Acórdão do Tribunal da Relação do Porto
| 1482/17.7T8PRD.P2 |  |
HOMEBANKING
DEVERES CONTRATUAIS
TÉCNICAS DE FRAUDE INFORMÁTICA
ÓNUS DA PROVA
OPERAÇÃO ILÍCITA DE TRANSFERÊNCIA DE FUNDOS
RISCOS DE UTILIZAÇÃO DO SISTEMA
II - A entidade bancária tem o dever de prestar um serviço eficaz e seguro e por sua vez, sobre o cliente/utilizador impõe-se os deveres acessórios de conduta, como de utilização correta do serviço e de confidencialidade relativamente ao código de acesso pessoal à conta e aos dispositivos de segurança personalizados fornecidos pela entidade bancária, nomeadamente chaves de acesso, (v.g. inscritas num “cartão matriz”) e que tem função de autenticação das operações, as quais são fundamentais para a realização de transferências
III - A fraude informática no “homebanking” constitui uma forma de cibercrime, que consiste basicamente na intromissão de um terceiro, isto é de uma pessoa não autorizada, numa determinada rede informática, procedendo a movimentação do saldo bancário para contas de terceiros, como seja através das denominadas técnicas de “phishing” e de “pharming”.
IV - Constitui ónus da prova da entidade bancária provar a ocorrência de comportamento negligente, gravemente negligente ou doloso do utilizador.
V - Age sem qualquer culpa ou negligência o utilizador de conta bancária, que utilizando os serviços de homebanking prestados pelo banco, é vítima de um ataque informático, através da técnica de “pharming”, mediante a qual foram “revelados” inadvertidamente os dispositivos de segurança que haviam sido fornecidos pelo banco, e que de forma não concretamente apurada, originaram uma operação de transferência de fundos não autorizada da sua conta para terceiro, não autorizada.
VI- A entidade bancária tem a obrigação (artigo 68º, nº1, alínea a) do Regime Jurídico Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RSP), constante do Anexo I ao Decreto-Lei nº 317/2009, de 30/out.), de “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento”, pelo que os riscos pela utilização normal do sistema correm por sua conta, devendo por isso suportar o prejuízo resultante da operação não autorizada pelo cliente.
SUMÁRIO:
……………………………
……………………………
……………………………
Acordam os Juízes do Tribunal da Relação do Porto:
I-RELATÓRIO
“B…, LDA.”, sociedade comercial por quotas intentou ação declarativa de condenação, sob a forma de processo comum contra “C…” e D…, peticionando serem as demandadas solidariamente condenadas a pagar à autora o valor total de € 7 498,79 (sete mil quatrocentos e noventa e oito e setenta e nove cêntimos) acrescido dos juros de mora já vencidos, calculados à taxa legal e vincendos desde a citação até efetivo e integral pagamento.
Para o efeito alega ter celebrado um contrato de depósito à ordem correspondente à conta …-.........-., tendo igualmente aderido ao serviço prestado pela ré de “homebanking” denominado de C1…, através do qual os aderentes podem efetuar uma série de operações bancárias fora do horário de atendimento do banco, via online, através de uma página segura que os clientes utilizam este tipo de serviço.
Em 30 de Dezembro de 2015, a autora acedeu ao serviço on-line C1… da instituição ré, levando a autora a dirigir-se ao balcão ao Banco mais próximo para fazer os pagamentos que tencionava, mas sem sequer suspeitar do motivo de impossibilidade.
No dia seguinte, o representante legal da autora foi contactado por um funcionário da ré que o questionou sobre se efetuou e/ou autorizou a transferência bancária, no valor de € 6.814,37, através do serviço C1…, para uma conta sediada nessa instituição titulada, por D….
Veio a apurar-se tratar-se de uma transferência fraudulenta efetuada pela conta da autora na véspera.
Assim, nos termos do contrato celebrado a ré está obrigada a reembolsar a autora, na íntegra, do valor da operação realizada, não autorizada ilícita e fraudulenta, por o risco das falhas do sistema informático utilizado e dos ataques cibernéticos ter de correr por conta dos bancos, nos termos do previsto no artigo 796º., nº.1 do CCivil e em consonância do Ac. STJ de 18.12.2013, proferido no proc. nº. 6479/09.8TBBRG.G1.S1.
Citadas as RR, veio a instituição bancária ré apresentar contestação, na qual, por impugnação afirma desconhecer e ser impreciso o alegado pela autora pois entende que, no âmbito do contrato celebrado e referente ao serviço de “homebanking”, designado por C1…, sendo transmitidos todos elementos necessários para aceder a esse serviço, nomeadamente, o cartão matriz, os códigos de validação incluindo os de validação adicional para operações superiores a € 2.500,00, as chaves de acesso e de segurança ao respectivo cliente, conforme se pode constatar dos documentos juntos.
Por isso, entende que a partir do momento em que é realizada a adesão a esse serviço de “homebanking”, o cliente autoriza o banco réu a realizar as operações através daquele meio eletrónico, pelo que não lhe poderá ser imputada qualquer responsabilidade na realização daquela operação que pertence exclusivamente à autora e, por conseguinte, entende dever ser absolvida, em conformidade com os demais termos alegados.
Veio a ser proferida sentença que decidiu a ação nos seguintes termos.
Pelo exposto, decido, absolver a ré D… da totalidade do pedido deduzido contra a mesma.
