Acórdão do Tribunal da Relação do Porto
| 16900/21.1T8PRT.P1 |  |
HOMEBANKING
ÓNUS DA PROVA
NEGLIGÊNCIA GROSSEIRA
II - Demonstrando o banco (pois que lhe compete o ónus de prova) que o cliente utilizador contribuiu com negligência grave para a ocorrência de operações de pagamento não autorizadas, deve este suportar a totalidade dos prejuízos.
III - A negligência grosseira ocorre quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, quando seja alcançado um mais alto grau de desleixo e incúria – decorre da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes.
IV - A negligência grosseira será de afirmar relativamente ao comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias do agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir.
Relator: João Ramos Lopes
Adjuntos: Rui Moreira
João Diogo Rodrigues
*
Acordam no Tribunal da Relação do Porto *
Apelante: Banco 1..., S.A. (réu). Apelada: A..., Unipessoal, Ld.ª (autora).
Juízo local cível do Porto (lugar de provimento de Juiz 4) – Tribunal Judicial da Comarca do Porto.
*
Alegando terem sido efectuadas operações lançadas a débito em conta de depósitos aberta em seu nome no banco réu, por si não autorizadas – e recusando qualquer responsabilidade (qualquer negligência) na realização de tais operações, feitas através do sistema homebanking –, pediu a autora a condenação do réu a pagar-lhe a quantia de 18.981,00€ (correspondente aos valores abusivamente retirados da sua conta), acrescida de juros de mora vencidos (429,54€) e vincendos, até integral pagamento.Contestou a ré, concluindo pela improcedência da acção, invocando que as operações bancárias alegadas foram realizadas por a autora, violando grosseiramente advertências e avisos de segurança de prevenção de comportamentos fraudulentos, ter permitido que terceiros acedessem ao seu equipamento informático, divulgando palavras passe e códigos de acessos, especialmente o destinado à realização da concreta operação de débito na sua conta bancária.
Tramitada a causa e realizado o julgamento, foi proferida sentença que julgou procedente a acção, condenando o réu a ressarcir a autora no montante de 18.031,00€, acrescido de juros de mora desde 16/07/2021 até integral pagamento à taxa prevista no art. 114º, nº 10 do DL 91/2018.
Inconformado com a sentença, pretendendo a sua revogação e a sua absolvição do pedido, apela o réu, terminando as suas alegações formulando as seguintes conclusões:
1. Deve ser julgado como não provado o facto 28 da sentença recorrida onde se mostra provado que: “A Senhora D. AA admitiu que podia estar a haver uma atualização de software, sugeriu que fosse contactada a linha de apoio ao cliente”.
2. Tal exclusão da matéria de facto provada é imposta pelo depoimento prestado por AA no dia 13-06-2022 com início às 15:09:28 e termo às 15:44:08 em especial aos 09:09 minutos até aos 11:47 minutos e 15:58 minutos até aos 18:04 minutos, nos termos e com a fundamentação que consta da alegação supra.
3. Devem ser considerados provados os factos julgados não provados nos pontos 1 e 2 da sentença recorrida com a seguinte redação:
1- Todos os AVISOS DE SEGURANÇA com destaque bem visível na página inicial de internet de acesso à área de empresas do Banco, consta sempre e repetidamente o alerta aos Utilizadores de que o Banco 1...: • “NÃO pede a instalação/atualização de software • NÃO envia SMS com link • NÃO envia Email com link • NÃO solicita o Código Multicanal completo (os 7 dígitos) • NÃO pede o número de telemóvel • NÃO pede, por telefone ou outro meio, o Código de Autorização enviado por SMS • NÃO simula transações com os Clientes”.
2- O Banco 1... publicou alertas para pop-up fraudulento - Banco 1... - em setembro de 2019, fevereiro de 2020, julho de 2020, agosto de 2020, abril de 2021 onde avisou que: “Alerta para simulações de transações O Banco 1... NUNCA pede a instalação/atualização de software após o acesso ao site”, seguindo-se nesse aviso um alerta explicativo acompanhado de imagens elucidativas descrevendo designadamente que: “A instalação do Malware no equipamento do utilizador pode ocorrer depois de aceder ao link/anexo de um email fraudulento, sendo apresentados os seguintes pop-ups após o acesso ao site do Banco 1...“, e que “Estes pop-up bloqueiam o equipamento e as barras apresentadas (a verde e a cerize nos exemplos acima) vão sendo preenchidas aparentando estar a fazer uma "instalação/atualização". No final deste processo, são solicitados Códigos de Autorização para "simular" transações, quando o objetivo é autorizar as transações que são debitadas na conta bancária.”
4. Aqueles dois factos devem ser considerados provados atendendo ao depoimento da testemunha BB que prestou depoimento no dia 13-06-2022 com início às 15:44:54 e termo às 16:41:53 a qual dos 13:23 minutos até aos 13:39 minutos confirmou que as suas funções profissionais eram de “técnica analista de situações históricas que ocorrem nos canais digitais” e aos 18:37 minutos até 21:16 minutos do relatou de forma fundamentada e com conhecimento direto da ocorrência e verificação daqueles factos, explicando mesmo em que alturas do acesso dos clientes ao sítio de internet do Banco os mesmos avisos eram divulgados, bem como depoimento da testemunha CC, representante/trabalhadora da Autora que prestou depoimento no dia 13-06-2022 com início às 14:51:15 e termo às 15:09:24 a qual dos 14:52 minutos até aos 15:20minutos onde confirmou que pelo menos: “Vi realmente mensagens, aliás vocês têm logo lá, lá em grande a dizer de … de mensagens, para … para não se enviar, que não enviam. Que não pedem códigos, não pedem o código multicanal, nada disso.”.
5. A Autora, contra o que eram as obrigações contratuais por si assumidas, não protegeu devidamente o seu equipamento informático, permitindo que o mesmo fosse acedido por terceiros que visualizaram as informações e procedimentos da Autora – vide. factos 7 e 15 (ponto 16 das Regras Adicionais para o sítio de Internet www.banco1....pt – pág. 13 do documento 7) e facto 38 sentença recorrida.
6. A Autora, contra o que eram as obrigações contratuais por si assumidas acedeu ao sítio do Banco 1... através de motores de pesquisa – vide. facto 15 e 20 da sentença recorrida.
7. A Autora, contra o que eram as obrigações contratuais por si assumidas e mesmo depois de ser expressamente informada que tal nunca sucedia aceitou e tolerou que terceiros procedessem a uma suposta atualização do software – vide. facto 15º, 21º, 22º, 23º, 24º, 25º, 26º, e 27º da sentença. Sendo que quanto ao facto 15 constava: “No acesso ao sítio de Internet www.banco1....pt o Banco nunca solicita o número de telemóvel nem a instalação de software/programas de segurança”, bem como os factos não provados sob os pontos 1 e 2 da sentença recorrida, objeto de recurso acima deduzido.
8. A Autora, contra o que eram as obrigações contratuais por si assumidas e os avisos efetuados pelo Recorrente divulgou perante terceiros, digitando no seu computador, um código secreto que lhe havia sido enviado para o telemóvel, através de mensagem SMS do Banco que expressamente referia que tal código destinava-se a uma operação no montante de € 26.973,00, sendo que os terceiros mencionaram à Autora que o código cuja aposição solicitavam apresentaria valores “fictícios” – vide. factos 15º, 24º (quanto aos valores fictícios), 25º, 26º e 27º. Sendo que quanto ao facto 15 do mesmo consta: “O Cliente tem de desconfiar e suspeitar, nomeadamente: (….) e) da indicação de que, deve fornecer Código(s) de Autorização que o Banco lhe enviou por SMS ou gerados via Token, para simular operações; (…) 5. Se em algum momento o Cliente receber um Código de Autenticação para confirmação de uma operação que não tenha solicitado, o Cliente deve abster-se de introduzir ou divulgar esse código e deve de imediato reportar o facto sem demora para o(s) número telefónico ... / ... / ... / ... (chamada nacional) ou ... / ... (chamada internacional) que é um serviço de atendimento permanente – 24 horas/dia, 365 dias/ano, a fim de dar o alerta e solicitar o respetivo bloqueio/impedimento de uso abusivo ou fraudulento perante o Banco 1.... 6. O Cliente não deve nunca facultar o(s) Código(s) de Autenticação a terceiros, sob nenhum pretexto, obrigando-se a fazer uma utilização atenta, prudente, e exclusivamente pessoal do mesmo, e assumindo todos os riscos e consequências inerentes à sua divulgação indevida. (…) 9. Deve ler atentamente o conteúdo do SMS recebido com Código de Autenticação, pois os dados da operação são identificados no texto da mensagem. Nunca forneça a terceiros os Códigos de Autenticação recebidos por SMS ou obtidos via token”, para além dos factos não provados sob os pontos 1 e 2 da sentença recorrido, objeto de recurso acima deduzido
9. As quatro violações contratuais acima elencadas devem ser apreciadas de forma global e integrada, dado que todas elas em conjunto contribuíram para o desfecho em causa nos autos, o ato danoso cuja responsabilidade aqui cabe apurar.
