Acórdão do Tribunal da Relação de Guimarães
| 2236/23.7T8BCL.G1 |  |
ÓNUS DA PROVA
- As operações efetuadas através do serviço de “homebanking”, quando consistem na movimentação de contas a prazo e transferências de fundos, regem-se pelo Regime Jurídico dos Sistemas de Pagamento e da Moeda Eletrónica (RJSPME) (DL 91/2028, de 12 de novembro, que transpôs para o ordenamento jurídico nacional a Diretiva (EU) 2015/2366 do Parlamento e do Conselho, de 25 de novembro de 2015.
- É ao Banco, como prestador do serviço de pagamento, que, caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, cabe o ónus de provar que a operação de pagamento foi autenticada, devidamente registada e contabilizada e não decorreu de qualquer avaria técnica ou de qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento, cabendo-lhe ainda demonstrar que houve negligência grosseira do ordenante na utilização dos serviços disponibilizados (arts. 113º e 115º, nº 3, do RJSPME).
Acordam no Tribunal da Relação de Guimarães
Relatório:
EMP01... LDA., NIPC ...85, com sede na Avenida ..., sala ..., ... ..., veio deduzir a presente Ação Declarativa de condenação sob a forma de processo comum, emergente de responsabilidade civil contratual, contra Banco 1..., S.A. – Banco 1..., NIPC ...82, com sede na Praça ... ..., Porto, com sucursal sita na Avenida ..., ..., ... ...,
Peticionando a condenação da ora Ré no pagamento de indemnização para ressarcimento dos danos patrimoniais sofridos pela Autora, devido às movimentações bancárias elaboradas sem o seu consentimento e a sua autorização, num valor total de € 27.019,33 (vinte e sete mil e dezanove euros, e trinta e três cêntimos), englobando a presente quantia o seguinte:
- O montante de € 22.789,00 (vinte e dois mil e setecentos e oitenta e nove euros) a título de danos patrimoniais, correspondente ao valor das movimentações bancárias efetuadas sem o seu consentimento;
- O montante de € 4.230,33 (quatro mil e duzentos e trinta euros, e trinta e três cêntimos) relativo a juros de mora vencidos à taxa legal anual em vigor, acrescida de 10 pontos percentuais, a contar desde a data das movimentações bancárias até efetivo e integral pagamento, e acrescidos dos juros de mora que se vencerem.
A Ré contestou, deduzindo defesa por impugnação, requerendo a improcedência do pedido.
*
Realizou-se o julgamento na sequência do qual foi proferida sentença que julgou a ação improcedente.
*
Inconformada veio a Autora recorrer formulando as seguintes Conclusões:1. Entende a Autora que foram incorretamente julgados diversos pontos da matéria de facto, sendo que – com o devido respeito – a prova testemunhal produzida tanto pela Autora como pela Ré em sede de Audiência Final, impunha que fosse proferida decisão em sentido oposto, nomeadamente no que respeita à responsabilidade da Ré pelas transferências realizadas contra a vontade da Autora.
2. A Recorrente considera que não foi feita qualquer prova no sentido de desresponsabilizar a Ré, bem pelo contrário, tal prova aponta inequivocamente para a sua responsabilização.
3. No entanto, o Tribunal recorrido julgou não provados factos em relação aos quais foi produzida prova abundante e provados factos sem o mínimo de sustento probatório.
4. Assim, considerados os fundamentos que vão ser alegados e realizada a reapreciação da prova gravada (que se requer), entende a Autora que deverá ser modificada e/ou revogada a douta sentença, por razões de reposição da justiça e/ou reparação da grave injustiça criada pelo Tribunal recorrido.
5. Além disso, a Recorrente impugna também a sentença em matéria de direito, nomeadamente que respeita à aplicação das regras do ónus da prova, uma vez que tal ónus incumbia à Ré e não à Autora, conforme, porém, incorretamente considerado na douta sentença.
6. O Tribunal deu como não provado que a Autora, na pessoa dos seus legais representantes, guardou o cartão-matriz em local seguro e privado e que nunca divulgou tais informações a terceiros, nem as referenciou em local acessível a terceiros, sem qualquer tipo de fundamento, ou seja, os factos 8.º e 9.º.
7. Ademais, deu como não provado o facto 10.º, considerando que não se provou que a Autora nunca acedeu à sua conta via homebaking por computador, tablet ou outro dispositivo de cariz público ou de um terceiro.
8. Nesta conformidade, deu também como não provado o facto 47.º considerando que a Autora não desrespeitou qualquer uma das normas de segurança impostas pela Ré.
9. Conforme decorre da prova testemunhal produzida em audiência final, nomeadamente através das declarações prestadas pelo funcionário da Autora, ..., ficou inequivocamente demonstrado que os códigos de acesso sempre permaneceram sob a sua guarda exclusiva, nunca tendo sido partilhados com terceiros.
10. Ademais, no decurso do seu depoimento, o referido funcionário afirmou expressamente nunca ter sido vítima de qualquer furto ou extravio da sua carteira, reforçando, assim, a segurança e exclusividade da sua posse sobre os elementos de acesso bancário.
11. Mais se sublinha que, de acordo com o depoimento do referido funcionário, todas as operações eram invariavelmente efetuadas através do computador da empresa, situado na respetiva sede, jamais tendo a Autora recorrido a qualquer outro dispositivo para aceder à sua conta de homebanking, facto este claramente demonstrado em audiência e que o Tribunal, inexplicavelmente, ignorou por completo.
12. Ora, a testemunha em causa merece plena e inequívoca credibilidade, tratando-se de um funcionário com décadas de experiência ao serviço da Autora e responsável direto, há largos anos, pela execução das transferências bancárias.
13. O seu depoimento foi claro, coerente e isento de contradições, afirmando de forma firme e convicta nunca ter partilhado quaisquer códigos de acesso, nem ter alguma vez utilizado outro dispositivo que não o computador fixo da empresa, situado nas suas instalações.
14. Não se alcança, pois, com que base factual o Tribunal recorrido pôde desconsiderar um depoimento desta natureza — objetivo, esclarecedor e absolutamente consistente com a prova documental existente nos autos — e, ainda assim, dar como não provados factos que se encontram amplamente demonstrados. Tal juízo revela-se, com o devido respeito, manifestamente infundado e desconforme à prova produzida em audiência.
15. Acresce que a Ré não logrou demonstrar, como sobre si impendia o respetivo ónus, que a Autora tenha adotado qualquer conduta suscetível de comprometer a segurança do sistema ou de facilitar a ocorrência das operações fraudulentas em causa. Pelo contrário, toda a prova produzida — testemunhal e documental — evidencia que a Autora observava rigorosamente as medidas de segurança recomendadas, inexistindo qualquer ato ou omissão que lhe possa ser imputado a título de negligência.
16. Assim, impõe-se concluir que os factos 8.º, 9.º, 10.º e 44.º devem ser dados como provados, alterando-se assim a sentença recorrida, porquanto a i) Autora guardou o cartão-matriz em local seguro e privado, ii) nunca divulgou tais informações a terceiros, nem as referenciou em local acessível a terceiros, iii) nunca acedeu à sua conta via homebaking por computador, tablet ou outro dispositivo de cariz público ou de um terceiro,
iv) não desrespeitou qualquer uma das normas de segurança impostas pela Ré.
17. Cumpre ainda salientar que o equipamento informático a partir do qual, segundo a Ré, teriam sido realizadas as operações em apreço, se encontrava desligado no exato momento em que as mesmas ocorreram, o que, de forma inequívoca, inviabiliza a possibilidade de tais transferências terem sido executadas pela Autora ou por qualquer dos seus representantes.
18. Ademais, conforme resulta do depoimento da testemunha AA técnico informático responsável pela análise dos equipamentos da Autora, os registos de acesso ao computador da empresa não coincidem com o horário em que as transferências foram efetuadas, evidenciando de forma inequívoca que as operações em causa não poderiam ter sido realizadas a partir do equipamento da Autora.
19. Não obstante, fundamenta a Douta sentença que à data dos factos em discussão no presente processo, o computador da testemunha BB encontrava-se “contaminado” com software malicioso.
20. Para sustentar tal conclusão, baseou-se o Tribunal no teor do Relatório da Polícia Judiciária no qual refere que “foi igualmente visionado o PC que na altura este funcionário utilizava, tendo-se encontrado vestígios de software malicioso” e no depoimento da testemunha CC que declarou que foi apurada a existência de software malicioso instalado no computador do cliente.
21. Todavia, importa desde já referir que a testemunha CC, indicada pela própria Ré, não merece qualquer credibilidade no que concerne à suposta existência de software malicioso, porquanto não possui formação técnica na área da informática nem conhecimentos especializados que lhe permitam sustentar tal afirmação.
22. A sua declaração limita-se a uma mera reprodução do que lhe terá sido transmitido por terceiros, sem qualquer base científica ou capacidade de verificação autónoma, razão pela qual não pode, nem deve ser valorada como prova fiável para efeitos de sustentar a conclusão de que o computador da Autora se encontrava efetivamente infetado com qualquer tipo de software malicioso que determinasse a realização das transferências.
23. Ora, também a menção existente no relatório da Polícia judiciária é manifestamente insuficiente para sustentar a existência efetiva de qualquer programa malicioso ativo ou com capacidade para interferir nas operações bancárias em causa. Com efeito, a simples deteção de vestígios — expressão vaga e tecnicamente imprecisa — não permite concluir pela presença de software funcional ou determinante para a realização das transferências fraudulentas.
24. Acresce que, qualquer equipamento informático ligado à internet pode conter resíduos digitais ou traços residuais de programas de origem diversa, o que em nada significa que esteja “infetado” ou comprometido em termos de segurança.
25. Com efeito, o Relatório da Polícia Judiciária limita-se a referir a existência de “vestígios de software malicioso”, sem, contudo, identificar a sua natureza, origem, modo de funcionamento, grau de risco ou qualquer correlação concreta com os factos em apreço.
Não foi sequer demonstrado que tais vestígios correspondessem a um programa executável, ativo ou sequer capaz de interferir com o sistema bancário utilizado pela Autora.
26. Ademais, conforme resulta depoimento prestado pela testemunha AA, ficou demonstrado que não foi detetado qualquer software malicioso, tentativa de intrusão ou anomalia nas máquinas utilizadas para aceder ao sistema bancário, tendo todas as verificações técnicas confirmado o normal funcionamento dos equipamentos e a inexistência de qualquer infeção ou acesso indevido.