No mais, julgo a ação procedente, por provada apenas quanto ao réu “C…” e, em consequência, condeno-o a pagar à autora o valor de € 6.814,37 (seis mil oitocentos e catorze euros e trinta e sete cêntimos) que lhe foi abusivamente retirado da conta bancária de depósito à ordem Empresas, incluindo os juros de mora vencidos, calculados à taxa legal e acrescido dos juros vincendos desde a data da citação até efetivo e integral pagamento.
Custas a cargo de ambas partes na proporção do vencimento, (cfr. artigo 527º nºs. 1 e 2 do CPC, na redação dada pela Lei nº 41/2013).
Inconformada, a Ré C…, S.A., interpôs o presente recurso de Apelação, formulando as seguintes conclusões:
……………………………
……………………………
……………………………
V – DO PEDIDO
A douta sentença recorrida fez uma incorreta interpretação e aplicação do direito aos factos provados violando o disposto nos artigos 796.º n.º 1, 799.º n.º 1 do Código Civil e artigo 68.º, 71.º e 72.º do DL 317/2009, de 30/10, devendo assim ser revogada no que concerne à condenação da C… a pagar à autora, o valor de € 6.814,37 (seis mil oitocentos e catorze euros e trinta e sete cêntimos), incluindo os juros de mora vencidos, calculados à taxa legal e acrescido dos juros vincendos desde a data da citação até efetivo e integral pagamento.”
Apresentou contra-alegações a Autora B…, Lda., pugnando pela improcedência do recurso e pedindo a confirmação da sentença recorrida.
II - OBJETO DO RECURSO
……………………………
……………………………
……………………………
III - DA MODIFICABILIDADE DA DECISÃO SOBRE A MATÉRIA DE FACTO
……………………………
……………………………
……………………………
IV-FUNDAMENTAÇÃO:
Feitas as necessárias alterações em consequência do ora decidido, encontram-se provados os seguintes factos:
1). A autora é uma sociedade comercial por quotas que se dedica à instalação e montagem de cabines de pintura e envernizamento de sistemas de ventilação e de outros equipamentos industriais e ao comércio de máquinas, ferramentas e artigos diversos, conforme certidão permanente que se junta como doc. 1 e se dá por integralmente reproduzida para todos os efeitos legais.
2). Em 24 de Abril de 2014, no balcão da C… de …-Paredes, a autora celebrou com o banco demandado um contrato de depósito à ordem Empresas, n.º ………….-., titulada pelos sócios-gerentes, na altura o Sr. E… e Sra. F….
3). Igualmente, em 30 de Abril de 2014, o Sr. E… aderiu ao serviço prestado pela Ré de “homebanking” denominado C1…, através do qual os aderentes podem efetuar uma série de operações bancárias, fora do horário de atendimento do banco, via online, através de uma página segura desta instituição, os clientes que utilizam este tipo de serviço fornecido pelo banco têm de estar assegurados por este de que as ligações que utilizam para realizar as operações bancárias online não constituem qualquer tipo de risco para os mesmos, conforme resulta do teor do documento nº.1-a junto aos autos e cujo teor se dá aqui por integralmente por reproduzido.
4). Em resultado do qual foram atribuídos à Autora, pela C…, códigos de acesso/credenciais de utilização, os quais são pessoais e funcionam a três níveis essenciais de segurança distintos, na utilização corrente do serviço C1…, designadamente:
a) Um número de identificação C…, atribuído e entregue ao cliente no momento da adesão;
b) Um código PIN multicanal, composto por seis dígitos, atribuído e entregue ao cliente no momento da adesão (permitindo estas duas credenciais a realização de operações e consultas que não comportem alterações de património);
c) Um cartão matriz, que consiste num cartão de coordenadas com 72 posições, cada uma com 3 dígitos (logo, 216 dígitos, no total), para validação de operações passíveis de alteração do património detido pela Autora, junto da Ré.
5). Existe, ainda, um nível de validação adicional em certos casos, designadamente para realização de operações superiores a € 2.500,00.
6). O cartão matriz é remetido via CTT para o endereço dos clientes em estado de pré-ativo, apenas sendo passível de ser ativado pelos clientes mediante validação de códigos de acesso (através do número de cliente e do PIN multicanal).
7). Em 15 de Abril de 2015, foi alterada a Ficha de Assinaturas, passando a figurar como sócio-gerente e único interveniente na conta ………….-., o Sr. G… e que, também, nesta data aderiu ao Serviço C1…, conforme teor do Documento nº. 1-b, que se junta e cujo teor se dá aqui por integralmente por reproduzido.
8). Em 30 de Dezembro de 2015, a Autora acedeu ao site e ao serviço C1… da Ré para efetuar pagamentos, tendo-lhe sido solicitadas não mais do que duas posições do Cartão Matriz, igualmente fornecido por aquela e verificou, na sequência dessa operação, que ficou sem conseguir aceder ao serviço, o que levou a Autora a dirigir-se ao balcão do Banco mais próximo para fazer os pagamentos que tencionava, mas sem sequer suspeitar do motivo de tal impossibilidade.
9). O facto de o Sr. H… ter inserido as coordenadas do Cartão Matriz para atualização de dados da Autora (alegadamente, em resposta a um e-mail remetido pela C…, mesmo sabendo que a C… não procede ao envio de e-mails, nem links diretos para o site oficial), não estando, igualmente, registado junto da C…, como utilizador dos dados de acesso da Autora ao C1….
