Acórdão do Tribunal da Relação de Lisboa
| 1952/15.1T8SXL.L1-1 |  |
SEGURANÇA
RESPONSABILIDADE
Não se tendo apurado ter o cliente permitido, ainda que de forma não intencional, o acesso de terceiros às suas credenciais, não se pode concluir ser imputável a este a quebra da confidencialidade dos dispositivos de segurança.
I. RELATÓRIO.
A. intentou contra B. a presente ação declarativa de condenação, na forma de processo comum, pedindo a condenação da Ré a pagar ao Autor a quantia de € 4.358,39 (quatro mil trezentos e cinquenta e oito euros e trinta e nove cêntimos), acrescida de juros vincendos até integral pagamento, e bem assim, a quantia de 2.500€ (dois mil e quinhentos euros) a título de indemnização por danos não patrimoniais.
Alegou para tanto, em resumo, que é titular de conta de depósito à ordem junto da Ré tendo aderido ao serviço B. Online, que no dia 10 de Maio de 2013 foi contactado telefonicamente pelos serviços da Ré, que lhe comunicaram ter recebido um alerta de que teria sido feito um acesso com os seus dados ao serviço B. OnLine pelas 14.08minutos, do dia 9 de Maio de 2013, que teria sido efectuado um movimento próximo do limite máximo diário de 4.0000€ (quatro mil euros) e que o contrato B. on-line estaria já bloqueado, por precaução.
Acrescentou que se deslocou ao balcão da Ré, onde solicitou um extracto dos movimentos, tendo então sido identificado um movimento, no valor de 3.985€ (três mil novecentos e oitenta e cinco euros), movimento que não solicitou ou autorizou, do que informou a ora Ré, pedindo que o montante fosse restituído à sua conta.
Mais referiu que a Ré, tendo embora informado que ia analisar a situação, veio a considerar em Julho de 2013 não ser possível concluir pela sua responsabilização, tendo decidido não proceder ao reembolso da quantia, que nessa altura o Autor encontrava-se a construir uma moradia e já havia contratado os serviços da empresa de construção civil, que ficou sem dinheiro para pagar os serviços já realizados, chegando a recear não poder concluir a empreitada, o que lhe causou um mau estar, angústia, transtorno, stress, tendo inclusive emagrecido bastante, e deixando de dormir, preocupado com os valores em dívida para com o construtor civil, tendo tido que solicitar a um amigo dinheiro para não parar a empreitada, e fazer face a compromissos da sua vida corrente, no valor de 2.500,00€, o que lhe causou constrangimento, não podendo ter gastos supérfluos, o que lhe coartou a sua liberdade financeira, deteriorou a sua qualidade de vida e trouxe diversas complicações e desgaste da sua vida conjugal, porquanto todos os excedentes financeiros visavam pagar a dívida contraída.
A Ré contestou, alegando que procedeu à transferência em causa porquanto foram introduzidos de forma correta no sistema informático associado ao serviço B. online todos os códigos secretos de acesso e de autenticação a tal serviço necessários ao processamento da transferência, códigos que apenas podem ser do conhecimento do Autor, que além disso, o Autor aderira também ao SMS TOKEN, -serviço este que constitui uma segurança adicional de autenticação e validação da transferência -, sendo que para se operar a transferência também além dos códigos relativos ao serviço B. online também se exigiu a prévia inserção de um código numérico enviado por “SMS” para o telemóvel associado pelo próprio A. ao este contrato B. online, - SMS TOKEN, sendo que esse código numérico só pode ser utilizado uma vez e tem uma validade de 60 segundos.
Concluiu que a não ter sido o Autor a dar a ordem de transferência, terá cedido os seus códigos e elementos de segurança, voluntária ou involuntariamente a terceiros, que o sistema informático da Ré não foi vítima de qualquer ataque informático, que cabia ao Autor a responsabilidade e o cuidado de preservar os seus dados e elementos confidenciais e intransmissíveis de utilização do serviço B. online, bem como sabia que tinha que respeitar as recomendações de segurança e alertas de segurança que a ré divulgava e divulga no seu site, não existindo fundamento para responsabilizar a Ré pela realização da transferência em causa.
Pugnou pela sua absolvição do pedido.
*
Dispensada a realização de audiência prévia, foi proferido despacho saneador, fixados o objeto do processo e os temas de prova, sem qualquer reclamação.
*
Realizada a audiência final, veio a ser proferida sentença que julgou parcialmente procedente, por provada, a presente ação, e condenou a Ré a pagar ao Autor:
- a quantia de €3.985,00 (três mil novecentos e oitenta e cinco euros), devida a título de reembolso, quantia acrescida de juros de mora vencidos e vincendos à taxa legal, contados desde a data da citação e até integral pagamento;
- a quantia de 2.000€ (dois mil euros) a título de indemnização por danos não patrimoniais, quantia essa atualizada à presente data, acrescida de juros à mesma taxa legal, contados desde a data de trânsito em julgado da presente sentença.
