Acórdão do Tribunal da Relação de Lisboa
| 2256/17.0T8LSB.L1-7 |  |
PHARMING
HOMEBANKING
CORREIO ELECTRÓNICO
II. Na reapreciação da prova, a Relação está limitada a determinados aspetos da matéria de facto dos quais o recorrente discorda e reanalisará, pelo menos, os elementos probatórios indicados pelo recorrente para sustentar solução diversa. Fora destas balizas, os tribunais da Relação devem proceder à efetiva reapreciação da prova produzida da mesma forma que o faz o juiz de 1.ª instância: livremente, segundo a sua prudente convicção acerca de cada facto (exceto no que respeita a factos para cuja prova a lei exija formalidade especial, ou que só possam ser provados por documentos ou que estejam plenamente provados por documentos, acordo ou confissão).
III. O phishing é uma atividade fraudulenta que se inicia com o envio de um e-mail que parece proveniente de outra entidade (nomeadamente bancária) e no qual é sugerido, sob pretextos vários, que o destinatário aceda à página Web (site) do suposto remetente através de uma hiperligação (link) contida no e-mail; depois de agir da solicitada forma, o destinatário do e-mail entra numa página falsa, provavelmente de aspeto parecido ao da entidade pela qual o autor do phishing se faz passar, e introduz os dados necessários para a entrada (login), como o seu nome de utilizador (username) e a palavra-passe, entre outros. As credenciais do destinatário do e-mail serão depois utilizadas pelo phisher para entrar no verdadeiro site da entidade (bancária ou outra) como se fosse o legítimo titular das credenciais, com vista à execução de ações ilícitas, nomeadamente apropriação de fundos alheios.
IV. No pharming o utilizador de internet é conduzido a uma página falsa na sequência (quase sempre) da instalação no seu computador de um programa malicioso destinado a redirecionar nomes de domínio (endereços de sites) por si pesquizados para sites fraudulentos. Para conseguir instalar nos computadores alheios esse programa viral, o pharmer envia e-mail de spam que o atingido abre e na sequência do qual toma uma determinada ação, nomeadamente clicando nalgum link do mesmo.
V. O contrato de homebanking é um contrato-quadro que, acessoriamente ao contrato génese de abertura de conta, permite e disciplina a relação bancária à distância, nomeadamente através da página Web do banco na internet; por via dele, o banco obriga-se a disponibilizar meios eletrónicos fiáveis necessários à comunicação à distância, a mantê-los em regular funcionamento, e a fornecer dispositivos de segurança personalizados de modo a assegurar o acesso exclusivo do cliente à sua conta bancária; o cliente, não assumindo embora uma obrigação principal de prestar, tendo uma mera faculdade de utilizar o sistema, obriga-se, caso use tal faculdade, a fazê-lo de acordo com determinadas regras que visam assegurar a fiabilidade das comunicações.
VI. O contrato de homebanking permite a consulta de dados e, geralmente, a movimentação de fundos, incluindo transferências para terceiros; apesar de a lei não lhe atribuir um nome nem um conjunto concentrado de regras que o visem em exclusivo, quando o seu objeto inclui a movimentação de fundos para a titularidade de terceiros, encontra-se regulado a um nível de abstração mais elevado, enquanto serviço de pagamento.
VII. Tendo o banco comunicado ao cliente, em vários momentos, por vários meios e formas, o modo de corretamente utilizar as credenciais de acesso ao sistema de homebanking, a introdução pelo cliente dos códigos de acesso à conta bancária (identificação e palavra-passe) e dos números do cartão matriz (terceiro nível de verificação de identidade para certas operações bancárias) numa página Web com elementos (mais ou menos, muitos ou poucos) semelhantes à página do banco, mas à qual chega ao clicar numa hiperligação de um e-mail, constitui uma grave violação do dever de manter em segredo as credenciais em causa.
VIII. O cliente do banco, parte no contrato de homebanking, suporta (até ao limite do saldo disponível ou da linha de crédito associada à conta) as perdas resultantes de operações de pagamento efetuadas em execução de ordens dadas através do sistema de homebanking por terceiros a quem, por atuação gravemente negligente, facultou os códigos e chaves necessários a que tais ordens fossem identificadas como tendo sido dadas por si.
I. Relatório
Caixa..., ré no processo indicado à margem, em que são autores Fernando A... e Manuela A..., notificada da sentença condenatória, proferida em 1 de fevereiro de 2018, e com ela não se conformando, interpôs o presente recurso.
Os autores tinham intentado a presente ação contra a ré alegando, em suma, que são contitulares de uma conta à ordem e de uma conta de depósito a prazo domiciliadas em balcão da ré, tendo aderido ao serviço homebanking de forma a realizarem operações através da internet; durante dado período de três dias, foram cumpridas pela ré trinta ordens de pagamento da conta à ordem de que são titulares a favor de uma entidade terceira, no valor global de € 14.003,60, e foram realizadas duas ordens de transferência da conta de depósitos a prazo para a conta à ordem, sem conhecimento dos seus titulares. Segundo os autores, a ré não dispunha de mecanismos de segurança que prevenissem situações de fraude, o que causou a perda aos autores do montante aludido.
Pediram a condenação da ré no pagamento da quantia de € 14.003,60, a título de capital, acrescida do montante de € 429,70 de juros de mora vencidos e os que venham a vencer-se desde a citação até efetivo e integral pagamento, e ainda o valor que deixaram de receber em virtude da mobilização antecipada de € 13.500,00, correspondente ao valor dos juros remuneratórios, nas condições do depósito a prazo contratadas, a liquidar em execução de sentença.
Citada, a ré contestou, impugnando parcialmente os factos alegados pelos autores, alegando que cumpriu todas as suas obrigações legais, tendo prestado todas as informações necessárias acerca do acesso à conta através do homebanking e que foi a autora que permitiu o acesso de terceiros à conta através da disponibilização dos dados de acesso do cartão matriz, sendo inteiramente sua a responsabilidade pelos movimentos efetuados nas contas tituladas pelos autores.
Na sequência de convite do tribunal, os autores concretizaram o valor do pedido genérico formulado na petição inicial, atualizando o pedido dos juros remuneratórios para € 29,16, e em consequência, o pedido total para a quantia global de € 14.462,46.
O processo seguiu os normais termos e, após audiência de discussão e julgamento, foi proferida sentença que julgou a ação totalmente procedente, condenando a ré a pagar aos autores a quantia global de € 14.032,76 (catorze mil e trinta e dois euros e setenta e seis cêntimos), acrescida de juros de mora calculados sobre a quantia parcial de € 14.003,60 (catorze mil e três euros e sessenta cêntimos), à taxa supletiva legal aplicável a obrigações civis, acrescida de 10%, vencidos desde 07/11/2016 até integral pagamento.
Com esta sentença não se conforma a ré, que dela recorre.
A recorrente termina as suas alegações de recurso, concluindo:
«(…) salvo melhor opinião e com o devido respeito, foram incorretamente julgados pelo Tribunal a quo, os seguintes factos:
A. O Tribunal a quo considerou como provados os factos constantes dos pontos 14., 15. e 17. da sentença ora em crise;
B. Tendo, na formação da convicção baseada em tais factos, desconsiderado a prova produzida em sede de audiência de julgamento quanto à matéria dos endereços de I.P. (endereço específico de um equipamento na internet) de onde se originaram as ordens de pagamento em apreço, não constando dos factos dados como provados, como devia, que a Recorrente não conhece nem pode conhecer, em tempo real, os aludidos I.P.’s – conclusão com a qual a Recorrente não de pode conformar;
C. Já que, sendo, justamente, a Internet e os serviços nela oferecidos, como o homebanking, uma ferramenta desmaterializada, de geolocalização volátil e flutuante e tendo ocorrido, no caso dos autos, contrariamente ao que da sentença consta, o fornecimento, pela 2.ª Autora, dos dados pessoais de acesso ao homebanking, só assim se permitindo que o acesso às contas por si, não foi, pelo Tribunal a quo, considerada a prova feita, designadamente o depoimento da testemunha Daniel C..., antes a valorando em sentido inverso do que a Recorrente defende que deveria ter sido valorada – sendo certo que, caso o fizesse, tal conduziria, necessariamente, a diferente matéria de facto assente;
D. Também considerou, o Tribunal a quo, como provado, o facto constante do ponto 30., tendo sido explicitamente esclarecido, pela testemunha Nuno Pais, que o banco tem este serviço desde Julho de dois mil e dezasseis, depoimento que o Tribunal a quo desconsiderou integralmente.
