| Decisão Texto Integral: | Acordam do Tribunal da Relação de Lisboa
I – Relatório
José instaurou acção declarativa sob a forma de processo ordinário contra B C P Sa e V Portugal – Comunicações Pessoais Sa pedindo que os Réus sejam condenados solidariamente a pagar-lhe: a) a quantia a de 29.643 € a título de danos patrimoniais, b) a quantia de 2.500 € a título de danos morais, c) juros de mora à taxa legal contados desde a data em que o Autor se viu privado das quantias depositadas, ou seja, 26/2/2008, até efectivo e integral pagamento e d) juros remuneratórios à taxa aplicável ao respectivo depósito a prazo, contados desde 26/2/2008 até efectiva e integral reposição nas respectivas contas a prazo.
Alegou, em síntese:
- é titular das contas bancárias identificadas na p.i., no Réu BCP;
- aderiu ao acesso a essas contas bancárias pela Internet através do serviço home banking disponibilizado pelo BCP, pelo qual era possível fazer transferências e pagamentos;
- para realizar operações de pagamentos e transferências através desse sistema de home banking era necessário, inserir uma password e um código de confirmação, sendo este último enviado pelo BCP por sms;
- para realizar essas operações o Autor utilizava um telemóvel contratado por uma sociedade de que é sócio-gerente;
- dois indivíduos criaram um vírus informático que se instalou no computador do Autor quando este abriu um e-mail e conseguiram assim visualizar o código de acesso à área reservada do seu home banking e saber o número do telemóvel para o qual era enviado o código de confirmação das operações;
- depois, esses indivíduos foram a uma loja e obtiveram da V uma 2ª via do cartão de acesso do referido telemóvel;
- conseguiram assim esses indivíduos obter todos os elementos necessários para movimentar as contas bancárias do Autor, o que vieram a fazer nos dias 26 e 27 de Fevereiro de 2008, tendo-lhe subtraído dinheiro;
- o BCP podia e devia ter impedido as transferências efectuadas das contas do Autor por esses indivíduos e só o não fez porque tinha um sistema de segurança desadequado;
- a V deveria ter negado a entrega do cartão àqueles indivíduos;
- foi subtraída e não devolvida ao Autor a quantia total de 29.643 €;
- o Autor sentiu angústia, revolta e temor pelo seu futuro e dos seus familiares.
Na sua contestação, o Réu BCP pugnou pela improcedência da acção, alegando, em resumo:
- no âmbito do serviço de home banking, o sistema de validação de transacções não pressupunha nem pressupõe a instalação por parte do Banco de qualquer tipo de software nos computadores dos clientes com informação confidencial e relacionada com os seus códigos de utilizador e passwords;
- não existiu culpa do Banco, pois este não dispunha nem poderia dispor de quaisquer meios informáticos ou humanos que lhe permitissem evitar o acesso abusivo de terceiros às contas do Autor através do serviço de home banking;
- o sistema informático do R. no canal Internet garante um nível de segurança suficiente e adequado para o serviço de home banking na realização de transacções financeiras;
- não houve intromissão abusiva de terceiros no sistema informático do Banco;
- era ao A. que competia instalar no seu computador o software necessário para evitar o acesso por terceiros ao mesmo, pelo que o risco de perda dos depósitos bancários deve correr por sua conta.
Na sua contestação a Ré V pugnou pela sua absolvição da instância invocando a sua ilegitimidade e subsidiariamente concluiu pela improcedência da acção, alegando, em resumo:
- não há qualquer relação contratual entre o Autor e a V relativamente ao número de telefone móvel por ele usado para a recepção dos códigos de confirmação para a movimentação das suas contas bancárias, pelo que fica liminarmente excluída a existência de responsabilidade contratual por parte da V;
- inexiste um dever objectivo de cuidado da V perante os cidadãos em geral;
- a V muniu-se das cautelas adequadas para efectuar a substituição do cartão de telemóvel através de um procedimento aplicável a todas as lojas;
- a V não pode ser responsabilizada nos termos da Lei de Protecção de Dados Pessoais pois o seu cliente é uma sociedade;
- não existe nexo de causalidade entre a conduta da V e o dano alegado pelo Autor;
- não há disposição legal nem negócio jurídico que determine a solidariedade entre o BCP e a V.
Na réplica, o Autor pugnou pela improcedência da excepção de ilegitimidade da Ré V.
No despacho saneador foi julgada improcedente a excepção de ilegitimidade da Ré V e, conhecendo-se do mérito da causa quanto a esta Ré, foi esta absolvida do pedido.
Mas por acórdão desta Relação foi revogado o saneador-sentença na parte em que absolveu a Ré V e ordenou-se o prosseguimento dos autos com esta.
Realizada audiência de discussão e julgamento e dadas as respostas à base instrutória, foi proferida sentença que julgou a acção parcialmente procedente nestes termos: «condena-se as RR BCP, Sa e V Portugal – Comunicações Pessoais Sa, solidariamente, a pagar ao autor a quantia de € 29.603,00 (correspondente à soma das quantias de € 7.000,00, € 12.300,00, € 5.000,00 e € 5.303,00) a título de indemnização por danos emergentes e a quantia de € 970,00 a título de indemnização por danos morais, acrescida de juros de mora calculados à taxa de 4% desde a citação das RR (foram citadas no mesmo dia - 22.06.201) até à presente data e à taxa legal que vigorar desde a presente data até integral pagamento, absolvendo-as do mais peticionado.».
Inconformados, apelaram os Réus.
- Apelação da Ré V Portugal – Comunicações Pessoais Sa –
Tendo alegado, a Ré formulou as seguintes conclusões:
1. O presente recurso vem interposto da Sentença proferida, que julgou a acção parcialmente procedente e condenou as Rés B.C.P. e V, solidariamente, a pagar ao autor a quantia de € 29.603,00 (correspondente à soma das quantias de € 7.000,00, € 12.300,00, € 5.00000 e € 5.300,00) a título de indemnização por danos emergentes e a quantia de € 970,00 a título de indemnização por danos morais, acrescidos de juros de mora.
2. Os montantes que o Tribunal condenou as Rés pagar ao Autor a título de indemnização por danos emergentes correspondem ao montante do prejuízo patrimonial sofrido por este pela apropriação daquelas quantias por dois indivíduos estranhos à presente acção e condenados por sentença transitada em julgado (Processo n.º 364/08.BPULSB, que correu termos na 7ª Vara Criminal de Lisboa).
3. Salvo o devido respeito, a Sentença recorrida assenta em vários erros, flagrantes e graves, nomeadamente no que respeita ao enquadramento e à qualificação da pretensa responsabilidade da Recorrente.
4. Não obstante a ora Recorrente reconhecer a verdadeira injustiça cometida sobre o Recorrido, não pode de todo aceitar pagar o preço de um crime que não cometeu e no qual, como aliás o próprio Tribunal a quo reconhece, nem sequer esteve remotamente envolvida.
5. Quanto ao titulo a que vem a Recorrente responsabilizada, o Tribunal a quo começa por concluir pelo afastamento da responsabilidade contratual, referindo que o Autor “não celebrou com a referida Ré qualquer contrato” já que “partes do referido contrato são, respectivamente, a Ré V e a A(…)”.
6. O Tribunal afasta também qualquer eventual responsabilidade delitual por violação de um direito subjectivo (direito de propriedade), referindo que “a prática de tal violação, traduzida na apropriação de quantias que o autor tinha depositado naquela entidade bancária [Ré BCP], não vem imputada à Ré, mas a dois cidadãos que, inclusive, foram condenados pela prática do crime de burla informática agravada”.
