º 1), para este efeito, devendo “tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados” (n.º 2);
- “Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento” (alínea b) do n.º 1).
De sublinhar, porém, que, nos termos do artigo do artigo 68º, nº1, alínea a), do Anexo I de tal Regime, sem prejuízo das referidas obrigações do utilizador do serviço de pagamento, é o prestador de serviços de pagamento que emite um instrumento de pagamento quem tem a obrigação de “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento”.
Estabelece ainda o art. 70º do DL 242/2012, de 07/1, sob a epígrafe “Prova de autenticação e execução das operações de pagamento”.
“1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência.
2 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67º ”.
A este propósito, refere o Acórdão da Relação de Lisboa de 11.04.2019 (Relator Adeodato Brotas) que “a opção pelo afastamento do ónus da prova a cargo do consumidor quanto ao mau funcionamento do sistema informático de homebanking, resulta da circunstância de ser o prestador de serviços de homebanking quem tem maior facilidade em demonstrar a versão factual que lhe aproveita, ou seja, a de que a utilização fraudulenta do serviço de homebanking por parte de terceiros não se deveu ao mau funcionamento do sistema informático”; “no fundo, o legislador entendeu que o prestador de serviços é quem está em melhores condições (…) para trazer a factualidade demonstrativa do modo como as coisas se passaram. E é assim, porque o funcionamento do “sistema informático” homebanking “pertence à sua esfera de risco”.
Para Patrícia Guerra, no artigo intitulado “A realização de operações de pagamento não autorizadas e a tutela do utilizador de serviços de pagamento em face do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica”, pág. 26, REVISTA ELECTRÓNICA DE DIREITO – JUNHO 2016 – N.º 2, “esta inversão é ainda justificada pelo facto de os prestadores de serviços de pagamento estarem vinculados a observar um grau de competência técnica acrescido, que se reflete na utilização de sistemas informáticos sofisticados e robustos e de técnicas de registo detalhadas, que lhes permitem obter elementos sobre a operação de pagamento reclamada”.
Nas palavras do Acórdão do STJ Lisboa, 18 de Dezembro de 2013 (Relatora Ana Paula Boularot), “os riscos pela utilização normal do sistema correm por conta do prestador de serviços, isto é sobre o Banco, o que não deixa de ser uma obrigação perfeitamente normal já que é o Banco que vai retirar os maiores benefícios económicos do seu bom funcionamento”.
Tudo conjugado, trata-se, em suma, “de um regime de responsabilidade que não se funda no princípio da culpa (do lesante), mas antes numa ideia de risco. “Um regime especial de responsabilidade civil objetiva, de responsabilidade pelo risco, ao qual a lei civil, nos termos do artigo 499.º do CC, estende, “na parte aplicável e na falta de preceitos legais em contrário, as disposições que regulam a responsabilidade por factos ilícitos” (Patrícia Guerra, artigo citado, pág. 33).
Com efeito, deste regime, como a própria juíza a quo frisa, a ideia que se retira é que o risco deve ser suportado pelos bancos, surgindo como regra o reembolso pelo prestador dos serviços em relação a uma operação de pagamento não autorizada, porquanto só o prestador do serviço de pagamentos, também fornecedor deste serviço, pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo também a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento, o que, aliás, conduziu a sentença recorrida a afirmar, citando Calvão da Silva, in “Conta corrente bancária: operação não autorizada e responsabilidade civil”, RLJ 144-315, que “O risco de funcionamento deficiente ou inseguro do sistema de prestação de serviços de pagamento ou transferência localiza-se, portanto, na esfera do seu prestador, a quem incumbe a responsabilidade por operações não autorizadas pelo cliente nem devidas a causa imputável ao cliente”.
Todas estas considerações merecem a nossa concordância. A divergência que releva situa-se, pois, ao nível da aplicação destas regras à hipótese em apreço.