Mais absolveu a Ré do restante peticionado.
*
Inconformada com esta decisão, dela apelou a Ré, formulando conclusões (…). Terminou pedindo que seja revogada a sentença e substituída por decisão que absolva a Ré do pedido.
*
O Autor contra-alegou, apresentando, por seu turno, conclusões ()
*
II. QUESTÕES A DECIDIR.
Sendo o objeto do recurso balizado pelas conclusões do apelante, nos termos preceituados pelos artigos 635º, nº 4, e 639º, nº 1, do Código de Processo Civil, impõe-se conhecer das questões colocadas pela Apelante e as que forem de conhecimento oficioso, sem prejuízo daquelas cuja decisão fique prejudicada pela solução dada a outras, sendo o julgador livre na apreciação e aplicação do direito, nos termos do disposto no artigo 5º, n.º 3 do Código de Processo Civil.
Assim, no caso concreto, importa apreciar e decidir:
- se procede a impugnação da matéria de facto; e
- se deve manter-se a condenação da Ré a reembolsar o Autor da quantia transferida da conta bancária de que é titular, e a indemnizar o Autor pelos danos não patrimoniais sofridos, em conformidade com o decidido na sentença recorrida.
***
III. FUNDAMENTAÇÃO.
III.1. O Tribunal Recorrido considerou provados os seguintes factos:
1) O Autor é titular da conta bancária de depósito à ordem, com o número 027… junto da Ré;
2) A mencionada conta bancária do Autor referida em 1) encontra-se a ser gerida pelo balcão de Cruz de Pau;
3) O Autor em 27.02.2007 aderiu ao serviço B. Online, tendo sido atribuído um contrato com o n.º 0710579;
4) Tendo nessa data subscrito o documento que consta de fls 60 e 61 dos autos denominado “B.”- “ proposta de adesão” cujo teor se dá por integralmente reproduzido;
5) Apesar de solicitada pelo Autor uma cópia autenticada do contrato mencionado em 4), a mesma não foi apresentada pela R;
6) O Autor no dia 10 de Maio de 2013 foi contactado telefonicamente pelos serviços da Ré, onde lhe comunicaram ter recebido um alerta de que teria sido feito um acesso com os seus dados ao serviço B. On-Line pelas14.08 minutos, do dia 9 de Maio de 2013;
7) Mais informaram os serviços da Ré na mesma ocasião que teria sido efectuado um movimento próximo do limite máximo diário de 4.0000€ (quatro mil euros), e que o “contrato” B. online estaria já bloqueado, por precaução;
8) Acto seguido o Autor deslocou-se ao balcão da Ré na Cruz de Pau, onde solicitou um extracto dos movimentos;
9) Tendo então sido identificado um movimento, no valor de 3.985€ (três mil novecentos e oitenta e cinco euros);
10) Movimento esse que o funcionário do balcão não conseguiu identificar como sendo uma transferência, ou um pagamento;
11) No dia 09 de Maio de 2013 o Autor encontrava-se a participar num almoço de aniversário com diversos familiares;
12) O movimento em causa referido em 7) não foi autorizado ou requerido pelo Autor;
13) O que de imediato o Autor informou a Ré;
14) No dia 13 de Maio de 2013 deu entrada no balcão da Cruz de Pau da Ré, uma missiva do Autor em que o mesmo reportava a situação, e renovava que não tinha autorizado aquele movimento requerendo que o valor do mesmo fosse restituído à sua conta, nos termos que constam do documento de fls. 18 a 19 dos autos cujo teor se dá por integralmente reproduzido;
15) Em resposta datada de 16.05.2013 a Ré informou o Autor que a situação está a ser apreciada pela sua Direcção, bem como que a transferência se destinou a uma conta à ordem titulada por F. que teria levantado os fundos, e não teria sido possível contactar nos termos que constam do documento de fls. 20 dos autos cujo teor se dá por integralmente reproduzido;
16) Já anteriormente, no mesmo dia 13 de Maio de 2013 o Autor havia apresentado na Esquadra da Cruz de Pau, uma queixa-crime contra desconhecidos, o que fez nos termos que constam do documento de fls. 21 e 22 dos autos, documento cujo teor se dá por reproduzido;
17) Queixa essa que veio a dar origem ao processo n.º 531/13.2PBSXL;
18) O processo-crime supramencionado em 17) veio a ser concluído com um “despacho de arquivamento”, de onde resulta, nomeadamente que os factos denunciados corresponderão a uma prática de phishing ou pharming nos termos que constam do documento de fls. 24 a 28 dos autos cujo teor se dá por integralmente reproduzido;
19) A Ré por carta datada de dia 8 de Julho de 2013 deu a conhecer ao Autor os resultados finais do seu processo interno de averiguações resultante da reclamação apresentada pelo mesmo, onde o informa além do mais que: “... não se apuram elementos objectivos que possam responsabilizar a B. pelo acesso alegadamente indevido ao n/ serviço “B. on-line”. Em consequência não se mostra possível efectuar o reembolso de €3.985,00”, nos termos que constam do documento de fls. 29 e 30 dos autos cujo teor se dá por integralmente reproduzido;
20) Na altura dos factos o Autor encontrava-se a construir uma moradia, sita na Rua F…, Amora, onde actualmente reside com o seu agregado familiar;
21) Tendo, por isso, já contratado uma série de serviços para o efeito e assumido uma série de compromissos de ordem financeira, para os quais contava com o dinheiro em causa;
22) Nomeadamente, havia contratado os serviços da empresa de construção civil de J.