10. Da análise integrada de toda a atuação da Autora não pode deixar de ser concluído que o evento danoso acima elencado somente ocorreu em virtude de todos os atos e omissões acima descritos que, em conjunto, não podem deixar de ser qualificados como uma negligência grave, grosseira.
11. A divulgação de um código secreto que a Autora sabia que só era gerado no caso de pretensa validação de uma dada operação, código esse que foi fornecido através de uma mensagem SMS que expressamente referia reportar-se a uma operação com um concreto montante pecuniário, divulgação esta que é realizada sob pretexto anunciado, por quem solicitou a aposição do código, do teor do SMS apresentar “montantes fictícios”, não pode deixar de ser qualificada como uma violação contratual imputável à Autora a título de negligência grave ou grosseira.
12. Violou a sentença recorrida o disposto no art. 414º do CPC e 110º, 113º e 115º do Decreto-Lei 91/18 de 12/1, impondo-se a sua revogação e substituição por decisão que absolva o Banco Recorrente de todos os pedidos.
Contra-alegou a autora concluindo pela improcedência da apelação e manutenção da sentença recorrida.
*
Colhidos os vistos, cumpre decidir.*
Do objecto do recurso.Considerando, conjugadamente, a sentença recorrida (que constitui o ponto de partida do recurso) e as conclusões das alegações (por estas se delimita o objecto do recurso, sem prejuízo do que for de conhecimento oficioso - artigos 5º, nº 3, 608º, nº 2, 635º, nºs 4 e 5 e 639, nº 1, do CPC), identificam-se como questões a apreciar e decidir:
- a impugnação da decisão relativa à matéria de facto,
- a imputação da ocorrência das operações não autorizada a negligência grosseira do utilizador do serviço de pagamento.
*
FUNDAMENTAÇÃO
*
Fundamentação de factoFUNDAMENTAÇÃO
*
Na sentença recorrida consideraram-se:
Factos provados
1- A autora tem como objeto social a compra e venda de automóveis.
2- A autora é cliente do réu e é titular da conta n.º ..., da sucursal de ... do Banco 1....
3- A 30.06.2017 a autora, através da sua gerência, e o Banco 1... celebraram contrato de utilização operações bancárias online nos termos e condições que decorrem dos documentos 3 e 4, juntos com a contestação que aqui se se dão por integralmente reproduzidos.
4- Tendo ainda sido celebradas as alterações ao referido contrato em 27.01.2020 e 23.06.2021 nos termos dos documentos que se juntam como documentos 5 e 6 e que aqui são dados como integralmente reproduzidos.
5- Consta das condições gerais do referido contrato que: ‘Pelo presente contrato, o Banco 1... SA, Sociedade Aberta, adiante designado por Banco, disponibiliza ao Cliente que subscreva o contrato de utilização, o acesso a determinados serviços e operações bancárias através da área de empresas do portal banco1....pt, assim como a possibilidade de contratar produtos ou serviços também oferecidos no mencionado Portal por parte de terceiras entidades alheias ao Banco. Deste modo, mediante a utilização de equipamento informático e de comunicação adequado, as pessoas singulares indicadas pelo Cliente, adiante designados Utilizadores, poderão aceder ao Banco, através da área de empresas do portal banco1....pt e efetuar um conjunto de operações, designadamente de consulta e/ou movimentação de contas, de acordo com as competências definidas pelo Cliente. É da inteira e exclusiva responsabilidade do Cliente quer a definição do perfil dos Utilizadores, os quais poderão ser ou não colaboradores do Cliente, quer a sua seleção, nomeação e cancelamento. O Cliente expressamente reconhece e aceita que a utilização, pelos Utilizadores, dos serviços disponibilizados pelo Banco, bem como a contratação, pelos mesmos, de operações com o Banco, nos termos do previsto neste contrato será sempre tida, em qualquer caso e para todos os efeitos legais, como uma atuação em nome e por conta do cliente, única contraparte do Banco no presente contrato.’
6- Consta das cláusulas do contrato que ‘As operações efetuadas através da área de empresas do portal banco1....pt ficam sujeitas às presentes Condições Gerais, modelos anexos, tarifário em vigor no preçário do Banco, legislação aplicável e usos bancários em geral.’
7- E que ‘O Cliente deverá dispor de equipamento informático e de comunicação com as características adequadas para poder aceder ao Banco através da área de empresas do portal banco1....pt, sendo da sua responsabilidade a segurança, manutenção e introdução das modificações eventualmente necessárias para assegurar em permanência o acesso, por essa via, ao Banco, de acordo com as inovações e alterações tecnológicas que vierem a ser introduzidas.’
8- Consta, ainda, das referidas cláusulas ‘o acesso regular ao Banco efetua-se através da utilização de um código de utilizador, de um código pessoal secreto (password) e, para as transações que envolvam qualquer tipo de alteração ao património financeiro do Cliente, de um certificado digital, ou de qualquer outra forma ou meio alternativo, com condições de segurança equivalentes, que o Banco disponibilize. Os códigos de utilizador, password e certificado digital destinam-se ao uso pessoal e exclusivo dos Utilizadores e apenas permitirão a execução das operações que sejam indicadas no Contrato (Anexos e eventuais Adendas). ‘No processo de recenseamento do Utilizador é solicitada a definição de uma password, é atribuído um código de utilizador e, no caso do Utilizador poder efetuar operações, o download de um certificado digital. O Utilizador tem a possibilidade de alterar a password e deverá efetuá-lo regularmente’. ‘As ordens e instruções que o Banco recebe do Cliente através da área de empresas do portal banco1....pt, corretamente validadas conforme definido pelo presente Contrato, gozarão de plenos efeitos jurídicos, ficando o Banco irrevogavelmente legitimado para cumpri-las e efetuar os débitos e créditos que delas decorram, entendendo-se, em todo o caso, que o Banco atua em cumprimento das ordens e instruções dadas pelo Cliente. O Banco poderá, contudo, reservar a aceitação das instruções mediante prévia confirmação por qualquer outro modo julgado conveniente’. As ordens transmitidas e autorizadas pelo Cliente serão executadas de acordo com as condições e níveis de serviço aplicáveis ao tipo de produto/serviço solicitado, que estiverem em vigor. ‘As partes aceitam a equiparação jurídica do conjunto composto pelo código de utilizador, certificado digital e password dos Utilizadores às assinaturas manuscritas dos mesmos. Acorda-se igualmente que esta mesma condição é extensível à relação que o Cliente estabelece com fornecedores terceiros através da área de empresas do portal banco1....pt, sendo que o Banco assina igualmente este contrato em nome e representação daqueles para aceitar, em seu benefício, a presente cláusula.’
9- Consta, ainda, das referidas cláusulas que o ‘Cliente compromete-se a manter a confidencialidade dos códigos de utilizador, certificados digitais e passwords, bem como a zelar pelo seu bom uso, sendo plenamente responsável por todas as consequências que decorram do seu emprego e utilização. Do mesmo modo, o Cliente obriga-se a exigir dos Utilizadores e a assegurar que estes se obriguem a observar as obrigações constantes desta cláusula.’