No caso, estando em causa, como estão, operações de pagamento não autorizadas pela Autora, não se configura relativamente a tais operações uma atuação fraudulenta daquela ou um incumprimento deliberado de qualquer das obrigações da mesma, nem tampouco, face aos factos ora definitivamente fixados na sequência da alteração à decisão relativa à matéria de facto da primeira instância, nenhum caso de quebra da confidencialidade dos dispositivos de segurança personalizados que lhe seja imputável.
Com efeito, por demonstrar restou que, fosse porque modo fosse, a Autora tivesse fornecido os dados do cartão matriz que lhe foi fornecido a terceiros e que tenha sido por essa via que as operações fraudulentas foram realizadas.
E, “desconhecendo-se o modo como os terceiros lograram obter os dispositivos de segurança que permitiram aceder às contas, não fica afastada a possibilidade de tal ter resultado da vulnerabilidade do sistema, risco que só o banco poderia prevenir” (Acórdão da Relação de Lisboa de 11.04.2019 – Relator Adeodato Brotas).
O que conduz à responsabilização da Ré pelas operações não autorizadas em questão.
Mas ainda que assim não fosse – isto é, ainda que inalterada tivesse ficado a matéria de facto considerada assente pela primeira instância quanto ao alegado fornecimento pela Autora das coordenadas do respetivo cartão-matriz – nunca, a nosso ver, a invocada atuação da Autora poderia ser considerada negligência grave, neste sentido apontando a jurisprudência mais abalizada que se conhece sobre esta matéria.
Senão vejamos.
Em primeiro lugar, interessa reter que, com vista ao afastamento da responsabilidade do prestador de serviços e de acordo com o Considerando 33) da Diretiva transposta pelo diploma em análise, “para avaliar a eventual negligência cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias”, devendo “as provas e o grau da alegada negligência” “ser avaliados nos termos do direito nacional”, pelo que, estando em causa nos autos operações de pagamento não autorizadas pela Autora, e não se configurando, como se disse, uma sua atuação fraudulenta, ou um incumprimento deliberado de qualquer das suas obrigações, cumpriria, caso quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante houvesse, recorrer ao direito interno para definir o conceito de “negligência grave” (Acórdão desta Relação de 17.12.2014 – Relator Fernando Fernandes Freitas).
E, perante o direito interno, o que se deve, então, entender por negligência grave?
Socorrendo-nos de novo do acima referido acórdão desta Relação, que a Recorrente também cita, vejamos o que a este respeito nos diz a doutrina:
“Referindo-se à culpa grave, o Prof. Inocêncio Galvão Teles ensina que ela se apresenta como “uma negligência grosseira”, definindo-a os romanos como um “non intelligere quod omnes intelligunt”. E assim, “só por uma pessoa particularmente negligente se mostra susceptível de ser cometida” (in “Direito das Obrigações”, 5.ª ed., págs. 325-326).
Debruçando-se sobre as cláusulas limitativas e de exclusão da responsabilidade civil, escreveu o Prof. Pinto Monteiro que tais cláusulas são nulas quando o devedor actua com dolo. E reconhecendo ser menos pacífica a proibição delas em caso de “culpa grave”, defende que ambas as actuações são incompatíveis com os valores atinentes ao princípio da boa fé, não merecendo tratamento mais favorável o devedor que não observe “as regras elementares de prudência”, ou “revelar, pelo seu comportamento, não ter adoptado aquele esforço e diligência minimamente exigíveis, nas circunstâncias concretas” (in “Cláusulas Limitativas e de Exclusão de Responsabilidade Civil”, Almedina 2003, págs. 235/236).
A Prof.ª Ana Prata, sendo mais ilustrativa no recurso que faz aos subsídios de Autores estrangeiros, refere que culpa grave é o mesmo que “negligência grosseira, erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”, sendo deveras interessante a transcrição que faz de René Savatier, que caracteriza a culpa grave como “uma conduta em que a má fé é verosímil, mas não se encontra absolutamente demonstrada” (in “Cláusulas de Exclusão e Limitação da Responsabilidade Contratual”, Reimpressão, págs. 306 a 308 e nota-de-rodapé 643 in fine)”.