E. Caso o tivesse considerado, como devia, o Tribunal a quo teria, necessariamente, considerado provado, contrariamente ao que fez, que não seria possível, primeiramente, ter a 2.ª Autora aderido ao serviço “token” aquando da adesão ao homebanking, pela 2.ª Autora – já que tal serviço não existia, ainda, nessa data (a adesão ao homebanking foi anterior a Julho de 2016, como ficou provado nos autos;
F. E, em segundo lugar, não poderia ter a 2.ª Autora alegar desconhecer o serviço “token” depois de o mesmo ter sido oferecido aos clientes do banco, uma vez que para poder utilizar o serviço de homebanking (ainda que só para consultas de contas), teria necessariamente, desde Julho de 2016, ainda que não querendo aderir ao mesmo, que clicar num botão que dizia «continuar sem aderir».
G. Discorda, assim, a Recorrente do ponto 30. dos factos dados como provados, devendo ser o teor do mesmo o inverso do que consta da douta sentença recorrida;
H. Mais constam do aresto em crise como não provados, entre outros, os factos constantes das alíneas a) b), c), h) e k).
I. Concluiu, assim, o Tribunal a quo, não ter ficado provado que haja sido a 2.ª Autora a assinar, pelo seu punho, o contrato de adesão ao homebanking oferecido pela Recorrente.
J. Não se pode a Recorrente conformar, também, com tal decisão, já que, do depoimento da testemunha Miguel Rodrigues resulta evidente que, embora remontando tal ocasião ao ano de 2014 e não se recordando a testemunha, como é natural, em total respeito pelo juramento prestado em audiência de julgamento, do exato momento em que a 2.ª Autora assinou tal documento, é certo que a testemunha depôs com total isenção e convicção dizendo que, por imposição profissional, as assinaturas são (e eram à data dos factos), sempre presenciais – devendo, assim, tal facto ter sido considerado como provado, ao invés do que sucedeu.
K. Não foi igualmente considerado como facto assente que a 2.ª Autora recebeu e-mails, em diversas ocasiões e por inúmeras vezes, alertando-a para o facto de não ter ativado o cartão matriz disponibilizado pela Recorrente aquando da adesão ao serviço de homebanking, sendo mencionado, em vários desses e-mails, que caso o não fizesse em tempo útil, o mesmo seria desativado.
L. Ora, em sede de depoimento de parte, a 2.ª Autora expressamente confessou ter recebido muitos e-mails daquela natureza;
M. Não aceitando a Recorrente que de depoimento de parte oferecido pela 2.ª Autora, não tenha sido pelo Tribunal a quo extraída confissão, atribuindo-se-lhe a correspondente força probatória plena contra a confitente, com a inerente repercussão na douta decisão de facto, tendo, ao invés, no caso em apreço, o Tribunal a quo valorado tal confissão em desfavor da ré, assim o justificando em sede de motivação da decisão de facto: «Apesar de tal factualidade ter sido confirmada pela autora quando prestou declarações de parte, essa parte do seu depoimento não foi confirmada por qualquer outro elemento de prova»;
N. Quando, em abono da verdade, tais e-mails foram recebidos pela 2.ªAutora, só ela os podendo carrear aos autos, o que, naturalmente, não fez.
O. Não se entende, assim, a fundamentação apresentada pelo Tribunal a quo para não valorar o depoimento da 2.ª Autora, considerando os factos constantes das alíneas b), c), h), e k) como não provados, quando devia ter sido justamente inversa a conclusão constante da sentença.
P. Foi ainda julgado como não provado o facto constante da alínea n) dos factos dados como não provados, sendo convicção do Tribunal a quo, que nos movimentos efetuados pelo homebanking, foram respeitados todos os níveis de segurança exigidos pelo banco.
Q. Tal conclusão, no entendimento da Recorrente, diverge da prova produzida em sede de depoimento, devendo ter sido outro o sentido da decisão do Tribunal a quo, decidindo em sentido contrário do que fez, tendo resultado evidente do depoimento da testemunha Daniel C... que é impossível, no serviço de homebanking, realizar operações daquela natureza sem que sejam respeitados, sem qualquer margem para erro, todos os patamares de segurança para tanto exigidos, como aliás, se pode compreender, já que na linguagem binária dos computadores não existe margem para erro.
R. Ficou, assim, cabalmente explicado, através do aludido depoimento, que no homebanking do Caixa..., não é fazer operações sem a introdução dos elementos de acesso ao homebanking, sucedidos por uma palavra passe de seis dígitos (para operações que não comportem saídas do património dos clientes), ao que acresce um segundo nível de identificação e segurança, que é o cartão matriz, do qual o sistema pede duas posições em regime de «one time password», ou seja, quando qualquer posição (número) do cartão matriz é utilizada, nunca mais pode a mesma ser utilizada.
S. Sendo impossível, sem o conhecimento de todos estes dados, efectuar operações para fora do património dos clientes – defendendo, assim, a Recorrente, que tal facto devia ter sido dado como provado e não como não provado, como sucedeu.
T. Considera a sentença em apreço, igualmente, como não provados, os factos constantes da alínea o), designadamente que sempre que se efetua um acesso ao sítio institucional de internet da Recorrente, na mesma página onde insere o código PIN, encontram-se exemplos de páginas fraudulentas e de e-mail de Phishing, por forma a alertar os utilizadores para eventuais fraudes.
U. A Recorrente discorda, igualmente, desta conclusão do Tribunal a quo, devendo ter sido tal facto dado como provado, uma vez que, não só consta dos autos documentação que não foi impugnada pelos AA, designadamente os documentos 3., e 4., onde constam, expressamente, os aludidos alertas de fraude, como resulta do depoimento da testemunha Nuno Pais justamente o contrário, o que não foi valorado pelo Tribunal a quo, pelo que se impõe, igualmente, salvo melhor opinião, conclusão diversa da constante da douta sentença.
V. Consideraram-se, ainda, como não provados, os factos constantes das alíneas p) e q), designadamente que, antes da realização das operações fraudulentas em apreço, não ocorreu qualquer ataque, intrusão, ou qualquer outra violação ao sistema informático da Recorrente, sem o seu conhecimento.
W. Não pode a ora Recorrente concordar com a conclusão do Tribunal a quo, considerando que os meios de prova conduziriam a conclusão de diferente matéria de facto, sendo certo que, não valorando o Tribunal a quo, a prova feita em audiência de julgamento, recairia, na situação em apreço, recairia sobre a Caixa..., uma prova diabólica, isto é, a prova e alegação da inexistência de toda e qualquer intrusão, ataque ou violação do sistema informático, em data anterior à dos factos dos autos.
X. Existindo, como existiu, um depoimento por testemunha que é responsável pela segurança informática da Recorrente, Daniel C..., que asseverou que é impossível fazer operações que impliquem alterações patrimoniais, a nível do homebanking fornecido pela CEMG, sem que sejam, corretamente, respeitados todos os níveis de segurança fornecidos aos utilizadores e, não podendo, assim, ser imputada qualquer anomalia ao sistema informático da apelante, o que deveria ter sido considerado provado.
Y. Não se entende como o Tribunal a quo não valorou tal depoimento como devia, no entendimento da Recorrente, assim chegando a conclusão verdadeiramente oposta à que chegou – devendo, assim, no entendimento da Recorrente, ser considerado que no seu sistema informático não ocorreu qualquer intrusão, ataque ou violação.
Z. Por último, ao longo de toda a sentença ora recorrida, repete-se, por inúmeras vezes, que a 2.ª Autora terá, em resposta a uma solicitação da Recorrente, introduzido um “número não determinado de posições numéricas do seu cartão matriz / algumas das posições do cartão matriz/alguns dados pessoais”.
AA. Ora, tendo ficado provado (pontos 14. e 15., dos factos dados como provados), que entre os dias 4 e 7 de Novembro de 2016, foram cumpridas, pela Caixa..., 32 (trinta e duas) operações para cuja ocorrência a 2.ª Autora terá fornecido as posições do cartão matriz, cumpre concluir, à falta de outro raciocínio possível que, contendo o cartão matriz 216 posições (72X3) e que, como resulta da douta sentença em apreço, as operações não foram ordenadas pela 2.ª Autora, terá a mesma fornecido, sempre, no mínimo, 64 números/posições do cartão matriz, ou seja, 30% das posições constantes do cartão matriz.
BB. Não se conforma a Recorrente que o Tribunal a quo não haja considerado ter a 2.ª Autora feito uma utilização imprudente, negligente e descuidada do serviço de homebanking, tendo, assim, existido negligência consciente ou culpa grave da 2.ª Autora.
CC. Ainda, em matéria de validação das operações, foi pela testemunha Daniel C... explicado, de forma perentória, que os algarismos das várias posições do cartão matriz são geridos aleatoriamente, sem qualquer algoritmo associado a essa definição, assim considerando o Tribunal a quo que, a versão da 2.ª Autora relativa à forma como inseriu os dígitos na página da Internet onde ocorreu a fraude, seria «impossível».