27. A testemunha demonstrou inequivocamente que as transferências não foram realizadas a partir do computador da Autora, uma vez que os registos horários de acesso ao sistema bancário não coincidem com o momento em que as operações ocorreram. Acresce que, após análise exaustiva, não foi detetado qualquer vírus, malware ou software malicioso nos equipamentos, tendo o técnico concluído que a origem mais provável das operações fraudulentas residiu num ataque externo dirigido ao próprio sistema do banco.
28. Cumpre ainda salientar que, conforme reiterado pela testemunha, restou plenamente demonstrado que a origem das transferências não se encontrava no interior da empresa, tendo o mesmo afirmado, de forma categórica e convicta, que “dentro da empresa, eu tinha certeza que não tinha saído de dentro da empresa”, corroborando assim que as operações em causa resultaram de uma ação externa, alheia à infraestrutura e aos dispositivos da Autora.
29. Assim, a interpretação feita pelo Tribunal a quo, ao atribuir a esses meros vestígios a força probatória de uma infeção ativa e determinante, carece de qualquer suporte técnico, constituindo uma conclusão desprovida de rigor probatório.
30. A prova testemunhal é inequívoca: os códigos de acesso foram sempre mantidos em estrita confidencialidade, não tendo sido partilhados com terceiros e o computador autorizado para o acesso ao homebanking encontrava-se desligado no momento das operações.
31. Dessarte, mais uma vez, a Ré não logrou demonstrar, como sobre si impendia, qualquer facto suscetível de imputar à Autora culpa ou negligência na ocorrência das transferências em causa, não tendo provado que esta tenha, por ação ou omissão, contribuído de algum modo para a violação das normas de segurança do sistema bancário.
32. O Douto Tribunal deu como não provado que a Ré, não efetuou qualquer providência, nomeadamente não impediu que todas as referidas transferências tivessem sido feitas com isenção do código de autorização.
33. Tal entendimento revela-se incompreensível, porquanto foi produzida prova abundante na audiência no sentido de demonstrar, de forma inequívoca, que o código de autorização não foi emitido nem enviado aquando da realização das transferências em causa, circunstância que, aliás, encontra confirmação expressa no próprio Relatório da Polícia Judiciária, onde se conclui que não existia registo de comunicações no telemóvel para onde deveria ter sido enviada a mensagem.
34. Como é consabido, é prática comum as instituições financeiras confirmarem junto do cliente a movimentação de determinadas quantias pecuniárias, mesmo quando estas sejam realizadas em menor número e em menor montante.
35. Acontece que a Ré não efetuou nenhuma providência, apesar de, in casu, os factos assumirem contornos bastante alarmantes, nomeadamente, todas as referidas transferências terem sido feitas com isenção do código de autorização.
36. Ora, o referido código de autorização, associado a um número de telemóvel pertencente ao titular da conta bancária existe precisamente para que se assegure que a realização das operações é levada a cabo somente com anuência daquele, evitando-se desta forma atos fraudulentos.
37. Na verdade, todo o ato de fraude de que foi alvo a Autora - e que é cerne a presente ação - não assenta senão numa inércia da Ré, que permitiu que as transferências fossem realizadas sem que qualquer código de autorização fosse solicitado, como também se mostrou incapaz de identificar que tais movimentos eram totalmente alheios ao padrão habitual da Autora.
38. Tal circunstância traduz uma conduta manifestamente negligente e censurável da instituição bancária, que falhou de forma grosseira no cumprimento dos seus deveres de segurança e monitorização.
39. Importa acrescentar que, conforme resulta do auto elaborado pela Polícia Judiciária, após análise ao telemóvel do funcionário responsável pela gestão das operações bancárias da Autora, não foi possível identificar qualquer vestígio de mensagem contendo o código de autorização referente às transferências em causa, que se passa a transcrever: “foi efetuado por esta polícia o visionamento dos ficheiros informáticos gravados no suporte digital (agrafado à contra capa), (vide fl. 311 a 314) o qual continha o conteúdo do telemóvel usado pela testemunha BB, tendo sido apurado no mesmo não constavam registo de comunicações de interesse para os autos de fls. 315”.
40. Acresce referir que, conforme resulta de forma cristalina do depoimento do Representante Legal da Autora, ficou plenamente demonstrado em audiência que o Sr. BB jamais recebeu no seu telemóvel qualquer mensagem SMS contendo o código de autorização necessário à validação das operações bancárias.
41. Também a testemunha AA confirmou em audiência que o código de validação (segundo fator de autenticação) não foi recebido no telemóvel do utilizador, tendo a transação sido, ainda assim, executada.
42. Tal circunstância reforça de forma inequívoca que o procedimento normal de verificação e autenticação não foi cumprido, não tendo sido enviado o código para o número de telemóvel indicado para tal efeito.
43. Este facto não apenas confirma a ausência de consentimento da Autora, como constitui prova material da omissão grave por parte da Ré na salvaguarda dos interesses e da segurança da sua cliente.
44. A verdade é que, a Recorrida não logrou apresentar prova – que testemunhal como documental - de que a mensagem contendo o código de autorização tivesse sido efetivamente enviada para o número de telemóvel indicado pela Autora, dever que sobre si impendia, bem pelo contrário.
45. Pelo contrário, todas as evidências disponíveis, incluindo o auto elaborado pela Polícia Judiciária e o depoimento do representante legal que evidencia que o funcionário responsável pelas operações bancárias não recebeu qualquer mensagem, apontam inequivocamente para a inexistência dessa comunicação, reforçando responsabilidade da Ré pelo prejuízo sofrido.
46. No caso, estando em causa, como estão, operações de pagamento não autorizadas pela Autora, não se configura relativamente a tais operações uma atuação fraudulenta daquela ou um incumprimento deliberado de qualquer das obrigações da mesma, nem tampouco, nenhum caso de quebra da confidencialidade dos dispositivos de segurança personalizados que lhe seja imputável.
47. Assim, não podia o Tribunal dar como não provado que a Ré não efetuou qualquer providência, nomeadamente não impediu que todas as referidas transferências sido feitas com isenção do código de autorização.
48. De todo o exposto — quer pela análise do Relatório da Polícia Judiciária, quer pelos depoimentos prestados em Audiência Final — resulta de forma clara, objetiva e irrefutável que a Ré não cumpriu o ónus que sobre si impendia, designadamente o de demonstrar que adotou as providências necessárias para prevenir e impedir as transferências fraudulentas em causa.
49. É, pois, evidente que a instituição bancária não logrou provar ter implementado qualquer mecanismo de bloqueio, alerta ou verificação adicional que pudesse obstar à concretização das operações não autorizadas, limitando-se a invocar suposições técnicas desprovidas de sustentação probatória.
50. Por conseguinte, deve a sentença recorrida ser alterada, dando-se como provados os factos 29.º, 30.º e 44.º, uma vez que a Ré efetivamente não levou a cabo qualquer providência que impedisse que todas as referidas transferências fossem realizadas com isenção do código de autorização, incumprindo gravemente os seus deveres de diligência, segurança e lealdade contratual.
51. Assim, como consequência direta, adequada e necessária da inércia da ora Ré no cumprimento dos seus deveres contratuais e legais de segurança e vigilância, a Autora sofreu um prejuízo patrimonial efetivo, quantificado no montante global de € 22.789,00 (vinte e dois mil e setecentos e oitenta e nove euros) correspondente às transferências indevidamente realizadas.
52. Assim, o Tribunal recorrido incorreu em erro de julgamento da matéria de facto pelo que a decisão de facto deve ser modificada em conformidade com o alegado e peticionado pela Apelante.
53. Para além da errónea apreciação da matéria de facto, verifica-se igualmente uma incorreta aplicação da matéria de direito, nomeadamente quanto à distribuição do ónus da prova, sendo incompreensível o entendimento do Douto Tribunal no sentido de que o ónus da prova caberia à Autora.
54. Não se pode acolher o entendimento constante da sentença recorrida, porquanto se revela ao arrepio das normas especiais que regem a distribuição do ónus da prova na matéria em apreço, como se demonstrará.
55. No caso em apreço, a questão jurídica que se coloca contende com a problemática da tutela do utilizador de serviços de pagamento em caso de operação de pagamento não autorizada, no âmbito do chamado homebanking.
56. Com a entrada em vigor do Decreto-Lei nº 317/2009 passou a existir um preceito que especificamente regula os casos de operações de pagamento não autorizadas, como as ocorridas na situação sub judice.
57. De acordo com o artigo 67.º do referido diploma legal, são “obrigações” do utilizador de serviços de pagamento: “Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização” (alínea a) do n.º 1), para este efeito, devendo “tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados” (n.º 2);
58. De sublinhar, porém, que, nos termos do artigo do artigo 68.º, n.º 1, alínea a), do Anexo I de tal Regime, sem prejuízo das referidas obrigações do utilizador do serviço de pagamento, é o prestador de serviços de pagamento que emite um instrumento de pagamento quem tem a obrigação de “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento”.
59. Estabelece ainda o artigo 70.º do Decreto-Lei 242/2012, de 07/1, sob a epigrafe “Prova de autenticação e execução das operações de pagamento”, que: “1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência.
60. A este propósito, refere o Acórdão da Relação de Lisboa, que “a opção pelo afastamento do ónus da prova a cargo do consumidor quanto ao mau funcionamento do sistema informático de homebanking, resulta da circunstância de ser o prestador de serviços de homebanking quem tem maior facilidade em demonstrar a versão factual que lhe aproveita, ou seja, a de que a utilização fraudulenta do serviço de homebanking por parte de terceiros não se deveu ao mau funcionamento do sistema informático”; “no fundo, o legislador entendeu que o prestador de serviços é quem está em melhores condições (...) para trazer a factualidade demonstrativa do modo como as coisas se passaram. E é assim, porque o funcionamento do “sistema informático” homebanking “pertence à sua esfera de risco”.
61. Assim, compete à entidade bancária diligenciar pela segurança do serviço de homebanking, de modo a que o seu utilizador não fique privado dos valores depositados pelo abusivo acesso a terceiros, sem a sua autorização ou consentimento.