23) O Autor viu-se confrontado com a necessidade de requerer ao seu amigo de infância L. dinheiro para não parar a empreitada e ao mesmo tempo fazer face aos compromissos da sua vida corrente, no valor de 2.500,00€;
24) Valor esse, que apenas veio a ser pago, na totalidade, durante o ano de 2014;
25) O Autor viveu durante um ano constrangido perante o seu amigo por lhe dever o valor de 2.500€, não podendo com isso ter gastos supérfluos para além da sua vida quotidiana, por dever moral de primeiro pagar o dinheiro que lhe havia sido emprestado;
26) O que em grande medida coarctou a sua liberdade financeira e capacidade de optar sobre o que fazer com as verbas financeiras de que dispunha até liquidar o valor que lhe havia sido emprestado;
27) O que deteriorou a sua qualidade de vida, e trouxe diversas complicações e desgaste da sua vida conjugal, porquanto todos os excedentes financeiros visavam pagar a dívida contraída;
28) O Autor por isso sofreu mau estar, angústia, transtorno, stress tendo inclusive emagrecido bastante, e deixando o autor diversas noites sem dormir, preocupado com os valores em dívida para com o construtor civil,
29) A Ré procedeu à transferência da quantia de 3.985,00 € da conta 027… para a conta bancária sedeada também na B., titulada por RF., com o nº 069…
30) Para além do cartão matriz atribuído e entregue ao Autor – cujas coordenadas servem para autenticar que é o seu titular quem está a proceder a uma (ou várias) transferência(s) a débito – para aceder ao serviço B. online, é ainda necessário a prévia introdução do número de contrato e, ainda, de uma password, elementos de log in e de segurança.
31) O Autor aderira também ao SMS TOKEN serviço que constitui uma segurança adicional de autenticação e validação nomeadamente de transferências bancárias;
32) Cada código numérico só pode ser utilizado uma vez e tem uma validade de 60 segundos, pelo que caso seja ultrapassada este decurso de tempo o utente tem de solicitar novo código para poder confirmar a operação.
33) Aquando da subscrição do serviço B. online foi fornecido ao Autor na activação deste serviço um número de contrato, bem como um código de acesso, alterável pelo Autor - elementos necessários para entrar no serviço B. online através de um computador – log in -);
34) E também um cartão matriz com um conjunto único de 64 combinações de números de 3 algarismos cada uma, que funciona como um elemento de segurança adicional para as operações a débito para contas de terceiros realizadas no serviço B. online.
35) Qualquer dos três itens (número de contrato, código de acesso e cartão matriz) são pessoais, secretos, e intransmissíveis;
36) Tais elementos constam da carta/tipo (igual para todos os clientes) que acompanhou dito o cartão matriz quando este lhe foi remetido ao autor nos termos que constam do documento de fls. 62 a 64 dos autos e cujo teor se dá por integralmente reproduzido;
37) A Ré divulgava e divulga no seu site, www.B..pt, alertas de segurança que estão sempre disponíveis ao utilizador imediatamente antes do acesso ao serviço B. online e sempre em cada utilização deste;
38) Os quais em 09 de Maio de 2013 alertam que a B. nunca pede a totalidade dos números do cartão matriz, nunca pedindo mais – além do número e contrato e do código de segurança - do que uma combinação de três números das 64 combinações possíveis e apenas para validar operações a débito (transferências) em benefício de terceiros;
39) Que alertam também para o utente ”nunca guarde códigos no PC nem em locais facilmente acessíveis” igualmente avisando que “ a B. nunca envia emails a solicitar actualizações de dados pessoais nem a confirmação de códigos de acesso”, e, ainda, que “a B. nunca pede no log in os dígitos do cartão matriz”.