DD. Contudo, uma vez mais, o Tribunal a quo desvalorizou o depoimento de Daniel C..., optando, ao invés, por alusões a possibilidades vagas de quem não conhece o sistema da Recorrente (Carlos G...), com base em conhecimento empírico;
EE. Sendo entendimento da Recorrente que, uma vez mais, estamos perante um facto que devia ter ficado assente na sentença em crise, e não ficou – designadamente que os números do cartão matriz são produzidos de forma completamente aleatória, sem obediência a qualquer algoritmo que permita “prever” os números seguintes.»
Os recorridos contra-alegaram pugnando pela confirmação da sentença.
Foram colhidos os vistos e nada obsta ao conhecimento do mérito.
Objeto do recurso
Sem prejuízo da apreciação de eventuais questões de conhecimento oficioso, são as conclusões das alegações de recurso que delimitam o âmbito da apelação (arts. 635, 637, n.º 2, e 639, n.ºs 1 e 2, do CPC).
Tendo em conta o teor daquelas, importa reapreciar a prova para aferir se a matéria de facto deve ser alterada como a recorrente pretende; independentemente da alteração da matéria de facto, importa reapreciar os pressupostos da responsabilidade civil e decidir se, com os factos adquiridos, o recurso procede, com a consequente revogação da sentença.
II. Fundamentação de facto
Estão provados os seguintes factos, que correspondem aos adquiridos em 1.ª instância com as alterações decididas e fundamentadas em III.A.:
1. A ré é uma instituição bancária e tem como atividade a prestação de serviços financeiros.
2. Os autores são contitulares de conta à ordem n.º 166.10.002538-5 e de depósito a prazo n.º 027.15.011410-9, domiciliadas no balcão da Ré da Amadora-Venda Nova.
3. O depósito a prazo referido no ponto anterior foi constituído pelo período de 360 dias, a 04.05.2016, e com data de vencimento a 29.04.2017.
4. No âmbito da constituição do referido depósito a prazo, nos termos acordados entre os autores e a ré, os juros sobre as quantias depositadas deveriam ser calculados à taxa anual nominal líquida de 0,216%.
5. No âmbito da constituição do referido depósito a prazo, as partes acordaram na ficha de informação normalizada, na secção “Mobilização Antecipada”, que: “Os levantamentos antecipados estão sujeitos a penalização total dos juros sobre o capital mobilizado desde a data de constituição/renovação/reforço”.
6. A ré presta aos seus clientes um serviço informático de “homebanking”, designado por “Caixa...24”.
7. Através desse serviço, os clientes bancários da ré têm a possibilidade de aceder através de um sistema informático a informações sobre produtos e serviços do Caixa..., realizar operações sobre todas as contas que titulam, realizar operações de compra e venda, subscrição ou resgate de produtos financeiros ou serviços disponibilizados pelo Caixa... aos seus clientes.
8. A 2ª autora aderiu ao serviço de homebanking acima descrito, subscrevendo o acordo escrito constante de fls. 29 verso a 31, na perspetiva de facilitar a sua atividade profissional relacionada com a gestão de um Lar de Terceira Idade de forma a poder realizar operações bancárias pela internet.
9. Em resultado dessa adesão foram atribuídos aos autores, pela ré, códigos de acesso/credenciais de utilização, os quais são pessoais e intransmissíveis e funcionam a três níveis de segurança:
a) Um número de identificação Caixa..., atribuído e entregue no momento da adesão;
b) Um código PIN multicanal, composto por seis dígitos, atribuído e entregue ao cliente no momento da adesão, permitindo estas duas credenciais apenas a realização de operações e consultas que não comportem alterações de património;
c) Um Cartão Matriz que consiste num cartão de coordenadas com 72 posições, cada uma com 3 dígitos, para validação de operações passíveis de alteração do património detido pelos autores, junto da ré;
d) Sendo o cartão matriz remetido via CTT para o endereço dos clientes em estado de pré-ativo, apenas passível de ser ativado pelos clientes mediante validação de códigos de acesso (através do número de cliente e do PIN multicanal).
10. A partir do momento da adesão ao referido serviço de homebanking, os clientes da ré autorizam-na a realizar as operações ordenadas através daquele meio eletrónico.
11. A 2ª autora recebeu, no dia 2 de novembro de 2016, um e-mail com o teor constante de fls. 31 verso que aqui se dá por integralmente reproduzido.
12. O e-mail referido no ponto anterior não foi remetido pela ré à 2ª autora, tendo o mesmo sido remetido por terceiros desconhecidos.
13. Em circunstâncias não concretamente apuradas e em data não apurada, mas anterior aos factos descritos nos pontos 14 e 15, a 2ª autora, através de meios informáticos, acreditando que estava a responder a uma solicitação da ré Caixa..., no âmbito do seu sistema informático de homebanking acima descrito, introduziu o seu código de acesso pessoal e um número não determinado de coordenadas numéricas do seu cartão matriz, que lhe tinha sido disponibilizado pela ré, numa página da internet não operada pela ré, mas por terceiros desconhecidos que lhe solicitaram a introdução desses dados e que agiram sem o conhecimento ou consentimento de alguma das partes nesta acção.
14. Entre os dias 4 e 7 de novembro de 2016, foram cumpridas pela ré 30 (trinta) ordens de pagamento da conta à ordem identificada no ponto 2, a favor da entidade identificada com o número “11249”, nas datas e com os montantes constantes da lista constante de fls. 9 que aqui se considera por integralmente reproduzida, no valor global de € 14.003,60 (catorze mil e três euros e sessenta cêntimos).
15. Foram também realizadas 2 (duas) ordens de transferência, nos dias 04/11/2016 e 07/11/2016, nos valores de, respetivamente € 10.000,00 e € 3.500,00, da conta de depósito a prazo n.º 027.15.011410-9, para a conta ordenado n.º 166.10.002538-5, ambas referidas no ponto 2, ordens que foram cumpridas pela ré.
16. Os movimentos bancários indicados nos dois pontos anteriores foram efetuados através do serviço informático de homebanking disponibilizado pela ré, e não foram autorizados pelos aqui autores, tendo tais movimentos sido cumpridos pela ré a pedido de terceiros desconhecidos que acederam a esse sistema informático de forma não concretamente apurada.
16’. Em cada um dos movimentos bancários indicados nos pontos 14 e 15 foram realizadas as seguintes operações: foi introduzido o número de identificação Caixa...; foi introduzido o número de código Pin Caixa...24 em teclado virtual, escolhido de forma aleatória, aparecendo os números sempre em local distinto, não permitindo a identificação do código; por último, validado o PIN, foram introduzidas duas coordenadas e posições do cartão matriz, que são sempre solicitadas de forma aleatória, pelo sistema e nunca repetidas.
16’’. Antes e durante a realização dos movimentos referidos nos pontos 14 e 15 dos factos provados, os computadores da ré e respetivo sistema informático não foram alvo de qualquer ataque informático por terceiros que tenham acedido aos dados armazenados, tendo funcionado normalmente, sem avarias ou deficiências.
17. Os acessos (logon) à plataforma informática de homebanking para a realização dos movimentos referidos nos pontos 14 e 15, são oriundos de cinco endereços I.P.s (endereço específico de um equipamento na internet) distintos oriundos, respetivamente, de São Paulo, Brasil; Dublin, Irlanda; Ashburn, Estado de Virgínia dos Estados Unidos da América; Belém, Estado de Pará no Brasil e novamente Dublin, Irlanda, e tiveram lugar nas datas e horários identificados no documento constante de fls. 34 verso a 36 que aqui se considera por integralmente reproduzido.
17’. A ré não conhece nem pode conhecer, em tempo real, a localização geográfica dos aludidos I.P.
18. A ré tem estabelecido um procedimento interno rotineiro em que procede, diariamente, à verificação dos mapas de movimentações superiores a € 10.000,00 (dez mil euros), das contas dos seus clientes.
19. A autora foi contactada pelo funcionário da ré Henrique Melrinho, o qual pretendia certificar-se de que os movimentos acima descritos se tratavam de movimentos ordenados, de facto, pelos autores, uma vez que tinha ocorrido uma movimentação superior a dez mil euros nos termos referidos no ponto anterior.
20. No mesmo dia em que a situação foi sinalizada pela ré aos autores, a 2ª autora informou a ré não ter ordenado qualquer operação de resgate de montantes depositados na conta a prazo, bem como qualquer pagamento à entidade 11249, tendo apresentado queixa-crime junto dos órgãos de polícia e reclamação junto do balcão de domicílio das contas.
21. Nos sites de internet identificados no motor de busca de internet “Google”, nos termos constantes do documento de fls. 13 verso, que aqui se dá por integralmente reproduzido, a referência 11249, atribuída à entidade beneficiária dos pagamentos referidos no ponto 14, está sinalizada como sendo um instrumento ao serviço de terceiros que realizam operações como as acima descritas sem conhecimento ou autorização dos respetivos titulares das contas bancárias.