Daí que, não obstante se poder configurar uma violação culposa das “obrigações” do utilizador de serviços de pagamento consagradas no artigo 67.º do Decreto-Lei nº 317/2009 quando, não obstante os avisos do prestador de serviço, aquele fornece a terceiros os dados do respetivo cartão-matriz, cremos que, atendendo, como se deve atender, para avaliar a eventual negligência cometida pelo utilizador dos serviços de pagamento a todas as circunstâncias do caso como preconizado no Considerando 33) da Diretiva, não se pode no caso concluir pela existência de uma situação de negligência grave.
Na verdade, se é certo que as advertências feitas pelos prestadores de serviços de pagamentos eletrónicos quanto ao modo de corretamente utilizar os números do cartão matriz de acesso ao sistema de homebanking impõem cautela ao utilizador, conduzindo à censurabilidade de um comportamento contrário a tais avisos, a verdade é que, a maioria das vezes, tal não será suficiente para qualificar a negligência de uma vítima de fraude como “grosseira”, colocando-a ao nível do “erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”.
Nos acórdãos da Relação de Lisboa de 15.03.2016 (Relator - Rijo Ferreira) e da Relação de Coimbra de 15.1.2019 (Relator - Moreira do Carmo), defende-se mesmo que, “pela própria natureza das coisas”, não se pode “qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’,‘pharming’,‘keylogging’) como gravemente negligente”, porquanto “essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder qualificada como grosseiramente negligente ela não pode ser susceptível de ser levada a cabo por um número significativo dos homens médios”, posição que segue na esteira do entendimento expresso no já citado acórdão desta Relação 17.12.2014, onde se lê: “como várias pessoas “caíram” na mesma situação não podemos, por comparação com o homem comum, dizer que ele agiu de uma forma particularmente negligente”.
Veja-se, aliás, que a primeira instância considerou assente que a situação da Autora não se trata de um caso isolado, pois existem queixas semelhantes em relação ao serviço “Net...” da Caixa ..., sendo que foi realizada uma reportagem jornalística sobre o tema, mais se verificando, pela mera leitura dos factos a que se reporta o Acórdão da Relação de Lisboa de 11.04.2019, que ali também se configura uma situação de fraude informática relativa ao concreto serviço de homebanking em referência nestes autos.
E, no que ao caso presente respeita, em que é o próprio Banco que aduz a existência de fraude informática levada a cabo por terceiro tendo como alvo a Autora – utilizadora do serviço da Ré –, a ter-se mantido na íntegra a matéria considerada provada pela primeira instância, sempre haveria que ponderar como circunstância altamente relevante o facto de a Autora, desde a adesão, nunca ter efetuado nenhuma operação com o cartão-matriz, só utilizando o serviço NET ... para consultas, sendo, por isso, perfeitamente natural que não atentasse nos procedimentos relativos à utilização do cartão-matriz e aos alertas com tal utilização relacionados, sendo ainda certo que, face ao alegado pela própria Ré, na ocasião em que a Autora terá fornecido os dados do cartão não se encontraria no site daquela onde os avisos surgem, nada a alertando, pois, no único momento em que a mesma, desde a adesão, teria procedido à inserção dos dados do dito cartão, para os perigos relacionados com a inserção de várias coordenadas daquele.
E não será assim tão incomum haver clientes das instituições financeiras que apenas utilizam o sistema de homebanking para consulta dos respetivos saldos – clientes que, subentende-se face à utilização restrita feita, a tal sistema apenas aderiram incentivados pelos prestadores de serviços que disso retiram vantagens –, sendo este um grupo extremamente vulnerável pela sua iliteracia informática (por tal comportamento de não utilização, para efeito de realização de operações bancárias, do sistema a que aderem patenteada) e para o qual os avisos dirigidos ao efetivo utilizador do serviço se demonstram inadequados, justificando esses clientes outro tipo de alertas, eventualmente de caracter personalizado, a implementar pelo prestador de serviços com vista ao cumprimento efetivo da sua obrigação de garantir a segurança do sistema.