40) Nas recomendações de segurança, acessíveis aos utilizadores do B. online, consta nos termos que resultam do documento de fls. 76 a 87 dos autos e cujo teor se dá por integralmente reproduzido nomeadamente: recomendações de Segurança, conheça os últimos casos de fraude, recomendações para uma utilização segura da internet, conheça os nossos conselhos para uma utilização segura dos serviços de Internet banking da B.
41) E ainda, não utilize computadores públicos para aceder aos Serviços de Internet Banking da B.
42) Memorize os seus dados pessoais e não os divulgue;
43) Verifique o certificado digital para se certificar que está a aceder aos serviços de Internet Banking da B.;
44) Proteja e preserve o seu cartão matriz;
45) Confira se os dados da operação que efetuou no B., recebidos por SMS Token, estão corretos;
46) Verifique as suas contas regularmente;
47) Termine sempre a sessão B.;
48) Limpe o cache (ficheiros temporários) do seu computador;
49) Apague informação privada do disco do seu computador;
50) Mantenha-se a par da problemática do Phishing e outras tentativas de fraude;
51) Consulte também os mecanismos de segurança usados pela B.“
52) Em relação ao Internet Banking-“ Recomendações de segurança”:
53) Memorize os seus dados pessoais e não os divulgue
54) Para aceder ao B. on-line introduza o nº de contrato e o código de acesso • B. e-Banking introduza o código da empresa, código de utilizador e código de acesso.
55) Memorize estes códigos e mantenha-os sempre reservados:
56) Não os divulgue, nem mesmo se solicitado por pessoas que se identifiquem como colaboradores da B.;
57) Não os escreva de forma a poderem ser consultados por terceiros;
58) Não os envie por correio electrónico (nem mesmo para si próprio).
59) Deve alterar os seus códigos regularmente tendo em consideração as seguintes regras que permitem reforçar a segurança dos seus códigos: • Não utilizar os últimos 5 códigos, Não utilizar um código igual ao número de contrato, não escolher sequências facilmente reproduzíveis (ex: 111111, 123456), escolher sequências que não sejam facilmente associadas a si (ex: data de nascimento, data de casamento, número de telefone), não escolher os mesmos códigos para todos os serviços que utiliza.
60) E ainda “Se desconfiar que alguém tomou conhecimento dos seus códigos, ligue imediatamente para o B., disponível 24 horas por dia, através dos números707 24 24 24, 91 405 24 24, 93 200 24 24 e 96 200 24 24 “
61) E ainda; Recomendações de segurança“ na proteção do cartão matriz:
62) “Proteja e preserve o seu cartão matriz
63) Para proteção e preservação do cartão matriz deverá ter o mesmo tipo de cuidados que tem com os seus cartões de débito e crédito e com outras credenciais de segurança (PIN, códigos de acesso, etc.).
64) Deve ter especial atenção às seguintes medidas de segurança:
65) Não guardar informação do cartão em suporte digital;
66) Não fazer cópias do cartão ou dos números neles constantes;
67) Manter o cartão sempre na posse do titular e não o partilhar com ninguém;
68) Preservar a confidencialidade dos números contidos no cartão;
69) Não fazer anotações no cartão, em particular informação associável ao contrato B. on-line (ex: código de acesso, número de contrato), à conta ou a qualquer tipo de dado pessoal.
70) A perda ou o furto do cartão matriz deverá ser comunicado imediatamente à B. (em qualquer Agência ou através do B. telefone) para se proceder ao seu cancelamento, de modo a evitar uma eventual utilização abusiva por terceiros. Poderá de seguida solicitar um novo cartão para a sua morada”.
71) “Deve ter sempre presente que a B. nunca solicita dados de segurança (códigos de acesso e cartão matriz) ou outro tipo de informação confidencial através de mensagens de email, telefone ou outro tipo de contacto. Nunca se deve responder a este tipo de solicitação porque se trata de fraude. “
72) E ainda, conselhos de segurança relacionados com o SMS Token de onde resulta nomeadamente que: “O SMS Token é uma credencial de segurança que complementa os atuais processos de autenticação e confirmação de operações no home banking da B.”.
73) “O SMS Token é utilizado sempre que:
74) Efetuar uma operação (ex: transferência nacional, pagamento, etc.) cujo montante diário acumulado seja superior a 499,99 € ;
75) Efetuar um pagamento de telemóvel com montante superior a 49,99 €;
76) Efetuar transferências internacionais;
77) Ativar o SMS Token;
78) Subscrever o MBNet .
79) Sempre que solicitar uma operação nas condições anteriores será enviado para o seu telemóvel uma mensagem com:
80) Os dados da operação (que deverá verificar se estão correctos);
81) Um código numérico que deverá inserir no quando solicitado no decorrer da operação. A utilização deste código pressupõe a validação da operação indicada conforme consta da mensagem enviada pela B..