10- Mais consta das referidas cláusulas que ‘Em caso de extravio, furto ou reprodução das chaves de acesso, do código de Utilizador, password, certificado digital, ou em qualquer situação que indicie que terceiros não autorizados tenham acedido ao serviço, bem como sempre que o Cliente verifique o registo na conta de qualquer transação não consentida ou a existência de erros ou irregularidades na efetivação das operações, deve o Cliente dar de imediato conhecimento do facto ao Banco pelo meio mais expedito, confirmando-o por escrito num prazo não superior a 5 dias e Se a ocorrência afetar as passwords, deverá o Cliente alterá-las imediatamente. No caso do Cliente não conseguir modificá-las por qualquer motivo, deverá solicitar ao Banco o seu cancelamento e proceder a novo recenseamento dos Utilizadores cujas passwords foram canceladas.
11- Consta, também, das referidas cláusulas que o Cliente poderá a todo o tempo ordenar ao Banco que bloqueie o acesso a determinados Utilizadores. Quando da receção da comunicação por telefone, o Banco procederá de imediato, à suspensão do Utilizador, procedendo ao seu cancelamento somente após a receção da comunicação escrita do Cliente. O Banco bloqueará o acesso do Cliente, ou de determinados Utilizadores, durante o primeiro dia útil de funcionamento bancário seguinte ao da receção da comunicação escrita prevista nos pontos anteriores, não se responsabilizando por eventuais prejuízos que ocorram até ao momento do bloqueio. A partir desse momento e não se verificando dolo ou negligência pela ocorrência, cessará a responsabilidade do Cliente.
12- Mais consta das referidas cláusulas que ‘O Banco poderá proceder à alteração das presentes Condições Gerais, as quais serão previamente comunicadas ao cliente por correio eletrónico, dirigido a todos os utilizadores ativos e recenseados pelo Cliente. Caso não opte pela resolução do Contrato, o Cliente obriga-se a cumprir as novas condições a partir da data da sua entrada em vigor.’
13- A 02.12.2020 o Banco 1... remeteu à autora as condições gerais atualizadas relativas aos meios de comunicação à distância para empresas, as quais entraram em vigor a 5 de fevereiro de 2021.
14- Com o envio das referidas condições gerais o Banco 1... informou a autora que considerava que a mesma aceitava as alterações se não notificasse o Banco de que não as aceitava antes da data de entrada em vigor das mesmas e que caso não concordasse com as referidas alterações poderia resolver o contrato e pôr termo imediatamente e sem encargos ao acordo-quadro de utilização dos meios de comunicação à distância, mediante notificação escrita ao Banco efetuada antes da indicada data.
15- Consta das referidas condições contratuais, além do mais, que: ‘Cláusula 2.ª: Riscos associados aos meios de comunicação à distância 1. Os meios de comunicação à distância para acesso do Cliente ao Banco estão sujeitos a riscos de fraude por terceiros, nomeadamente de «phishing», bem como, de consulta e realização de operações fraudulentas por terceiros não autorizados na conta do Cliente. 2. O «phishing» é uma fraude que consiste em substituir a identidade do Banco ou de qualquer outra entidade fidedigna, e cuja finalidade é a obtenção de informações confidenciais do Cliente, nomeadamente dados bancários, dados pessoais ou códigos de acesso. Os ataques de «phishing» podem produzir-se através de mensagens de correio eletrónico, SMS ou chamadas telefónicas nas quais se pode imitar e substituir a identidade do Banco ou de qualquer outra entidade fidedigna. Essas mensagens de correio eletrónico ou SMS podem conter um ficheiro anexo que efetua a instalação de software malicioso (malware) no equipamento do Cliente ou reencaminhar para uma página web fraudulenta, que reproduz ou copia o aspeto da página original do Banco, e na qual é solicitado ao Cliente a introdução de dados pessoais e/ou códigos acesso, como por exemplo, o Código de Utilizador, a Password e/ou (todas) as posições do Código de Acesso Multicanal, o Código de Autenticação, o número de telemóvel ou os números dos cartões bancários. 3. O Cliente deve estar atento, ser precavido e ter em conta que tanto a(s) mensagem de correio eletrónico ou SMS, como a página web fraudulenta, podem ser muito complexas e sofisticadas. O Cliente tem de desconfiar e suspeitar, nomeadamente: (….) e) da indicação de que, deve fornecer Código(s) de Autorização que o Banco lhe enviou por SMS ou gerados via Token, para simular operações; 4. O Cliente obriga-se a ler atentamente e dar cumprimento escrupuloso às recomendações e regras de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente acordo, bem como, a ir consultar e ler, pelo menos uma vez em cada trimestre do ano civil, os avisos de segurança e os alertas periódicos que o Banco divulga no sítio de Internet www.banco1....pt, incluindo a descrição das fraudes comuns nesse período para a captura fraudulenta do Código de Utilizador, Password/ Código de Acesso Multicanal e demais credenciais personalizadas de acesso dos Clientes (….) 7. O Cliente deverá dispor de equipamento informático e de comunicação com as características adequadas para poder aceder ao Banco através dos meios de comunicação à distância, sendo da sua responsabilidade a segurança, manutenção e introdução das modificações eventualmente necessárias para assegurar em permanência o acesso, por essa via, ao Banco, de acordo com as inovações e alterações tecnológicas que vierem a ser introduzidas e o cumprimento rigoroso das regras e recomendações de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra, bem como, dos alertas divulgados pelo Banco, em cada momento, no sítio de Internet www.banco1....pt. (….) Cláusula 8.ª: Obrigações e responsabilidades do Cliente (….) 5. O Cliente obriga-se conhecer e a assegurar o cumprimento escrupuloso das recomendações e regras de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente acordo, bem como a ir consultar e ler, pelo menos uma vez em cada trimestre do ano civil, os avisos de segurança e os alertas periódicos que o Banco divulga no sítio de Internet www.banco1....pt, incluindo a descrição de concreto(s) procedimento(s) utilizados nesse período para a captura fraudulenta de credenciais de segurança personalizadas de Clientes. 7. O Cliente é inteiramente responsável perante o Banco pelos atos dos seus representantes legais e dos seus Utilizadores praticados no acesso e na utilização dos meios de comunicação à distância, segundo o disposto no número um do artigo 800º do Código Civil. 8. Neste âmbito, fica bem entendido que compete exclusivamente ao Cliente selecionar criteriosamente os seus Utilizadores, e instruir e dotar cada Utilizador dos conhecimentos e dos meios adequados para o acesso e utilização dos meios de comunicação à distância do Banco em conformidade às disposições das presentes cláusulas, do(s) Documento(s) “Perfil de Utilizador”, e, se for o caso, do Documento “Regras para Autorização de Operações”, bem como, transmitir- lhe(s) as recomendações e regras de segurança constantes do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente Contrato. Designadamente, Cliente obriga-se a: a) Comunicar a cada Utilizador especificas instruções e informação sobre os riscos de fraude, nomeadamente de «phishing», alertando-o para a indispensabilidade de ser cuidadoso, atento e precavido e transmitindo-lhe as informações e sinais de alerta expostos no precedente número quatro; e b) Facultar a cada Utilizador um exemplar do ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA, que aqui consta infra e faz parte integrante do presente acordo, assegurando-se que este o lê atentamente; e c) Assegurar que cada Utilizador consulta e lê atentamente, pelo menos uma vez em cada trimestre do ano civil, todos os avisos de segurança e alertas periódicos que o Banco divulga no sítio de Internet www.banco1....pt, incluindo a descrição das fraudes mais comuns em cada momento para a captura fraudulenta de credenciais de acesso personalizadas, para se manter devidamente informado e atualizado sobre as precauções e regras de cuidado a adotar; para tanto, o Cliente deverá instruir cada Utilizador nesse sentido e assegurar o cumprimento periódico dessas instruções; e(….) ANEXO 1 - RISCOS E REGRAS DE SEGURANÇA Regras gerais para o acesso/uso de todos os Meios de Comunicação à Distância do Banco 1. O Cliente obriga-se a ler atentamente e dar cumprimento escrupuloso às presentes recomendações e regras de segurança aqui constantes, bem como, a ir consultar e ler, pelo menos uma vez em cada trimestre do ano civil, todos os avisos de segurança e os alertas periódicos que o Banco divulga no sítio de Internet www.banco1....pt, incluindo a descrição das fraudes perpetradas em cada momento para a captura fraudulenta de credenciais de segurança personalizadas. 