7. O Tribunal considera que a Recorrente deve ser responsabilizada segundo o subtipo da responsabilidade delitual de “violação de norma de protecção”, concluindo que “a entrega da 2ª via de um cartão SIM, traduz, na prática, uma transmissão de dados, concretamente, do código de acesso à rede móvel”, pelo que “face à referida factualidade, impõe-se concluir que a V não observou o dever de segurança que lhe é prescrito pelo artº 30 n.º 1, no sentido em que não garantiu a segurança dos seus serviços”.
8. É, no mínimo, bastante discutível que, como refere o Tribunal, a entrega da 2ª via de um cartão SIM constitua uma operação de “tratamento de dados”, para efeitos da alínea b) do artigo 3.º da Lei nº. 67/98, porque, desde logo, o cartão SIM não cabe, em si mesmo considerado, na definição de “dados pessoais” e poderá conter ou não dados dessa natureza.
9. Mas mesmo que tal se admita (o que se faz por mera cautela de patrocínio e sem conceder), certo é que, salvo o devido respeito, o Tribunal erra ao concluir que a Recorrente “não observou o dever de segurança que lhe é prescrito pelo art. 3º n.º 1, no sentido em que não garantiu a segurança dos seus serviços”, tendo, nesse sentido, violado uma norma de protecção e havendo portanto que “concluir pela verificação da segunda modalidade de ilicitude prevista no n.º 1 do artº 483º do CC”.
10. Com efeito, para que se possa responsabilizar por via deste subtipo da responsabilidade delitual, é necessário que se encontrem reunidos três requisitos: (1) a não adopção de um comportamento, definido em termos precisos pela norma; (2) que o fim dessa imposição seja dirigido à tutela de interesses particulares e não de um interesse geral e (3) que o dano se tenha registado no círculo de interesses privados que a lei visa tutelar.
11. No caso sub judice, não está preenchido o terceiro requisito porquanto o dano suportado pelo Autor - o prejuízo patrimonial sofrido em consequência da burla informática - situa-se fora do círculo de interesses privados que a Lei n.º 41/2004 e em particular o seu artigo 3°, n.º 1, visa tutelar.
12. Nos termos do artigo 3º, n.º 1, da Lei n.º 41/2004, as empresas que oferecem redes e as empresas que oferecem serviços de comunicações electrónicas devem colaborar entre si no sentido da adopção de medidas técnicas e organizacionais eficazes para garantir a segurança dos seus serviços e, se necessário, a segurança da própria rede.
13. Salvo o devido respeito, o Tribunal a quo errou ao concluir que “a V não observou o dever de segurança que lhe é prescrito pelo art.º 3 nº 1, no sentido em que não garantiu a segurança dos seus serviços”, uma vez que os serviços que estão em causa na lei e em particular nesta norma são os serviços de comunicações electrónicas pois só estes e não quaisquer outros, nomeadamente serviços administrativos ou de pessoal da ora Recorrente, se inserem no âmbito de protecção da norma em particular e da Lei nº 41/2004 em geral:
14. Isto mesmo decorre dos vários artigos que elucidam sobre o âmbito de aplicação deste diploma e que a própria Sentença recorrida transcreve, designadamente do artigo 1º, dos Considerandos n.º s 5, 6 e 35 da Directiva n.º 2002/58/CE e, em particular, da própria definição de “comunicação electrónica” [artigo 2º, n.º 1, alínea a)] que corresponde à troca ou envio de qualquer informação entre um número finito de partes “mediante a utilização de um serviço de comunicações electrónicas acessível ao público”.
15. Ou seja, os serviços de comunicações electrónicas são - decorre da própria definição que se acaba de citar - algo susceptível de utilização. Trata-se, como facilmente se conclui, de um serviço prestado pelo operador das comunicações - in casu a V - (imediatamente) ao assinante e (mediatamente) ao utilizador daquele serviço em concreto.
16. De onde só pode resultar que a “segurança dos serviços” em causa na Lei n.º 41/2004 corresponde à segurança desse mesmo serviço que o assinante/utilizador utiliza com o fim de realizar uma comunicação electrónica e que deve ser garantida a fim de evitar que tais comunicações sejam corrompidas ou de outra forma violadas.
17. O n.º 2 do mesmo artigo 3.° refere que as medidas mencionadas no n.° 1 devem ser adequadas à prevenção dos riscos existentes, tendo em conta a proporcionalidade dos custos da sua aplicação e o estado da evolução tecnológica, de onde decorre que, tendo em conta que esta norma se reporta aos riscos característicos das redes de comunicações electrónicas, os quais poderão ser mais ou menos eficientemente evitados consoante “o estado da evolução tecnológica”, o risco de um trabalhador/colaborador não ser suficientemente diligente no manuseamento de um cartão SIM não pode, evidentemente, ser considerado como um desses “riscos existentes” das comunicações electrónicas, também porque nada tem que ver com o estado da evolução tecnológica.
18. Resulta evidente que o ora Recorrido não tem direito a indemnização por via deste subtipo doutrinário da responsabilidade extracontratual, por falta do preenchimento de, pelo menos, um dos seus requisitos especiais.
19. Ainda que o pressuposto do “facto ilícito” se desse por verificado, o que de modo nenhum se concede e por mera cautela de patrocínio se equaciona, sempre naufragaria a tese vertida na douta Sentença ora sob recurso por via da falta de preenchimento dos restantes requisitos da responsabilidade extracontratual.
20. Quanto ao requisito da culpa, refere-se na Sentença que a ora Recorrente não logrou provar que agiu de modo diligente, pelo que, conclui o Tribunal, a mesma actuou negligentemente.
21. Ou seja, o Tribunal inverte o ónus da prova em desfavor da Ré ora Recorrente, em manifesto incumprimento do disposto no n.º 1 do artigo 487.º do CC, sendo que, nos termos do mesmo, incumbiria ao ora Recorrido alegar e provar a culpa da Recorrente, o que não sucedeu.
22. No que se refere ao dano, pode ler-se na Sentença recorrida que o “dano verifica-se na modalidade de danos emergentes - já que o autor foi desapossado pelos arguidos das quantias de (...) ou seja, é o próprio Tribunal a referir que o dano do autor corresponde ao desapossamento de determinadas quantias pelos arguidos.
23. Na verdade, o Autor tentou, e o Tribunal a quo acolheu, uma pretensa autonomização das responsabilidades criminal (a cargo dos referidos arguidos) e civil (supostamente das Rés V e B.C.P.) pelo mesmo dano - o prejuízo patrimonial sofrido pelo Recorrido.
24. Ou seja, não tendo o Recorrido deduzido pedido de indemnização cível naquela acção crime, o que deveria ter feito, não causa incómodo ao Tribunal a quo imputar aqueles (além de outros) exactos danos à Recorrente, para que esta pague por um crime em que não esteve de todo envolvida e para o cometimento do qual a ora Recorrente foi, nas palavras do Tribunal a quo, “apenas um instrumento inconsciente utilizado pelos cidadãos que praticaram o ilícito”.
25. Por fim, quanto ao nexo de causalidade, o Tribunal abandona, sem hesitações, a fórmula legal consagrada para o nexo de causalidade (teoria da causalidade adequada - artigo 563.° do CC), para aplicar a teoria da conditio sine qua non em estado puro, concluindo que “impõe-se considerar verificado o nexo de causalidade entre a não adopção dos procedimentos de segurança por parte da Ré e os danos emergentes e morais sofridos pelo autor, na medida em que se os arguidos não tivessem conseguido a 2ª via do cartão SIM utilizado pelo autor nas suas operações bancárias, os mesmos nunca teriam conseguido realizar as transferências electrónicas de fundos”.