10). Em 30 de Dezembro de 2015, foi efetuado um movimento de Cash Advance, via “homebanking”, através das credenciais de Acesso ao Serviço Multicanal do Sr. G…, representante legal da Autora, no valor de € 4.900,00, tendo aquela verba sido creditada na conta à ordem associada, com o n.º ………….-., tendo esta ficado com um saldo de € 6.842,47.
11). Nesta data, foi efetuada uma Transferência Intrabancária, via “homebanking”, através das credenciais de Acesso ao Serviço Multicanal do Sr. G…, no valor de € 6.814,37, por contrapartida da conta à ordem titulada pela Sra. D… (como expressamente consta do extrato bancário da conta de origem, titulada pela Autora), sem qualquer relação entre si.
Ora, a transferência irregular, indicada pela Autora, foi efetuada através do serviço homebanking, C1… e à data em que foram detetados, a mesma já estava consumada;
12). No dia seguinte, em 31 de Dezembro de 2015, é o representante legal da Autora contactado por um funcionário da Ré que o questionou se efetuou e/ou autorizou a transferência bancária no valor de € 6.814,37 (seis mil, oitocentos e catorze euros e trinta e sete cêntimos) referida em 11), através do serviço C1…, para uma conta sediada nessa instituição e titulada por “D…”.
13). Nessa altura foi logo adiantada a informação pelo representante legal da Autora de que tal transferência não havia sido efetuada e/ou autorizada pela titular, não conhecendo sequer a pessoa para quem a mesma foi efetuada pelo que se tratava de operação não autorizada.
14). Pelo que a Ré informou que o banco suspeitava da existência de uma transferência não autorizada e, por isso, fraudulenta que havia sido feita da conta titulada pela Autora no dia anterior, e que ia bloquear os códigos de acesso àquela conta. (redação ora alterada)
15). Na sequência do exposto, e alarmado com a situação, o representante legal da Autora dirigiu-se de imediato ao Balcão de … da Ré para se inteirar do sucedido, onde obteve a confirmação, pelo funcionário da Ré que o atendeu Sr. I…, de que no dia anterior tinha sido efetuada uma transferência fraudulenta da conta titulada pela Autora no valor e termos acima mencionados - cfr. extrato de movimentos da conta n-º 328.10.001390-8, de 01-12-2015 até 31-12-2015, que se junta como doc. 2 e se dá por integralmente reproduzido para todos os efeitos legais.
18). Entretanto, no dia 31 de Dezembro de 2015, o Contact Center da C… alertado para verificar outros movimentos, efetuados na conta à ordem, titulada pela co-Ré, Sra. D…, verificou que, em 30 de Dezembro de 2015, existiu uma transferência a crédito efetuada da conta da Autora, no dito montante de € 6.814,37.
19). A operação descrita em 11), por levantar suspeitas, foi detetada pela entidade bancária que, de imediato, bloqueou a conta da Autora a qualquer operação a débito ainda antes da autora dela tomar conhecimento.
20). Após o que se procedeu à suspensão do acesso através das credenciais da Autora.
21). Ainda em 31 de Dezembro de 2015, o mesmo Contact Center, contactou a Autora, tendo falado, inicialmente, com o seu sócio-gerente, o Sr. G…, que indicou que, quem estava autorizado pela autora a utilizar, sempre, as credenciais da Autora, era o seu filho, o Sr. H… que não se encontra registado como utilizador do serviço C1…, a qualquer título, na conta detida pela Autora junto da C….
22).não provado
23). Apesar das diversas reclamações verbais e escritas da Autora junto da instituição bancária, e depois de devidamente interpelada para o efeito, esta veio declinar responsabilidades, afirmando que não foi possível recuperar os montantes em que a autora foi lesada - cfr. reclamação escrita de 15-01-2016, resposta à reclamação apresentada de 29-01-2016, carta de interpelação da Ré de 15-03-2016 e resposta da Ré de 11-04-2016, que se juntam como docs. 3, 4, 5 e 6 e se dão por integralmente reproduzidos para todos os legais efeitos.
24). A Autora desconhece o domicílio da segunda Ré, para cuja conta foi transferido o valor em causa nestes autos.
25). Em todos os acessos ao C1…, após introdução dos dígitos correspondentes ao código de identificação de utilizador do C1… e imediatamente antes da introdução do código de acesso surge o alerta de não serem, em situação alguma, solicitadas, naqueles acessos, mais de duas coordenadas do cartão matriz (cfr. Doc. 7., que se junta, cujo conteúdo consta do sítio institucional da Ré, desde Novembro de 2006).
26). Consubstanciando os avisos constantes do Documento nº. 7., uma reiteração, em todos e cada um dos acessos ao C1…, dos cuidados de segurança e boas práticas a ter pelos clientes, adicionalmente ao já transmitido aquando da adesão.
27). No cartão matriz do utilizador do serviço C1… tem impressa, a indicação: “Atenção: nunca indique mais do que 2 dígitos deste Cartão Matriz”, conforme teor do Doc. 8., cuja configuração já existe com o alerta de segurança desde Abril de 2010.