22. No sítio de internet de acesso ao homebanking disponibilizado pela ré, a mesma alerta os seus clientes no sentido de não serem, em situação alguma, solicitadas, naqueles acessos, mais de duas coordenadas do cartão matriz.
23. O referido alerta surge apenas e só após introdução dos dígitos correspondentes ao código de identificação de utilizador do Caixa...24 e imediatamente antes da introdução do código de acesso personalizado.
24. No cartão matriz disponibilizado pela ré aos seus clientes, incluindo a 2ª autora, encontra-se impressa no cartão, a indicação: “Atenção: nunca indique mais do que 2 dígitos deste Cartão Matriz”.
25. Sempre que se efetua um acesso ao sítio institucional de internet da ré, na mesma página onde se insere o código PIN, encontra-se informação sobre medidas de segurança por aquela adotadas, bem como medidas de segurança/precauções que deverão ser tomadas pelos utilizadores nos seguintes termos:
a) “A Caixa... apenas lhe solicita a indicação de 2 posições do seu Cartão Matriz nas operações em que o seu património é alterado, por exemplo na realização de uma Transferência Interbancária ou Pagamento de Serviços, entre outros.”
b) Na ativação do Cartão Matriz não são solicitadas posições do mesmo.
c) A Caixa... nunca lhe solicitará a realização de qualquer atualização de segurança de códigos de identificação via e-mail, nem procede ao envio de e-mails com links diretos para o site oficial.”
26. No mesmo sítio institucional de internet da ré, consta uma ligação para uma página intitulada “dicas de segurança online”, com o teor constante de fls. 33 a 34 que aqui se considera por integralmente reproduzida, na qual consta o seguinte alerta: “Suspeite de qualquer e-mail, chamada telefónica ou SMS, que peça uma "ação imediata" ou crie um sentido de urgência ou risco grave. Em caso de dúvida contacte o seu banco.”
26’. Sempre que se efetua um acesso ao sítio institucional de internet da ré, na mesma página onde insere o código PIN, encontram-se exemplos de páginas fraudulentas e de e-mail de Phishing, por forma a alertar os utilizadores para eventuais fraudes.
27. Na data em que foram realizados os movimentos referidos nos pontos 14 e 15, a ré tinha disponível um serviço de segurança acrescido, de adesão voluntária por parte dos utilizadores do Caixa...24, denominado “token”, em que ocorre o envio de uma SMS para o telemóvel do utilizador registado cada vez que o mesmo efetua uma operação ou dá uma ordem através do sistema informático de homebanking.
28. O 1.º autor aderiu a esse serviço, não tendo a 2ª autora aderido ao mesmo.
29. Na data em que aderiu ao serviço de homebanking e na data em que foram realizados os movimentos descritos nos pontos 14 e 15, a 2ª autora desconhecia que as credenciais de autenticação inscritas no cartão matriz lhe permitiam movimentar contas em que o seu marido, aqui autor, era também titular, nunca tendo ordenado qualquer operação referente a essas contas através do sistema de homebanking.
III. Apreciação do mérito do recurso
A. Recurso da decisão de facto
O recorrente pode impugnar a decisão sobre a matéria de facto, caso em que deverá observar as regras contidas no art. 640 do CPC.
Segundo elas, e sob pena de rejeição do respetivo recurso, o recorrente deve especificar:
- Os pontos da matéria de facto de que discorda;
- Os meios probatórios que impõem decisão diversa da recorrida;
- A decisão que, em seu entender, deve ser proferida sobre as questões de facto impugnadas.
A ora recorrente indicou claramente os pontos da matéria de facto provada e não provada de que discorda, bem como os meios probatórios que, em seu entender, impõem decisão diversa. Com exceção dos casos em que pediu que um facto provado passasse a não provado e vice-versa, não expressou com que teor devem ficar os restantes factos que impugnou. No entanto, percebe-se sempre de que partes desses factos discorda.
(...)
Passamos a analisar as alterações pretendidas pela recorrente.
a) Factos provados 14, 15 e 17
(...)
Pelo exposto, acrescenta-se um facto – 17’ – com o seguinte conteúdo: A ré não conhece nem pode conhecer, em tempo real, a localização geográfica dos aludidos I.P.
b) Facto provado 30
(...)
Pelo exposto, exclui-se o facto 30.
c) Factos não provados a), b), c), h) e k)
O tribunal a quo deu como não provados, inter alia, os seguintes factos:
a) A 2.ª autora assinou pelo seu punho o acordo escrito constante de fls. 29 verso a 31.
b) Depois de a ré ter atribuído aos autores o 1.º cartão matriz, a 2.ª autora começou a receber e-mails da ré.
c) Depois de receber um novo cartão matriz, e de não o ter ativado de imediato, a 2ª autora começou a receber e-mails da ré a alertá-la para o facto de não ter ativado o cartão, com a menção de que, caso não o fizesse em tempo útil, o mesmo seria desativado.
h) Após a recepção deste cartão matriz, a 2ª autora voltou a receber e-mails a informar que deveria ativar o dito cartão.
k) A 2ª autora voltou a receber e-mails para ativação do cartão matriz, tendo dado conhecimento dessa situação a Henrique Melrinho a propósito do levantamento de um cartão multibanco.
(..)
Pelo exposto, exclui-se o facto a) dos não provados, acrescentando-se o seu conteúdo ao facto 8, que passará a ter a seguinte redação:
8. A 2ª autora aderiu ao serviço de homebanking acima descrito, subscrevendo o acordo escrito constante de fls. 29 verso a 31, na perspetiva de facilitar a sua atividade profissional relacionada com a gestão de um Lar de Terceira Idade de forma a poder realizar operações bancárias pela internet.
d) Facto não provado n)
O facto não provado n) tem o seguinte teor:
n) Em cada um dos movimentos bancários indicados nos pontos 14 e 15 foram realizadas as seguintes operações: foi introduzido o número de identificação Caixa...; foi introduzido o número de código Pin Caixa...24 em teclado virtual, escolhido de forma aleatória, aparecendo os números sempre em local distinto, não permitindo a identificação do código; por último, validado o PIN, foram introduzidas duas coordenadas e posições do cartão matriz, que são sempre solicitadas de forma aleatória, pelo sistema e nunca repetidas.
(...)
Pelo exposto exclui-se o facto n) do elenco dos não provados e introduz-se um facto provado 16’ com o seu teor:
16’. Em cada um dos movimentos bancários indicados nos pontos 14 e 15 foram realizadas as seguintes operações: foi introduzido o número de identificação Caixa...; foi introduzido o número de código Pin Caixa...24 em teclado virtual, escolhido de forma aleatória, aparecendo os números sempre em local distinto, não permitindo a identificação do código; por último, validado o PIN, foram introduzidas duas coordenadas e posições do cartão matriz, que são sempre solicitadas de forma aleatória, pelo sistema e nunca repetidas.
e) Facto não provado o)
Deu-se como não provado:
o) Sempre que se efetua um acesso ao sítio institucional de internet da ré, na mesma página onde insere o código PIN, encontram-se exemplos de páginas fraudulentas e de e-mail de Phishing, por forma a alertar os utilizadores para eventuais fraudes.
(...)
Assim, exclui-se o facto o) do elenco dos não provados e acrescenta-se o facto 26’. Com o mesmo conteúdo:
26’. Sempre que se efetua um acesso ao sítio institucional de internet da ré, na mesma página onde insere o código PIN, encontram-se exemplos de páginas fraudulentas e de e-mail de Phishing, por forma a alertar os utilizadores para eventuais fraudes.
f) Factos não provados p) e q)
Deram-se, ainda, como não provados os seguintes factos:
p) Antes da realização dos movimentos referidos nos pontos 14 e 15 dos factos provados ou no período temporal em que esses movimentos ocorreram, os computadores da ré não foram alvo de qualquer ataque informático por terceiros desconhecidos que acederam ao respectivo sistema informático sem conhecimento ou consentimento da ré.
q) O sítio de internet institucional da ré nunca foi, em algum momento, alvo de intrusão, ou qualquer outra violação.
(...)
Porquanto exposto, acrescentamos um facto com o seguinte conteúdo:
16’’. Antes e durante a realização dos movimentos referidos nos pontos 14 e 15 dos factos provados, os computadores da ré e respetivo sistema informático não foram alvo de qualquer ataque informático por terceiros que tenham acedido aos dados armazenados, tendo funcionado normalmente, sem avarias ou deficiências.