2. O Cliente deve estar atento e ser precavido contra tentativas de fraude por terceiros não autorizados. Designadamente, o Cliente tem de suspeitar e de desconfiar de qualquer mensagem, por correio eletrónico ou SMS, que peça uma «ação imediata» ou crie uma sensação de urgência, que contenha erros ortográficos/gramaticais, contenha links e/ou anexos de ficheiros executáveis. (….) 4. O Cliente deve analisar as mensagens de correio eletrónico que recebe antes de abrir, confirmando sempre a origem e o assunto da mesma e, se continuar com dúvidas, confirme previamente junto da entidade emitente. O Cliente não deve aceitar a execução de programas cujo download se ative sem o ter solicitado. 5. Se em algum momento o Cliente receber um Código de Autenticação para confirmação de uma operação que não tenha solicitado, o Cliente deve abster-se de introduzir ou divulgar esse código e deve de imediato reportar o facto sem demora para o(s) número telefónico ... / ... / ... / ... (chamada nacional) ou ... / ... (chamada internacional) que é um serviço de atendimento permanente - 24 horas/dia, 365 dias/ano, a fim de dar o alerta e solicitar o respetivo bloqueio/impedimento de uso abusivo ou fraudulento perante o Banco 1.... 6. O Cliente não deve nunca facultar o(s) Código(s) de Autenticação a terceiros, sob nenhum pretexto, obrigando-se a fazer uma utilização atenta, prudente, e exclusivamente pessoal do mesmo, e assumindo todos os riscos e consequências inerentes à sua divulgação indevida. (….) Regras Adicionais para o sítio de Internet www.banco1....pt: 1. Sempre que aceder às suas contas bancárias, através do sítio do Banco 1..., verifique se: (i) o endereço se inicia por https://emp.banco1....pt/, (ii) a barra de endereços se apresenta a verde e (iii) junto ao endereço se encontra um cadeado, seguido de «Banco 1...», conforme: 2. Em caso de dúvida, confirme a origem do certificado digital - efetuando clique sobre o cadeado - e verifique se corresponde, efetivamente, ao Banco 1...: 3. O acesso ao sítio de Internet www.banco1....pt pode ser realizado através de 2 métodos: a) identificação do Código de Utilizador, da Password e dois (2) dígitos aleatórios do documento de identificação fiscal (que serão sempre os mesmos até que o login seja efetuado com sucesso); b) identificação do Código de Utilizador e três (3) dígitos aleatórios do Código de Acesso (Multicanal), que serão sempre os mesmos até que o login seja efetuado com sucesso. Tudo o que for solicitado para além do referido constitui uma tentativa de fraude que deverá reportar imediatamente e sem demora para o .... Para chamadas a partir do estrangeiro, ligue para .... Atendimento personalizado, disponível nos dias úteis das 8 horas às 02 horas e nos dias não úteis das 10 horas às 24 horas, hora de Portugal Continental. 4. No acesso ao sítio de Internet www.banco1....pt o Banco nunca solicita o número de telemóvel nem a instalação de software/programas de segurança. 5. O Banco 1... envia sempre SMS e e-mails sem links. 6. Nunca aceda ao sítio do Banco 1... através de links de mensagens, motores de pesquisa ou, mesmo, através da opção «Favoritos». Digite sempre o endereço completo www.banco1....pt para evitar o acesso a páginas fraudulentas e muito idênticas à do sítio do Banco 1..., bem como evitar a instalação de software malicioso no equipamento utilizado para acesso ao sítio do Banco 1.... (….) 9. Deve ler atentamente o conteúdo do SMS recebido com Código de Autenticação, pois os dados da operação são identificados no texto da mensagem. Nunca forneça a terceiros os Códigos de Autenticação recebidos por SMS ou obtidos via token. (….)’.
16- Na página inicial de internet para acesso à área de empresas do Banco 1... utilizada pela autora consta em destaque e bem visível uma caixa de AVISOS DE SEGURANÇA permanentemente atualizados, bem como, um separador intitulado SEGURANÇA onde são divulgados em permanência um conjunto de recomendações e informações relevantes para os Utilizadores do canal internet do Banco.
17- Há vários anos que com destaque logo na página inicial de internet de acesso à área de empresas, o Banco divulga sucessivamente AVISOS DE SEGURANÇA contendo a descrição dos meios e métodos utilizados em cada momento por terceiros mal intencionados para a captura fraudulenta do Código de Utilizador, Password, dados pessoais e outras credenciais de acesso às contas de Clientes, bem como, recomendações e informações pormenorizadas e atualizadas para que os Utilizadores estejam conscientes e prevenidos para evitar tais fraudes.
18- Há vários anos que aparece um separador intitulado SEGURANÇA acessível a partir da página inicial de internet de acesso à área de empresas do Banco utilizada pela autora, que contém um conjunto de informações e conselhos relevantes para os Utilizadores do canal internet do Banco, incluindo a descrição de concretos procedimentos de segurança e precauções a observar pelos Utilizadores contra práticas fraudulentas de terceiros.
19- Há vários anos que o Banco divulga ainda com frequência alertas específicos de segurança, com regras de cautela a adotar pelos Utilizadores, que vão surgindo em ‘pop-ups’ ou ‘banners’ ao longo da navegação na página de internet do Banco.
20- No dia 16 de 2021, pelas 9.37 horas, nas instalações da autora, CC, funcionária da sociedade autora, autorizada a movimentar a conta da autora, pretendendo aceder ao site do réu para consultar o saldo e movimentar valores na conta já atrás identificada, com o NIB ..., acedeu através da barra superior do Google Chrome escrevendo Banco 1... e entrou no campo de pesquisa que aparece em roxo, como sempre.
21- Logo após aceder ao site, na página do Homebanking, inseriu as credenciais de ‘login’ para entrar na conta (código de utilizador), dois dígitos aleatórios do documento de identificação fiscal da Utilizadora CC da autora, password (campo Id tipo credencial e Validação cód. acesso completa) e Certificado Digital (campo Certificado Válido) e deparou-se com uma actualização.
22- A funcionária da autora aguardou trinta minutos e por considerar muito tempo a actualização, decidiu reiniciar o processo.
23- A funcionária da autora repetiu os actos atrás referidos na conta de que a ora autora é titular e apareceu novamente a actualização.
24- Passados quinze minutos, foi pedido um código para autorizar o restante processo de actualização, dizendo que os valores apresentados eram todos fictícios.
25- Entretanto, a CC, funcionária da autora, nesse período, recebeu uma mensagem no telemóvel, a solicitar a inserção dum código de autenticação para dar seguimento à operação, diferente do que estava a ser utilizado, pelo que foi inserido, voltando a aparecer a página de actualização.
26- A mensagem de telemóvel recebida pela funcionária da autora tinha o seguinte teor: ‘... -Envio Ficheiro - Cta Deb:...EUR - Tipo:PSM - N. reg:27Mont:26.973,00EUR - Data Proc:16/06/2021 – Codigo Autorizacao:...’.
27- A CC, funcionária da sociedade, estranhou o tempo de atualização, suspeitando que se tratava de uma falha informática, decidiu contactar a funcionária do réu, Senhora D. AA, gestora da referida conta.
28- A Senhora D. AA admitiu que podia estar a haver uma atualização de software, sugeriu que fosse contactada a linha de apoio ao cliente.
29- A gerente de conta, a Senhora D. AA, funcionária do réu, sugeriu que contactasse o número de apoio ao cliente.
30- A CC, na sequência do referido contacto telefónico com a gerente de conta, Senhora D. AA, seguiu as instruções desta e contactou o número de apoio ao cliente, o que demorou mais uns largos minutos.
31- A funcionária do réu que atendeu a funcionária da autora, CC, de imediato, bloqueou a conta e confirmou que a conta da autora estava a ser alvo de ‘phishing’.