62. Neste sentido pronunciou-se também o Acórdão do Tribunal da Relação de Coimbra4, o qual expressamente refere: “I – O banco, por força do contrato de depósito bancário e do associado contrato de abertura de conta corrente, celebrados com um cliente, assume um fundamental dever de prestação de serviços, com competência técnica, a qual tem subjacente deveres de qualidade e de eficiência [por via dos quais o banqueiro deve assegurar ao cliente, em todas as atividades que exerça, “elevados níveis de competência técnica”], complementado, no que às relações com os clientes diz respeito, com o dever de adoção, por parte do banqueiro, enquanto instituição, de procedimentos de diligência, neutralidade, lealdade e discrição e respeito consciencioso dos interesses que lhe estão confiados. II – Assim, enquanto profissional tecnicamente competente, que conhece e domina as regras da ars bancaria, tem, designadamente, uma obrigação de acautelamento de interesses do cliente, que lhe impõe uma continuada promoção e vigilância dos interesses deste. III – Recai sobre o banco o ónus da prova de que a movimentação da conta ocorreu por motivo justificado, designadamente porque tinha ordem ou autorização de transferência emanada do cliente, pelo que, não demonstrado este pressuposto, o banco responde perante o cliente.”.
63. Por outro lado, também o artigo 113.º Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME), aprovado pelo Decreto-Lei nº 91/2018, de 12 de novembro, dispõe que caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
64. Em face do exposto, ao contrário do acolhido na sentença recorrida, é manifesto que recai sobre o banco Réu o ónus da prova de que a movimentação da conta ocorreu por motivo justificado, designadamente porque tinha autorização de transferência emanada do cliente; a contrário, se não conseguir demonstrar este pressuposto, o banco responde perante o cliente, independentemente de a movimentação fraudulenta ter sido originada por terceiro.
65. Ora, a Ré procura fazer crer que a Autora, na manhã da ocorrência dos factos, ao descarregar o certificado digital disponibilizado no site do próprio banco, teria introduzido nos seus sistemas um ficheiro alegadamente com infetado, tentando, assim, transferir para a Autora uma responsabilidade que em nada lhe pode ser imputada.
66. Ainda que a origem das transferências indevidas possa ter relação com o download de um certificado alegadamente comprometido com vírus, tal suposição não encontra qualquer fundamento que permita imputar tal causa à Autora.
67. Tal facto evidencia que a operação foi realizada com a anuência expressa da Ré, não podendo a Autora ser responsabilizada por eventual falha no conteúdo ou na segurança do certificado disponibilizado.
68. Em sede de audiência final, a testemunha DD relatou detalhadamente o procedimento realizado para a reinstalação do certificado digital, explicando que executou pessoalmente todo o processo e que o download do mesmo foi efetuado com apoio do banco, sendo o ficheiro descarregado diretamente através da plataforma oficial do Banco 1....
69. O próprio funcionário do banco, EE, testemunha em sede de audiência final, confirmou que prestou assistência à distância, por telefone, na instalação do software certificado.
70. Assim, a existir qualquer vulnerabilidade ou contaminação do certificado em questão, a responsabilidade recaí unicamente sobre a Ré, na medida em que lhe incumbia assegurar a integridade e segurança dos meios e instrumentos disponibilizados aos seus clientes, conforme os deveres legais que lhe são impostos, o que não fez.
71. Tal responsabilidade decorre do próprio dever de diligência que assiste às instituições financeiras, nomeadamente no cumprimento das normas de segurança e proteção de operações eletrónicas, não sendo admissível que tal obrigação seja transferida para o cliente.
72. O banco, por força do contrato de depósito bancário e do associado contrato de abertura de conta corrente, celebrados com um cliente, assume um dever de prestação de serviços, com competência técnica, a qual tem subjacente deveres de qualidade e de eficiência, complementado, no que às relações com os clientes diz respeito, com o dever de adoção, por parte do banco, de procedimentos de diligência, neutralidade, lealdade, e respeito consciencioso pelos interesses que lhe estão confiados.
73. Por demonstrar restou que, fosse porque modo fosse, a Autora teve qualquer comportamento negligente, designadamente fornecendo os dados do cartão matriz que lhe foi fornecido a terceiros e que tenha sido por essa via que as operações fraudulentas foram realizadas.
74. Certo é que, tendo em conta toda a prova produzida nos autos, não logrou a Ré afastar o ónus da prova que, por imposição legal, sobre si recaía, revelando-se incapaz de demonstrar que as operações contestadas foram autorizadas pela Autora ou que decorreram de qualquer conduta sua passível de censura.
75. Pelo contrário, limitou-se a tecer alegações vagas e infundadas, numa tentativa frustrada de inverter o ónus da prova e de transferir para a Autora uma responsabilidade que manifestamente não lhe cabe, em flagrante violação da lei.
76. E, conforme se pode ler no já citado Acórdão da Relação de Lisboa, datado de 11 de abril 2019, “desconhecendo-se o modo como os terceiros lograram obter os dispositivos de segurança que permitiram aceder às contas, não fica afastada a possibilidade de tal ter resultado da vulnerabilidade do sistema, risco que só o banco poderia prevenir”, o que, indubitavelmente, conduz à responsabilização da Ré pelas operações não autorizadas em questão.
77. Mas ainda que assim não fosse – isto é, que a Autora tivesse fornecido as coordenadas do respetivo cartão-matriz – nunca, a nosso ver, a invocada atuação da Autora poderia ser considerada negligência grave, neste sentido apontando a jurisprudência mais abalizada que se conhece sobre esta matéria.
78. Nos acórdãos da Relação de Lisboa datado de 15 de março de 2016, Relatado por Rijo Ferreira e da Relação de Coimbra datado de 15 de janeiro de 2019, Relatado por Moreira do Carmo, defende-se mesmo que “não se pode “qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’,‘pharming’,‘keylogging’) como gravemente negligente”, porquanto “essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder qualificada como grosseiramente negligente ela não pode ser suscetível de ser levada a cabo por um número significativo dos homens médios”.
79. No caso vertente, não se vislumbra que a Autora tenha tido qualquer conduta negligente, muito menos uma atuação suscetível de ser qualificada como negligência grave. Com efeito, a Autora e os seus colaboradores agiram sempre com diligência e prudência, seguindo à risca as instruções transmitidas pelo próprio gestor de conta da Ré, procedendo à reinstalação do certificado digital diretamente através da plataforma oficial do banco, conforme expressamente indicado por aquele.
80. Mais se demonstrou que os dados de acesso ao sistema de homebanking foram mantidos em absoluta confidencialidade, inexistindo qualquer prova de que tenham sido divulgados a terceiros, partilhados ou utilizados de forma indevida. O equipamento informático utilizado para as operações bancárias encontrava-se devidamente protegido, isolado e desligado no momento em que as transferências fraudulentas ocorreram, conforme resulta da prova testemunhal produzida.
81. Atento a todo o exposto e à análise conjugada da prova produzida e do regime jurídico aplicável, resulta de forma inequívoca que o ónus da prova competia à Ré, aqui Recorrida, e não à Autora, ora Recorrente, em clara oposição ao entendimento vertido na sentença recorrida.
82. Certo é que, a Ré, não demonstrou, como era o seu ónus, que a Autora tenha tido qualquer comportamento suscetível de por em causa a segurança do sistema, bem pelo contrário, desconhecendo-se o modo como os terceiros lograram obter os dispositivos de segurança, porquanto, tem a mesma a obrigação de reembolsar a Autora do montante de pagamento não autorizado, nos termos do artigo 71.º n.º 1, do Decreto-Lei n.º 317/2009.
83. Pelo exposto, entende-se que a sentença recorrida deve ser revogada, não apenas quanto à decisão de facto — a qual deve ser substituída por outra que reconheça como provados os pontos de facto constantes dos pontos 8.º, 9.º, 10.º, 29.º, 30.º, 44.º e 47.º — mas também quanto à matéria de direito, devendo ser alterada para considerar que o ónus da prova incumbia à Recorrida, a qual não logrou demonstrar que a Autora tenha tido qualquer comportamento suscetível de por em causa a segurança do sistema.
NESTES TERMOS E NOS MELHORES DE DIREITO APLICÁVEIS, DEVE O PRESENTE RECURSO MERECER PROVIMENTO E, CONSEQUENTEMENTE, REVOGAR-SE AS DECISÕES DE FACTO E DE DIREITO NOS TERMOS PETICIONADOS, JULGANDO-SE, A FINAL, A AÇÃO TOTALMENTE PROCEDENTE POR PROVADA. FAZENDO-SE ASSIM A COSTUMADA JUSTIÇA.
4 Acórdão do Tribunal da Relação de Coimbra, datado de 22 de junho 2021, Processo n.º 2072/18.2T8CTB.C1, Relatado por Luís Cravo. Disponível em www.dgsi.pt.
*
O Réu apresentou contra-alegações dizendo que cumpriu o ónus que sobre si impendia de demonstrar o comportamento culposo da recorrente e, desta forma, pronuncia-se no sentido da improcedência do recurso e confirmação da decisão recorrida.*
Questões a decidir:- Analisar se a prova produzida permite retirar as conclusões de facto expostas na sentença recorrida;
- Verificar se a apropriação de quantias da conta da A. ocorreu ou não por culpa desta.
*
Nada obstando ao conhecimento do objeto do recurso, cumpre apreciar e decidir.Os factos considerados provados na 1ª instância foram os seguintes:
A) Da PETIÇÃO INICIAL sob a Refª ...15
1.º
A Ré é uma instituição bancária que tem como atividade a prestação de serviços financeiros, dedicando-se, essencialmente, à celebração de contratos de contratos de depósito bancário e similares.
2.º
A Autora é uma sociedade por quotas que se dedica a serviços de consulta, gestão e direção de empresas.
3.º
A Autora é titular da conta bancária de depósitos à ordem com o n.º ...63 (IBAN ...05), na agência Banco 1... com sede na Avenida ..., ..., ... ....
4.º
Mediante aconselhamento da Ré, a Autora aderiu ao serviço de homebanking, o qual permitia o acesso à sua conta bancária de depósitos à ordem e a realização de operações bancárias através de canais telemáticos (internet, telefone, WAP, entre outros).
7.º
Desde então, a Autora fez uso do referido serviço.
8.º
A Autora, na pessoa dos seus legais representantes, memorizou os dados necessários ao acesso da conta via homebanking.
11.º
No transato dia ../../2021, o legal representante da Autora, FF, acedeu à conta bancária acima descrita através do mencionado serviço de homebanking.
12.º
Nesse dia, o legal representante da Autora, FF, ao consultar o extrato de movimentos bancários, constatou que foram realizadas, no mesmo dia em menos de meia hora, quatro transferências bancárias cujos beneficiários eram desconhecidos.