82) Cada código só pode ser utilizado uma vez e tem uma validade de 60 segundos. Ao fim deste tempo terá de solicitar novo código para confirmar a operação. “:
83) No site www….pt a ré explicita o que é o “phishing”, como reconhecê-lo, e como evitá-lo;
84) E publicitando alertas e recomendações de segurança com exemplos de fraudes nos termos que constam do documento de fls 88 a 165 e cujo teor se dá por integralmente reproduzido;
85) Destes alertas e recomendações resulta que a Ré nunca solicita dados de segurança (códigos de acesso e cartão matriz) ou outro tipo de informação confidencial através de mensagens de email, telefone, ou outro tipo de contacto e que nunca se deve responder a este tipo de solicitação porque se trata de fraude;
86) E ainda que, para ter a certeza de que está a aceder ao site B. online, deve sempre aceder através do endereço https://B.directa.B..pt;
87) E nunca através de links contidos em mensagens de email;
88) Para que o utente do serviço B. online possa efetuar operações a débito na(s) sua(s) conta(s) após fazer o log in (mediante a introdução do número de contrato e do código secreto de acesso – password -) é-lhe solicitada aleatoriamente pelo sistema informático da RÉ uma (e apenas uma) das 64 possíveis combinações de 3 números que compõem o cartão matriz;
89) Para aderir ao sistema SMS TOKEN, sistema de segurança adicional destinado à realização de operações a débito em benefício de terceiros o A. teve previamente que indicar à Ré o número de telemóvel (968 621 634) que pretendeu ver associado a este serviço, ativando seguidamente o serviço SMS TOKEN;
90) Na sequência do pedido de adesão a este serviço efectuado pelo Autor a B. remeteu ao A. a carta com o respectivo código para activação.
91) Dessa carta constam igualmente indicações de segurança, constando desta além do mais o seguinte: “sempre que solicitar uma operação acima daquele valor será enviado para o seu telemóvel um SMS com dados da operação e um código numérico. A utilização deste código no B. online pressupõe que foi por si validada e confirmada a operação indicada no SMS”;
92) O Autor associou o seu telemóvel com o nº 968 621 634 a este serviço (SMS TOKEN);
93) O SMS TOKEN destina-se a reforçar a segurança das operações efectuadas no serviço B. online, e visa obter do cliente confirmação da operação de movimentação a débito nas suas contas;
94) O sistema SMS TOKEN em geral funciona da seguinte forma: Sempre que é solicitada pelo utente uma operação a débito para contas de terceiros superior a 499,99 € através da introdução dos elementos de segurança referidos é seguidamente enviada para o telemóvel que o cliente indicou aquando da adesão um SMS com os dados da operação (montante a debitar e conta acreditar), que o cliente deverá verificar se correspondem aos que inseriu no B. online,
95) E um código numérico que o cliente deverá inserir no serviço B. online;
96) Cada código numérico só pode ser utilizado uma vez e tem uma validade temporal de sessenta segundos, ou seja, decorridos esses sessenta segundos o cliente terá de solicitar novo código através do B. online, caso ainda pretenda realizar a operação;
97) Após três tentativas falhadas de introdução deste código o serviço B. online bloqueia automaticamente.
98) Caso o cliente na confirmação que lhe é solicitada pelo sistema detecte alguma anomalia ou desconformidade com a operação pretendida não deve confirmar a operação;
99) Com introdução correta de credenciais de autenticação o sistema informático da B. assume que quem dá a ordem de transferência é o titular da conta sacada;
100) Com data de 15.09.2015 o Autor intentou a presente ação judicial.
*
III.2. O Tribunal recorrido considerou não provados os seguintes factos:
a) Aquando da subscrição do serviço B. on-line o Autor ficou na sua posse com um exemplar do acordo escrito celebrado com a Ré;
b) O funcionário do balção da Ré na Cruz de Pau alegou que o código numérico associado ao movimento não lhe era familiar;
c) O Autor por mais de que uma vez ficou sem dinheiro para pagar os serviços já realizados nos períodos acordados no início da empreitada;
d) Chegando o Autor a recear não poder concluir a empreitada já iniciada e com isso perder todos os montantes já investidos;
e) Os valores em dívida para com o construtor civil por parte do Autor aumentavam a cada dia;
f) A Ré só procedeu à transferência referida em 7) dos factos provados porquanto foram introduzidos de forma correta no sistema informático associado ao serviço B. online todos os códigos secretos de acesso e de autenticação a tal serviço necessários ao processamento da transferência;
g) A concretização da transferência referida em 7) exigiu a prévia inserção de um código numérico enviado por “SMS” para o telemóvel associado pelo próprio Autor a este contrato B. online, - SMS TOKEN;
h) O Autor cedeu os seus códigos e elementos de segurança, voluntária ou involuntariamente a terceiros, os quais na posse efectuaram a transferência referida em 7);
i) O sistema informático da Ré não foi vítima de qualquer ataque informático nem antes, nem durante o momento em que se realizou a transferência bancária referida em 7);
j) O computador de utilização pessoal dos Autor do serviço homebanking foi atacado por piratas informáticos;
k) O Autor revelou os seus códigos de acesso pessoais secretos e intransmissíveis, bem como os seus elementos de autenticação sem se ter sequer apercebido que os estava a divulgar na internet.