28). Sempre que se efetua um acesso ao sítio institucional da Ré, na mesma página onde insere o código PIN, encontra-se em formato de fácil leitura e apreensão, informação diversa e bastante explícita sobre medidas de segurança por aquela adotadas, medidas de segurança/precauções que deverão ser tomadas pelos utilizadores, conforme resulta do teor do Doc. 7., que se juntou, supra, e para o qual se remete), designadamente:
a) “O C… apenas lhe solicita a indicação de 2 posições do seu Cartão Matriz nas operações em que o seu património é alterado, por exemplo na realização de uma Transferência Interbancária ou Pagamento de Serviços, entre outros.”
b) “Na ativação do Cartão Matriz não são solicitadas posições do mesmo.”
c) “O C… nunca lhe solicitará a realização de qualquer atualização de segurança de códigos de identificação via e-mail, nem procede ao envio de emails com links diretos para o site oficial.”.
29). Bem como exemplos de páginas fraudulentas e de e-mail de “Phishing”, por forma a alertar os utilizadores para eventuais fraudes, nos termos Doc. 9., que se junta e para cujo teor se remete, designadamente para onde consta, expressamente:
a) “Ter sempre instalado no seu computador um programa de antivírus devidamente atualizado”
b) “Suspeite de qualquer e-mail, chamada telefónica ou SMS, que peça uma "ação imediata" ou crie um sentido de urgência ou risco grave. Em caso de dúvida contacte o seu banco.”
30). Pelo menos desde Agosto de 2004, esta Página vem sendo permanentemente atualizada pela C…, com exemplos de fraudes (exemplos de e-mails, práticas fraudulentas, etc.).
31). Surge, ainda, um “layer” de segurança, no acesso ao C1… sempre que se efectua o acesso de um computador novo ou no mesmo computador, desde que os “cookies” tenham sido limpos, layer este que está online no sítio da C… desde Abril de 2009, conforme resulta do teor do documento nº. 10 junto aos autos e cujo teor se dá aqui por integralmente por reproduzido.
32). A autora como “clientes empresa” da C… para realizar transferências superiores a € 2.500,00, em momento prévio ao da introdução do número de identificação C…, é-lhe solicitado um “Certificado Digital” que é um nível adicional de segurança e que corresponde a uma certificação de segurança que é efetuada localmente, no computador que os clientes utilizam para aceder ao C1…, conforme resulta do Doc. 11., que se junta, cuja exata configuração, existe no sítio institucional da C…, desde Novembro de 2015 cujo teor se dá aqui por integralmente por reproduzido.
33). O qual, no caso dos autos, como já se viu, é o portátil do Sr. H….
34). Não sendo possível à C… impedir a concretização de transferências já ordenadas e efetuadas;
37). No caso concreto, a instituição ré C…, da operação descrita em 11)., logrou recuperar o montante de € 156,91, o qual foi creditado na conta da Autora, em 29 de Janeiro de 2016, conforme consta do Doc. 12., que se junta e que aqui se dá por integralmente por reproduzido.
38). O Serviço C1… é controlado pela C…, no que respeita aos acessos feitos com as legítimas credenciais dos clientes, conforme os dados dos acessos efetuados nas datas dos movimentos dos autos que constam do Doc. 13., que se junta e que aqui se dá por integralmente por reproduzida.
39-O sistema de acesso à conta bancária através do serviço C1… só é possível através da introdução de elementos a que só a Autora (seu legal representante e utilizador registado) tinha acesso e que os não deveria divulgar a terceiros. (ora acrescentado)
……………………………
……………………………
……………………………
V-O DIREITO APLICÁVEL.
Entende o banco Apelante que existe erro na aplicação do direito, basicamente por defender que o risco que para si decorre do disposto no art. 796º do Código Civil, por ter recebido o dinheiro do depositante, ficou afastado pela culpa ou negligência grosseira do utilizador da conta bancária que originou uma quebra de segurança do sistema.
Cumpre pois apreciar a questão da eventual repartição do risco entre a entidade bancária e o cliente relativamente á transferência bancária feita através dos serviços de homebanking prestados pelo banco réu, que não foi autorizada pela cliente autora.
Vejamos.
Os bancos em geral passaram a conceder aos seus clientes serviços designados de homebanking, isto é, a permitir aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, online, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o que se reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet.
Estes serviços, também denominados de “banca electrónica”, de “e-banking”; de “banco internético”, “banca eletrónica”, “banca on line”, ou mais vulgarmente conhecidos por “homebanking” proporcionam ganhos de comodidade para o utilizador que não necessita de deslocar-se á instituição bancária e não fica limitado às horas de expediente dos bancos, fornecendo uma resposta rápida e eficiente às necessidades dos clientes do banco, para além de fornecerem ganhos para os bancos, com a redução de despesas e agilização dos movimentos bancários, tem vindo por isso a ter uma grande divulgação, constituindo hoje um serviço que apresenta crescente popularidade.
Como se pode ler no AC RL de 06-11-2018 (relatora Ana Pessoa), “(…) o contrato em causa, que como se referiu, tem vindo a obter forte adesão pelas vantagens que apresenta – para as entidades bancárias, que dessa forma agilizam serviços e otimizam a gestão de recursos humanos, e para os clientes, que podem aceder, até de casa, sem qualquer limite de horário, a uma enorme variedade de serviços bancários - comporta riscos, inerentes, quer a falhas no sistema, quer a ataques cibernautas.”