13.º
As sucessivas transferências foram efetuadas no dia 17/02/2021 entre as 18h01min e as 18h08min, a saber:
- Transferência no valor de € 4.987,00 (quatro mil e novecentos e oitenta e sete euros), com o descritivo “TRF P/ GG”;
- Transferência no valor de € 4.992,00 (quatro mil e novecentos e noventa e dois euros), com o descritivo “TRF P/ GG”;
- Transferência no valor de € 7.499,00 (sete mil e quatrocentos e noventa e nove euros), com descritivo “TRF P/ HH”;
- Transferência no valor de € 4.999,00 (quatro mil e novecentos e noventa e nove euros) com descritivo “TRF P/ HH”.
14.º
Todas as operações efetuadas nesse período foram realizadas sem o conhecimento e o consentimento da aqui Autora.
15.º
À data desconhecia-se a identificação dos autores do acesso à conta bancária da Autora.
16.º
Foi movimentada da conta bancária da Autora a quantia total de € 22.477,00 (vinte e dois mil e quatrocentos e setenta e sete euros), sem a sua autorização e contra a vontade desta.
17.º
Perante o sucedido, a Autora contactou a respetiva agência bancária, na qual está sedeada a sua conta, para apurar o motivo de tal ocorrência.
18.º
A Autora foi informada de que a sua conta tinha sido alvo de “pirataria” informática.
19.º
Nesta sequência, a Autora inativou de imediato as correspetivas contas bancárias.
20.º
Perante o sucedido, no dia seguinte, 18/02/2021, a Autora apresentou participação na Esquadra ... da Polícia de Segurança Pública.
21.º
Essa participação deu origem ao Processo n.º 279/21.4JABRG que corre atualmente os seus termos no Departamento de Investigação Criminal de Braga da Polícia Judiciária.
22.º
A Autora solicitou à Ré que esta procedesse à tentativa de resgate do valor transferido, pedido esse que teve o custo, por cada transferência, de € 78,00 (setenta e oito euros), perfazendo o montante total de € 312,00 (trezentos e doze euros).
23.º
Perante os factos supradescritos, os legais representantes da Autora sentem-se angustiados, preocupados, frustrados e lesados nos seus direitos.
45.º
Foi dirigida, em 09/03/2021, uma reclamação ao Banco de Portugal (...21/...91) e outra ao Provedor do Cliente do Banco 1... S.A. –Banco 1....
46.º
A ora Ré recusou assumir qualquer responsabilidade pela ocorrência que motivou esta ação.
“O CLIENTE declara que, previamente à subscrição destas Condições Particulares, teve acesso e leu as Condições Gerais, as quais estão disponíveis, na versão atualmente em vigor, para consulta, leitura e impressão, em qualquer momento, na área de adesão do Portal Managerland e relativamente às quais manifesta o seu acordo expresso”.
8. Do teor das Condições Gerais em vigor em 17.02.2021, constantes do documento nº 4 junto com a Contestação sob a Refª ...79, consta que:
“Cláusula 2.ª: Riscos associados aos meios de comunicação à distância
1. Os meios de comunicação à distância para acesso do Cliente ao Banco estão sujeitos a riscos de fraude por terceiros, nomeadamente de “phishing”, bem como, de consulta e realização de operações fraudulentas por terceiros não autorizados na conta do Cliente.
2. O “phishing” é uma fraude que consiste em substituir a identidade do Banco ou de qualquer outra entidade fidedigna, e cuja finalidade é a obtenção de informações confidenciais do Cliente, nomeadamente dados bancários, dados pessoais ou códigos de acesso. Os ataques de “phishing” podem produzir-se através de mensagens de correio eletrónico, SMS ou chamadas telefónicas nas quais se pode imitar e substituir a identidade do Banco ou de qualquer outra entidade fidedigna.
Essas mensagens de correio eletrónico ou SMS podem conter um ficheiro anexo que efetua a instalação de software malicioso (malware) no equipamento do Cliente ou reencaminhar para uma página web fraudulenta, que reproduz ou copia o aspeto da página original do Banco, e na qual é solicitado ao Cliente a introdução de dados pessoais e/ou códigos acesso, como por exemplo, o Código de Utilizador, a Password e/ou (todas) as posições do Código de Acesso Multicanal, o Código de Autenticação, o número de telemóvel ou os números dos cartões bancários.
3. O Cliente deve estar atento, ser precavido e ter em conta que tanto a(s) mensagem de correio eletrónico ou SMS, como a página web fraudulenta, podem ser muito complexas e sofisticadas. O Cliente tem de desconfiar e suspeitar, nomeadamente:(….)
e) da indicação de que deve fornecer Código(s) de Autorização que o Banco lhe enviou por SMS ou gerados via Token, para simular operações;
4. O Cliente obriga-se a ler atentamente e dar cumprimento escrupuloso às recomendações e regras de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente acordo, bem como a ir consultar e ler, pelo menos uma vez em cada trimestre do ano civil, os avisos de segurança e os alertas periódicos que o Banco divulga no sítio de Internet ..., incluindo a descrição das fraudes comuns nesse período para a captura fraudulenta do Código de Utilizador, Password/ Código de Acesso Multicanal e demais credenciais personalizadas de acesso dos Clientes.
6. O Cliente é responsável pela segurança e fiabilidade do equipamento informático e de comunicação utilizado para acesso ao Banco através dos meios de comunicação à distância, nomeadamente dos computadores, tablets, telemóveis, números de telemóvel, e ligações à Internet de sua propriedade ou sob sua alçada, nos termos do disposto nos números seguintes e nas recomendações e regras de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra.
7. O Cliente deverá dispor de equipamento informático e de comunicação com as características adequadas para poder aceder ao Banco através dos meios de comunicação à distância, sendo da sua responsabilidade a segurança, manutenção e introdução das modificações eventualmente necessárias para assegurar em permanência o acesso, por essa via, ao Banco, de acordo com as inovações e alterações tecnológicas que vierem a ser introduzidas e o cumprimento rigoroso das regras e recomendações de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra, bem como, dos alertas divulgados pelo Banco, em cada momento, no sítio de Internet ....
Cláusula 3ª: Utilizadores
1. A ativação do acesso do Cliente aos meios de comunicação à distância só será efetuada após receção e validação pelo Banco do Documento “Perfil de Utilizador”, e, sempre que requerido, do Documento “Regras para Autorização de Operações”, todos devidamente preenchidos e assinados pelos representantes com poderes bastantes para vincular o Cliente, o(s) qual(is) fica(m) a fazer parte integrante do presente acordo para todos os efeitos.
2. O(s) Utilizador(es) é(são) a(s) pessoa(s) singulares designada(s) pelo Cliente no Documento “Perfil de Utilizador”, e que nos termos aí estabelecidos poderão aceder ao Banco, através dos meios de comunicação à distância, e em nome e representação do Cliente realizar determinadas operações, designadamente de consulta e/ou movimentação de conta(s) do Cliente, de acordo com o âmbito dos poderes respetivamente atribuídos e definidos pelo Cliente para cada Utilizador.
3. Por regra, o(s) Utilizador(es) é(são) a(s) pessoa(s) singulares designada(s) pelo Cliente na Ficha de Assinaturas de acordo com as regras de movimentação e de autorização de operações aí convencionadas para a respetiva conta de depósito do Cliente, salvo instruções diversas estabelecidas pelo Cliente no Documento “Regras para Autorização de Operações” e aceites pelo Banco.
4. Sem embargo do que precede, no Documento “Perfil de Utilizador” o Cliente designa o(s) Utilizador(es), e estabelece, para cada Utilizador, o respetivo perfil, isto é, o âmbito dos poderes que lhe atribui, indicando nomeadamente o(s) serviços / funções a que o mesmo terá acesso, tipo de assinatura digital e quais a(s) conta(s)s do Cliente a visualizar / movimentar pelo mesmo.
5. No Documento “Regras para Autorização de Operações”, o Cliente poderá ainda estabelecer adicionais regras para autorização de operações pelo(s) Utilizador(es), designadamente o número e tipo de assinaturas digitais necessárias para autorizar as operações, bem como, escalões de montantes para as operações a realizar.
6. É da inteira e exclusiva responsabilidade do Cliente a seleção, nomeação, e a revogação e cancelamento dos seus Utilizadores, os quais poderão ser, ou não, colaboradores do Cliente, bem como a definição do respetivo Perfil de Utilizador, com o estabelecimento dos respetivos poderes de atuação neste âmbito.
7. O Cliente expressamente reconhece e aceita que o acesso e a utilização, pelos Utilizadores, dos meios de comunicação à distância do Banco, bem como a contratação, pelos mesmos, de operações com o Banco nos termos ora estabelecidos, será sempre, em qualquer caso e para todos os efeitos, uma atuação em representação e por conta do Cliente, que é sempre a única contraparte do Banco.
Do mesmo modo, sempre que o Cliente seja instituição financeira, desempenhando funções de intermediação bancária ou financeira, fica bem entendido que o acesso e a utilização, pelos Utilizadores, dos meios de comunicação à distância do Banco, bem como a contratação, pelos mesmos, de operações com o Banco nos termos ora estabelecidos, é sempre, em qualquer caso e para todos os efeitos legais, uma atuação em representação e por conta do Cliente, que é sempre a única contraparte do Banco.
8. O Cliente é inteiramente responsável perante o Banco pelos atos dos seus representantes legais e dos seus Utilizadores praticados no acesso e na utilização dos meios de comunicação à distância, segundo o disposto no número um do artigo 800º do Código Civil.
9. Para a realização de transferências e demais operações que envolvam movimentação de fundos, o Cliente poderá personalizar regras para autorização de operações através de combinações de tipos de assinatura digital (A, B, C ou E) com um máximo de 5 combinações. Todas as operações que impliquem movimentação de fundos só serão executadas se forem cumpridos os requisitos em termos de montantes e de combinações de assinaturas digitais definidos pelo Cliente e previamente aceites pelo Banco.
Cláusula 6ª: Códigos para Autenticação do Cliente
1. O acesso e utilização dos meios de comunicação à distância do Banco, nos termos previstos nas presentes Condições Gerais de Meios de Comunicação à Distância implica a correta utilização de um conjunto de Códigos ou Dados de Autenticação nos termos ora estabelecidos e no ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente acordo.
2. A cada Utilizador serão atribuídos um Código de Utilizador e um código pessoal secreto – Password/Código de Acesso (Multicanal) – indispensáveis para aceder aos canais Internet e Mobile.