32- A conta da autora, nesse período, foi alvo de dezanove operações de pagamentos de serviços, entidade 21800, pelo montante de 999,00€ (novecentos e noventa e nove euros) cada uma, o que totalizou o valor de 18.981,00€ (dezoito mil novecentos e oitenta e um euros).
33- A página a que a autora acedeu e as solicitações confundia-se com o sistema e ambiente operativo do homebanking do réu.
34- Autora apresentou queixa, no dia 16 de Junho de 2021, junto da polícia judiciária, não tendo ainda sido informada do estado do inquérito.
35- A autora, no dia 18 de Junho de 2021, enviou um e-mail ao Provedor do Cliente do réu a relatar o sucedido.
36- O mandatário da autora, em 6 de Julho de 2021, escreveu ao réu, a relatar o sucedido e a solicitar que provisionasse a conta nos valores indevidamente retirados.
37- O réu escreveu à autora, em 22 de Julho de 2021, a declinar qualquer responsabilidade pelo sucedido.
38- O sistema informático do Banco não foi alvo/objeto de qualquer avaria técnica, ou qualquer outra deficiência do serviço, sendo que os dados informáticos existentes revelam que não houve nenhuma avaria, deficiência nem quebra de serviço, designadamente nenhuma fraude foi perpetrada por terceiro nos equipamentos informáticos do Banco 1....
39- A operação de pagamento/transferência referida correspondeu a um pedido de pagamento de serviços multibanco e foi objeto de autenticação forte nos termos contratualmente previstos com a autora, mediante a, bem como, com a introdução do código de autenticação ... que fora previamente enviado pelo Banco para o telemóvel da utilizadora com o numero ... com a seguinte mensagem: Tal ordem remetida ao Banco 1... com todos os códigos, passwords e validações que só eram conhecidas da Autora e das pessoas por si autorizadas foi registada e contabilizada pelo Banco, pelo que os débitos lançados em 16/06/2021 na conta correspondem à ordem de pagamento transmitida e objeto de autenticação forte pela Utilizadora CC da Empresa Autora.
40- Realizados como se mostravam os pagamentos referidos no art. 19º da petição inicial, ao Banco 1... não era possível realizar a anulação de tal operação com reembolso da quantia paga, o que foi informado à autora bem como aconselhada a realização de queixa junto das autoridades e a apresentação de reclamação das transações executadas junto da entidade de pagamento através da página da entidade em ....
Factos não provados
1- Todos os AVISOS DE SEGURANÇA com destaque bem visível na página inicial de internet de acesso à área de empresas do Banco, consta sempre e repetidamente o alerta aos Utilizadores de que o Banco 1...: ‘NÃO pede a instalação/atualização de software • NÃO envia SMS com link • NÃO envia Email com link • NÃO solicita o Código Multicanal completo (os 7 dígitos) • NÃO pede o número de telemóvel • NÃO pede, por telefone ou outro meio, o Código de Autorização enviado por SMS • NÃO simula transações com os Clientes.’
2- O Banco 1... publicou alertas para ‘pop-up’ fraudulento - Banco 1... - em setembro de 2019, fevereiro de 2020, julho de 2020, agosto de 2020, abril de 2021 onde avisou que: ‘Alerta para simulações de transações O Banco 1... NUNCA pede a instalação/atualização de software após o acesso ao site’, seguindo-se nesse aviso um alerta explicativo acompanhado de imagens elucidativas descrevendo designadamente que: ‘A instalação do Malware no equipamento do utilizador pode ocorrer depois de aceder ao link/anexo de um email fraudulento, sendo apresentados os seguintes pop- ups após o acesso ao site do Banco 1...’, e que ‘Estes pop-up bloqueiam o equipamento e as barras apresentadas (a verde e a cerize nos exemplos acima) vão sendo preenchidas aparentando estar a fazer uma «instalação/atualização». No final deste processo, são solicitados Códigos de Autorização para «simular» transações, quando o objetivo é autorizar as transações que são debitadas na conta bancária.’
*
Fundamentação de direitoA. Da impugnação da decisão relativa à matéria de facto.
Impugna o apelante a decisão da primeira instância sobre a matéria de facto sustentando que a valorização da prova produzida nos autos impõe se julguem diversamente (assim corrigindo o seu errado julgamento) o ponto 28 dos factos provados e os pontos 1 e 2 da matéria julgada não provada, julgando-se não provado aquele e provados estes.
Em vista de apreciar e decidir da impugnação agora em análise (que, enquadrando-se no disposto no art. 662º do CPC, cumpre todas as exigências legalmente impostas no art. 640º do CPC ao recorrente que impugna a decisão sobre a matéria de facto) impõe-se a este tribunal proceder à reponderação dos elementos probatórios produzidos nos autos, averiguando se dos mesmos pode concluir-se, com estribo racional, no sentido que o apelante pretende sejam jugados os factos impugnados.
Importa actuar os poderes que à Relação são atribuídos enquanto tribunal de segunda instância que garante um duplo grau de jurisdição em matéria de facto e proceder a uma autónoma apreciação crítica das provas produzidas (em vista de, a partir delas, expressar a sua convicção com total autonomia[1], formar uma convicção autónoma), alterando a decisão se em face dessa autónoma apreciação dos elementos probatórios a que há-de proceder adquirir uma diversa convicção[2].
Apreciação crítica que se consubstancia na análise dos elementos probatórios, valorizando-os lógica e racionalmente – a decisão da matéria de facto não se reconduz ao resultado duma acrítica certificação do declarado por depoentes ou testemunhas, antes assentando numa convicação objectivável e motivável, a que a se acede por via da razão, alicerçada em elementos de lógica e racionalidade (à luz das regras do bom senso, das regras da normalidade e da experiência da vida).
As provas (art. 342º do CC) têm por função a demonstração da realidade dos factos, buscando-se através delas não a certeza absoluta da realidade – ‘se a prova em juízo de um facto reclamasse a certeza absoluta da verificação do facto, a actividade jurisdicional saldar-se-ia por uma constante e intolerável denegação de justiça’[3] –, mas antes produzir o que para a justiça é imprescindível e suficiente – um grau de probabilidade bastante, face às circunstâncias do caso e às regras da experiência da vida. A prova como demonstração efectiva (segundo a convicção do juiz) da realidade de um facto ‘não é certeza lógica mas tão-só um alto grau de probabilidade suficiente para as necessidades práticas da vida (certeza histórico-empírica)’[4].
Considerandos que conduzirão o tribunal na reapreciação da matéria de facto objecto de impugnação – importa apreciar se os elementos probatórios permitem afirmar ter o banco réu incluído na sua página de internet os alertas de segurança mencionados nos factos não provados e, também, se os mesmos são insuficientes para se ter por demonstrado que a funcionária do réu, gestora de conta da autora, admitiu, perante a funcionária da autora que a contactou, a possibilidade de estar a ocorrer no momento do evento lesivo uma actualização de software.
A propósito da matéria a que se refere o facto 28º, além da prova testemunhal[5], importa considerar elemento documental, consubstanciado na comunicação enviada pela autora ao réu por correio electrónico ainda no dia do evento que está na base da causa de pedir dos presentes autos (16/06/2021), documento junto aos autos com a contestação sob o número 8 – o evento ocorreu durante a manhã e á tarde (às 17h12m) o representante legal da autora reportou ao réu o que designou por ‘ataque à segurança de informação’, historiando (descrevendo) os concretos contornos do acontecimento (modo como foi feita a entrada no site pelo utilizador; como o mesmo se deparou com uma actualização que era pedida; como a demora do processo, cerca de trinta minutos, foi estranhada e foi então decidido reiniciar o computador, tendo sido repetidos os actos para acesso ao site, aparecendo novamente a actualização; como cerca de quinze minutos depois surgiu uma mensagem a solicitar um código para autorizar o restante processo de actualização, referindo que os valores apresentados eram fictícios; como depois de inserido o código foi pedido, quinze minutos depois, um outro código, com referência para 17/06/2021) e as diligências encetadas (só depois de ser pedido este segundo código, por o estranharem, foi contactada a gerente de conta, AA, funcionária do réu, que referiu dever a autora contactar o apoio ao cliente por número de telefone que forneceu – não se refere aí que a gerente de conta tenha, em momento algum ou por qualquer forma, confirmado ou admitido a possibilidade de poder estar a ocorrer, no momento do contacto, qualquer atualização de software).