B. Apreciação jurídica
a) Análise da factualidade
Aqui chegados, o caso sub judice resume-se da seguinte forma:
- entre 4 e 7 de novembro de 2016 (entre uma sexta-feira e a segunda-feira subsequente) foram dadas à ré cerca de três dezenas de ordens de transferência de valores de conta bancária dos autores para uma entidade terceira;
- essas ordens foram dadas através da plataforma online da ré (vulgo homebanking, e-banking, netbanco, banca ao domicílio) por pessoas que estavam na posse de todos os códigos da autora necessários a efetuar aquelas ordens, a saber: número de cliente, código pin 6 dígitos, e cartão matriz com 72 números compostos por 3 algarismos, num total de 216 posições;
- os autores não transmitiram essas ordens;
- a autora forneceu a terceiros todos os dados necessários a essas transferências.
Para que melhor se perceba o que acabámos de afirmar na última frase há que fazer algum esforço argumentativo, concatenando os factos provados (n.ºs 11 a 16’’), os depoimentos pessoais (nomeadamente da autora e das testemunhas Henrique Melrinho e Daniel C...), as regras da lógica clássica e da teoria das probabilidades e o conhecimento do tribunal sobre as várias modalidades de fraude através de homebanking.
Segundo a testemunha Henrique M..., à data gerente do balcão Monte Abraão que alertou a autora para os movimentos, esta dirigiu-se de imediato ao balcão, sozinha, e conversou com a testemunha. Na tentativa de perceber o que se poderia ter passado, entre o mais, a testemunha perguntou à autora se não teria fornecido os seus dados, ou recebido algum e-mail a pedir-lhos. A autora, nessa altura, disse prontamente à testemunha que havia recebido um e-mail do banco, que entrou no e-mail e que lhe era pedido para preencher as coordenadas do cartão matriz, o que fez.
O e-mail em causa é o que se encontra nos autos a fls. 31 v.º, que foi reenviado para o balcão da ré pela autora (ou por seu empregado no lar, Solar São Gião).
Uma situação destas corresponde ao que no léxico relativo à internet se designa por phishing. O phishing assemelha-se à pesca, mas em vez de tentar capturar peixes, tenta apropriar-se de informações pessoais. O autor do phishing envia e-mail que parece proveniente de outra entidade, nomeadamente bancária, referindo que a atualização ou validação de dados é necessária e pedindo para os introduzir, depois de o destinatário clicar num dado link contido no e-mail. Depois de clicar no link, o destinatário do e-mail de phishing entra num site falso, provavelmente de aspeto parecido ao da entidade pela qual o autor do phishing se quer fazer passar, e introduz os dados necessários para o login, como o username (no caso o número de cliente) e a password (no caso o pin de 6 dígitos), entre outros. Mesmo que o visitante da página falsa apenas introduza a sua identidade e palavra-passe, isso permite ao phisher aceder à conta verdadeira e aceder a muitos mais dados. Sobre o conceito de phishing, as várias modalidades, as diferenças relativamente ao pharming a que aludiremos em seguida, consultem-se por exemplo https://pc.net/glossary, https://www.americanbar.org/newsletter/publications/gp_solo_magazine_home/gp_solo_magazine_index/phishing.html, https://en.wikipedia.org/wiki/Phishing. Na literatura jurídica portuguesa, v. Pedro Verdelho, «Phishing e outras formas de defraudação nas redes de comunicação», in Direito da sociedade da informação, vol. 8, Coimbra Editora, 2009, pp. 407-419; Ana Vaz Geraldes, «Phishing: fraude on line», Revista da Faculdade de Direito da Universidade de Lisboa, Coimbra, vol. 54, n.ºs 1-2 (2013), pp. 87-102, Maria Raquel Guimarães, «As operações fraudulentas de homebanking na jurisprudência recente: acórdão do Supremo Tribunal de Justiça de 18.12.2013», Cadernos de Direito Privado, n.º 49 (jan.-mar. 2015), pp. 9-33; Carolina França Barreira, A repartição dos prejuízos decorrentes de fraude informática, 2015, tese de mestrado disponível em https://run.unl.pt/bitstream/10362/15191/1/Barreira_2015.pdf; Diana Beatriz Carrasco Campos e Maria do Mar Patrício Carmo, Homebanking: Consequências jurídicas, 2017, disponível em http://www.governancelab.org/pt/page/working-papers.
De acordo com o depoimento da testemunha Henrique M... e considerando os factos supra mencionados, a autora forneceu a terceiros todas as suas credenciais na sequência do recebimento de um e-mail, aparentemente do banco réu, através do qual, clicando numa ligação (link) desse email, chegou a uma página falsa na qual entrou (fez login), fornecendo o número de cliente e o pin, e digitou as posições do seu cartão matriz.
E teve de introduzir – facultar a terceiros – todas as posições do seu cartão matriz. Insistimos, todas as 216 posições do seu cartão matriz. Considerando que está provado que foram efetuadas com sucesso cerca de 30 operações, para cada uma das quais foram pedidas aleatoriamente duas posições do cartão matriz – não é possível, sem o conhecimento total do cartão, os terceiros terem acertado em 60 posições que aleatoriamente lhes foram pedidas. Pode calcular-se a probabilidade de, por exemplo, os malfeitores acertarem nas 60 posições conhecendo apenas metade (108) das posições do cartão matriz (note-se que o incumprimento culposo da autora seria tão grave facultando a terceiros 108, 60 ou 216 posições de um cartão). A probabilidade de isso acontecer aproxima-se da de acertar duas vezes seguidas na chave do Euromilhões. Ademais, sabemos pelo depoimento de Daniel C..., e porque o sistema regista esses dados, que os malfeitores acertaram à primeira nas posições pedidas, com exceção de 2 ou 3 lapsos que logo retificaram acertando à segunda.
Tendo-se passado os factos como descrito, considerando ainda o enorme esforço que a ré faz para alertar os clientes para os perigos de fraude e para a circunstância de que em caso algum pede mais de duas posições do cartão matriz (factos 22 a 26’), é evidente que a responsabilidade pelas transações realizadas é apenas da autora. A autora, culposamente, contra os compromissos assumidos com a ré e violando elementares regras segurança e boas práticas, facultou os seus dados de acesso a terceiros.
Ainda que seja matéria para mais adiante, diga-se já que, perante situações análogas, a melhor jurisprudência tem dito que «age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida do utilizador» (Acórdãos do TRG de 25/11/2013, proc. 2869/11.4TBGMR.G1, do TRL de 12/12/2013, proc. 164/11.8TBSRT.L1-6, do TRE de 25/06/2015, proc. 3052/11.4TBSTR.E1, e de 12/04/2018, proc. 9002/16.4T8STB.E1).
Em julgamento, nas suas declarações de parte, a autora trouxe uma versão diferente: negou ter aberto em qualquer link do e-mail e ter introduzido dados na sequência dele; confessou ter introduzido número indeterminado de posições do seu cartão matriz numa página da Web que pensava ser da ré (não confessou tê-los introduzido todos); disse que teria acedido a essa página, não escrevendo o endereço da ré no browser ou barra do navegador, mas fazendo uma busca no motor de busca Google pela palavra «Caixa...» e escolhendo uma das páginas que o Google lhe apresentou.
Como referimos não é concebível que a autora não tenha fornecido todas as posições do seu cartão matriz, pois não é possível que quem efetuou as transações tivesse acertado nos algarismos do cartão das 60 vezes (duas por transação) que os mesmos lhes foram solicitados, de forma aleatória. De todo o modo, o incumprimento ilícito e culposo dos deveres de boa utilização das credenciais e de não divulgação deles que sobre a autora impende permaneceria mesmo que tivesse fornecido metade, 1/3, ¼, 1/5 etc. das posições do cartão. A autora sabia ou tinha obrigação de saber que a ré nunca lhe pediria mais de duas posições – isso está escrito no próprio cartão e anunciado na página da ré sempre que a ela se acede, entre muitos outros suportes de informação bancária da ré.
Por outro lado, ainda que a autora tivesse acedido à página da ré da forma que descreveu em audiência, o seu comportamento teria sido incauto em dois momentos: ao entrar numa qualquer opção fornecida pelo motor de busca; e, depois de entrar, ao não verificar o nome de domínio (endereço do site) na barra do navegador. Se pretendemos entrar numa dada casa, temos de bater na porta certa, no caso, temos de escrever o endereço correto e completo na linha do browser, e não abrir uma opção qualquer das que o motor de busca nos oferece relativas à palavra «Caixa...». Portanto, a autora teria agido mal (mesmo de acordo com o procedimento que afirmou ter adotado e que é diferente daquele que narrou à testemunha Henrique Melrinho no dia em que soube das ordens ilícitas). Mais: se a autora tivesse entrado numa página das que lhe foram listadas pelo motor de busca (após nele introduzir a palavra «Caixa...»), certo é que também não teria confirmado (como devia ter feito) se o endereço que lhe aparecia no topo, na linha do navegador, era o correto. Se tivesse tido o cuidado de verificar, teria percebido que aquela página não era a da ré à qual queria aceder.