Cláusula 7.ª: Convenção sobre prova
1. O(s) Código(s) de Utilizador, os Código Pessoal Secreto (Password / Código de Acesso Multicanal), o(s) Certificado(s) Digital(is), o PIN e/ou os dados biométricos para acesso à App M Empresas do serviço Mobile App são credenciais de segurança personalizadas que permitem ao Banco verificar a identidade do Cliente, autenticar o respetivo acesso e utilização de cada canal à distância, e estabelecer a autoria das ordens aí transmitidas, consubstanciando uma assinatura eletrónica objeto de um direito individual e exclusivo cuja utilização em conformidade ao acordado identifica e autentica o Cliente perante o Banco e lhe atribui a autoria das instruções e dos documentos eletrónicos assim transmitidos.
2. As partes aceitam a equiparação jurídica das sobreditas credenciais de segurança personalizadas do Cliente, a assinaturas manuscritas dos representantes do Cliente.
3. O Banco assumirá legitimamente qualquer acesso, pedido de informação, transmissão de ordens ou instruções, subscrição de contrato ou outorga de quaisquer atos ou negócios jurídicos mediante a utilização das sobreditas credenciais de segurança personalizadas, nos termos ora convencionados, como sendo da autoria do Cliente, não lhe sendo exigível verificar a mesma por qualquer outra via.
4. O referido no número anterior não pode ser interpretado como inibindo o Banco de, se assim o entender, optar por obter a confirmação junto do Cliente das ordens ou instruções recebidas, incluindo uma confirmação por escrito, com assinatura autógrafa(s), nem prejudica a adoção de outra forma de contratualização das operações bancárias a pedido do Banco ou em resultado de disposição legal, podendo limitar a aceitação de determinado tipo de instruções em função de montantes, número de ordens ou outro critério.
5. As ordens e instruções que o Banco recebe, bem como os atos de subscrição de contratos, ou outorga de quaisquer atos ou negócios jurídicos, desde que corretamente validados mediante a utilização das sobreditas credenciais de segurança personalizadas, gozam de plenos efeitos jurídicos, ficando o Banco irrevogavelmente legitimado para cumpri-las ou executá-los e efetuar os débitos e créditos que deles decorram, entendendo-se, em qualquer caso, que o Banco atua em cumprimento das ordens e instruções recebidas e da vontade real do Cliente.
6. Fica expressamente pactuado entre o Cliente e o Banco que, nos termos e para os efeitos do n.º 4 do art. 3º do Decreto-Lei nº 290-D/99, de 2 de agosto, a utilização das sobreditas credenciais de segurança personalizadas do Cliente terá o mesmo valor jurídico e probatório da assinatura manuscrita dos representantes legais do Cliente em papel.
Cláusula 8.ª: Obrigações e responsabilidades do Cliente
1. O Cliente obriga-se a tomar todas as medidas de cuidado e de diligência razoáveis para preservar a segurança e a confidencialidade das credenciais de segurança personalizadas indicadas no número 1 da precedente cláusula 7ª, para efeitos de autenticação perante o Banco, e a não permitir nem facilitar o seu conhecimento nem a sua utilização por terceiros, obrigando-se a manter sempre a respetiva confidencialidade e a uma utilização atenta, cuidadosa, reservada e exclusivamente pessoal dos mesmos.
2. O Cliente é responsável pela guarda, utilização e manutenção corretas das credenciais de segurança personalizadas indicadas no número 1 da precedente cláusula 7ª, para efeitos de autenticação perante o Banco.
3. Designadamente, o Cliente obriga-se a adotar todas as precauções e medidas razoáveis e adequadas para que não se tornem acessíveis ou percetíveis a terceiros não autorizados o(s) Código(s), o Código Pessoal Secreto (Password / Código de Acesso Multicanal), o(s) Certificado(s) Digital(is), o PIN e/ou os dados biométricos para acesso à App M Empresas do serviço Mobile App, os quais não devem nunca ser anotados em suporte facilmente acessível a outrem, nem no dispositivo móvel ou computador, nem em qualquer outro documento ou suporte que esteja junto dos mesmos.
(….)
5. O Cliente obriga-se a conhecer e a assegurar o cumprimento escrupuloso das recomendações e regras de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente acordo, bem como a ir consultar e ler, pelo menos uma vez em cada trimestre do ano civil, os avisos de segurança e os alertas periódicos que o Banco divulga no sítio de Internet ..., incluindo a descrição de concreto(s) procedimento(s) utilizados nesse período para a captura fraudulenta de credenciais de segurança personalizadas de Clientes.
(….)
7. O Cliente é inteiramente responsável perante o Banco pelos atos dos seus representantes legais e dos seus Utilizadores praticados no acesso e na utilização dos meios de comunicação à distância, segundo o disposto no número um do artigo 800º do Código Civil.
8. Neste âmbito, fica bem entendido que compete exclusivamente ao Cliente selecionar criteriosamente os seus Utilizadores, e instruir e dotar cada Utilizador dos conhecimentos e dos meios adequados para o acesso e utilização dos meios de comunicação à distância do Banco em conformidade às disposições das presentes cláusulas, do(s) Documento(s) “Perfil de Utilizador”, e, se for o caso, do Documento “Regras para Autorização de Operações”, bem como, transmitir- lhe(s) as recomendações e regras de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente Contrato. Designadamente, o Cliente obriga-se a:
a) Comunicar a cada Utilizador específicas instruções e informação sobre os riscos de fraude, nomeadamente de “phishing”, alertando-o para a indispensabilidade de ser cuidadoso, atento e precavido e transmitindo-lhe as informações e sinais de alerta expostos no precedente número quatro; e
b) Facultar a cada Utilizador um exemplar do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente acordo, assegurando-se que este o lê atentamente;
e
c) Assegurar que cada Utilizador consulta e lê atentamente, pelo menos uma vez em cada trimestre do ano civil, todos os avisos de segurança e alertas periódicos que o Banco divulga no sítio de Internet ..., incluindo a descrição das fraudes mais comuns em cada momento para a captura fraudulenta de credenciais de acesso personalizadas, para se manter devidamente informado e atualizado sobre as precauções e regras de cuidado a adotar; para tanto, o Cliente deverá instruir cada Utilizador nesse sentido e assegurar o cumprimento periódico dessas instruções; e
(….)
ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA
Regras gerais para o acesso/uso de todos os Meios de Comunicação à Distância do Banco
1. O Cliente obriga-se a ler atentamente e dar cumprimento escrupuloso às presentes recomendações e regras de segurança aqui constantes, bem como a ir consultar e ler, pelo menos uma vez em cada trimestre do ano civil, todos os avisos de segurança e os alertas periódicos que o Banco divulga no sítio de Internet ..., incluindo a descrição das fraudes perpetradas em cada momento para a captura fraudulenta de credenciais de segurança personalizadas.
2. O Cliente deve estar atento e ser precavido contra tentativas de fraude por terceiros não autorizados. Designadamente, o Cliente tem de suspeitar e de desconfiar de qualquer mensagem, por correio eletrónico ou SMS, que peça uma “ação imediata” ou crie uma sensação de urgência, que contenha erros ortográficos/gramaticais, contenha links e/ou anexos de ficheiros executáveis.
(….)
4. O Cliente deve analisar as mensagens de correio eletrónico que recebe antes de abrir, confirmando sempre a origem e o assunto da mesma e, se continuar com dúvidas, confirme previamente junto da entidade emitente. O Cliente não deve aceitar a execução de programas cujo download se ative sem o ter solicitado.
5. Se em algum momento o Cliente receber um Código de Autenticação para confirmação de uma operação que não tenha solicitado, o Cliente deve abster-se de introduzir ou divulgar esse código e deve de imediato reportar o facto sem demora para o(s) número telefónico ...24 / ...24 / ...24 / ...24 (chamada nacional) ou ...24 / ...24 (chamada internacional) que é um serviço de atendimento permanente – 24 horas/ dia, 365 dias/ano, a fim de dar o alerta e solicitar o respetivo bloqueio/impedimento de uso abusivo ou fraudulento perante o Banco 1....
6. O Cliente não deve nunca facultar o(s) Código(s) de Autenticação a terceiros, sob nenhum pretexto, obrigando-se a fazer uma utilização atenta, prudente, e exclusivamente pessoal do mesmo, e assumindo todos os riscos e consequências inerentes à sua divulgação indevida. (….)
Regras Adicionais para o sítio de Internet ...:
1. Sempre que aceder às suas contas bancárias, através do sítio do Banco 1..., verifique se: (i) o endereço se inicia por .../, (ii) a barra de endereços se apresenta a verde e (iii) junto ao endereço se encontra um cadeado, seguido de “Banco 1...”, conforme:
[Imagem]
2. Em caso de dúvida, confirme a origem do certificado digital - efetuando clique sobre o cadeado - e verifique se corresponde, efetivamente, ao Banco 1...:
a) identificação do Código de Utilizador, da Password e dois (2) dígitos aleatórios do documento de identificação fiscal (que serão sempre os mesmos até que o login seja efetuado com sucesso);
b) identificação do Código de Utilizador e três (3) dígitos aleatórios do Código de Acesso (Multicanal), que serão sempre os mesmos até que o login seja efetuado com sucesso.
Tudo o que for solicitado para além do referido constitui uma tentativa de fraude que deverá reportar imediatamente e sem demora para o ...24. Para chamadas a partir do estrangeiro, ligue para ...24. Atendimento personalizado, disponível nos dias úteis das 8 horas às 02 horas e nos dias não úteis das 10 horas às 24 horas, hora de Portugal Continental.
4. No acesso ao sítio de Internet ... o Banco nunca solicita o número de telemóvel nem a instalação de software/programas de segurança.
5. O Banco 1... envia sempre SMS e e-mails sem links.
6. Nunca aceda ao sítio do Banco 1... através de links de mensagens, motores de pesquisa ou, mesmo, através da opção “Favoritos”. Digite sempre o endereço completo ... para evitar o acesso a páginas fraudulentas e muito idênticas à do sítio do Banco 1..., bem como evitar a instalação de software malicioso no equipamento utilizado para acesso ao sítio do Banco 1....
(….)
9. Deve ler atentamente o conteúdo do SMS recebido com Código de Autenticação, pois os dados da operação são identificados no texto da mensagem. Nunca forneça a terceiros os Códigos de Autenticação recebidos por SMS ou obtidos via token.
10. Não utilize uma Password/Código de Acesso (Multicanal) óbvio (...67 ou ...11 ou data de nascimento, etc.) para o acesso ao sítio de Internet .... Periodicamente altere os seus códigos de acesso ao Banco 1... em “«Outros Serviços» Gestão de dados pessoais: Alterar Password/Código de acesso Multicanal”.