Conforme resulta dos factos provados, em 30 de Abril de 2014, foi celebrado um contrato de homebanking entre a Autora e o Banco C…, estando pois o mesmo sujeito ao REGIME JURÍDICO DOS SERVIÇOS DE PAGAMENTO E DA MOEDA ELETRÓNICA (a seguir RSP) contido no Anexo I do Decreto-Lei nº 317/2009, de 30 de Outubro, que aprovou o Regime Jurídico que regula o Acesso à atividade das instituições de pagamento e a prestação de serviços de pagamento e resultou da transposição para a ordem jurídica interna da Directiva nº 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro, relativa aos serviços de pagamento no mercado interno, tendo entrado em vigor no dia 1 de Novembro de 2009 e sido alterado pelo Dec. Lei n.º 2482/2012, de 07.11 e pelo Dec. Lei n.º 157/2014, de 24.10.
De referir que o Regime Jurídico dos Serviços de Pagamento e de moeda eletrónica constante deste diploma legal (seu anexo 1) foi muito recentemente alterado pelo DL 91/2018 de 12.11, que o revogou, tendo procedido á aprovação do “Novo Regime Jurídico dos Serviços de Pagamento e de Moeda eletrónica, agora com base na Diretiva (CE) 2015/2366 do Parlamento Europeu e do Conselho, o qual manteve porém, de uma forma geral disciplina e o regime em vigor desde 2012.
O contrato de “homebanking” encontra-se previsto no artigo 2º, al. o) do diploma aplicável, (RSP) como um contrato-quadro, ou um contrato de prestação de serviços de pagamento que rege a execução futura de operações de pagamento individuais e sucessivas e que pode enunciar as obrigações e condições para a abertura de uma conta de pagamento.
Diz o seguinte: o) «Contrato quadro» um contrato de prestação de serviços de pagamento que rege a execução futura de operações de pagamento individuais e sucessivas e que pode enunciar as obrigações e condições para a abertura de uma conta de pagamento.
Tal como acontece com a maioria dos contratos bancários, o homebanking enquadra-se numa relação negocial complexa constituída a partir de um contrato de abertura de conta.
Trata-se porém de um “tipo negocial autónomo”, sendo aliás como tal reconhecido, no Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica contido no Anexo I do DL 317/2009 de 30.10, supra citado, como vimos, já que o define como “contrato quadro”, um contrato de prestação de serviços de pagamento que rege a execução futura de operações de pagamento individuais e sucessivas e que pode enunciar as obrigações e condições para a abertura de uma conta de pagamento, assim como na jurisprudência (ver Acórdãos do STJ de 18.12.2013 (Ana Paula Boularot), da RL de 26.10.2010 (relatora Maria Amélia Ribeiro) e de 24.5.2012 (Ezagui Martins) e de 6.11.2018 (relatora Ana Pessoa) e da RG de 23.10.2012 (relator Filipe Caroço), entre outros, disponíveis in www.dgsi.pt.
Para que o cliente tenha acesso á utilização deste instrumento facultado pelos bancos, necessário se torna, pois a celebração de um contrato (um “contrato quadro”) com o banco, em que fiquem acordadas as condições de movimentação da conta on line.
O mesmo porém encontra-se intimamente ligado aos contratos de abertura de conta e ao contrato de depósito bancário, podendo falar-se a este propósito da existência de uma coligação de contratos.
Assim sendo, existe uma ligação entre o contrato de depósito e o contrato de banca eletróncia, que se pode qualificar de funcional, (o contrato de homebanking só faz sentido se existir uma relação negocial subjacente- isto é a existência de fundos á sua disposição que possa movimentar), mas mantém a sua individualidade e autonomia.
O serviço de homebanking surge assim como um instrumento de pagamento que possibilita ao cliente utilizar os fundos que estejam á sua disposição, (utilização típica do contrato de depósito bancário).
A segurança do serviço prestado pelo banco, utilizando um sistema tecnológico com encriptação da informação, apresenta-se como fundamental, pois a entidade bancária tem o dever de prestar um serviço eficaz e seguro.
É desde logo o art. 73º do Regime Geral das Instituições de Crédito e Sociedades Financeiras (RGICSF, aprovado pelo Decreto-Lei 298/92 de 31 de Dezembro, com as alterações entretanto introduzidas), que estabelece que “as instituições bancárias devem assegurar, em todas as atividades que exerçam elevados níveis de competência técnica, garantindo que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e de segurança.”
Objetivo instrumental do banco para atingir a necessária segurança, é o de garantir que os seus clientes o utilizem de forma correta, fornecendo-lhes a informação necessária para o efeito.
Assim sendo, conexo com a questão da segurança, o RSP e o contrato celebrado, nas suas cláusulas impõe ao utilizador deveres acessórios de conduta.
A utilização correta do serviço e o dever de confidencialidade sobre os elementos de segurança fornecidos pelo banco, constituem assim um dever acessório da conduta que se impõe ao utilizador. E tem apoio na especial relação e confiança entre as partes., típica dos contratos de carater duradouro (sobre os deveres acessórios de conduta ver Antunes Varela, in Das Obrigações em Geral, vol I, 6ª ed., pg 123).
Assim é que o banco fornece ao cliente e ao utilizador um código de acesso pessoal á conta e ainda dispositivos de segurança personalizados, nomeadamente chaves de acesso, que normalmente se encontram inscritas num cartão matriz, que tem função de autenticação.
Impõe-se ao utilizador um dever de confidencialidade sobre as chaves de acesso, já que estas são fundamentais para a realização transferências, através daquele serviço, nãos sendo possível realizá-lo sem a introdução das chaves de acesso que são aleatoriamente escolhidas pelo serviço informático.