26. E nem se diga, como parece tentar fazer crer o Tribunal, que a conclusão pela verificação do nexo de causalidade da aqui Recorrente decorre da aplicação da formulação negativa da causalidade adequada, nos termos da qual o facto que actuou como condição do dano só deixará de ser considerado como causa adequada se, dada a sua natureza geral, se mostrar de todo em todo indiferente para a verificação do dano, tendo-o provocado só por virtude de circunstâncias excepcionais, anormais, extraordinárias ou anómalas, que intercederam no caso concreto,
27. Uma vez que mesmo a vertente negativa da causalidade adequada pressupõe a aplicação de um juízo de probabilidade, o que só é possível se o facto que actuou como condição do dano for analisado abstractamente; ou seja, não se pergunta, como se fez na Sentença, quais as condições que foram objectivamente necessárias para a produção daquele dano em concreto, mas sim quais as condições que dada a sua natureza geral se mostram indiferentes para a produção do dano e que só o provocaram em virtude de circunstâncias excepcionais, anormais, extraordinárias ou anómalas.
28. Na verdade, não há dúvidas que mesmo que se eleja a modalidade negativa da causalidade, sempre será forçoso concluir pela inexistência de qualquer nexo de causalidade, porquanto, segundo a natureza das coisas, a entrega de um cartão SIM é completamente indiferente para a produção do dano do locupletamento por terceiros da quantias monetárias à custa do utilizador daquele cartão, sendo que só por ocorrência das circunstâncias absolutamente excepcionais, extraordinárias e imprevisíveis da instalação de um vírus no computador daquele utilizador, com objectivo de aceder a páginas de netbanking protegidas, do sucesso nessa operação, circunstâncias (criminosas) que intercederam no caso concreto, e da demora do Recorrido em contactar a V, mesmo estando sem serviço, a referida entrega do SIM acabou por provocar o dano.
29. Pelo que é manifesto não ser de todo em todo possível preencher o requisito do nexo de causalidade no caso sub judice,
30. Não sendo, ademais e por consequência, possível responsabilizar a Recorrente pelos danos causados ao Recorrido (em consequência da conduta dos arguidos noutro processo).
Nestes termos e nos demais de Direito que V. Exas. doutamente suprirão, deverá ser concedido integral provimento ao presente recurso e, em consequência, ser revogada a Sentença recorrida, na parte em que condenou a ora Recorrente, pois só assim se cumprirá o que é de Direito e Justiça.
- Apelação do Réu BCP –
Tendo alegado, o Réu formulou as seguintes conclusões:
I - A recorrente logrou ilidir a presunção de culpa no que respeita aos débitos correspondentes às transferências bancárias em causa, uma vez que demonstrou nos autos a total ausência de culpa da sua parte.
II - Resulta dos factos dados como provados na acção que a recorrente não praticou qualquer acto de forma negligente, em violação das suas obrigações de cuidado e de custódia dos valores que lhe foram confiados em depósito, nem omitiu qualquer conduta que fosse exigível para cumprimento de tais obrigações.
II - Na realidade, ficaram provados factos que permitem conhecer de forma pormenorizada a forma como as transferências foram realizadas, bem como a autoria dos actos praticados para este fim, sendo inequívoca a conclusão de que a recorrente em nada contribuiu, fosse por actos seus, fosse por omissão da sua parte, para que terceiros tenham logrado efectuar, de forma aparentemente lícita e regular, as ordens de transferência.
IV - Ficaram provados, concretamente, factos que demonstram que existia um sistema seguro de identificação do cliente e de validação das operações e que foram tomadas todas as cautelas exigíveis para que fossem evitados todos os riscos previsíveis.
V - Por outro lado, quanto à forma concreta como terceiros (alheios à relação bancária estabelecida entre o ora recorrido e a recorrente) obtiveram as credenciais de acesso à conta do recorrido e às mensagens SMS enviadas para o telemóvel utilizado por este, ficaram também provados factos que demonstram que não existiu qualquer acto ou omissão da recorrente que tivesse contribuído para a conduta fraudulenta e para os seus resultados.
VI - Com efeito, a concretização da acção do agente da fraude apenas foi possível pela circunstância, totalmente imprevisível e inevitável para a recorrente, de àquele ter sido disponibilizado o cartão SIM do número de telemóvel utilizado pelo recorrido para a validação das suas operações através do «home banking» da recorrente, pois, de outra forma, mesmo tendo obtido as credenciais de identificação do cliente e tendo conseguido entrar na aplicação informática da recorrente como se do recorrido se tratasse, o autor dos actos em apreço nunca teria logrado concretizar a transferência de valores.
VII - Quanto às consequências da actuação fraudulenta, também não existiu culpa da recorrente, sendo certo que esta, logo que tomou conhecimento da situação revelado pelo recorrido, agiu de forma diligente e célere, conseguindo impedir que qualquer outra importância fosse debitada e, mais ainda, logrou a restituição de alguns valores que já haviam sido transferidos, só não o conseguindo assegurar quando as instituições para as quais as transferências haviam sido efectuadas não puderam reverter os levantamentos já realizados.
VIII - Ficou demonstrado que os factos e os resultados da situação ocorrida também foram imputáveis ao recorrido, pois este não logrou ilidir a presunção de culpa pelo incumprimento ou cumprimento defeituoso da sua obrigação de guarda dos dados que lhe permitiam aceder ao sistema e realizar operações on-line e de preservação da confidencialidade dos mesmos.
IX - De acordo como disposto no nº 1 do art. 799º do Código Civil e até por força dos ditames da boa-fé, recaía sobre o recorrido o ónus de alegar e provar que agiu de forma diligente no sentido de proteger o sistema informático do seu computador contra intrusões fraudulentas, através da instalação e actualização constante de «software» adequado, mesmo que, após essa alegação e prova, coubesse ao recorrente o ónus de provar que o «software» instalado pelo recorrido, de acordo com o alegado por este, não era o adequado e que o recorrido sabia ou tinha a obrigação de saber que existia outro «software» mais eficaz
X - Mesmo que não se entenda que o recorrido agiu culposamente, contribuindo também ele para a concretização do prejuízo, a responsabilidade pelos danos causados recai exclusivamente sobre aqueles que, comprovadamente, tiveram intervenção directa nos actos que conduziram ao resultado danoso e agiram com culpa efectiva.
Xl - Mesmo que, sem conceder, se entenda existir culpa presumida da recorrente, ainda assim não se justifica a condenação solidária de ambas as Rés, desde logo porque, nos termos do art. 513º do Código Civil, a solidariedade de devedores ou credores só existe quando resulte da lei ou da vontade das partes.
XII - No caso em apreço não existiu, manifestamente, qualquer acordo das partes quanto à solidariedade de aqui se trata e não resulta da lei a solidariedade entre quem, relativamente ao mesmo dano, tenha responsabilidade contratual e quem tenha responsabilidade extracontratual.
XIII - Não existindo responsabilidade solidária, haveria que indagar qual a relevância dos factos praticados por cada uma das Rés no que respeita à produção dos danos e o grau de culpa de cada uma das Rés, a fim de se estabelecer a quota-parte de responsabilidade de cada uma delas.
XIV - A culpa da recorrente, a existir, é meramente presumida e, verdadeiramente, não ficaram provados quaisquer factos concretos praticados pela recorrente, nem omissões concretas da recorrente que possam ser considerados como fazendo parte da causa do dano.