l) As transacções bancárias online são totalmente seguras conquanto os utentes – tal como o Autor – não desrespeitem as regras de segurança divulgadas pela Ré no seu site;
m) Só com a indicação precisa e correta no sistema informático da Ré de todos os elementos requeridos se consegue validar a operação que se pretende realizar, e realizá-la com sucesso;
n) O SMS TOKEN só operou após a inserção pelo Autor da introdução do número de contrato, do código de acesso (password) e de uma das 64 possíveis combinações aleatórias de três algarismos que compõem o cartão matriz;
o) O Autor foi vítima da instalação de um software malicioso no seu telefone
p) A transferência referida em 7) foi autenticada, registada e contabilizada, não tendo sido afectada por nenhuma avaria técnica ou qualquer outra deficiência;
q) A ré não podia recusar a transferência atenta a total correspondência de códigos e autenticações com os que são do Autor;
r) A transferência bancária referida em 7) dos factos provados apenas foi possível porquanto foram inseridos no sistema informático da RÉ todos os códigos de autenticação e validação pessoais e secretos;
s) Não é possível ter conhecimento das credenciais de autenticação do Autor por outra forma que não seja a da sua inserção pelo próprio Autor no sistema informático ou por alguém a quem este tenha voluntária ou involuntariamente divulgado tais credenciais;
t) Dentro da instituição Ré é impossível conhecer os códigos de autenticação dos clientes aderentes a este serviço, nomeadamente os do Autor.
*
III.3. Da impugnação do julgamento da matéria de facto.
(…)
Nesta conformidade, na parcial procedência da matéria de facto, decide-se, pois, acrescentar à matéria de facto provada os dois seguintes factos:
a) - A transferência bancária referida em 7) dos factos provados apenas foi possível e a Ré só procedeu à mesma porquanto foram inseridos no sistema informático da RÉ os códigos de acesso, autenticação e validação, pessoais e secretos, necessários ao processamento da transferência;
b) - A concretização da transferência referida em 7) exigiu a prévia inserção de um código numérico enviado por “SMS” - SMS TOKEN pelos serviços da Ré;
No mais, a decisão da matéria de facto mantém-se inalterada, pelo que nos dispensamos de a voltar a reproduzir.
*
III.4. Os factos e o direito.
Dos factos provados resulta a celebração entre o a ora Apelante e o ora Apelado, de um contrato de “homebanking” - o qual, sendo autónomo do contrato de conta bancária entre as partes também celebrado, mantém com o mesmo uma estreita ligação – através do qual o Autor passou a poder movimentar a sua conta por meios à distância.
A realização de operações de homebanking pressupõe “um complexo de contratos que permite regular, de antemão, as relações entre o banco prestador de serviços e o seu cliente, visando a simplificação dos procedimentos a adotar para a concretização de cada uma das operações por ele permitidas”[1].
A proliferação deste tipo de contratos impôs a necessidade da respetiva regulamentação.
O Decreto-Lei nº 317/2009, de 30 de Outubro, que aprovou o Regime jurídico que regula o acesso à atividade das instituições de pagamento e a prestação de serviços de pagamento e resultou da transposição para a ordem jurídica interna da Directiva nº 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro, relativa aos serviços de pagamento no mercado interno, entrou em vigor em 1 de Novembro de 2009, tendo sido alterado pelo Dec. Lei n.º 2482/2012, de 07.11 e pelo Dec. Lei n.º 157/2014, de 24.10.
O contrato de “homebanking” encontra-se previsto no artigo 2º, al. o) de tal diploma, como um contrato-quadro, ou um contrato de prestação de serviços de pagamento que rege a execução futura de operações de pagamento individuais e sucessivas e que pode enunciar as obrigações e condições para a abertura de uma conta de pagamento.
Conforme resulta do que já supra se adiantou em sede de fundamentação da matéria de facto, o contrato em causa, que como se referiu, tem vindo a obter forte adesão pelas vantagens que apresenta – para as entidades bancárias, que dessa forma agilizam serviços e otimizam a gestão de recursos humanos, e para os clientes, que podem aceder, até de casa, sem qualquer limite de horário, a uma enorme variedade de serviços bancários - comporta riscos, inerentes, quer a falhas no sistema, quer a ataques cibernautas.