11. Defina códigos de acesso únicos para o sítio de Internet ... e não os utilize em outros sítios.
12. Nunca forneça a terceiros quaisquer elementos pessoais de identificação que possam ser utilizados para certificação junto das operadoras móveis, nem os Códigos de Utilizador e de Acesso (Multicanal) ou outros, nomeadamente os Códigos de Autenticação recebidos por SMS ou obtidos via token.
13. Deve impedir o acesso de terceiros aos equipamentos utilizados para confirmar operações bancárias bem como aos seus componentes, como sejam os cartões SIM.
Tudo o que for solicitado para além do referido constitui uma tentativa de fraude que deverá reportar imediatamente e sem demora para o ...24. Para chamadas a partir do estrangeiro, ligue para ...24. Atendimento personalizado, disponível nos dias úteis das 8 horas às 02 horas e nos dias não úteis das 10 horas às 24 horas, hora de Portugal Continental.
4. No acesso ao sítio de Internet ... o Banco nunca solicita o número de telemóvel nem a instalação de software/programas de segurança.
5. O Banco 1... envia sempre SMS e e-mails sem links.
6. Nunca aceda ao sítio do Banco 1... através de links de mensagens, motores de pesquisa ou, mesmo, através da opção “Favoritos”. Digite sempre o endereço completo ... para evitar o acesso a páginas fraudulentas e muito idênticas à do sítio do Banco 1..., bem como evitar a instalação de software malicioso no equipamento utilizado para acesso ao sítio do Banco 1....
(….)
9. Deve ler atentamente o conteúdo do SMS recebido com Código de Autenticação, pois os dados da operação são identificados no texto da mensagem. Nunca forneça a terceiros os Códigos de Autenticação recebidos por SMS ou obtidos via token.
10. Não utilize uma Password/Código de Acesso (Multicanal) óbvio (...67 ou ...11 ou data de nascimento, etc.) para o acesso ao sítio de Internet .... Periodicamente altere os seus códigos de acesso ao Banco 1... em “«Outros Serviços» Gestão de dados pessoais: Alterar Password/Código de acesso Multicanal”.
11. Defina códigos de acesso únicos para o sítio de Internet ... e não os utilize em outros sítios.
12. Nunca forneça a terceiros quaisquer elementos pessoais de identificação que possam ser utilizados para certificação junto das operadoras móveis, nem os Códigos de Utilizador e de Acesso (Multicanal) ou outros, nomeadamente os Códigos de Autenticação recebidos por SMS ou obtidos via token.
13. Deve impedir o acesso de terceiros aos equipamentos utilizados para confirmar operações bancárias bem como aos seus componentes, como sejam os cartões SIM.
9. Desde há vários anos, a Ré alerta constantemente para os riscos das fraudes online através de artigos de Avisos de Segurança, Alertas antes do acesso e após o acesso ao site, onde é explicada a forma de ataque com exemplos das páginas fraudulentas apresentadas aos Utilizadores, no caso de terem um software malicioso instalado.
10. Desde há vários anos, a Ré alerta constantemente que quando o utilizador acede, após o login, à sua área de cliente, são apresentados popup´s que bloqueiam o equipamento e é apresentada uma barra que vai sendo preenchida, aparentando estar a ser feita uma instalação/atualização, como as imagens que de seguida são transcritas:
[Imagem]
[Imagem]
11. Desde há vários anos, a Ré alerta constantemente que é solicitado que seja inserido o Código que for enviado por SMS, como na imagem abaixo:
[Imagem]
12. Nestes artigos enviados desde há vários anos pela Ré aos seus clientes, também é indicado “Leia atentamente o conteúdo do SMS, pois ao identificar o Código de Autorização poderá estar a confirmar uma transação na sua conta ou a instalação da App Banco 1... num telemóvel”.
13. Desde há vários anos, a Ré alerta constantemente, através de recomendações, para que os utilizadores intensifiquem os cuidados de proteção dos seus computadores, mediante a instalação e permanente atualização de um antivírus e anti-malware, a utilização de uma firewall que permita a filtragem do tráfego, e o recurso às atualizações de segurança disponibilizadas pelos fornecedores de software credíveis, entre outros cuidados de proteção.
14. Desde há vários anos, a Ré alerta constantemente os utilizadores para que ignorem as solicitações feitas através de mensagens eletrónicas para clicar em links ou abrir ficheiros que nelas venham como anexo, uma vez que tais mensagens podem ser fraudulentas ainda que aparentem provir de entidades fidedignas como a Autoridade Tributária, os ..., o Estado, Bancos ou operadores de telemóvel.
15. Desde há vários anos, a Ré, em todos os AVISOS DE SEGURANÇA com destaque bem visível na página inicial de internet de acesso à área de empresas do Banco, alerta constantemente os Utilizadores de que o Banco 1...:
“• NÃO pede a instalação/atualização de software
• NÃO envia SMS com link
• NÃO envia Email com link
• NÃO solicita o Código Multicanal completo (os 7 dígitos)
• NÃO pede o número de telemóvel
• NÃO pede, por telefone ou outro meio, o Código de Autorização enviado por SMS
• NÃO simula transações com os Clientes”.
16. O acesso ao link ou ficheiro pode levar à instalação de um software malicioso (malware) num computador não protegido, o que permite a terceiros mal intencionados ter acesso ilícito à informação sensível do utilizador ou que lhe tenha sido confiada, e assistir ilicitamente às diversas operações que venham a ser efetuadas, como o envio e a receção de emails, visitas a sites, digitalização de códigos e passwords, entre outras operações.
17. A Autora não tomou em consideração os deveres que sobre si impendiam, ao abrigo do Contrato de utilização para Operações Bancárias Online que celebrou com a Ré e foi junto com a Contestação sob a Refª ...79, designadamente os referentes às regras de segurança na utilização e no acesso ao portal, além de que ignorou os alertas que repetidamente lhe foram enviados pela Ré.
18. As transferências realizadas no dia 17.02.2021 foram executadas no site ... através da utilização das credenciais de acesso do Sr. BB, colaborador da Autora e utilizador autorizado, nomeadamente do Certificado Digital, Código de Utilizador “II”, duas posições do NIF pessoal, Password e a prévia criação de beneficiários confiáveis confirmadas com Códigos de autorização enviados por SMS para o telemóvel registado com o nº ...65, a saber:
- Criação de beneficiário para Transferência Nacional com o IBAN ...82, confirmado com um Código de Autorização previamente enviado por SMS, na data de 2021-02-17 às 17:59:15 Hrs para o telemóvel acima identificado, com o seguinte conteúdo: “... - Criacao de beneficiario - Tipo: Transferencia Nacional IBAN: ...82 – Codigo Autorizacao:*****62”. Nesta sequência, as transferências nacionais debitadas na conta nr. ...63 foram processadas com validação da Password no dia 2021-02-17 pelas 18:01:27 Hrs e 18:02:36 Hrs, nos valores de 4.987,00 Euros e 4.992,00 Euros respetivamente, a favor de “GG”:
[Imagem]
[Imagem]
- Criação de beneficiário para Transferência Nacional com o IBAN ...23, confirmado com um Código de Autorização previamente enviado por SMS, na data de 2021-02-17 às 18:03:52 Hrs para o telemóvel acima identificado, com o seguinte conteúdo: “... - Criacao de beneficiario - Tipo: Transferencia Nacional IBAN: ...23 – Codigo Autorizacao:*****14”. Nesta sequência, as transferências nacionais debitadas na conta nr. ...63 foram processadas com validação da Password no dia 2021-02-17 pelas 18:06:44 Hrs e 18:07:58 Hrs, nos valores de 7.499,00 Euros e 4.999,00 Euros respetivamente, a favor de “HH”:
[Imagem]
[Imagem]
19. O acesso ao site empresas foi efetuado por um utilizador que tinha acesso, não só à Autora, mas também a uma outra empresa do Grupo EMP02... denominada de “EMP03..., Lda.”, sendo o código de acesso o mesmo para uma e outra.
21. Era a Autora e/ou BB, colaborador da Autora e utilizador autorizado, quem detinha o exclusivo domínio do seu equipamento informático e do seu telemóvel, de modo a dotar o mesmo das medidas necessárias a precaver-se de ataques informáticos de terceiros.
23. As operações só foram realizadas porque o utilizador autorizado pela Autora, ou outra pessoa com acesso ao computador onde se mostrava instalado o certificado digital que permitia acesso à área de empresas do sítio de internet da Ré, utilizou o referido certificado digital, apôs o código de utilizador da Autora e a password (código Secreto prévia e exclusivamente fornecido à Autora) e introduziu, de modo aleatório, duas posições do número fiscal do utilizador, para ser efetuada a respetiva verificação de identidade.
24. Após a verificação de identidade o utilizador autorizado pela Autora, ou terceiro com acesso ao seu computador onde estava instalado o certificado digital, solicitou a realização das operações de transferência acima melhor identificadas.
25. Posteriormente, o utilizador autorizado pela Autora, ou terceiro com acesso ao telemóvel do número fornecido pela Autora à Ré, após receber mensagens SMS com o seguinte teor “... – Criacao de beneficiario - Tipo: Transferencia Nacional IBAN: ...82 - Codigo Autorizacao:*****62”; e “... – Criacao de beneficiario - Tipo: Transferencia Nacional IBAN: ...23 – Codigo Autorizacao:*****14”, isto é, após receber mensagens escritas que identificavam expressamente que estava a fornecer um código de autorização para uma operação de pagamento, digitou esse código na área de empresa do sítio de internet da Ré no espaço previsto para a realização da operação, ou forneceu esse código a um terceiro com acesso ao computador da Autora que o digitou na área de empresa do sítio de internet da Ré no espaço previsto para a realização da operação.
26. Foi a aposição de tal código secreto no sistema informático da Ré, seja pelo utilizador autorizado pela Autora, seja por terceiro com acesso ao computador da Autora depois de o código ter sido divulgado pela Autora a terceiros, que permitiu a realização das transferências objeto desta ação.
30. - Foi através do equipamento informático da Autora, com o certificado digital aí instalado, que foi efetuado o acesso à área de empresas e requerida a realização das transferências em apreço; - Foram digitados pelo utilizador autorizado pela Autora, ou por terceiro a quem este forneceu tal informação, os códigos secretos e específicos enviados para o telemóvel fornecido pela Autora para efeitos de autorização daquela específica operação.