XV - A responsabilidade da co-Ré por acto ilícito praticado com culpa efectiva prevalece sobre a responsabilidade contratual que a recorrente pudesse ter por culpa presumida, afastando totalmente esta.
XVI - Assim, a recorrente deveria ter sido absolvida do pedido.
XVII - Ainda que assim se não entenda, a responsabilidade atribuída à recorrente deveria ser muito inferior à responsabilidade atribuída à co-Ré.
Termos em que deve ser dado provimento ao presente recurso, revogando-se a sentença impugnada na parte respeitante à recorrente e absolvendo-se esta do pedido.
O Autor contra-alegou nas duas apelações, defendendo a confirmação da sentença.
Colhidos os vistos, cumpre decidir.
II – Questões a decidir
O objecto do recurso é delimitado pelas conclusões da alegação da recorrente sem prejuízo das questões de conhecimento oficioso (art. 684º nº 3 e 685º-A nº 1 e 660º nº 2 do CPC), pelo que as questões a decidir são estas:
- na apelação do Réu BCP
. se estão verificados os pressupostos para a responsabilidade contratual deste Réu pelos prejuízos sofridos pelo apelado em consequência do acesso fraudulento por terceiros às suas contas bancárias através do serviço de home banking
. se a responsabilidade extracontratual por culpa efectiva da Ré V afasta a responsabilidade contratual do Banco por culpa presumida
. se não existe fundamento para a condenação solidárias dos Réus
*
- na apelação da Ré V
. se não estão verificados os pressupostos para a responsabilidade extracontratual desta Ré por violação de norma de protecção nos termos do art. 483º nº 1 – 2ª parte do Código Civil
III – Fundamentação
A) Na sentença recorrida vem dado como provado:
1. O Autor é titular da conta n.º (…), do B C P – M, adiante apenas BCP. (al. A) da MA).
2. É também titular da conta P (…), daquele banco, desde 1986. (al. B) da MA).
3. A BCP, S A disponibiliza o acesso, via internet (home-banking), às contas bancárias dos seus clientes. (al. C) da MA).
4. O Autor aderiu a essa forma de acesso às suas contas bancárias. (al. D) da MA).
5. As transferências e pagamentos ordenados via home-banking só seriam completados após a inserção, no campo para isso destinado, de um código de confirmação, enviado pela Ré BCP, S A para o telemóvel utilizado pelo Autor, com o número (…), via SMS. (al. E) da MA).
6. O referido número de telemóvel foi atribuído pela Ré V à A – Sociedade Instaladora Distribuidora de Gás, Ldª. (al. F) da MA).
7. A A está matriculada sob o n.º (…) e tem sede em Castelo Branco. (al. G) da MA).
8. O autor é um dos sócios gerentes da A. (al. H) da MA).
9. No processo n.º 364/08.8PULSB da 7ª Vara Criminal de Lisboa foi proferido o acórdão certificado a fls. 30-58, cujo integral teor, dada a sua extensão se dá aqui integralmente por reproduzido, acórdão esse transitado em julgado. (al. I) da MA).
10. Pelo referido acórdão, Alan e Leonardo foram condenados, o primeiro, pela prática de um crime de burla informática agravada como autor, p.e.p. pelo art.º 221º/1 e n.º 5, a), CP (ofendido José) e o segundo, pela prática de um crime de burla informática agravada como cúmplice, p.e.p. pelo art.º 221º/1 e n.º 5 , b), CP (ofendido José). (al. J) da MA).
11. No referido acórdão ficaram provados os seguintes factos (com relevo para os presentes autos):
“1) O arguido Alan é um cidadão brasileiro, técnico de informática, tendo desenvolvido a actividade de Web designer de páginas de internet.
2) Devido aos elevados conhecimentos na área informática, em particular na programação, o arguido Alan apercebeu-se das vulnerabilidades dos sistemas informáticos bancários e das operadoras de telecomunicações.
3) Em data não concretamente apurada, mas anterior a 20 de Setembro de 2007, o arguido Alan congeminou um plano com vista a locupletar-se indevidamente, à custa de terceiros.
4) tal plano consistia em infiltrar-se nos servidores dos computadores de titulares de contas bancárias em sistemas de home-banking, ou on-line, através do envio de um vírus informático dissimulado em e-mail, capaz de copiar as páginas bancárias daqueles.
5) Este procedimento permitia ao arguido Alan recolher os dados confidenciais necessários à movimentação dessas contas bancárias, ou seja, os códigos ou palavras de acesso (passwords).
6) A recolha destes dados confidenciais era feita através da recepção no computador do arguido Alan, das cópias das páginas de internet que eram visualizadas pelos clientes do sistema bancários on-line.
7) Depois, na posse destes códigos, o arguido Alan iria utilizá-los para transferir electronicamente quantias monetárias para contas bancárias tituladas por si ou por terceiros seus conhecidos, quantias essas que seriam posteriormente levantadas em numerário, parte para ser utilizada por si e outra enviada para o Brasil, através da Western Union, para terceiros.
8) O plano delineado pelo arguido Alan passava também pelo cancelamento e pedido de novos cartões de acesso à rede dos telefones móveis dos clientes do sistema de home-banking, a fim de ser o arguido a receber os códigos de autorização das entidades bancárias, enviadas para os clientes através de SMS.
9) Assim, para este efeito, o arguido Alan deslocava-se a balcões das Operadoras de Telecomunicações Móveis T e V onde cancelava os cartões de acesso dos telemóveis dos clientes de home-banking a cujas páginas acedia, solicitava 2ªs vias para si próprio e recebia então os códigos de confirmação enviados pelas instituições bancárias, necessários para a realização das transferências interbancárias.
10) Nesta sequência o arguido utilizou o computador e pen drives apreendidos, para criar um vírus informático com recurso ao desenvolvimento de software denominado “ Borland Delphi versão 7”.
11) De seguida, o arguido enviava, via e-mail, este vírus informático para os ofendidos adiante identificados, sob o disfarce de um ficheiro “ Docu.txt”, aparecendo nos écrans dos computadores usados pelos mesmos, quando estes abriam e-mails supostamente enviados pelos seus bancos, o texto da Lei das Sociedades Comerciais, Decreto-Lei 76-A/2006, de 29 de Março.
12) Quando os ofendidos abriam o supra indicado e-mail o vírus instalava-se nos respectivos computadores.
13) Este vírus tinha a finalidade de visualizar e copia as páginas da Internet em que os visados navegassem, entre elas entidades bancárias e operadoras de telecomunicações.
14) O arguido Alan, após realizar a captura dessas páginas, compilava a informação recolhida num ficheiro da directoria C:\\WINDOWS\System32, comprimia (zipava) este ficheiro e enviava-o de volta ao seu computador.
15) Entretanto, com o intuito de actuar sem ser localizado pelas autoridades, o arguido Alan, resolveu angariar contas bancárias para onde transferir o dinheiro obtido através do esquema acima enunciado, tituladas por terceiros.
16) Assim, em data não concretamente determinada, mas anterior a Fevereiro de 2008, o arguido Alan contactou com o arguido Leonardo, a quem expôs o seu plano e objectivos, supra referidos, que aderiu aos mesmos, segundo orientações daquele arguido, designadamente na abertura de contas bancárias adiante indicadas.
17) Seguindo o procedimento supra descrito nos pontos 4 a 14, na execução do propósito que formulara, o arguido Alan ludibriou, pelo menos, os seguintes ofendidos.
(…)
29) José (…), é titular da conta n.º (…) e da Conta (…), ambas do BCP M, agência da Venda Nova, Amadora.