Para melhor compreender a atuação da autora e a situação dos autos, importa, num breve parêntesis, introduzir o conceito de pharming e suas modalidades (remetemos para os mesmos textos que citámos para o phishing). O pharming é outra forma de internautas malfeitores manipularem os utilizadores de internet. Mas enquanto o phishing tenta obter informação pessoal levando os utilizadores a visitar uma página falsa, à qual chegam por terem clicado num link de um e-mail malfeitor, o pharming redireciona os utilizadores para sites falsos de forma diferente.
Uma página Web (site) usa um nome de domínio para seu endereço, mas a sua localização real é determinada por um endereço IP. Quando um utilizador digita um nome de domínio no campo de endereço do seu navegador (browser) e clica «entrar» (enter), o nome do domínio é convertido num endereço IP por meio de um servidor DNS. O navegador da Web conecta-se, então, ao servidor nesse endereço IP e carrega os dados da página da Web. Depois de um utilizador visitar um determinado site, a entrada de DNS desse site é geralmente armazenada no computador do utilizador num cache de DNS (cache – dispositivo de acesso rápido interno a um sistema, que serve de intermediário entre um operador de um processo e o dispositivo de armazenamento ao qual esse operador acede – pt.wikipedia.org). Dessa forma, o computador não precisa aceder ao servidor DNS sempre que o utilizador visita o site.
Uma das formas pelas quais o pharming ocorre é através de um e-mail malfeitor que transporta um vírus (programa de computador que destrói ou altera programas ou equipamentos informáticos alheios sem autorização do visado) que vicia o cache de DNS local do utilizador. Assim, por exemplo, em vez de ter o endereço IP 12.345.6.789 dirigido para www.Caixa....pt, dirige-o para outro site determinado pelo malfeitor. Para que o programa de vírus se instale no computador do utilizador é necessário que o utilizador faça algo no e-mail (clique em alguma ligação, não basta abri-lo e fechá-lo) e tenha alguma vulnerabilidade no seu computador (falta ou desatualização de antivírus ou de outro software).
De notar que, de acordo com o relato da autora, não terá sucedido assim (a autora terá acedido à página falsa pelo motor de busca, e não pela linha do navegador ou browser).
Em todo o caso, na modalidade de pharming a que acabámos de aludir também a responsabilidade pelo logro recai sobre o ludibriado que não tem o seu computador suficientemente seguro, com o necessário antivírus, ou tem programas desatualizados que lhe causam vulnerabilidades, permitindo a entrada do aludido vírus que lhe vicia o cache.
Há, no entanto, uma outra possibilidade de pharming: o pharmer (o autor do ilícito) também pode envenenar servidores DNS inteiros, o que significa que qualquer utilizador que use o servidor DNS afetado será redirecionado para o site errado. Em tal caso, o utilizador pode não ter como se aperceber de que entrou numa página errada. É para situações como a agora descrita (e que não tem correspondência com a do caso sub judice) que Maria Raquel Guimarães escreve: «[N]ão podemos acompanhar o mesmo tribunal supremo quando, afastando a hipótese de phishing sustentada pelo tribunal a quo em benefício do pharming, afirma que, “quer fosse uma das técnicas ou a outra, qualquer delas consubstancia fraudes informáticas, conduzindo aos mesmos resultados em termos de responsabilidade”). Entendemos que o comportamento do utilizador de um serviço de homebanking que acede a uma página falsa, “pirateada”, para a qual foi direcionado quando escreveu a morada do seu banco com recurso ao teclado de um computador, e aí introduz os códigos que lhe são solicitados, dificilmente será passível de um juízo de censura, a menos que o procedimento que tenha que levar a cabo seja muito distinto do habitual e o seu banco o tenha alertado para este tipo de fraudes» (Maria Raquel Guimarães, «As operações fraudulentas de homebanking na jurisprudência recente: acórdão do Supremo Tribunal de Justiça de 18.12.2013, Proc. 6479/09», Cadernos de Direito Privado, n.º 49 (jan.-mar. 2015), pp. 9-33 (26)).
Felizmente, a maioria dos servidores DNS possui recursos de segurança suficiente e eficazes que os protegem contra esses ataques. Por isso, tal espécie de pharming é muito rara.
Ainda assim, Raquel Guimarães não deixa de dizer que, mesmo numa situação de pharming em que o utilizador não tenha responsabilidade na entrada na página falsa, terá responsabilidade se facultar mais elementos que aqueles que o banco lhe transmitiu que lhe pedirá: «Já será censurável o seu comportamento se fornece mais informação do que aquela que habitualmente lhe é pedida - se, nomeadamente, faculta todas as coordenadas do seu cartão-matriz, quando o banco anuncia que estas nunca são pedidas para uma mesma operação - ou se lhe são pedidos dados inusuais, como o número de telefone» (id., p. 27).
Em síntese, por tudo quanto expusemos, a análise dos factos listados conduz-nos à plena convicção de que a autora entrou na página fraudulenta, que pensava ser da ré, por via do e-mail de phishing que recebeu; e, nessa página, introduziu o seu número de cliente e o PIN de seis dígitos (necessários ao login) e todas as posições do seu cartão matriz.
Mas ainda que a autora tivesse chegado àquela página pela forma que descreveu nas suas declarações de parte em audiência, o resultado em termos de imputabilidade e culpa seria mesmo. A autora teria entrado na página errada porque não o teria feito da forma correta (não teria escrito o nome de domínio ou endereço – v.g. www.abcd.pt – na linha do navegador ou browser); e depois de entrar na página errada, a autora não teria tido o cuidado de ver se o endereço da página onde estava era o endereço da ré; e, por último, sempre teria fornecido (como forneceu) a terceiros as suas credenciais, em modo e quantidade diversos dos que a ré lhe comunica que lhe poderia pedir. Sempre teria sido (como foi) apenas o comportamento negligente da autora, sem qualquer intervenção da ré, que permitiu a terceiros apoderarem-se da identidade e credenciais da autora e dar as ordens como se fossem emitidas pela autora.
Ainda em sede de análise da decisão de facto importa esclarecer o facto 21, cujo conteúdo é: «Nos sites de internet identificados no motor de busca de internet “Google”, nos termos constantes do documento de fls. 13 verso, que aqui se dá por integralmente reproduzido, a referência 11249, atribuída à entidade beneficiária dos pagamentos referidos no ponto 14, está sinalizada como sendo um instrumento ao serviço de terceiros que realizam operações como as acima descritas sem conhecimento ou autorização dos respetivos titulares das contas bancárias».
Como bem explicou Daniel C... há empresas que são titulares de um número de entidade (cinco dígitos) para pagamentos, e cujo negócio (eventualmente a par de outros) é fornecer a empresas terceiras referências (nove dígitos) para que elas possam receber pagamentos dos seus clientes. Essas empresas terceiras, por apenas precisarem de receber pagamentos eletrónicos esporadicamente ou por não terem dimensão/capacidade para contratarem um número de entidade, recorrem a empresas que têm um tal número e lhes fornecem referências ocasionais. Quando os clientes dessas empresas lhes pagam, servem-se da entidade (número com cinco dígitos) da fornecedora e de uma referência (número com nove dígitos) que a fornecedora lhes faculta. Os malfeitores terão recorrido, e será habitual que recorram, a essas empresas para obterem referências para receberem os supostos pagamentos. O facto de a empresa fornecedora das referências ter sido contratada pelos malfeitores (e de isso já ter ocorrido no passado com estes ou outros malfeitores, e de esses factos estarem descritos em textos publicitados em páginas Web) não significa que a empresa fornecedora de referências tenha como clientes apenas malfeitores. Nem nada o indicia. Trata-se de negócio obviamente lícito e corrente e, à partida, a generalidade dos clientes da empresa fornecedora de referências querem as referências para fins lícitos. Tão-pouco a empresa fornecedora de referências poderá conhecer a que se destinam os pagamentos que as empresas, suas clientes, vão receber com as referências fornecidas nem qual a sua origem. Portanto, o facto 21 não indicia qualquer falta de cuidado por parte da ré.
b) Relação contratual e responsabilidade no caso concreto
A relação jurídica entre as partes tem na sua génese um contrato de abertura de conta (ou contrato de conta bancária, na terminologia usada por José A. Engrácia Antunes, Direito dos Contratos Comerciais, Almedina, 2009, pp. 483 e ss. onde se pode encontrar boa síntese sobre o tema).