Não obstante a segurança que rodeia a utilização deste tipo de serviços, o certo é que o mesmo não é imune a ataques informáticos por parte de “hackers”, vulgo “piratas informáticos”, sendo ainda permeável à interceção dos códigos de acesso enquanto estão a ser digitados, vulgo “keylogging”, integrando-se tais comportamentos no designado “cibercrime” (ver Lei 109/2009 que aprovou a Lei do Cibercrime).
Na situação em apreço provou-se que no dia 30 de Dezembro de 2015, a Autora, através do utilizador habitual da conta, acedeu ao site e ao serviço “C1…” da Ré para efetuar pagamentos, tendo-lhe surgido no ecrã uma página em tudo igual á do banco, onde lhe foram solicitadas não mais do que duas posições do Cartão Matriz, que aquele utilizador terá achado normal (eram precisas sempre duas posições do cartão matriz para proceder ás operações bancárias), e que por isso terá introduzido no sistema, para além de fornecer o seu e-mail, também ali solicitado, verificando, de seguida, na sequência dessa operação, que ficou sem conseguir aceder ao serviço, o que levou a Autora a dirigir-se ao balcão do Banco mais próximo para fazer os pagamentos que tencionava, mas sem sequer suspeitar do motivo de tal impossibilidade. O utilizador pensava ter entrado na página do banco C…, pois o site onde se encontrava tinha a aparência dessa página e respondeu ao convite que aí lhe foi feito de proceder a uma atualização de dados, tendo remetido o seu endereço de e-mail e bem assim indicado duas posições do cartão matriz, o que lhe foi solicitado numa página “aparentemente” segura do banco C… onde aquele utilizador se preparava para proceder a uma operação bancária, através dos serviços de homebanking prestados pelo banco (este processo foi descrito pelo utilizador, quando contactado pelo banco e registado em gravação, constando a descrição respetiva do documento 4 da contestação, a que já se fez referência).
Nessa mesma data foi efetuada uma Transferência Intrabancária, via “homebanking”, através das credenciais de Acesso ao Serviço Multicanal do Sr. G…, no valor de € 6.814,37, por contrapartida da conta à ordem titulada pela Sra. D… (como expressamente consta do extrato bancário da conta de origem, titulada pela Autora), sem qualquer relação entre si.
Ora, a transferência irregular, indicada pela Autora, foi efetuada através do serviço homebanking, C1… e à data em que foram detetados, a mesma já estava consumada.
De realçar desde logo, a eficiência dos serviços do Banco Réu já supra assinalada, pois que foi este quem, atento ás questões de segurança e alertado para as situações de fraude que podem ocorrer na utilização do sistema, prontamente, mesmo antes mesmo da titular dar conta da “irregularidade da transferência, contacta a autora revelando as suas suspeitas e prontamente toma medidas para evitar novo “assalto” á conta.
Assim é que no dia seguinte, em 31 de Dezembro de 2015, é o representante legal da Autora contactado por um funcionário do banco Réu, que o questionou se efetuou e/ou autorizou a transferência bancária no valor de € 6.814,37 (seis mil, oitocentos e catorze euros e trinta e sete cêntimos) referida em 11), através do serviço C1…, para uma conta sediada nessa instituição e titulada por “D…”, situação que se confirmou, já que o representante legal da Autora informou o banco de que tal transferência não havia sido efetuada e/ou autorizada pela titular, não conhecendo sequer a pessoa para quem a mesma foi efetuada pelo que se tratava de operação não autorizada.
A entidade bancária de imediato, por razões de segurança, procedeu ao bloqueio da conta da Autora.
Resulta da matéria de facto que efetivamente estamos perante uma transferência bancária “aparentemente” autorizada pela titular da conta bancária, (aparentemente porque no sistema do banco ela aparece autorizada pela cliente, com validação da chave de segurança), mas que foi feita sem o conhecimento e autorização da mesma, tendo ocorrido fraude informática, através de uma técnica fraudulenta já conhecida no mundo do cibercrime que é denominada de “pharming” que adiante falaremos
Com efeito, no caso em apreço, atenta a matéria de facto provada, estamos claramente perante uma situação fraudulenta numa operação de banca eletrónica, mediante a intromissão na conta de autora, de terceiros, sem o seu conhecimento.
A fraude informática no homebanking constitui uma forma de cibercrime e consiste basicamente na intromissão de um terceiro, duma pessoa não autorizada numa determinada rede informática, procedendo a movimentação do saldo bancário para contas de terceiros.
Duas técnicas têm sido reconhecidas e detetadas como utilizadas pelos “piratas informáticos” para procederem a “ataques cibernautas” a contas movimentadas on line, através de sistemas que lhes permitem a utilização das chaves de acesso ao serviço bancário fornecidas pelo próprio cliente do banco, ainda que inadvertidamente.
São elas as denominadas técnicas do “phishing” e do “pharming”.
A primeira traduz-se no envio em massa de mensagens de correio eletrónico (vulgo spam) tendo como objetivo a obtenção de dados que permitam aceder às contas bancárias das vítimas através dos serviços de homebanking. O pirata informático visa enganar a vitima, fazendo-a crer que está a receber um e-mail cujo remetente é a sua entidade bancária. Em seguida a vítima clica na hiperligação que lhe irá surgir no ecrã, que apesar de parecer a página oficial do banco, não o é. Nessa página, ser-lhe-á solicitada a sua identificação bancaria e outros dados pessoais, o que permitirá ao “pirata” o acesso á conta da vítima, para realização de transferências sem o conhecimento e sem autorização do titular.