As testemunhas arroladas pela autora referiram que a funcionária do réu admitiu a possibilidade de uma tal actualização poder estar a ocorrer – a testemunha CC (funcionária da autora, filha do seu representante legal, que por banda da autora procedeu à operação e efectuou o contacto com a gerente da conta), descrevendo o evento e o contacto telefónico que manteve com a gerente de conta (contactou a gerente de conta porque a actualização continuava mesmo depois de ter inserido o código pedido), referiu ter-lhe a mesma dito que poderia estar a haver uma actualização de que não tivesse conhecimento mas que deveria ligar para os serviços do apoio ao cliente (fornecendo-lhe o número), pois estes a informariam com segurança e certeza, o que fez imediatamente, sendo logo cancelada a conta; a testemunha DD (ex gestor bancário e administrador, com actividade bancária durante 35 anos – respondeu, aos costumes, que o legal representante da autora é familiar da sua mulher), cuja razão de ciência assenta no que ouviu ao representante legal da autora e à testemunha CC, também o referiu, afirmando ter sido contactado logo aquando do acontecido, sendo-lhe então dito, além do mais, que contactada a gestora de conta a mesma referira que podia estar a ocorrer uma actualização (adiantou mesmo a testemunha que a gestora, contactada pela funcionária autora, não terá feito o que, teoricamente, se pretendia que fizesse imediatamente, que era estancar a operação, pois disse que não tinha tempo, encaminhando a autora para o apoio ao cliente).
Por sua vez, a testemunha AA, funcionária do réu, gestora de clientes (e gestora de conta da autora), afirmou ter sido telefonicamente contactada pela funcionária da autora que queria saber se havia algum problema no site do banco na internet pois estava há bastante tempo à espera fosse feita uma actualização; que respondeu não haver conhecimento de qualquer problema no site (questionou os colegas sobre isso e não havia conhecimento de uma tal situação); que a funcionária da autora adiantou que tinha entrado no site, sendo-lhe pedido que fizesse uma actualização e que lhe pediram códigos (para fazer uma simulação), ao que a depoente logo retorquiu que o banco não pedia códigos para actualizações, que nunca se devia pôr códigos em tais circunstâncias; porque a funcionária da autora lhe respondeu, então, que já colocara o código pedido, logo a depoente consultou a conta constatando ter sido realizada uma operação (débito directo), logo a reencaminhando para a linha de apoio ao cliente, dizendo-lhe também para desligar o computador e não digitar mais nada; esclareceu ainda não terá a possibilidade de encerrar a conta e resolver o problema.
A valorização conjugada destes elementos probatórios não permite concluir, com o grau de probabilidade bastante para as necessidades práticas da vida, que a gestora de conta tenha admitido, em qualquer momento do contacto mantido com a funcionária da autora, que podia estar a ocorrer qualquer actualização de software (levada a efeito pelo banco réu na sua página na internet).
Mais do que expor as inconsistências e fragilidades que marcam o depoimento da testemunha DD (atente-se que começou por afirmar ter sido a gestora de conta contactada por duas vezes, a primeira antes de ser digitado qualquer código de autorização da operação – o que veio depois a reconhecer não corresponder ao acontecido), interessa evidenciar que o seu depoimento não constitui (sequer) um fiel relato do que a si foi afirmado pelas pessoas da autora que então o contactaram, antes é o resultado da (a expressão é do próprio) ‘imagem que construiu da operação’, que por isso não tem valor para corroborar o depoimento da testemunha CC quanto ao pormenor em causa (até porque afirmou, sem que mais ninguém o fizesse, que a gestora não resolveu o problema, como se exigia que fizesse, alegando falta de tempo para tanto).
A versão da testemunha CC, além de não encontrar apoio no documento acima referido, é contrariada pela versão da testemunha AA – para lá de ter sido questionada a existência de problemas na página do banco (não sobre se o banco estava a realizar qualquer actualização de software), só depois da funcionária da autora ter referido que já digitara o código para completar a actualização pedida é que foi encaminhada para o apoio ao cliente.
Não pode concluir-se, pois, face aos elementos probatórios produzidos nos autos, pela veracidade da matéria vazada no facto 28.
Relativamente à matéria julgada não provada a prova produzida nos autos foi exclusivamente testemunhal.
A testemunha CC (a utilizadora do serviço, por banda da autora), admitiu serem exibidos avisos e alertas de segurança logo que é aberta a página do banco réu em vista da realização de operações (mensagens e avisos, em tamanho grande - ‘avisos de que não enviam sms’, que ‘não pedem códigos’, ‘não pedem códigos multicanal’), não se lembrando se em tais avisos também se alertava para nunca serem pedidas actualizações.
Mais assertiva a propósito da matéria foi a testemunha BB, funcionária do réu, que exerce (e exercia já ao tempo do evento) as funções de técnica analista de situações estranhas que ocorrem nos canais digitais. Referiu a testemunha – cujas funções revelam e evidenciam os cuidados do réu relativamente à observância de regras de segurança – que desde 2018 o banco réu exibe na sua página da internet mensagens de alerta para situações de fraude (advertindo, v. g., que o banco nunca pede instalação/actualização de software, nunca pede por telefone ou outro meio o código de autorização enviado, não simula operações com o cliente); que feito o registo inicial (login) pelo cliente, aprecem (e apreciam) caixas de mensagem (pop-ups) alertando para situações que iam sendo conhecidas, confirmando a existência dos alertas (alertas pós-login para situações fraudulentas) referidos nos factos não provados.
Elementos probatórios que permitem concluir pela demonstração em juízo dos impugnados factos (existência dos alertas e avisos de segurança referidos nos factos não provados número 1 e 2) – a assertividade do depoimento da testemunha BB (cujas funções no banco réu corroboram a exibição de tais alertas e avisos), conjugada com o depoimento da testemunha CC, que admitiu a existência de tais alertas e avisos (circunscrevendo a falta de memória aos avisos relativos à actualização de software, estes também veementemente afirmados pela testemunha BB), permite concluir pela veracidade da matéria em causa.
Procede, pois, a impugnação da decisão sobre a matéria de facto, devendo excluir-se da matéria provada o facto que aí consta com o número 28º e aditar-se aos factos provados os dois factos que na primeira instância foram tidos por não provados.
B. Da imputação da ocorrência das operações não autorizada a negligência grosseira do utilizador do serviço de pagamento.
Nas situações em que ocorram prejuízos em resultado de operações não autorizadas (de forma querida e consciente) antes da notificação ao banco que providencia o serviço ou instrumento de pagamento através de meios electrónicos, a apreciação ‘do comportamento do utilizador do serviço de home banking revela-se um fator da maior importância uma vez que é a partir dele que descobrimos quem irá suportar as perdas resultantes de operações fraudulentas’[6]:
- em todas as situações não imputáveis a título de negligência grave ao utilizador do serviço (a pessoa singular ou colectiva que utiliza o serviço de pagamento a título de ordenante – alínea eee) do art. 2º do ‘Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica’, aprovado pelo DL 91/2018, de 12/11), é o banco (o prestador do serviço) quem deve arcar com os prejuízos que excedam o valor de 50,00€ (arts. 114º e 115º, nº 1 do RJSPME) decorrentes de operações de pagamento não autorizadas, pois é a este que cabe suportar o risco do sistema informático que sustenta o serviço de home banking não ser seguro e permitir a intromissão de terceiros; a responsabilidade do utilizador do serviço (ordenante da operação) é, nestas situações, limitada ou circunscrita ao referido montante (50,00€), arcando o banco com os prejuízos excedentes, por lhe caber suportar o risco do sistema informático que sustenta o serviço do home banking não ser seguro e permitir a intromissão de terceiros[7];
- nas situações de negligência grosseira do ordenante (do utilizador do serviço), é este quem suporta as perdas resultantes das operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a 50,00€ (art. 115º, nº 4 do RJSPME).