Em conclusão, a manter-se a decisão da primeira instância relativa à matéria de facto provada, a negligência por tal comportamento revelada seria, sempre, de qualificar como inconsciente e leve e nunca como grave.
Acresce que, como salienta a Recorrente, a plataforma "NET..." permitiu a realização de uma média de 15 movimentações bancárias por dia, sob forma de "pagamento de serviços" ou "pagamento de compras" efetuadas para a mesma entidade, cada uma no valor nunca inferior a € 451,00 (quatrocentos e cinquenta e um euros), que se totaliza no montante de aproximadamente € 6.765,00 (seis mil setecentos e sessenta e cinco euros) diários, sendo certo que esta série de movimentações bancárias não suscitou nenhuma espécie de reação por parte da instituição bancária Recorrida, apesar das mesmas não constituírem movimentações habituais da Recorrente, nem da maioria dos clientes enquanto pessoas singulares, o que, a nosso ver, efetivamente também denota a insegurança do sistema em causa.
Na verdade, como se diz no acórdão desta Relação acima citado, “com os meios informáticos de que dispõe e o conhecimento das pessoas que são seus clientes habituais, fácil será aos Bancos traçar o perfil do utilizador (como o faz a Google em relação aos titulares das contas de correio electrónico), barrando as operações a quem, v.g. pela hora tardia e inusitada, tenta fazer “transferências” para terceiros, ou, pela repetição de transferências inusitada num curto lapso de tempo, enfim, tudo o que saia da normalidade que o cliente vem revelando, contribuindo assim para uma maior segurança do sistema, que se quer, até onde for possível, blindado”.
A responsabilidade pelo reembolso das quantias objeto das operações não autorizadas, impende, pois, sobre o prestador de serviços, por força do artigo 72º, nº1, do supra aludido Decreto-Lei.
Importa ainda ter presente o disposto no n.º 2 do artigo 71.º, que sanciona a inércia do prestador de serviços de pagamento, estabelecendo que, sempre que o utilizador não seja imediatamente reembolsado pelo respetivo prestador de serviços de pagamento, são devidos juros moratórios, contados dia a dia desde a data em que o utilizador haja negado ter autorizado a operação de pagamento executada (no caso em 16.01.2017) – e não desde a data das movimentações bancárias como peticionado pela Autora –, até à data do reembolso efetivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar.
Com efeito, o artigo 71.º, lei vigente à data dos factos, “estabelece uma espécie de tutela cautelar do utilizador de serviços de pagamento, na medida em que, em face da alegação de uma operação de pagamento não consentida, sem atraso injustificado e dentro de um prazo não superior a 13 meses a contar do débito da operação de pagamento na conta do utilizador de serviços de pagamento, o prestador de serviços de pagamento deve reembolsar imediatamente o utilizador, sem prejuízo de, in fine, as investigações encetadas demonstrarem que aquela operação foi consentida pelo utilizador ou foi motivada pelo incumprimento das obrigações legais e/ou contratuais que o vinculam” (Patrícia Guerra, artigo citado, pág. 27).
Por último, quanto aos danos não patrimoniais, bastará recordar que, mesmo no âmbito da responsabilidade pelo risco, os mesmos são indemnizáveis, desde que sejam graves e mereçam a tutela do direito, de harmonia com o disposto no artigo 496º, nº1, do Cód. Civil.
No caso, sabe-se que perante o sucedido, a autora sente-se angustiada, preocupada, frustrada e lesada nos seus direitos, mais se sabendo que a realização das operações em causa lhe provocaram instabilidade financeira, dado que a mesma ficou sem aqueles rendimentos para fazer face às suas despesas domésticas e profissionais, o que lhe causou enormes preocupações, ansiedade e tristeza e que, desde o sucedido a autora, outrora uma pessoa extrovertida, social e alegre, tornou-se numa pessoa mais reservada, taciturna e desanimada, o que consubstancia um quadro de sofrimento psicológico que atinge a gravidade justificadora de uma compensação deste tipo.