O contrato de abertura de conta é um contrato celebrado entre um banco e um seu cliente que enquadra e disciplina uma relação duradoura entre as partes e no âmbito do qual devem surgir outros contratos que implicam existência e movimentação de fundos (nomeadamente um contrato de depósito bancário, mas podendo ser também, apenas ou cumulativamente, um contrato de conta-corrente bancária ou uma de várias espécies de contratos de crédito). De acordo com esta nossa noção, de resto consentânea com outras que encontramos na doutrina e na jurisprudência, o modelo em causa tem as características de um contrato-quadro (sobre esta categoria contratual genérica, e com grande relevância para a situação dos autos, v. Maria Raquel de Almeida Graça Silva Guimarães, O contrato-quadro no âmbito da utilização de meios de pagamento eletrónicos, Coimbra Editora, 2011). Dissemos «devem surgir» porque o contrato-quadro de abertura de conta apenas alcança sentido quando complementado por um dos indicados contratos.
Porém, ainda outros acordos contratuais podem surgir no âmbito da relação bancária, como acessórios do contrato génese de abertura de conta, ou de um dos demais referidos. É o caso do vulgarmente designado contrato de homebanking, tipo social hoje bem reconhecido na comunidade jurídica e na sociedade em geral, por força da sua constante e generalizada repetição na prática bancária, e pelo sequente tratamento que tem merecido da doutrina e da jurisprudência, na sequência dos litígios a que tem dado azo. No comércio, a par da indicada designação, surge também com outras, como online banking, internet banking, e-banking, ou equivalentes lusos (banca ao domicílio, banca eletrónica) ou mistos (banco online). De dizer que a terminologia homebanking, além de ser a mais utilizada entre nós, é também a mais versátil, permitindo abranger canais que não passam pela internet, nomeadamente o contacto telefónico.
Apesar de a lei não lhe atribuir um nome nem um conjunto concentrado de regras que o visem em exclusivo, não deixa de se encontrar regulado a um nível de abstração mais elevado, enquanto serviço de pagamento e a par de outros serviços de pagamento (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, contido no Anexo I do DL 317/2009, de 30 de outubro – com as alterações do DL 242/2012, de 7 de novembro, e do DL 157/2014, de 24 de outubro –, de ora em diante RSP). De notar que o serviço de homebanking não implica necessariamente serviços de pagamento, podendo ser contratado com âmbito mais restrito de consulta de dados e transferências entre contas do mesmo titular. Geralmente, porém, e no caso dos autos assim foi, por via do contrato de homebanking o banco disponibiliza a possibilidade de o utilizador lhe dar ordens e o utilizador confere ao banco autorização para executar as ordens que lhe dê por via da plataforma eletrónica (e/ou telefone – possibilidade a que não aludiremos mais por não ser a dos autos).
Não tem havido hesitação na consideração do contrato de homebanking como distinto e autónomo de outros que sustentam a relação bancária, ainda que acessório de outro(s).
A sua formação dá-se usualmente por adesão a um clausulado pré-estabelecido pelo banco e uniforme para a generalidade dos seus clientes, sendo por isso de considerar o regime jurídico das cláusulas contratuais gerais (DL 446/85, de 25 de outubro, com as suas várias alterações – LCCG). De notar, em todo o caso que o regime do RSP é imperativo e imediatamente aplicável a contratos anteriores à sua vigência relativos aos serviços de pagamento nele regulados, sendo-lhes desde logo aplicáveis as disposições que se mostrem mais favoráveis aos utilizadores de serviços de pagamento (art. 101 do RSP). Por via desta norma evitaram-se os possíveis diferendos a propósito da validade de cláusulas contratuais gerais contrárias à LCCG em temas regulados mais favoravelmente pelo RSP.
Uma das funcionalidades habituais do contrato de homebanking consiste na possibilidade de o cliente bancário ordenar ao seu banco (contraparte no contrato) a realização de operações de pagamento (isoladas ou reiteradas, entrando nestas as vulgares ordens de débito em conta para pagamento de serviços continuados de água, eletricidade, comunicações, etc.). Para que o contrato de homebanking confira às partes esta possibilidade, tem ela de constar expressamente do contrato (v. art. 65 do RSP).
Entre as obrigações do utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento (dispositivo personalizado ou conjunto de procedimentos acordados entre o utilizador e o prestador do serviço de pagamento e a que o utilizador de serviços de pagamento recorra para emitir uma ordem de pagamento – art. 2.º, al. z), do RSP), contam-se:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; e
b) Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento (art. 67 do RSP).
Podemos dizer que o contrato de homebanking não gera para o utilizador um dever de prestar principal. Pode nada fazer, não utilizar. Utilizando, tem o dever de o fazer corretamente, de forma a não causar prejuízos à parte contrária, nomeadamente por via indireta – prejuízos a si, utilizador, que, por via das normas que oneram a entidade bancária com presunções e provas, acabam por recair na esfera do banco.
Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, o art. 70, n.º 1, do RSP faz recair sobre o prestador do serviço de pagamento o ónus fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência.
Mais: verificando-se o mesmo caso (utilizador que nega ter autorizado operação realizada), a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo cliente, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67 (n.º 2 do art. 70 do RSP).
Havendo uma operação de pagamento não autorizada, o prestador de serviços de pagamento deve reembolsar o seu cliente (o artigo 71 refere-se ao reembolso do «ordenante», mas no caso de fraude quem ordena é o terceiro), imediatamente, do montante da operação de pagamento não autorizada e, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada – esta é a regra imposta pelo art. 71, n.º 1, do RSP.
Como se alcança do artigo subsequente, esta regra pressupõe que não se prove a imputação ao cliente de atos que propiciaram a operação não autorizada. Se se demonstrar culpa do utilizador, então ele será responsável, parcial ou totalmente, como a seguir se expõe.
Se as operações de pagamento não autorizadas resultarem da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao cliente do banco (também esta norma refere «ordenante», mas em caso de fraude quem ordena é o terceiro), este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de € 150 (art. 72, n.º 1, do RSP).
Se as operações de pagamento não autorizadas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67, o ordenante suporta todas as perdas (n.º 2 do art. 72 do RSP).
Havendo negligência grave do cliente do banco, parte no contrato de homebanking, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento (n.º 3 do art. 72 do RSP).
Percorridas as normas do RSP pertinentes para a apreciação e decisão do caso concreto que nos é dado resolver, quid juris?
A autora fez uma utilização incorreta das credenciais que o banco lhe forneceu para aceder ao homebanking, dando-as a terceiros de uma forma, mais que incauta, ilógica, despropositada, incongruente, contraditória com a lógica do sistema de segurança para que as credenciais servem.
Na cláusula 4.2, primeira parte, do contrato de homebanking que a autora celebrou com a ré consta, ipsis verbis, «O Cliente compromete-se, igualmente, a guardar sob segredo as suas Credenciais de Autenticação, bem como a prevenir adequadamente a sua utilização abusiva por parte de terceiros».
Nos termos do disposto no art. 67 do RSP, como vimos, a autora tinha a obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização.
Com a sua atuação violou de forma muito grave normas contratuais e legais expressas.
A ré, por seu turno, demonstrou o bom funcionamento do sistema e as muitas medidas que tomou para que a autora tivesse efetivo conhecimento da forma como devia utilizar o cartão (nomeadamente que nunca lhe seriam pedidas mais do que duas posições do mesmo – frase que inclusive está escrita no cartão) e dos perigos de fraude mais comuns.
Como afirmámos, não é possível, perante o conjunto de factos provados, que a autora não tenha fornecido todas as posições do seu cartão matriz, mas ainda que tivesse fornecido apenas umas dezenas, a conclusão sobre a gravidade do seu incumprimento dos deveres contratuais seria a mesma.
Em circunstâncias de facto análogas às dos autos, encontramos idênticas conclusões na doutrina e na jurisprudência, de que passamos a dar notícia, sem pretensão de exaustão.
Carolina França Barreira, A repartição dos prejuízos decorrentes de fraude informática, cit., p. 79:
«Na nossa opinião, se se provar que o banco, na altura dos acontecimentos, divulga mensagens a alertar para os perigos inerentes ao home banking, nomeadamente dá conhecimento da existência de esquemas fraudulentos, e mais tarde, ocorre uma operação não autorizada na conta bancária do seu cliente tendo na origem a divulgação dos dispositivos de segurança personalizados para aceder ao serviço, é legítimo considerar que o cliente incumpriu com negligência grave os seus deveres, designadamente a do n.º 2 do artigo 67º do RSP. Apesar de, tanto no caso dos avisos de segurança deixados num menu na página do banco, como nos banners, se considerar que a mensagem foi devidamente comunicada, é manifesto que a ignorância de uma mensagem que aparece ao abrir a ligação de acesso ao home banking e que tem de ser fechada pelo cliente para conseguir aceder ao serviço (banner) será alvo de um maior grau de censura. Caberá ao julgador decidir se deverá ser feita uma distinção quanto à intensidade de negligência incorrida consoante a forma pela qual foi realizada a divulgação dos alertas. Podemos concluir que a divulgação destes alertas exonera o banco de suportar as perdas resultantes de operações fraudulentas antes da notificação da sua ocorrência.»