Em matéria de responsabilidade por operações de pagamento não autorizadas, importa atentar nas seguintes disposições deste diploma:
Artigo 67.º
Obrigações do utilizador de serviços de pagamento associadas aos instrumentos de pagamento
1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento tem as seguintes obrigações:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; e
b) Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados.
Artigo 68.º
Obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento
1 - O prestador de serviços de pagamento que emite um instrumento de pagamento tem as seguintes obrigações:
a) Assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior;
b) Abster-se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído;
c) Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à notificação prevista na alínea b) do nº 1 do artigo anterior ou solicitar o desbloqueio nos termos do nº 4 do artigo 66.º;
d) O prestador do serviço de pagamento deve facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a notificação prevista na alínea b) do nº 1 do artigo anterior, de que efectuou essa notificação; e
e) Impedir qualquer utilização do instrumento de pagamento logo que a notificação prevista na alínea b) do nº 1 do artigo anterior tenha sido efectuada.
2 - O risco do envio ao ordenante de um instrumento de pagamento ou dos respectivos dispositivos de segurança personalizados corre por conta do prestador do serviço de pagamento.
Artigo 70.º
Prova de autenticação e execução das operações de pagamento
1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência.
2 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67.º
Artigo 71.º
Responsabilidade do prestador do serviço de pagamento por operações de pagamento não autorizadas
1 - Sem prejuízo do disposto no artigo 69.º, em relação a uma operação de pagamento não autorizada, o prestador de serviços de pagamento do ordenante deve reembolsá-lo imediatamente do montante da operação de pagamento não autorizada e, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada.
2 - Sempre que o ordenante não seja imediatamente reembolsado pelo respectivo prestador de serviços de pagamento nos termos do número anterior, são devidos juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada, até à data do reembolso efectivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.
Artigo 72.º
Responsabilidade do ordenante por operações de pagamento não autorizadas
1 - No caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de € 150.
2 - O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a actuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67.º, caso em que não são aplicáveis os limites referidos no nº 1.
3 - Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva.
4 - Após ter procedido à notificação a que se refere a alínea b) do nº 1 do artigo 67.º, o ordenante não suporta quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, roubado ou abusivamente apropriado, salvo em caso de actuação fraudulenta.
5 - Se o prestador de serviços de pagamento não fornecer meios apropriados que permitam a notificação, a qualquer momento, da perda, do roubo ou da apropriação abusiva de um instrumento de pagamento, conforme requerido pela alínea c) do nº 1 do artigo 68.º, o ordenante não fica obrigado a suportar as consequências financeiras resultantes da utilização desse instrumento de pagamento, salvo nos casos em que tenha agido de modo fraudulento.
Artigo 74.º
Pedidos de reembolso de operações de pagamento iniciadas pelo beneficiário ou através deste
1 - O ordenante tem direito a apresentar o pedido de reembolso, referido no artigo 73.º, de uma operação de pagamento autorizada, iniciada pelo beneficiário ou através deste, durante um prazo de oito semanas a contar da data em que os fundos tenham sido debitados.
2 - No prazo de 10 dias úteis a contar da data da recepção de um pedido de reembolso, o prestador de serviços de pagamento reembolsa o montante integral da operação de pagamento, ou apresenta uma justificação para recusar o reembolso, indicando os organismos para os quais o ordenante pode remeter a questão, ao abrigo dos artigos 92.º e 93.º, se não aceitar a justificação apresentada.
3 - O direito do prestador do serviço de pagamento de recusar o reembolso nos termos do número anterior não é aplicável no caso a que se refere a nº 4 do artigo 73.
Decorre deste regime, que os riscos pela utilização normal do sistema correm por conta do prestador de serviços, isto é sobre o banco, o que não deixa de ser uma obrigação perfeitamente normal já que é o banco que vai retirar os maiores benefícios económicos do seu bom funcionamento.
O legislador onerou o Banco com o ónus da prova de que as operações de pagamento (nas quais se inserem as transferências bancárias) não foram afetadas por avarias técnicas ou por quaisquer outras deficiências, não bastando o registo da operação para, por si só, provar que a operação foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das obrigações decorrentes do artigo 67º no Dec. Lei n.º 317/2009 de 30/10.
E fê-lo pela simples razão de que o utilizador não podia ser colocado na necessidade de fazer prova sobre a operacionalidade e o funcionamento regular de um sistema informático complexo da entidade bancária e que não domina[2].
Pelo que se fez recair sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema (como decorreria também do disposto no artigo 796º do Código Civil), impendendo ainda sobre este o ónus da prova de que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência.