A instituição bancária (o prestador do serviço) suporta os prejuízos causados pelas debilidades dos sistemas de pagamento que disponibiliza aos seus clientes sempre que as perdas não tenham sido potenciadas por negligência grosseira destes – demonstrando o banco (pois que lhe compete o ónus de prova, nos termos do art. 113º, nº 3, parte final do RJSPME[8]) que o cliente utilizador contribuiu com negligência grave para a ocorrência de operações de pagamento não autorizadas, então deverá este suportar a totalidade dos prejuízos.
O conceito de negligência grosseira deve buscar-se na disciplina geral do direito civil (pois que o conceito não é densificado no RJSPME)[9] – culpa grosseria que, referida à violação de deveres contratuais, é aferida nos termos aplicáveis à responsabilidade civil (arts. 779º, nº 2 e 487º, nº 2 do CC), o que remete para a comparação entre o comportamento concretamente adoptado pelo agente e o que seria observado nas mesmas circunstâncias de facto por um utilizador do serviço de pagamento normalmente informado, diligente e cuidadoso, pois este é o padrão referencial ou parâmetro de aferição a considerar para apurar do grau de reprovação ou censura de que é merecedor a conduta do utilizador (o grau de reprovação ou de censura será tanto maior quanto mais ampla for a possibilidade de a pessoa ter agido de outro modo[10]), donde resulta que a culpa grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do (contraria o) grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência.
Inexistindo ouro critério legal, o padrão de conduta exigível ao utilizador do serviço (‘a bitola com que se mede o grau de diligência’ exigível[11]) é o prescrito no art. 487º, nº 2 do CC – e por isso que a culpa (juízo de censura ético) será apurada por referência ao modelo de uma pessoa-tipo, um sujeito ideal, o tipo de homem médio ou normal, medianamente sagaz, prudente avisado e cuidadoso (fazendo reportar estas qualidades ao do utilizador do serviço em causa) que utiliza tais serviços; a referência legal ao bom pai de família acentua mais a nota ética ou deontológica do bom cidadão do que o critério puramente estatístico do homem médio (o que significa deverem ser desprezadas as práticas de desleixo, de desmazelo ou de incúria, que porventura se tenham generalizado no meio, se outra for a conduta exigível das pessoas de boa formação e são procedimento)[12].
A negligência grosseira será de afirmar, assim, quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas[13], correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes[14] – comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir.
Do contrato de home banking (pela alínea o) do art. 2º do RJSPME designado como ‘contrato-quadro’), um contrato de execução continuada, resulta uma relação obrigacional complexa, geradora, interligando-se em vista da prossecução de um mesmo fim contratual, de deveres principais, deveres acessórios e deveres laterais[15] - no que releva à economia da presente apelação, se ao banco se exige que assegure os mecanismos de segurança inerentes ao instrumento de pagamento que disponibiliza aos clientes, pois sobre si recai o dever de prestar um serviço eficaz e seguro[16] (cabendo-lhe um reforçado dever de informar e elucidar os clientes dos casos de fraude e de intromissão de terceiros não autorizados nas operações que o sistema home banking permite e, assim, de elucidação dos perigos inerentes à utilização do serviço que se comprometeu a prestar[17]), sobre o utilizador do serviço recai um conjunto de deveres acessórios de conduta conexionados com a segurança do sistema, designadamente – para lá do dever tomar as medidas razoáveis para preservar a eficácia dos mecanismos de segurança personalizados associados ao instrumento que utiliza (art. 110º, nº 2 do RJSPME) e de comunicar ao banco prestador do serviço, sem atraso, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento (alínea b) do nº 1 do art. 110º do RJSPME) – os que se ligam à necessidade de se acautelar e proteger dos perigos de fraude para os quais seja alertado pelo banco, mormente por avisos, alertas e informações de segurança feitos no momento em que acede ao serviço na página do banco, logo depois de feito o registo inicial (ou login), como é o caso dos pop-ups (janelas que saltam na tela e que apresentam avisos, alertas e informações – só depois de fechadas o cliente volta a aceder ao serviço).
Substancialmente, é dever (acessório) do cliente utilizador, em vista de utilizar, com segurança, o serviço que lhe é proporcionado, o de se manter ao corrente das variadas formas de fraude informática que vão surgindo e que o banco cuida de levar ao seu conhecimento em vista de que tome as cautelas devidas e adequadas e de tomar, efectivamente, tais aconselhadas cautelas e cuidados.
A situação dos autos constitui um caso de pharming – enquanto o phishing consiste no envio de mensagens de correio electrónico, aparentemente provindas da entidade bancária prestadora do serviço, com a finalidade de obtenção de dados confidenciais que permitam ao terceiro aceder ao serviço de pagamento electónico, o pharming reveste uma técnica mais sofisticada, pois é corrompido ou comprometido o próprio nome de domínio de uma instituição financeira, sendo o utilizador redireccionado para um site falso, em tudo semelhante ao verdadeiro, sempre que digita (e ainda que digite) no teclado a morada correcta do seu banco[18]. Ambas as técnicas (técnicas fraudulentas que atingem o serviço de home banking) ‘supõem que o pirata informático tenha acesso à conta de um determinado cliente de um banco através do sistema de banca eletrónica, permitindo-lhe transferir os fundos aí inscritos a débito para outras contas. Este acesso não autorizado é conseguido, tanto no phishing, como no pharming, através da utilização das chaves de acesso a este serviço bancário que o próprio cliente do banco forneceu, ainda que inadvertidamente, ao criminoso através da internet.’[19]
Assim aconteceu quando a funcionária da autora (autorizada a movimentar a conta bancária) pretendeu utilizar o serviço (aceder ao site do réu para consultar o saldo e movimentar valores) – redirecionada para uma página em todo semelhante à página verdadeira do banco réu (por isso se afirmou que o caso dos autos configura situação de pharming), fez o login para entrar na conta (inserindo as credencias necessárias – o código de utilizador, a password e o certificado digital), deparando-se com uma actualização; porque a actualização demorava há trinta minutos, reiniciou o processo, repetindo os actos referidos, deparando-se-lhe novamente a actualização e quinze minutos depois foi pedido um código para autorizar o restante processo de actualização, com informação de que os valores apresentados eram fictícios (facto provado número 24), tendo então recebido mensagem no telemóvel relativa a uma operação no montante de 26.973,00€, código que apesar de diferente do que estava a ser solicitado, a funcionária da autora inseriu, voltando a aparecer a página de actualização, só então contactando o banco réu (a gerente de conta), tendo a conta da autora sido alvo de dezanove operações de pagamentos de serviços, no montante global de 18.981,00€.
Perante tais factos não pode recusar-se que a funcionária da autora actuou com culpa – a vexata quaestio é, tão só, apreciar se o grau de reprovação que a sua conduta merece alcançou o mais alto grau de desleixo, se consubstancia a inobservância das mais elementares regras de prudência e cuidado, se corresponde a um erro imperdoável, face às circunstâncias concretas, que o comum dos utilizadores, mesmo os pouco diligentes, não cometeriam.
Ainda que a técnica utilizada pelo(s) terceiro(s) abusador(es) corresponda, no caso, a uma modalidade de fraude informática ‘muito difícil de reconhecer, mesmo para utilizadores experientes e alertados para a temática da segurança’[20], o que assume no caso relevância decisiva é a conjugada circunstância de se solicitar um código para concluir uma actualização do software, referindo-se que os valores apresentados eram fictícios.
O comum dos utilizadores dos serviços de home banking prestados pelo banco réu, mesmo os menos diligentes, ter-se-ia abstido de prosseguir a operação quando se deparou com o pedido de digitação dum código de autorização de operação simulada (ou com valores fictícios) – por menos diligente e cuidadoso que seja o comum dos utilizadores do serviço prestado pelo banco réu, tem de conceder-se que, no mínimo (caso o pedido de actualização de software o não alertasse para ela), sempre ficaria alertado para a fraude que estava a ser perpetrada quando lhe fosse solicitado um código de autorização relativo a uma operação simulada (operação com valores fictícios), pois que os variados alertas e avisos de segurança exibidos desde há anos pelo banco réu na sua página para isso alertavam os utilizadores, impondo-se-lhe por isso que se abstivesse de prosseguir a operação.