Já o “pharming” constitui uma técnica mais perigosa e sofisticada e consiste na difusão, via “spam” de ficheiros ocultos, que de forma oculta se auto-instalam nos computadores ou sistemas informáticos da vítimas. Depois de instalados, são feitas alterações nos arquivos do sistema, sem conhecimento do dono do computador, nomeadamente nos ficheiros que contem o registo dos “favoritos” e o registo de “cookies”. São ficheiros que captam os códigos de pulsão do teclado, vulgo “keyloggers” e permite que sempre que utilizador digite o endereço de determinado site, o sistema, por via das mencionadas alterações, redirija-o para outra página, para além de registarem tudo o que é digitado no teclado do utlizado (nomeadamente as palavras passe e de acesso ao serviço de homebanking).
Fazem com que o utilizador da banca redirecione para outra página sempre que digite o site correto da sua entidade bancária, página em tudo similar á pagina oficial do banco, permitindo ao pirata transferir montantes para outras contas. Tal como no “phishing” a pagina que aprece no ecrã da vítima surge como um clone do site legítimo da entidade bancária
Ver sobre esta matéria o excelente artigo de Carolina França Barreira in “Home Banking: A repartição dos prejuízos decorrentes de fraude informática”, artigo disponível in Revista de Direito Eletrónica de Direito, Outubro de 2015, nº 3, pg 8, (disponível https://sigarra.up.pt/fdup/pt/pub_geral.revista_view),pgs 26 e 27.
Também no acórdão do STJ de 14.12.2016 (relator Pinto de Almeida), in www.dgsi.pt, é feita a seguinte distinção: “Entre as técnicas mais frequentemente utilizadas por terceiros para aceder, fraudulentamente, através do sistema, à conta do cliente utilizador do serviço de homebanking, contam-se: (i) o phishing, que consiste no envio de mensagens de correio eletrónico, que provêm aparentemente do banco prestador do serviço, tentando obter dados confidenciais que permitam o acesso ao serviço de pagamento eletrónico; e (ii) o pharming, uma “técnica mais sofisticada em que é «corrompido» o próprio nome de domínio de uma instituição financeira, redirecionando o utilizador para um site falso – em tudo similar ao verdadeiro – sempre que este digita no teclado a morada correta do seu banco”.
Também no acórdão do STJ de 18.12.2013 (relatora Ana Paula Boularot) publicado no mesmo sítio, se pode ler a seguinte distinção: “O phishing (do inglês fishing «pesca») pressupõe uma fraude eletrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do recetor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), para que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente
A outra modalidade de fraude online é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e aí poderem efetuar as operações que entenderem, destinando-se ambas as técnicas (phishing e pharming) à obtenção fraudulenta de fundos.”
Carolina França Barreira, in loc citado fornece a nosso ver, um critério muito útil e prático, para se proceder á distinção destes dois tipos de fraudes comummente utilizadas no cibercrime que é a seguinte: o “phishing” inicia-se sempre com a receção de uma mensagem de e-mail. É só após a abertura do e-mail (enviado como spam) que a vítima tem acesso á página do banco clonada.
Já no “pharmig”, não existe nenhum e-mail inicial, sendo pois muito mais difícil de detetar. A vítima acede á página do banco (nomeadamente através dos “favoritos” e pensa que acedeu a essa página, quando por força de ficheiro oculto que se auto-instalou é redirecionada para uma página clonada.
No caso em apreço, considerando o relato do utilizador da conta bancária, que disse ter acedido á página do banco (que supôs ser verdadeira, tendo clicado nos “favoritos”), pretendendo ali realizar uma operação bancária e não através da abertura dum e-mail supostamente enviado pelo banco, estaremos perante a fraude denominada “pharming”.
Apurar o tipo de fraude não se mostra despiciendo, nomeadamente em sede de aferir da eventual negligência da vítima, já que como dissemos o “pharming” constitui uma técnica muito mais perigosa e difícil de detetar pelo utilizador.
Posto isto, a questão que se coloca é a de saber quem suporta os prejuízos decorrentes da transferência fraudulenta de fundos da conta do cliente.
Como vimos, quando os factos ocorreram estava em vigor o RSP, o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica contido no Anexo I do Decreto-Lei nº 317/2009, de 30 de Outubro (recentemente revogado) encontrando-se pois abrangidos pela sua disciplina, sendo que este diploma regula precisamente esta situação.
Assim sendo, quanto á questão de saber quem deve suportar as perdas resultantes de operações de pagamento não autorizadas, (uma operação não autorizada consiste numa operação de pagamento para a qual o titular não deu o seu consentimento- cfr. art. 65º nº 1 do RSP,), este diploma dá-nos a resposta nos artigos 70º a 72º, procedendo a uma distribuição do risco entre as partes - a entidade bancária e o cliente – respondendo assim á questão de saber quem deverá suportar as perdas resultantes de operações de pagamento não autorizadas, como é aquela sub judice.
O art. 72º nº 1 do RSP desde logo prevê a limitação da responsabilidade patrimonial do utilizador do serviço de banca eletrónica ao valor de € 150 nos casos em que a apropriação abusiva do instrumento de pagamento não foi potenciado por culpa sua.
Dispõe que “ No caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 150.”