31. O sistema informático da Ré não foi alvo/objeto de qualquer avaria técnica nem de qualquer outra deficiência do serviço, sendo que os dados informáticos existentes revelam que não houve qualquer avaria, deficiência e/ou quebra de serviço, i.e., nenhuma fraude foi perpetrada por terceiro nos seus equipamentos informáticos.
32. Quando a Ré foi alertada para o sucedido, os movimentos/transferências bancário(a)s já se mostravam realizado(a)s e as quantias aí referidas já tinham sido debitadas da conta da Autora, sendo que ainda foram tentadas, pela Ré, diligências de recuperação junto das instituições bancárias para as quais foram realizadas as transferências, mas tais diligências não obtiveram êxito.
Do Requerimento da Ré, sob a Refª ...59
3. Em 27.09.2004, para execução de operações de Transferências / Envio de Ficheiros de Pagamento / Subscrição de Serviços / Compras Online até € 100.000,00, eram exigidas duas assinaturas.
4. À data dos factos em causa nos presentes autos, designadamente em ../../2021, a pedido da Autora, para as operações acima referidas e até ao montante de € 100.000,00 passou a ser exigida apenas uma assinatura, sedo que continuaram a ser exigidas duas assinaturas para operações de valor até € 250.000,00, nos termos descritos no documento nº 1, datado de 02.09.2019 e junto aos presentes sob a citada Refª ...59.
*
Do Requerimento da Ré, sob a Refª ...66 (relativo ao Documento junto pela Autora em audiência final, sob a Refª ...24)1. e 2. O email enviado pela Ré em 23 de fevereiro de 2021, referente a informações sobre o Serviço ..., está relacionado com compras online com cartões.
3. Tal serviço permite fazer compras online através de uma autenticação adicional do utilizador, ou seja, numa aplicação de venda de produtos ou serviços online, para além de o utilizador ter de identificar os dados do cartão (nome, número do cartão, data de validade e CVV), é necessário que confirme essa compra com um Código de Autorização enviado por SMS. Esta autenticação é designada ....
5. O teor do email em causa não representa qualquer “alteração aos níveis de segurança adotados pelo Banco”.
6. A Ré não procedeu a qualquer alteração nos seus sistemas de segurança na sequência das operações (transferências) de que trata o presente processo.
7. O site empresas que foi utilizado para as operações em causa é seguro, como era à data das transferências em apreço, sendo que era/é obrigatória a instalação prévia do certificado digital, sendo que sem esse certificado não é possível o registo de operações bancárias.
Do Requerimento da Ré, sob a Refª ...54
- À data dos factos em discussão no presente processo, o PC (“Personal Computer”/Computador Pessoal) da ora testemunha ... encontrava-se “contaminado” com software malicioso.
*
*
Factos considerados não provados na sentença recorrida: *
A) Da PETIÇÃO INICIAL sob a Refª ...51
5.º
Foram fornecidos à Autora por via postal o cartão-matriz e o código de acesso.
6.º
Foi explicado à Autora que, para aceder à sua conta bancária através do serviço de homebanking, bastava introduzir o código de acesso, pelo que o cartão matriz só era necessário para a realização de operações bancárias.
8.º A Autora, na pessoa dos seus legais representantes, guardou o cartão-matriz em local seguro e privado.
9.º A Autora nunca divulgou tais informações a terceiros, nem as referenciou em local acessível a terceiros (como, por exemplo, bloco de notas ou agenda).
10.º A Autora nunca acedeu à sua conta via homebanking por computador, tablet ou outro dispositivo de cariz público ou de um terceiro.
29.º e 30.º A Ré não efetuou qualquer providência, nomeadamente não impediu que todas as referidas transferências tivessem sido feitas com isenção do código de autorização.
44.º Como consequência direta, adequada e necessária da inércia da ora Ré, a Autora sofreu um prejuízo patrimonial que se computa no montante total de € 22.789,00 (vinte e dois mil e setecentos e oitenta e nove euros).
47.º A aqui Autora não desrespeitou qualquer uma das normas de segurança impostas pela Ré.
*
*
Do recurso de impugnação da matéria de facto:*
A Autora considera que os pontos 8º, 9º, 10º, 29º-30º, 44º e 47º dos não provados, deverão ser considerados provados.
O teor desses pontos é o seguinte:
8.º - A Autora, na pessoa dos seus legais representantes, guardou o cartão-matriz em local seguro e privado.
9.º - A Autora nunca divulgou tais informações a terceiros, nem as referenciou em local acessível a terceiros (como, por exemplo, bloco de notas ou agenda).
10.º - A Autora nunca acedeu à sua conta via homebanking por computador, tablet ou outro dispositivo de cariz público ou de um terceiro.
29.º e 30.º - A Ré não efetuou qualquer providência, nomeadamente não impediu que todas as referidas transferências tivessem sido feitas com isenção do código de autorização.
44.º - Como consequência direta, adequada e necessária da inércia da ora Ré, a Autora sofreu um prejuízo patrimonial que se computa no montante total de € 22.789,00 (vinte e dois mil e setecentos e oitenta e nove euros).
47.º - A aqui Autora não desrespeitou qualquer uma das normas de segurança impostas pela Ré.
Vejamos:
Resulta do disposto no art. 662.º, n.º 1, do Código de Processo Civil que a Relação deve alterar a decisão proferida sobre a matéria de facto, se os factos tidos como assentes, a prova produzida ou um documento superveniente impuserem decisão diversa.
Conforme explica Abrantes Geraldes (in Recursos no Novo Código de Processo Civil, Almedina, 3ª Edição, pág. 245), a Relação deve assumir-se como verdadeiro tribunal de instância e, por isso, desde que, dentro dos seus poderes de livre apreciação dos meios de prova, encontre motivo para tal, deve introduzir as modificações na matéria provada e não provada. Acrescentando que, em face da redação do art. 662º do C. P. Civil, fica claro que a Relação tem autonomia decisória, competindo-lhe a sua própria convicção, mediante reapreciação dos meios de prova indicados pelas partes ou daqueles que se mostrem acessíveis, apenas cedendo nos fatores da imediação e oralidade.
Deste modo, a alteração da decisão de facto impõe-se, desde logo, quando se detete ter ocorrido erro de julgamento ou de apreciação da prova produzida.
Por outro lado, o tribunal da Relação deve alterar a decisão de facto efetuada pela primeira instância caso verifique que da mesma constam juízos conclusivos ou matéria de direito (v. Abrantes Geraldes, ob cit, pág. 350 e seguintes e ainda o Acórdão desta Relação de 14/3/24, in www.dgsi.pt ).
Com efeito, conforme é entendimento pacífico da jurisprudência dos tribunais superiores, designadamente do Supremo Tribunal de Justiça, as conclusões devem decorrer dos factos provados que tenham sido alegados, sobre os quais tenha recaído prova que suporte o sentido dessas alegações.
No Ac. do STJ de 11/09/2024 (in www.dgsi.pt) afirma-se que “Só acontecimentos ou factos concretos podem integrar a seleção da matéria de facto relevante para a decisão, sendo, embora, de equiparar aos factos os conceitos jurídicos geralmente conhecidos e utilizados na linguagem comum, verificado que esteja um requisito: não integrar o conceito o próprio objeto do processo ou, mais rigorosa e latamente, não constituir a sua verificação, sentido, conteúdo ou limites objeto de disputa das partes”.
No Ac. do STJ de 27/09/23 (in www.dgsi.pt ) pode ler-se que “a linha divisória entre matéria de facto e matéria de direito não é fixa, dependendo em larga medida dos termos em que a lide se apresenta” “donde, “o que num caso pode ser facto ou juízo de facto, noutro pode ser juízo de direito”. Acrescenta este aresto que “na situação em que o juízo de facto conclusivo traduza juízo de valor sobre a ocorrência da vida real, apenas deve ser eliminado, por raciocínio analógico relativamente a questão de direito, quando traduza ou implique uma resposta antecipada à questão de direito em controvérsia no caso concreto.“.
No caso, vemos que a matéria dos pontos 44º e 47º, acima transcritos, que a Recorrente quer incluir nos factos provados, contêm matéria conclusiva que comporta uma componente de resposta às questões jurídicas a decidir nestes autos, pelo que não podem fazer parte da matéria de facto provada.
O mesmo acontece com o ponto 17º dos factos que o Sr. Juiz considerou provados[1] e que, claramente encerra em si um juízo conclusivo que contém a decisão da causa.
Na verdade, tal juízo conclusivo deveria resultar de factos provados onde estivesse descrita a conduta dos representantes ou funcionários da A. respeitante à situação que se encontra a ser discutida nos autos.
Por outro lado, analisados os documentos constantes dos autos e ouvida as gravações dos depoimentos produzidos em audiência, nada resulta factualmente no sentido da conclusão acabada de referir.
Com efeito, o representante da A. e as testemunhas por si apresentadas, referiram que foram tomados todos os cuidados para evitar ataques informáticos e as testemunhas indicadas pelo Réu nada referiram de concreto em sentido contrário.
Acresce que, embora do relatório da Polícia Judiciária junto aos autos (extraído do proc. nº 448/21 e NUPC 279/21.43JABRG, iniciado na sequência de queixa da A. por causa dos factos discutidos nestes autos), conste que foram encontrados no computador pessoal da testemunha ... “vestígios de software malicioso”, a verdade é que se desconhece de que software se trata, designadamente se foi através do mesmo que foi possível efetuar as transferências em causa, não se sabendo também de que modo esse programa malicioso foi instalado no computador da pessoa acima referida, não sendo, pois, esta constatação suficiente para concluir que a A. adotou algum comportamento negligente.
Do mesmo relatório decorre que efetuado o visionamento do suporte digital que continha o conteúdo do telemóvel usado por BB (os acessos ao homebanking foram efetuadas com os dados deste utilizador) não foi detetado qualquer registo de comunicação de interesse para os autos.
Acresce que das declarações das testemunhas DD (contabilista ao serviço da A. e de outras empresas do grupo, desde 2008), ... (contabilista que trabalhou ao serviço da A. e de outras empresas do grupo, durante 56 anos e que agora se encontra reformado), resultou que no dia em que ocorreram as transferências e nos dias anteriores o Sr. ..., que era o responsável pelas transferências bancárias da A., não conseguia aceder à sua área de cliente do Banco 1... e, por isso contactaram o gestor de conta junto daquele Banco – EE – que os aconselhou a que o Sr. BB desinstalasse e instalasse novamente o certificado digital, o que é feito através do site do Banco, o que eles fizeram. EE (funcionário do Banco 1..., desde 2002 e gestor da conta da A.) disse que no dia em que ocorreram as transferências, não se recorda a que horas, o Sr. ..., que era o responsável pelas transferências bancárias da A., o contactou porque não conseguia entrar na sua área de cliente do Banco, pelo que o aconselhou a desinstalar e reinstalar o certificado digital, porque pode haver bloqueios no mesmo ou bloqueios resultantes das firewalls dos clientes ou resultantes de atualizações nos sistemas de segurança destes. Explicou esta testemunha que a instalação do certificado digital é efetuada através do site do Banco com as credenciais do cliente.