Na jurisprudência extratamos alguns sumários, por ordem cronológica crescente.
Ac. do TRG de 25/11/2013, proc. 2869/11.4TBGMR.G1 (Espinheira Baltar):
«(…) 2. O aderente tem de cumprir um conjunto de deveres conexos com a segurança do seu sistema informático e uso da chave de acesso concedida pela ré, não a fornecendo a terceiros.
3. A entidade bancária cumpre o seu dever de protecção e informação colocando no seu site toda a informação disponível sobre segurança, que os utentes têm o dever de consultar, para se prevenirem de fraudes.
4. Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador.»
Ac. do TRL de 12/12/2013, proc. 164/11.8TBSRT.L1-6 (Tomé Ramião):
«(…) 3. Provando a Ré que a Autora fez uma utilização imprudente, negligente e descuidada desse serviço, revelando a terceiros, na internet, os seus códigos pessoais de acesso ao serviço, bem como dos elementos necessários para a confirmação/validação da operação bancária, não lhe é exigível o pagamento das quantias por eles indevidamente movimentadas.»
Ac. do TRE de 25/06/2015, proc. 3052/11.4TBSTR.E1 (Cristina Cerdeira)
«I) - O serviço de home banking prestado por uma instituição bancária aos seus clientes envolve obrigações recíprocas: por um lado, o Banco tem o dever de garantir a segurança na implementação do sistema informático e de informar os clientes das regras de segurança a seguir na utilização do serviço e, por outro, o cliente utilizador obriga-se a cumprir determinadas condições de segurança na utilização daquele serviço, designadamente a manter a confidencialidade do número do contrato, do código e do cartão matriz. (…)
V) - Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do Banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador. (…)
VII) - Ao divulgar na internet a totalidade dos dados do seu cartão matriz – apesar dos vários alertas de segurança no site da Ré na internet, advertindo os utilizadores para não reproduzirem os elementos do cartão matriz, e de ter tomado conhecimento das Recomendações de Segurança constantes do “guia de utilizador” que lhe foi entregue e que também se encontram acessíveis no mencionado site - a Autora atuou ao arrepio do contrato de home banking a que aderiu e em violação de regras básicas de segurança nele previstas para a utilização do serviço “[…]”, o que permitiu que terceiros se apoderassem dos seus elementos de segurança e assim lograssem aceder às contas bancárias tituladas pelas Autoras e efectuar operações fraudulentas.
VIII) - A Ré, ao provar a culpa da Autora na transmissão da totalidade dos dados do seu cartão matriz a terceiros e, consequentemente, o seu incumprimento do contrato de home banking por violação das mais elementares regras de segurança impostas pelo mesmo, ilidiu a presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil que sobre si impendia, pelo que não é responsável pela movimentação das contas bancárias de forma fraudulenta.»
Ac. do TRE de 12/04/2018, proc. 9002/16.4T8STB.E1 (Ana Margarida Leite)
«(…) IV – O comportamento do autor que, tendo acedido a página eletrónica ilícita convencido de que se tratava da página da entidade bancária, forneceu, a solicitação do sistema, além do número de identificação e do código PIN, a totalidade das coordenadas inscritas no cartão matriz, mostra-se adequado a viabilizar a realização por terceiros de operações de pagamento não autorizadas;
V - A advertência, que fora transmitida ao autor e que constava do cartão matriz, de que a solicitação de mais de duas posições desse cartão indicia a presença de página fraudulenta, impunha cautela ao autor, permitindo-lhe prever a possibilidade de não se encontrar no sítio eletrónico correto e de estar a facultar os seus dados a terceiros;
VI - A atuação do autor, ao inserir a totalidade das coordenadas inscritas no cartão matriz em página eletrónica semelhante à do serviço de homebanking da ré, configura negligência grave, preenchendo a previsão do artigo 72.º, n.º 3, pelo que lhe cabe a responsabilidade pelas operações de pagamento não autorizadas executadas, até ao limite do saldo disponível.»
Sumariando:
I. Ao recorrer da matéria de facto, o recorrente tem o ónus de indicar o conteúdo alternativo que pretende para os factos impugnados; porém, ainda que não o faça de forma direta e autonomizada, se a interpretação da narrativa apresentada nas alegações de recurso permitir aos desembargadores concluírem com segurança o conteúdo alternativo pretendido para a decisão de facto, o recurso sobre a matéria de facto não deve ser rejeitado.
II. Na reapreciação da prova, a Relação está limitada a determinados aspetos da matéria de facto dos quais o recorrente discorda e reanalisará, pelo menos, os elementos probatórios indicados pelo recorrente para sustentar solução diversa. Fora destas balizas, os tribunais da Relação devem proceder à efetiva reapreciação da prova produzida da mesma forma que o faz o juiz de 1.ª instância: livremente, segundo a sua prudente convicção acerca de cada facto (exceto no que respeita a factos para cuja prova a lei exija formalidade especial, ou que só possam ser provados por documentos ou que estejam plenamente provados por documentos, acordo ou confissão).
III. O phishing é uma atividade fraudulenta que se inicia com o envio de um e-mail que parece proveniente de outra entidade (nomeadamente bancária) e no qual é sugerido, sob pretextos vários, que o destinatário aceda à página Web (site) do suposto remetente através de uma hiperligação (link) contida no e-mail; depois de agir da solicitada forma, o destinatário do e-mail entra numa página falsa, provavelmente de aspeto parecido ao da entidade pela qual o autor do phishing se faz passar, e introduz os dados necessários para a entrada (login), como o seu nome de utilizador (username) e a palavra-passe, entre outros. As credenciais do destinatário do e-mail serão depois utilizadas pelo phisher para entrar no verdadeiro site da entidade (bancária ou outra) como se fosse o legítimo titular das credenciais, com vista à execução de ações ilícitas, nomeadamente apropriação de fundos alheios.
IV. No pharming o utilizador de internet é conduzido a uma página falsa na sequência (quase sempre) da instalação no seu computador de um programa malicioso destinado a redirecionar nomes de domínio (endereços de sites) por si pesquizados para sites fraudulentos. Para conseguir instalar nos computadores alheios esse programa viral, o pharmer envia e-mail de spam que o atingido abre e na sequência do qual toma uma determinada ação, nomeadamente clicando nalgum link do mesmo.
V. O contrato de homebanking é um contrato-quadro que, acessoriamente ao contrato génese de abertura de conta, permite e disciplina a relação bancária à distância, nomeadamente através da página Web do banco na internet; por via dele, o banco obriga-se a disponibilizar meios eletrónicos fiáveis necessários à comunicação à distância, a mantê-los em regular funcionamento, e a fornecer dispositivos de segurança personalizados de modo a assegurar o acesso exclusivo do cliente à sua conta bancária; o cliente, não assumindo embora uma obrigação principal de prestar, tendo uma mera faculdade de utilizar o sistema, obriga-se, caso use tal faculdade, a fazê-lo de acordo com determinadas regras que visam assegurar a fiabilidade das comunicações.
VI. O contrato de homebanking permite a consulta de dados e, geralmente, a movimentação de fundos, incluindo transferências para terceiros; apesar de a lei não lhe atribuir um nome nem um conjunto concentrado de regras que o visem em exclusivo, quando o seu objeto inclui a movimentação de fundos para a titularidade de terceiros, encontra-se regulado a um nível de abstração mais elevado, enquanto serviço de pagamento.
VII. Tendo o banco comunicado ao cliente, em vários momentos, por vários meios e formas, o modo de corretamente utilizar as credenciais de acesso ao sistema de homebanking, a introdução pelo cliente dos códigos de acesso à conta bancária (identificação e palavra-passe) e dos números do cartão matriz (terceiro nível de verificação de identidade para certas operações bancárias) numa página Web com elementos (mais ou menos, muitos ou poucos) semelhantes à página do banco, mas à qual chega ao clicar numa hiperligação de um e-mail, constitui uma grave violação do dever de manter em segredo as credenciais em causa.
VIII. O cliente do banco, parte no contrato de homebanking, suporta (até ao limite do saldo disponível ou da linha de crédito associada à conta) as perdas resultantes de operações de pagamento efetuadas em execução de ordens dadas através do sistema de homebanking por terceiros a quem, por atuação gravemente negligente, facultou os códigos e chaves necessários a que tais ordens fossem identificadas como tendo sido dadas por si.
IV. Decisão
Face ao exposto, acordam os juízes desta Relação em julgar procedente a apelação, revogando a sentença recorrida e absolvendo a ré do pedido.
Custas pelos autores.
Lisboa, 12/07/2018
Higina Castelo
José Capacete
Carlos Oliveira