30) Desde que foi disponibilizado via internet (home-banking) o acesso às suas contas bancárias, José tornou-se cliente desta modalidade.
31) O serviço prestado pelo BCP aos seus clientes através da internet, passa pela entrega de password de acesso às respectivas contas, no entanto para os clientes concretizarem as operações de transferência bancária terão de digitar um código de confirmação, o qual pode ser enviado via SMS para o número de telefone móvel do cliente ou então para um aparelho, denominado TOKEN, fornecido pelo Banco e que gere aleatoriamente códigos.
32) José recebeu o seu código de acesso através do seu telemóvel da rede V com o n.º (…).
33) Em data não concretamente apurada, mas anterior ao dia 26 de Fevereiro de 2008, e a partir de local não determinado, o arguido Alan (…) acedeu, através do vírus informático que criara nos moldes acima descritos nos pontos 4 a 14, ao computador de José, conseguindo obter as passwords deste, de acesso às respectivas contas do NetBanco.
(…)
35) No dia 28 de Fevereiro de 2008, o arguido Alan, cerca das 11H00 deslocou-se à loja n.º (…) Campo Pequeno (…) onde cancelou o cartão de acesso da rede V com o n.º (…) de José, com a informação deste ter sido furtado, tendo solicitado para si uma segunda via do cartão de acesso.
36) No mesmo local o arguido adquiriu um telemóvel de marca V com o IMEI (…), fornecendo o nome de Leonardo e que depois a este foi apreendido.
(…)
38) No mesmo dia 28 de Fevereiro de 2008, o arguido Alan colocou a 2ª via do cartão de acesso (…) no telemóvel V com o IMEI (…) e cerca das 12H21, usando o username babu01 e recorrendo à Internet Sem Fios (“ wireless”), obteve um IP dinâmico.
39) De seguida, cerca das 12h21, o arguido Alan, de acordo com o procedimento acima descrito, acedeu à conta à ordem n.º (…), titulada por José e ordenou informaticamente a transferência desta conta, da quantia de € 5.303,00 (cinco mil, trezentos e três euros) para a Western Union com do código (…) em seu nome – Alan, recebendo o código de confirmação no supra citado cartão de acesso – (…).
40) No mesmo dia 26.02.2008. cerca das 12h26, o arguido Alan seguindo o mesmo procedimento, conseguiu informaticamente transferir a quantia de € 26.000,00 (vinte e seis mil euros) que estavam na conta depósitos a prazo com o n.º (…), titulada por José, para a conta à ordem deste com o mesmo número, recebendo o código de confirmação no telemóvel com o IMEI (…) que estava na sua posse.
41) No mesmo dia, cerca das 12h31, o arguido Alan, segundo o mesmo procedimento, conseguiu transferir a quantia de € 5.000,00 (cinco mil euros) da referida conta à ordem n.º (…) titulada por José para a conta com o NIB (…) titulada pelo arguido Leonardo, recebendo o código de confirmação no telemóvel com o IMEI (…), que estava na sua posse.
42) No mesmo dia, cerca das 12h42, o arguido Alan, seguindo o mesmo procedimento, conseguiu transferir automaticamente a quantia de € 7.000,00 (sete mil euros), da conta à ordem n.º (…) de José, para a conta (…) titulada pelo arguido Leonardo, recebendo o código de confirmação no telemóvel com o IMEI (…) que estava na sua posse.
43) No mesmo dia, cerca das 16h46, o arguido Alan, actuando da forma que se descreveu, conseguiu transferir a quantia de € 5.203,00 (cinco mil duzentos e três euros) da conta à ordem n.º(…) titulada por José para Western Union, com o código (…) em seu próprio nome, recebendo o código de confirmação no telemóvel com o IMEI (…) que estava na sua posse.
44) Posteriormente, esta operação foi anulada pelo BCP.
45) No dia 27 de Fevereiro de 2008, cerca das 13h00, o arguido Alan deslocou-se ao balcão da Loja (…) em Lisboa, onde mediante a utilização do código (…), procedeu ao levantamento, via Western Union, da quantia de € 5.100,00 (cinco mil e cem euros), a qual integrou entre os seus bens.
46) No dia 27 de Fevereiro de 2008, cerca das 08h41, em local não apurado, o arguido Alan, na continuação da actividade a que se dedicara, conseguiu transferir informaticamente a quantia de € 20.000,00 (vinte mil euros) da conta a prazo n.º 7592310 de José para a conta à ordem com o mesmo número e pertencente a este.
47) No mesmo dia 27 de Fevereiro de 2008, o arguido Alan conseguiu informaticamente transferir a quantia de € 5.289,00 (cinco mil duzentos e oitenta e nove euros) da conta à ordem n.º (…) de José para a Western Union sob o código (…), recebendo o código de confirmação no telemóvel IMEI (…) que estava na sua posse.
48) Posteriormente, esta operação foi anulada pelo BCP.
49) Ainda no dia 27 de Fevereiro de 2008, cerca das 00h20, o arguido Alan conseguiu informaticamente transferir a quantia de € 12.300,00 (doze mil e trezentos euros), da conta n.º (…) de José para a conta (…) em nome do arguido Leonardo (…), recebendo o código de confirmação no telemóvel com o IMEI 8…), que estava na sua posse.
50) No dia 29 de Fevereiro de 2008, cerca das 08h11, o arguido Leonardo chegou ao aeroporto da Portela – Lisboa, proveniente de São Paulo, Brasil.
51) De imediato, este arguido deslocou-se a vários balcões do BES, na cidade de Lisboa, onde procedeu ao levantamento das quantias de € 6.000,00, € 8.000,00 e € 4.000,00 em numerário, da conta n.º (….) por si titulada no BES, quantias que tinham sido transferidas para a sua conta pelo arguido Alan.
52) Os arguidos fizeram suas estas quantias.
53) No dia 29 de Fevereiro de 2008, cerca das 10h45, os arguidos Alan e Leonardo deslocaram-se à Loja (..), em Lisboa, com o objectivo de efectuarem uma operação via Western Union do levantamento da supra referida quantia de € 5.200,00 (cinco mil e duzentos euros), sob o (…).
54) No entanto, esta operação foi recusada por a (…) ter sido avisada pelo BCP de que subjacente à mesma tinha existido uma actuação fraudulenta.
55) Com a actuação acima descrita José sofreu um prejuízo patrimonial global de € 26.603,00 (vinte e seis mil e seiscentos e três euros) equivalente ao montante com que os arguidos se locupletaram.
(…)
91) Ao actuarem da forma concertada acima descrita, os arguidos fizeram suas as quantia de (…) € 18.000,00 (…) retiradas fraudulentamente das contas dos ofendidos (…) José (…) que integraram entre os seus bens, bem sabendo que as conseguiram de forma ilegítima.
92) Sendo certo que tal apenas foi possível devido ao uso abusivo das passwords e códigos pessoais de acesso dos ofendidos para aceder e movimentar as contas bancárias tituladas pelos mesmos.
93) Os arguidos tinham pleno conhecimento de que as passwords e 2ªs vias dos cartões das operadoras de telecomunicações tinham chegado às suas mãos com o desconhecimento e contra a vontade dos seus legítimos titulares, bem como das entidades bancárias e de telecomunicações.
94) Procuraram, no entanto os arguidos fazer crer no sistema bancário online que as contas bancárias estavam ser movimentadas pelos seus legítimos titulares, introduzindo dados erróneos no sistema informático que regula a movimentação de contas através da internet, induzindo em erro as entidades bancárias que permitiram que as transferências das quantias supra referidas ocorressem, acreditando que se tratava de ordens legítimas dos titulares das contas.