Ora, nada nos diz que não foi na altura da reinstalação do certificado digital que ocorreu a intrusão no computador da A., nomeadamente e por exemplo, através de uma página web falsa a imitar a página do Banco, que, como é do conhecimento geral, imitam com perfeição os sites oficiais, levando os utilizadores a divulgar dados confidenciais sem que se apercebam.
Acresce que, a testemunha BB referiu que não recebeu no seu telemóvel qualquer código para autorização das transferências.
De qualquer forma, o que é certo é que o Réu não provou, como lhe competia, que o acesso por terceiros ao computador da A. resultou de uma conduta imprudente ou negligente dos seus representantes ou colaboradores e que essa imprudência ou negligência tenha possibilitado as operações bancárias em causa nos autos.
Acresce que a testemunha JJ (empregada bancária ao serviço do Réu, desde 1997) referiu que as transferências foram consideradas suspeitas pelo Banco e foram efetuadas para contas consideradas por este fraudulentas. Então pergunta-se, porque não impediram essas transferências criando alertas no sistema que as impedissem? Porque permitiram que fossem feitas 4 transferências de valor avultado da conta do cliente e só depois o avisaram?
Deste modo, improcede o pedido de inclusão dos pontos 44º e 47º nos provados, mas procede-se à eliminação do ponto 17º do rol dos factos provados.
No que respeita aos pontos 8º, 9º e 10º dos factos considerados não provados, entendemos que não houve prova segura dos mesmos, já que apenas a testemunha ..., contabilista, agora reformado que trabalhou para a A. cerca de 56 anos e que era o responsável pela realização das transferências. De qualquer forma, é a Ré que cumpre provar que houve fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento (v. art. 113º, nº 3, do Regime Jurídico dos Sistemas de Pagamento e da Moeda Eletrónica (RJSPME) (DL 91/2028, de 12 de novembro, que transpôs para o ordenamento jurídico nacional a Diretiva (EU) 2015/2366 do Parlamento e do Conselho, de 25 de novembro de 2015, alterado pela Lei 82/2023, de 29 de dezembro e pela Lei 1/2025, de 6 de janeiro) e não à A. provar o contrário.
Quanto ao ponto 29º-30º, a primeira parte é conclusiva, pelo que não poderia fazer parte da matéria de facto provada. Quanto à segunda, o que resulta da matéria de facto provada é que, através da intrusão, mal ou bem, o sistema permitiu que fosse adicionado um “utilizador confiável”, pelo que as transferências para esse(s) utilizador(es) não necessitaram de códigos de utilização, pelo que, não se pode considerar demonstrada a segunda parte deste ponto .
Improcede, assim, a alteração da matéria de facto requerida pela A., no entanto, procede-se à eliminação do ponto 17º dos factos provados.
*
O Direito:Da responsabilidade pelas transferências bancárias feitas a partir da conta da A.:
Tendo em conta a matéria de facto provada, concluiu-se que entre A. e R. foi celebrado um “contrato de abertura de conta”, no âmbito da prestação pelo segundo à primeira de serviços bancários.
No decorrer dessa relação contratual, o Réu disponibilizou à A. um serviço de banco online, via Internet, que permite aos clientes obter informações sobre a sua conta, efetuar pagamentos, transferências e outras operações bancárias a que a A. aderiu, celebrando, assim, as partes um contrato acessório de homebanking (banco virtual).
Conforme se escreve no Acórdão do Supremo Tribunal de Justiça, de 23/01/24, proferido no processo 379/21.0T8FAR.E1.S1 (in www.dgsi.pt ) “O contrato de “homebanking” celebrado entre a autora e banco réu é o acordo mediante qual o cliente adere a um serviço prestado pelo banco, que consiste na possibilidade de manter relações via internet, de forma a aceder a informações sobre produtos e serviços do banco; obter informações e realizar operações bancárias sobre contas de que a autora fosse titular e, realizar pagamentos, cobranças e operações de compra, venda, subscrição ou resgate sobre produtos ou serviços disponibilizados pelo banco.”.
Como é sabido, para efeitos de utilização do “homebanking” os bancos fornecem aos clientes senhas de acesso e usam criptogafia (torna ilegíveis os dados para pessoas não autorizadas), autenticação em dois fatores, tokens (código temporário usado para verificar a identidade de um utilizador) e outros métodos para proteger as transações.
As operações efetuadas através do serviço de “homebanking”, quando consistem na movimentação de contas a prazo e transferências de fundos, como as que estão em causa nos presentes autos, regem-se pelo Regime Jurídico dos Sistemas de Pagamento e da Moeda Eletrónica (RJSPME) (DL 91/2028, de 12 de novembro, que transpôs para o ordenamento jurídico nacional a Diretiva (EU) 2015/2366 do Parlamento e do Conselho, de 25 de novembro de 2015, alterado pela Lei 82/2023, de 29 de dezembro e pela Lei 1/2025, de 6 de janeiro).
Com efeito, o mencionado diploma legal, no seu art .4º, enumera os serviços que se devem caracterizar como “serviços de pagamento”, designadamente e com interesse para o caso em apreço, incluindo nos mesmos a “Execução de serviços de pagamento, incluindo a transferência de fundos depositada numa conta de pagamento aberta junto do prestador de serviços de pagamento do utilizador (…)” (v. alínea c) do preceito em causa).
De acordo com a alínea aa) do art. 2º do RJSPME, entende-se por “Instrumento de pagamento” “um dispositivo personalizado ou conjunto de procedimentos acordados entre o utilizador e o prestador de serviços de pagamento e a que o utilizador de serviços de pagamento recorra para emitir uma ordem de pagamento”.
Para os termos do diploma em causa o Banco Réu é um “Prestador de serviços de pagamento, por ser uma instituição de crédito com sede em Portugal (v. alínea pp) do art. 2º e art. 11º, nº 1 – a)).
Conforme decorre do nº 1, do art. 103º do RJSPME, uma operação de pagamento ou um conjunto de operações de pagamento só se consideram autorizados se o ordenante consentir na sua execução.
Do art. 110º do mesmo diploma, resulta que o utilizador dos serviços de pagamento deve utilizar o instrumento de pagamento de acordo com as regras que regem a sua emissão e utilização e comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, designadamente, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
É no, entanto, ao Banco, como prestador do serviço de pagamento, que, caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, cabe o ónus de provar que a operação de pagamento foi autenticada, devidamente registada e contabilizada e não decorreu de qualquer avaria técnica ou de qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento, cabendo-lhe ainda demonstrar que houve negligência grosseira do ordenante na utilização dos serviços disponibilizados (arts. 113º, nº 4 e 115º, nº 3, do RJSPME).
No Acórdão da Relação do Porto de 18/04/23, proferido no processo 16900/21.1T8PRT.P1 (in www.dgsi.pt ), diz-se que “A culpa grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do (contraria o) grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência.
A negligência grosseira será de afirmar, assim, quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas…comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir.”.
É, pois, o banco que presta o serviço que tem de provar que a(s) transação(ões) que executou foi(ram) devidamente autorizada(s) pelo cliente, assumindo o risco por falhas ou problemas no sistema se não provar que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência e que houve negligência grosseira do ordenante na utilização dos serviços disponibilizados.
Do disposto no art. 113º, nº 3 do RJSPME, vemos que, caso o utilizador dos serviços de pagamento negue ter autorizado uma operação de pagamento executada, o facto de ter sido utilizado o instrumento de pagamento registado pelo prestador de serviços de pagamento, não é suficiente para, por si só, provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º
Na verdade, como resulta do que acima foi dito, para que a responsabilidade do prestador de serviços de pagamento seja afastada é necessário que demonstre que da parte do utilizador dos serviços de pagamento tenha havido uma atuação fraudulenta ou o incumprimento deliberado de uma ou mais das obrigações previstas no art. 110º acima mencionado.
No caso, o Réu não fez tal prova, não se sabendo como ocorreu a fraude informática que determinou o acesso à conta da Autora e respetivas transferências para contas bancárias de terceiros, pelo que, nos termos das disposições já citadas e designadamente, do preceituado no art. 114º do RJSPME, tem de proceder o pedido da Autora no sentido da condenação do Réu no pagamento de uma indemnização para ressarcimento dos danos patrimoniais sofridos pela Autora, devido às movimentações bancárias elaboradas sem o seu consentimento e a sua autorização, num valor total de 22.789,00€ (vinte e dois mil e setecentos e oitenta e nove euros).
A essa quantia acrescem juros moratórios.
Os juros moratórios são calculados nos termos determinados no art. 114º, nº 10 do RJSPME, ou seja, são contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais.
No caso, a comunicação em causa ocorreu no dia ../../2021 (v. doc. 8 junto com a p.i.), pelo que os juros são devidos desde essa data, até integral pagamento.
Revoga-se, desta forma, a decisão recorrida.
*
*
DECISÃO:*
Pelo exposto, acorda-se nesta secção cível do Tribunal da Relação de Guimarães em julgar procedente a apelação, revogando-se a decisão recorrida, condenando-se o Réu no pagamento à Autora da quantia de 22.789,00€ (vinte e dois mil e setecentos e oitenta e nove euros), acrescida de juros moratórios, calculados dia a dia, desde ../../2021, até integral pagamento, à taxa fixada para os juros civis, acrescida de dez pontos percentuais.
Custas a cargo do Apelado (art. 527º, nºs 1 e 2, do C. P. Civil).
*
*
Guimarães, 17 de dezembro de 2025
*
Guimarães, 17 de dezembro de 2025
Alexandra Rolim Mendes
Ana Cristina Duarte
Raquel Baptista Tavares
[1] 17. A Autora não tomou em consideração os deveres que sobre si impendiam, ao abrigo do Contrato de utilização para Operações Bancárias Online que celebrou com a Ré e foi junto com a Contestação sob a Refª ...79, designadamente os referentes às regras de segurança na utilização e no acesso ao portal, além de que ignorou os alertas que repetidamente lhe foram enviados pela Ré.