O art. 72º desse diploma limita a responsabilidade assumida pelo titular de um instrumento de pagamento em caso de operações não autorizadas até ao plafond máximo de €150,00, desde que as situações de quebra de confidencialidade dos dispositivos de segurança personalizados seja devida ao mesmo, a título de culpa leve ou risco.
Trata-se de uma norma limitadora da responsabilidade do cliente que advém já da Recomendação da Comissão 97/489/CE de 30.7.1997. Porém contrariamente a esta Recomendação, o art. 70º do RSP pronuncia-se sobre a questão da distribuição do ónus da prova, no seu artigo 70º.
Dispõe o artigo 70.º o seguinte:
“1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência.
2 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67.”
Compete pois á entidade bancária provar que a operação de pagamento foi autenticada por exemplo, provando que o instrumento de pagamento e os respetivos códigos pessoais foram de facto utilizados.
Uma vez feita esta prova incumbe-lhe ainda provar a culpa do seu cliente e o grau da sua contribuição para os prejuízos ocorridos (ver acórdão TRL de 5.11.2013 (relator Manuel Marques).
Com efeito o nº 2 desta norma leal estabelece que em caso do utilizador negar ter autorizado a operação de pagamento “a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este ultimo agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligencia grave, uma ou mais das suas obrigações decorrentes do art. 67º”
Quer isto significar que o registo da operação de pagamento não pode ser entendido como sinal inequívoco de que o titular a autorizou.
Constituindo também ónus da prova do banco a demonstração do grau de culpa subjacente ao comportamento do seu cliente e a sua contribuição para as perdas resultantes das operações fraudulentas (ver Maria Raquel Guimarães, in A repartição dos prejuízos decorrentes de operações fraudulentas de banca eletrónica, anotação ao acórdão do TR Guimarães de 23.10.2012, in Cadernos de Direito Privado CEJUR nº 41 (janeiro/Março de 2013, pg 60 e 66).
Também Carolina França Barreira muito elucidativamente (comparando a assinatura digital á assinatura constante de documento particular) escreve na sua obra supra citada, pg 38 que: “No contrato de homebanking os códigos introduzidos aquando do acesso ao serviço desempenham a função de assinatura, como que substituindo-a. Num primeiro momento, os movimentos lançados na conta bancária d cliente são tidos como autorizados pelo seu titular. Todavia, se este os impugnar, negando tê-los autorizado, recai sobre o banco o ónus da prova de que foram deviamente autorizados. Como podemos verificar a nossa situação é em tudo semelhante á da assinatura de um documento particular justificando assim o lugar paralelo”.
É certo que este regime torna difícil a posição do banco que não pode bastar-se com, mutas vezes, o único meio de prova que dispõe que é o do respetivo registo da ordem de pagamento.
Caberá assim ao Tribunal, no confronto das circunstâncias concretas do caso, apreciar a existência do comportamento negligente; gravemente negligente ou doloso do utilizador.
No caso em apreço, verifica-se que a Autora foi vítima da forma mais perigosa e sofisticada das fraudes informáticas - o “pharming”.
Com efeito, com a utilização desta técnica, o criminoso, não precisa aproveita-se de um momento concreto ou ultrapassar a desconfiança do utilizador, bastando-lhe ultrapassar o sistema de proteção do computador.
Daí que no caso em apreço, entendemos que, tal como foi decidido pelo tribunal de primeira instância, se encontra afastada a imputação do prejuízo á autora a título de negligência, mesmo grosseira, já que aquela, através do utilizador da conta limitou-se a introduzir numa página clonada do banco as suas certificações pessoais e intransmissíveis (duas posições do cartão matriz, necessária para proceder a qualquer operação bancária on line), tendo sido vítima de acesso de terceiros indevido á sua conta, não se evidenciando por parte da autora a violação de quaisquer deveres contratuais ou regras acessórias de conduta a que acima fizemos referência.
A fraude ocorreu assim nos meios de acesso ao “cofre cuja defesa e segurança são da responsabilidade do banco depositário”, nas palavras expressivas utlizadas no Acórdão do TRP de 29.4.2014 (relator Francisco Matos), disponível in loc citado, não tendo pois o Banco aqui Apelante logrado a presunção de culpa que lhe advém do perecimento de coisas cujo domínio lhe foi transferido por via contratual (cfr artigos 796º nº 1 do C.C) e afastar a culpa presumida que advém do incumprimento da obrigação estabelecida no artigo 68º nº 1 al a) do RSP artigo 68.º do RSP, que estabelece a obrigação ao prestador de serviços de pagamento associadas aos instrumentos de pagamento que emite um instrumento de pagamento tem a obrigação de : “a) Assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior”.
O certo é que sobre a entidade bancária recaem as obrigações estabelecidas no artigo 68º, nº1, alínea a) do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RSP), constante do Anexo I ao Decreto-Lei nº 317/2009, de 30 de Outubro, cabendo-lhe “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento”, pelo que os riscos pela utilização normal do sistema correm por sua conta, devendo por isso suportar o prejuízo resultante da operação não autorizada pelo cliente.
Assim sendo, resta confirmar a sentença proferida, sendo de improceder o presente recurso.
VI-DECISÃO
Pelo exposto, acordam os Juízes desta Relação proceder á alteração da matéria de facto nos termos supra expostos, mas em julgar improcedente o recurso, confirmando-se a douta sentença recorrida.
Custas pelo Apelante.
Porto, 4 de Junho de 2019
Alexandra Pelayo
Vieira e Cunha
Maria Eiró