95) Actuaram os arguidos movidos por um propósito de obtenção de benefícios económicos indevidos, bem sabendo que não lhes eram destinados nem tinham direito a utilizá-los, através das operações interbancárias efectuadas pela internet através do net-banco, sem o consentimento e contra a vontade dos seus legítimos titulares.
96) Bem sabiam os arguidos que as passwords e os códigos de confirmação enviados via SMS aos ofendidos são dados informáticos confidenciais e pessoais; no entanto utilizaram-nos para obter os proveitos económicos indevidos acima indicados.
(…)”
12. Da conta n.º (…) foram retirados € 7.000,00, € 5.203,00 e € 12.300,00 e da conta n.º (…) foram retirados € 5.303,00, € 5.000,00 e € 5.289,00 e que as quantias de € 7.000,00, € 5.203,00 e € 12.300,00 correspondiam a poupanças do autor e esposa. (resp. 2º da BI).
13. O autor, ao ter conhecimento dos levantamentos referidos na resposta ao artigo anterior, sentiu uma forte angústia e impotência, sentiu-se revoltado e enganado, deixou de dormir e perdeu peso e apetite. ( resp. 3º, 4º, 5º, 6º e 7º da BI).
14. No âmbito do serviço de home banking, a Ré BCP disponibilizou ao autor um «código de utilizador», que corresponde a um nome de utilizador, e uma password, designada como «código multicanal», constituída por sete algarismos, que podia ser alterada livremente pelo A., com o esclarecimento de que aquele código só deveria ser do seu conhecimento. (resp. 10º e 1º da BI).
15. O acesso às contas do A., através do sítio da Ré na Internet, apenas era possível mediante a introdução do «código de utilizador» completo e da digitação de apenas três dos sete algarismos da password, nas posições pedidas aleatoriamente, de cada vez que o A. acedesse às suas contas, com o esclarecimento de que em cada acesso/log in era necessário introduzir três dos sete algarismos do código multicanal e que as posições aleatórias não eram sequenciais, fosse por ordem crescente ou decrescente. (resp. 11º da BI).
16. Quando, no sítio da Ré BCP na Internet, fosse introduzido o «código de utilizador» completo do A., seria pedida a digitação, por exemplo, dos algarismos correspondentes ao 6º, ao 2º e ao 5º algarismos da password e o acesso apenas seria permitido se esses algarismos fossem introduzidos nas suas posições correctas. (resp. 12º da BI).
17. O sistema de validação de transacções não pressupunha, nem pressupõe a instalação por parte do Banco de qualquer tipo de software nos computadores dos seus Clientes, com informação confidencial e relacionada com os seus códigos de utilizador e passwords. (resp. 13º da BI).
18. As operações bancárias referidas nos n.ºs 39, 40, 41, 42, 43, 46, 47 e 49, do acórdão referido na alínea H) da MA) foram realizadas através do sítio da Ré BCP, S A, mediante validação das credenciais disponibilizadas ao A. por este R. e mediante a introdução válida de códigos de confirmação das operações, enviados por SMS para o número de telemóvel escolhido pelo A., com o esclarecimento de que o autor daquelas operações só as pôde realizar tendo obtido o conhecimento, por forma não concretamente apurada, dos sete dígitos do código multicanal. (resp. 14º da BI).
19. Não existindo qualquer meio, humano ou informático que permitisse detectar que não era o autor que estava a realizar as operações descritas nos pontos 39, 40, 41, 42, 43, 46, 47 e 49, do acórdão referido na alínea H) da MA). (resp. 15º da BI).
20. No dia 29 de Fevereiro de 2008, pelas 11h37 o autor comunicou ao BCP que não era ele quem estava a realizar as operações descritas nos pontos 39, 40, 41, 42, 43, 46, 47 e 49, do acórdão referido na alínea H) da MA). (resp. 16º da BI).
21. Tendo de imediato bloqueado os acessos e as contas do autor. (resp. 17º da BI).
22. E contactado a Western Union e o Banco Espírito Santo, para tentar a restituição dos valores em causa para as contas do A.. (resp. 18º da BI).
23. Só tendo sido possível obter a devolução das quantias de € 5.203,00 e € 5.289,00, por ainda não terem sido pagos pela Western Union ao respectivo beneficiário. (resp. 19º da BI e 9º da BI).
24. Não foi possível recuperar as quantias de € 7.000,00, € 12.300,00 e € 5.000,00 (transferidas para uma conta no BES) e € 5.303,00 (transferida para Western Union), por o BES e a Western Union terem informado que as referidas quantias já haviam sido levantadas pelo titular da conta e pelo beneficiário da transferência, respectivamente. (resp. 20º e 8º da BI).
B) Apelação do Réu BCP Sa
Sustenta o apelante que ilidiu a presunção de culpa consagrada no art. 799º do Código Civil relativamente à realização das transferências bancárias efectuadas por terceiros, que a concretização da acção pelos terceiros apenas foi possível porque lhes foi disponibilizado pela Ré V o cartão SIM do número de telemóvel utilizado pelo apelado para validação das suas operações através do serviço home banking, que o apelado não ilidiu a presunção de culpa de incumprimento ou cumprimento defeituoso da obrigação de guarda e preservação da confidencialidade dos dados que lhe permitiam aceder àquele sistema, que não existe responsabilidade solidária entre os Réus e que a responsabilidade da co-Ré por acto ilícito praticado por culpa efectiva prevalece sobre a responsabilidade contratual que pudesse ter o Banco por culpa presumida, afastando totalmente esta.
Na sentença recorrida decidiu-se condenar solidariamente os Réus - o Réu BCP com fundamento em responsabilidade contratual, por não ter ilidido a presunção de culpa consagrada no art. 799º do Código Civil; a Ré V com fundamento em responsabilidade extracontratual nos termos do art. 483º nº 1, 2ª parte do Código Civil em conjugação com o regime jurídico relativo à protecção de dados pessoais no âmbito das comunicações electrónicas tendo em conta a Lei 67/98 de 26/10 que transpôs para a ordem interna a Directiva nº 2002/58/CE e a Lei 41/2004 de 18/8.
Entre o apelante e o apelado foi estabelecida uma relação contratual por via da abertura de duas contas bancárias (factos 1 e 2) e da realização de depósitos bancários nessas contas.
O art. 1185º do Código Civil determina que «Depósito é o contrato pelo qual uma das partes entrega à outra uma coisa, móvel ou imóvel, para que a guarde, e a restitua quando foi exigida».
Por sua vez, o art. 1205º desse Código estabelece: «Diz-se depósito irregular o depósito que tem por objecto coisas fungíveis».
O contrato de depósito bancário é um contrato de depósito irregular, através do qual o depositante (proprietário) de recursos monetários transfere para uma instituição bancária a propriedade dos valores depositados para que a segunda, podendo usá-los e dispor deles, lhos restitua quando para tal lhe for solicitado ou exigido (neste sentido, Ac do STJ de 10/11/2011 - Proc. 1182/09.1TVLSB.S1.L1 – in www.dgsi.pt)
Importa, por isso, ter em consideração que «Consideram-se aplicáveis ao depósito irregular, na medida do possível, as normas relativas ao contrato de mútuo» (cfr art. 1206º do CC).
Decorre do art. 1144º do CC que «As coisas mutuadas tornam-se propriedade do mutuário pelo facto da entrega».
Esta norma é aplicável ao contrato de depósito irregular (neste sentido cfr o citado Ac do STJ de 10/11/2011).