Tal compensação deve ser fixada com recurso à equidade e tendo em conta a situação económica do agente e do lesado e as demais circunstâncias do caso, bem como os padrões de indemnização geralmente adotados na jurisprudência (art.’s 496º, nº 3, e 494º do Cód. Civil), sempre com o objetivo, não de se reconstituir a situação que existiria caso não tivesse ocorrido a lesão – como se impõe fazer ao nível dos danos patrimoniais –, mas antes de se proporcionar uma satisfação adequada ao lesado.
Ponderando os danos verificados “in casu”, a situação económica da Autora, os padrões habituais da jurisprudência e efetuando-se a devida atualização da compensação, considera-se adequada a atribuição do requerido montante de 2.500 €, tanto mais que a Ré, perante os movimentos não autorizados em causa, não efetuou nenhuma diligência, nem no sentido de evitar a retirada do dinheiro, nem tampouco de informar e alertar a Autora do elevado número de pagamentos que estavam a ser realizados, o que, contra aquela, pesa.
Os juros de mora relativos a esta quantia são devidos desde a data da presente decisão (cfr. Acórdão de Uniformização de Jurisprudência nº. 4/2002, de 9 de Maio).
*
Sumário:I – É o prestador de serviços de pagamento quem tem a obrigação de assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador que tenha direito a utilizar o referido instrumento, pertencendo o funcionamento do sistema informático de homebanking à esfera de risco daquele;
II – Com a publicação do Decreto-Lei nº 317/2009, de 30 de outubro, passou a existir uma regulamentação específica dos casos de operações de pagamento não autorizadas, ali se estabelecendo um regime especial de responsabilidade civil objetiva, segundo o qual o risco deve ser suportado pelos bancos, surgindo como regra o reembolso pelo prestador dos serviços;
III – Com vista ao afastamento da referida responsabilidade objetiva do prestador de serviços e de acordo com o Considerando 33) da Diretiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro de 2007, transposta pelo diploma em análise, “para avaliar a eventual negligência cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias”, devendo “as provas e o grau da alegada negligência” “ser avaliados nos termos do direito nacional”;
IV – Face à doutrina portuguesa sobre esta matéria, “negligência grave” corresponde a “negligência grosseira, erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”;
V – A circunstância de um utilizador do sistema de homebanking, desde a adesão, nunca ter efetuado nenhuma operação com o cartão-matriz, só utilizando o referido serviço para consultas – circunstância que permite considerar como natural que o mesmo não atentasse nos procedimentos relativos à utilização do cartão-matriz e aos alertas com tal utilização relacionados – associada à circunstância de, no momento do fornecimento dos dados do cartão-matriz, o utilizador não se encontrar no site do prestador de serviço, onde os avisos da entidade prestadora do serviço de homebanking surgem, deverão conduzir a considerar como não-grave a negligência do mesmo ao inconscientemente fornecer a terceiros, que para o efeito atuaram fraudulentamente, os dados do seu cartão-matriz.
IV. DECISÃO:
Pelo exposto, acordam os juízes desta Relação em julgar parcialmente procedente a Apelação, revogando a sentença recorrida e condenando a Ré a pagar à Autora:
a. O montante de €.28.596,14, a título de danos patrimoniais, correspondente ao valor das movimentações bancárias efetuadas sem consentimento, acrescido de juros de mora, vencidos e vincendos, contados à taxa legal em vigor, acrescida de 10 pontos percentuais, desde 16.01.2017 e até efetivo e integral pagamento, absolvendo-a do remanescente dos juros moratórios peticionados;
b. O montante de €.2.500,00, a título de danos não patrimoniais, acrescido dos correspetivos juros de mora, contados à taxa legal em vigor, desde a data do presente acórdão até efetivo e integral pagamento.
Custas da ação e do recurso pela Autora e pela Ré, na proporção do decaimento.
Guimarães, 10.07.2019
Margarida Sousa
Afonso Cabral de Andrade
Alcides Rodrigues