Particular a displicência, descuido e desatenção demonstrada pela utilizadora (funcionária da autora), que desrespeitou elementares regras de cuidado e prudência ligadas à necessidade de acautelar a ocorrência de fraude informática, regras de cuidado para cuja observância era recorrentemente alertada pelo banco réu, mormente por avisos, alertas e informações de segurança que o banco vinha desde há anos exibindo no momento em que o cliente acede ao serviço, logo depois de feito o registo inicial (ou login) – vejam-se os factos que, em resultado da decisão sobre a impugnação da decisão sobre a matéria de facto, se julgaram provados.
Pode, pois, o resultado danoso (as operações não autorizadas que significaram a saída do valor global de 18.981,00€ da sua conta de depósitos) ser imputado à autora a título de culpa, ou seja, mediante um juízo de reprovação ou censura ético-jurídico (a culpa é a imputação de um acto ao seu autor, traduzida no juízo segundo o qual este devia ter-se abstido da sua prática[21], constituindo um vínculo de natureza psicológica ligando o facto ao agente, implicando simultaneamente um juízo normativo de reprovação ou censura – em face das circunstâncias concretas da situação, o agente podia e devia ter agido de outro modo[22]), atingindo o grau de inconsideração ou descuido o patamar mais elevado (o patamar da culpa grave ou negligência grosseira) – só por manifesto e imperdoável descuido a funcionária da autora omitiu os deveres de cuidado e diligência que se impunham nas concretas circunstâncias que se lhe depararam e cuja observância lhe teria permitido prever o resultado e tomar as necessárias providências para o evitar.
Negligência grosseira que foi condição necessária e adequada para a ocorrência das operações de pagamento não autorizadas ocorridas, devendo por isso a autora, cliente utilizador do serviço, suportar a totalidade dos prejuízos sofridos.
C. Síntese conclusiva.
Atento o exposto, procede o recurso, podendo sintetizar-se a argumentação decisória (nº 7 do art. 663º do CPC) nas seguintes proposições:
………………………………
………………………………
………………………………
*
DECISÃO
*
Pelo exposto, acordam os Juízes desta secção cível em julgar procedente o recurso e, em consequência, revogando a decisão recorrida, em julgar improcedente a acção e absolver o réu do pedido.DECISÃO
*
Custas (da acção e da apelação) pela autora apelada.
*
Porto, 18/04/2023João Ramos Lopes
Rui Moreira
João Diogo Rodrigues
(por opção exclusiva do relator, o presente texto não obedece às regras do novo acordo ortográfico, salvo quanto às transcrições/citações, que mantêm a ortografia de origem)
_____________________
[1] Abrantes Geraldes, Recursos no Novo Código de Processo Civil, 2018, 5ª Edição, p. 290.
[2] Defendiam-no a propósito do regime processual anterior ao introduzido pela Lei 41/2013, de 26/07, ao nível da doutrina, Abrantes Geraldes, Recursos em Processo Civil, Novo Regime, 2ª edição revista e actualizada, pp. 283 a 286 e Amâncio Ferreira, Manual dos Recursos em Processo Civil, 9ª edição, p. 227 (referindo que, por se encontrar na posse dos mesmos elementos de prova que a 1ª instância, a Relação, se entender, dentro do princípio da livre apreciação da prova, que aqueles elementos impõem uma decisão diferente sobre o ponto impugnado da matéria de facto, alterará a decisão que sobre ele incidiu – a reapreciação da prova pela Relação coincide em amplitude com a da 1ª instância); ao nível da jurisprudência (tirada no âmbito da vigência do anterior regime processual), p. ex., os Acórdãos do STJ de 01/07/2008, de 25/11/2008, de 12/03/2009, de 28/05/2009 e de 01/06/2010, no sítio www.dgsi.pt.
Posição que a doutrina e a jurisprudência vêm mantendo (e veementemente reforçando) quanto ao regime processual vigente – p. ex., na doutrina Abrantes Geraldes, Recursos (…), p. 298 a 303 (maxime 302 e 303) e na jurisprudência os acórdãos do STJ de 8/01/2019 (Ana Paula Boularot), de 25/09/2019 (Ribeiro Cardoso), de 16/12/2020 (Tomé Gomes), de 1/07/2021 (Rosa Tching) e de 29/03/2022 (Pedro de Lima Gonçalves), no sítio www.dgsi.pt.
[3] A. Varela, RLJ, Ano 116, p. 339.
[4] Manuel de Andrade, Noções Elementares de Processo Civil, 1979, pp. 191/192.
[5] Procedeu-se à audição de todos os depoimentos prestados em audiência de discussão e julgamento.
[6] Carolina França Barreira, ‘Home banking: A repartição dos prejuízos decorrentes de fraude informática’, in Revista Electrónica de Direito, Outubro 2015, nº 3, Faculdade de Direito da Universidade do Porto p. 47 (acessível online na página www.cije.up.pt/revistared).
[7] Carolina França Barreira, ‘Home banking (…), pp. 47/48.
[8] Ao banco cabe provar que a operação de pagamento foi devidamente autenticada e, uma vez feita esta prova, compete-lhe ainda provar a contribuição do cliente para os prejuízos ocorridos e o grau de culpa subjacente ao seu comportamento - Carolina França Barreira, ‘Home banking (…), pp. 37 e 62/63. Também, v. g., além do acórdão desta Relação de 4/06/2019 (Alexandra Pelayo) citado na decisão recorrida, os acórdãos da Relação de Lisboa de 5/11/2013 (Manuel Marques), da Relação do Porto de 27/06/2022 (Mendes Coelho) e do STJ de 14/12/2016 (Pinto de Almeida), no sítio www.dgsi.pt.
[9] Carolina França Barreira, ‘Home banking (…), p. 50.
[10] A. Varela, Das Obrigações em Geral, Vol. I, 10ª Edição, revista e actualizada (7ª reimpressão da edição 2000), pp. 573/574.
[11] A expressão é de Antunes Varela, Das Obrigações em Geral (…), p. 574.
[12] Antunes Varela, Das Obrigações em Geral (…), p. 575 (e 576), nota 3.
[13] António Pinto Monteiro, Cláusulas Limitativas de Exclusão de Responsabilidade Civil, 1985, p. 236. Assiste-se ao renascimento da culpa grave (ou negligência grosseira), fazendo reviver um conceito de raízes bem antigas, assim se atribuindo importância ao grau de culpa (autor e obra citados, p. 244), assentando tal antigo conceito na ideia de que não merece ‘consideração quem age de forma tão censurável, até porque «un stupide est pêut-être plus dangereux qu’un méchant’ (autor e obra citados, p. 234).
[14] Ana Prata, Cláusulas de Exclusão e Limitação da Responsabilidade Contratual, Reimpressão, pp. 306 a 308, apud acórdão da Relação de Guimarães de 10/07/2019 (Margarida Sousa), no sítio www.dgsi.pt.
[15] Acórdão da Relação de Lisboa de 26/10/2010 (Maria Amélia Ribeiro), no sítio www.dgsi.pt e Carolina França Barreira, ‘Home banking (…), p. 17.
[16] Carolina França Barreira, ‘Home banking (…), p. 21 e 22, citando, em abono, os acórdãos da Relação de Lisboa de 12/12/2013 (Tomé Ramião), de 18/04/2013 (Anabela Calafate) e de 5/11/2013 (Manuel Marques), todos no sítio www.dgsi.pt.
[17] Carolina França Barreira, ‘Home banking (…), p. 20.
[18] Cfr., por exemplo, a propósito destas duas técnicas, o acórdão do STJ de do STJ de 14/12/2016 (Pinto de Almeida) e Carolina França Barreira, ‘Home banking (…), pp. 26 a 28
[19] Carolina França Barreira, ‘Home banking (…), p. 25.
[20] Carolina França Barreira, ‘Home banking (…), p. 28.
[21] Inocêncio Galvão Telles, Direito das Obrigações, 6ª Edição revista e actualizada, p. 341.
[22] A. Varela, Das Obrigações em Geral (…), p. 562.