O art. 796º nº 1 do CC dispõe: «Nos contratos que importem a transferência do domínio sobre certa coisa ou que constituam ou transfiram um direito real sobre ela, o perecimento ou deterioração da coisa por causa não imputável ao alienante corre por conta do adquirente».
Em suma, o Banco é o responsável pela guarda dos valores que lhe foram confiadas pelo cliente e está obrigado à sua restituição com os seus frutos (art. 1142º e 1187º al c) do CC), correndo por conta dele, Banco, o risco relativo à subtracção do dinheiro que lhe foi entregue pelos depositantes.
No caso concreto foram subtraídas diversas quantias de contas bancárias do apelado através de transferências efectuadas fraudulentamente por terceiros com utilização do serviço de home banking disponibilizado pelo apelante ao apelado.
O home banking é um serviço prestado pelo Banco apelado através do qual dá ao cliente a possibilidade de efectuar operações bancárias via Internet, nomeadamente, pagamentos e transferências. Portanto, através desse serviço, o Banco transfere para o cliente a execução de actos que anteriormente estavam cometidos aos seus funcionários, dispensando-se a intervenção destes.
Tem vantagens para o cliente, ao permitir-lhe realizar operações bancárias sem necessidade de se deslocar aos balcões do Banco e sem estar sujeito ao horário de atendimento ao público.
Mas também traz vantagens inegáveis ao Banco pois o cliente efectua operações bancárias sem intervenção do seu pessoal, com a inerente diminuição de custos de funcionamento.
Tenha-se no entanto, em consideração que o Banco deve assegurar, em todas as actividades que exerce, elevados níveis de competência técnica, garantindo que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência (art. 73º do RGICSF aprovado pelo DL 298/92 de 31/12, na redacção do texto consolidado publicado em anexo ao DL 126/2008 de 21/7).
Assim, sendo o home banking um serviço prestado ao cliente pelo Banco, é este que tem de diligenciar para que seja seguro e nele possa o cliente confiar.
Do seu lado, o cliente deverá utilizar esse serviço seguindo as regras de segurança que lhe tenham sido comunicadas pelo Banco e aquelas que, segundo um padrão de normalidade, o comum utilizador da Internet sabe que devem ser observadas, nomeadamente, a não divulgação dos códigos e passwords de acesso.
No caso concreto, não decorre dos factos provados nem de qualquer documento junto aos autos que o Banco tenha comunicado ao apelado regras, conselhos ou advertências para a utilização do home banking, tendo-se provado, apenas, os procedimentos que o apelado teria de seguir para efectuar as operações de transferências e de pagamentos e que o código que lhe foi atribuído só deveria ser do seu conhecimento (cfr factos 5, 14, 15 e 16).
Por outro lado, não está provado que o apelado tenha divulgado a terceiros os elementos necessários para o acesso às suas contas bancárias através do home banking (cfr facto 18). O que resulta dos factos dados como provados no acórdão proferido no processo-crime em que foram arguidos Alan e Leonardo, é que o primeiro acedeu ao computador do apelado através de um vírus informático que criou, introduzido num e-mail, conseguindo assim obter as passwords necessárias para aceder às contas bancárias deste e bem assim, que aquele arguido obteve numa loja de produtos da V uma 2ª via do cartão do número de telemóvel que era utilizado pelo apelado para acesso à rede V e conseguiu receber, via telemóvel, o código de confirmação que era fornecido pelo serviço home banking para completar as operações de transferências e de pagamentos.
Portanto, não é possível extrair dos factos provados que o apelado fez uma utilização imprudente do serviço que lhe foi disponibilizado pelo Banco.
Assim, apesar de estar provado não existir qualquer meio humano ou informático que permitisse detectar que não era o apelado que estava a realizar as operações bancárias através do home banking (facto 19), a conclusão que se extrai dos factos provados é que esse serviço é vulnerável, pois o sistema utilizado pelo Banco não conseguiu impedir o acesso fraudulento de terceiros. Repare-se, aliás, que o serviço disponibilizado pelo Banco depende da utilização de telemóvel, o que significa estar dependente de um serviço cuja segurança não pode garantir pois é prestado por entidades cuja actividade não controla.
Visto que sobre o Banco impende a obrigação de prestar um serviço eficaz e seguro, a ele cabia ilidir a presunção de culpa quanto a deficiências de funcionamento do sistema que utiliza para prestar esse serviço, correndo por conta dele o risco de acessos fraudulentos, pois não está provado que o seu cliente, ora apelado, fez uma utilização imprudente (neste sentido, cfr Ac da RL de 26/10/2010 – Proc. 1943/09.1TJLSB.L1-7, Ac da RL de 24/5/2012 – Proc. 19110/11.8YIPRT.L1-2 e Ac da RG de 23/10/2012 – Proc. 305/09.5TBCBT.G19).
Em consequência, não tem o apelante razão ao pugnar pela sua absolvição do pedido.
Resta apreciar se a responsabilidade extracontratual com culpa efectiva da co-Ré V afasta a responsabilidade do apelante e se existe ou não solidariedade de devedores. Mas como a apreciação destas questões depende da decisão a proferir sobre a apelação da Ré V, passaremos a conhecer de imediato a apelação desta.
C) Apelação da Ré V Portugal – Comunicações Pessoais Sa
Sustenta a apelante que não se verificam os pressupostos para a sua condenação a título de responsabilidade extracontratual por violação de norma de protecção nos termos do art. 483º nº 1-2ª parte do Código Civil, desde logo por discordar com a sentença recorrida na parte em que considera que “a entrega da 2ª via de um cartão SIM, traduz, na prática, uma transmissão de dados, concretamente, do código de acesso à rede móvel” e que a V não observou o dever de segurança prescrito pelo art. 3º nº 1 da Lei 41/2004.
Como se ponderou na sentença recorrida, a apelante não foi demandada com base em responsabilidade contratual por ter facultado a terceiros uma 2ª via do cartão de acesso ao número de telemóvel utilizado pelo Autor. O que se compreende, pois o apelado não é parte no contrato pelo qual foi atribuído esse número de telemóvel à sociedade A – o contrato foi celebrado entre a apelante e a sociedade A (facto 6) e o apelado era apenas utilizador.
Portanto, não há fundamento para responsabilidade contratual.
A 1ª instância também afastou a responsabilidade extracontratual fundada na violação ilícita do direito de outrem a que se refere a 1ª parte do art. 483º nº 1 do CC, o que se mostra correcto. Na verdade, a apelante não se apropriou de qualquer quantia e dos factos provados não resulta que soubesse ou tivesse a obrigação de saber que a obtenção da 2ª via do cartão de acesso àquele número de telemóvel visava a subtracção de quantias de contas bancárias do apelado, pois este não era parte no contrato e não está provado que soubesse ou tivesse obrigação de saber que o apelado era utilizador daquele número de telemóvel.
Mas considerou a 1ª instância estarem verificados os pressupostos da responsabilidade extracontratual prevista na 2ª parte do nº 1 do art. 483º do CC por ter concluído:
«a) a Ré V não adoptou, no concreto domínio da substituição do cartão SIM, os procedimentos de segurança adequados a evitar que terceiros obtivessem tal cartão;
b) a referida imposição tanto tem em vista os interesses particulares dos assinantes e utilizadores, como o interesse público na manutenção da confiança no serviço de telefone móvel;
c) ocorreu um dano no âmbito de interesses tutelados pela norma, já que a entrega da 2ª via do cartão SIM colocou nas mãos dos arguidos a possibilidade de tomarem o lugar do utilizador, o aqui autor e, assim, receberem os códigos de confirmação das operações de transferência de fundos das contas do último, nos termos já referidos ao longo desta sentença».