Por outro lado, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe permitem aceder a esse serviço. Esses dispositivos de segurança personalizados têm uma função de autenticação – artigo 2º, al. t) do RSP – permitindo identificar o utilizador e verificar se este é efetivamente o cliente que contratou o serviço de homebanking. Exige-se, por isso, ao utilizador que tome todas as medidas razoáveis em ordem a preservar a eficácia desses dispositivos de segurança personalizados. Esses dispositivos de segurança personalizados visam evitar que terceiros consigam aceder, fraudulentamente, através do sistema, à conta do cliente utilizador do serviço de homebanking, logrando apropriar-se de fundos aí existentes.
Avultando neste tipo de contractos de home banking a obrigação de utilização correta do serviço por parte do utente, o qual assenta em boa parte na não divulgação dos seus elementos de segurança e códigos de acesso, o Banco pode elidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e provando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers[3].
Das normas enunciadas decorre pois, como se entendeu na decisão recorrida, que a responsabilidade por operações de pagamento não autorizadas incumbe, em princípio, ao prestador de serviços de pagamento, conforme regra estatuída no artigo 71.º, cabendo ao ordenante nas concretas situações previstas nos n.ºs 1 a 3 do artigo 72.º, designadamente em caso de negligência grave do ordenante.
Entendeu-se na decisão recorrida que “a entidade bancária Ré não logrou fazer a prova de ter o Autor autorizado a operação de pagamento relativa à transferência bancária referida no ponto 7°) dos factos provados, e nem logrou fazer prova de que, através de uma sua conduta, tivesse permitido a um terceiro a utilização abusiva das suas credenciais de acesso, e menos ainda que tal lhe possa ser de algum modo imputável.
Ora, como supra se deixou expresso, competia ao banco Réu, enquanto prestador dos serviços de pagamento, provar que as operações de pagamento realizadas não foram afectadas por avaria técnica ou qualquer outra deficiência (art. 70°, n." 1).
E não se tendo apurado ter o Autor permitido, ainda que de forma não intencional, o acesso de terceiros às suas credenciais, não se pode concluir ser imputável a este a quebra da confidencialidade dos dispositivos de segurança.
Ignorando-se como é que os terceiros acederam às chaves ou códigos de acesso do Autor, ou mesmo se acederam às mesmas e não tendo a entidade bancária Ré provado não estar afectado o seu sistema informático por avaria técnica ou qualquer outra deficiência, recai sobre esta Ré nos moldes expostos o dever de reembolsar o Autor do montante da operação de pagamento (art. 71°), - não tendo sequer este de suportar os prejuízos sofridos até ao montante de €150,00, o que assim cumpre decidir”.
Subscreve-se inteiramente este entendimento, cabendo reafirmar que não se tendo demonstrado a violação por parte do Autor de qualquer dever contratual ou legal, que tenha determinado a transferência repudiada, deve a Ré suportar as consequências da movimentação fraudulenta da conta bancária titulada pelo Autor, reembolsando a quantia indevidamente transferida, quantia a que acrescem juros desde a data da citação, à taxa lega, como se decidiu na sentença sob recurso.
Não tendo reembolsado a quantia relativa à mencionada transferida atempadamente, incorreu na responsabilidade de ressarcir o Autor dos danos não patrimoniais pelo mesmo sofridos, nos termos do disposto no artigo 496º, n.º 1 do Código Civil, já que os mesmos revestem gravidade suficiente para merecerem a tutela do direito, nos termos que adequada e equitativamente mente se consideraram na decisão recorrida.
Conclui-se desta forma que a decisão recorrida é de manter.
*
IV. Decisão.
Em face do exposto, acordam em julgar improcedente a apelação, e, em consequência, manter a decisão recorrida.
Custas pela Recorrente – artigo 527º do Código de Processo Civil.
Registe e notifique.
*
Lisboa, 06-11-2018
Ana Isabel Mascarenhas Pessoa
Eurico José Marques dos Reis
Paulo Rijo Ferreira
[1] Cf. Maria Raquel Guimarães, “A Repartição dos Prejuízos Decorrentes de Operações Fraudulentas de Banca Electrónica (Home Banking)”, Cadernos de Direito Privado, n.º 41, Janeiro/Março de 2013, pg. 58.
[2] Cf. neste sentido os Acórdãos do Supremo Tribunal de Justiça de 18-12-2013, proferido no processo n.º 6479/09.8TBRG.G1.S1 e de 14-12-2016, proferido no processo n.º 1063/12.1TVLSB.L1.S1, bem como o Acórdão desta Relação de 15.03.2016, proferido no último processo citado, todos acessíveis em www.dgsi.pt),
[3] cfr. Acórdão da Relação de Guimarães de 23/10/2012, proferido no processo nº. 305/09.5TBCBT, acessível em www.dgsi.pt.