Refere-se também na sentença: «O acesso à rede de telefone faz-se celebrando um contrato com a operadora de telefone móvel, contrato pelo qual é atribuído ao assinante um cartão SIM (sigla da expressão inglesa Subscriver Identity Module), ou seja, um cartão no qual está inserido electronicamente um código de acesso que identifica o “assinante” e que uma vez inserido no telemóvel permite operar na rede de serviço móvel.
Neste conspecto, a entrega da 2ª via de um cartão SIM, traduz, na prática, uma transmissão de dados, concretamente, do código de acesso à rede móvel.
Em segundo lugar, dada a possibilidade de o assinante ser uma pessoa e o utilizador ser outra, o referido código de acesso permite não apenas identificar o assinante, mas também o utilizador.
Face à referida factualidade, impõe-se concluir que a V não observou o dever de segurança que lhe é prescrito pelo art. 3º nº 1, no sentido em que não garantiu a segurança dos seus serviços.
A substituição do cartão SIM, por extravio, danificação ou furto, mantendo-se o contrato celebrado, é um serviço/prestação acessória que incumbe à Ré V.
Neste conspecto e face ao normativo citado, a Ré V obriga-se a garantir que a substituição do cartão SIM é pedida por quem tem legitimidade para o fazer, sob pena de se colocar nas mãos de outrem, não autorizado, a possibilidade de tomar o lugar do assinante ou do utilizador e, nomeadamente e como sucedeu no caso, receber os códigos de confirmação das operações bancárias».
Vejamos.
A Lei 41/2004 de 18/8 – que transpõe para a ordem jurídica nacional a Directiva nº 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas – prevê, no art. 1º:
«(…)
2 – A presente lei aplica-se ao tratamento de dados pessoais no contexto das redes e serviços de comunicações electrónicas acessíveis ao público, especificando e complementando as disposições da Lei 67/98 de 26 de Outubro (Lei da Protecção de Dados Pessoais).
3 – As disposições da presente lei asseguram a protecção dos interesses legítimos dos assinantes que sejam pessoas colectivas na medida em que tal protecção seja compatível com a sua natureza.
(…)».
No art. 2º dispõe:
«1 – Para efeitos da presente lei, entende-se por:
a) «Comunicação electrónica» qualquer informação trocada ou enviada entre um número finito de partes mediante a utilização de um serviço de comunicações electrónicas acessível ao público;
b) «Assinante» a pessoa singular ou colectiva que é parte num contrato com uma empresa que forneça redes e ou serviços de comunicações electrónicas acessíveis ao público para fornecimento desses serviços;
c) «Utilizador» qualquer pessoa singular que utilize um serviço de comunicações electrónicas acessível ao público para fins privados ou comerciais, não sendo necessariamente assinante desse serviço;
d) «Dados de tráfego» quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações electrónicas ou para efeitos da facturação da mesma;
e) «Dados de localização» quaisquer dados tratados numa rede de comunicações electrónicas que indiquem a posição geográfica do equipamento terminal de um assinante ou de qualquer utilizador de um serviço de comunicações electrónicas acessível ao público;
f) (…)
g) «Chamada» qualquer ligação estabelecida através de um serviço telefónico acessível ao público que permite uma comunicação bidireccional em tempo real.
(…)».
Nos art. 3º e 4º prescreve:
Art. 3º:
«1 – As empresas que oferecem redes e as empresas que oferecem serviços de comunicações electrónicas devem colaborar entre si no sentido da adopção de medidas técnicas e organizacionais eficazes para garantir a segurança dos seus serviços e, se necessário, a segurança da própria rede.
2 – As medidas referidas no número anterior devem ser adequadas à prevenção dos riscos existentes, tendo em conta a proporcionalidade dos custos da sua aplicação e o estado de evolução tecnológica.
3 – Em caso de risco especial de violação da segurança da rede, as empresas que oferecem serviços de comunicações electrónicas acessíveis ao público devem gratuitamente informar os assinantes desse serviço da existência daquele risco, bem como das soluções possíveis para o evitar e custos prováveis das mesmas».
Art. 4º: «1 – As empresas que oferecem redes e ou serviços de comunicações electrónicas devem garantir a inviolabilidade das comunicações e respectivos dados de tráfego realizadas através de redes públicas de comunicações de serviços de comunicações electrónicas acessíveis ao público.
2 – É proibida a escuta, a instalação de dispositivos de escuta, o armazenamento ou outros meios de intercepção ou vigilância de comunicações e dos respectivos dados de tráfego por terceiros sem o consentimento prévio e expresso dos utilizadores, com excepção dos casos previstos na lei.
(…)».
Por sua vez, a Lei 67/98 de 26/10 – Lei da Protecção de Dados Pessoais – determina nos art. 2º e 3º:
Art. 2º: «O tratamento de dados pessoais, deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais».
Art. 3º:
«Para efeitos da presente lei, entende-se por:
a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular de dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
(…)».
Não consta nos factos provados que o concreto cartão SIM (2ª via) obtido da V pelos referidos indivíduos contém a identificação da assinante A. Mas ainda que tal estivesse provado daí não resultaria que esse cartão contém também a identificação dos meros utilizadores – portanto, não assinantes - e ao que ora importa, a identificação do apelado.
Quanto ao código de acesso à rede móvel não é um dado pessoal. Mas ainda que assim pudesse ser considerado, também não respeita à pessoa do apelado pois não é ele o assinante.
Portanto, não decorre dos factos provados que a entrega a terceiros da 2ª via do cartão SIM importou a transmissão de dados pessoais do apelado.
Por outro lado, apesar da entrega do cartão a terceiros ter permitido a utilização daquele número de telemóvel ilegitimamente, não se pode considerar que a apelante infringiu os deveres de garantir a segurança dos seus serviços e da sua rede e de inviolabilidade das comunicações electrónicas previstos nos art. 3º e 4º da Lei 41/2004 de 18/8, porque as comunicações do Banco contendo os códigos de confirmação necessários à realização das transferências bancárias não foram interceptadas pelos terceiros mas sim por eles solicitadas e recebidas naquele número de telemóvel, por terem accionado o serviço home banking.
Portanto, a actuação da V ao disponibilizar a terceiros, sem autorização da assinante A, o cartão de acesso ao número do telemóvel atribuído a esta, configura tão só violação do contrato com ela celebrado.
Concluindo, não se mostra que a apelante tenha violado disposição legal destinada a proteger interesses alheios, ficando assim prejudicada a apreciação dos demais pressupostos para ser responsabilizada nos termos do art. 483º nº 1-2ª parte do CC.
Procede, pois, a apelação da apelante V, devendo ser absolvida do pedido.
D) Em consequência da absolvição da apelante V, fica prejudicada a apreciação das demais questões suscitadas pelo apelante Banco Comercial Português Sa, improcedendo totalmente a sua apelação.
E) Decisão
Pelo exposto, decide-se:
a) julgar improcedente a apelação do Réu BCP Sa, confirmando-se nesta parte a sentença recorrida;
b) julgar procedente a apelação da Ré V – Comunicações Pessoais Sa e absolvê-la do pedido, revogando-se a sentença recorrida nesta parte.
Custas da apelação do Réu BCP Sa por este e custas da apelação da Ré V – Comunicações Pessoais Sa pelo Autor.
Lisboa, 18 de Abril de 2013
Anabela Calafate
Ana de Azeredo Coelho
Tomé Ramião
|
