Acórdãos TRP	Acórdão do Tribunal da Relação do Porto
Processo:	22158/17.0T8PRT.P1
Nº Convencional:	JTRP000
Relator:	FERNANDO BAPTISTA
Descritores:	CONTRATO DE DEPÓSITO BANCÁRIO HOME BANKING
Nº do Documento:	RP2020071422158/17.0T8PRT.P1
Data do Acordão:	07/14/2020
Votação:	UNANIMIDADE
Texto Integral:	S
Privacidade:	1
Meio Processual:	APELAÇÃO
Decisão:	CONFIRMADA
Indicações Eventuais:	3ª SECÇÃO
Área Temática:	.
Sumário:	I - A abertura de conta marca o início de uma relação jurídica bancária, complexa e duradoura, cujo conteúdo constitui, na prática, o tronco comum dos diversos actos bancários subsequentes. II - Com o acto de abertura da conta, passa a vigorar entre cliente e Banco o denominado contrato de depósito, o qual reveste a natureza de um verdadeiro contrato de mútuo (tal como no contrato de mútuo, a propriedade da quantia entregue transfere-se para o banco (mutuário) a partir do momento da entrega, podendo este livremente utilizá-la e ficando este obrigado a restituir outro tanto do mesmo género). III - Na base de um contrato de depósito bancário está subjacente a recíproca relação de confiança e lealdade entre o depositante. IV - Como em qualquer outro negócio, também os contratos bancários, em qualquer das suas modalidades, ficam sujeitos, estão subordinados, aos deveres acessórios de conduta, que genericamente se substanciam na boa fé, segurança, informação e lealdade. V - Designadamente: a) O Banco, na relação que se desenvolve, fica vinculado a deveres de actuação conformes com aquilo que é expectável da parte de um profissional tecnicamente competente, que conhece e domina as regras da ars bancaria, e que se guia pela defesa e o respeito dos interesses do seu cliente; b) já o cliente está vinculado às condições estipuladas para movimentação da sua conta, devendo agir também de forma diligente quer na tramitação de ordens, quer na salvaguarda de elementos confidenciais. VI - O contrato de utilização de instrumento de pagamento é um contrato inominado, que suscita complexos problemas de direito probatório - v.g., de repartição do ónus da prova -, bem como em matéria de distribuição do risco. VII - O home banking surge como contrato acessório ao contrato de depósito bancário, surgindo ambos como uma coligação funcional. VIII - Face ao princípio geral da boa fé, impõe-se, a quem pretende utilizar o home-banking, o dever de guarda dos dados que lhe permitem aceder ao sistema e realizar operações on-line e de preservação da confidencialidade dos mesmos, por forma a evitar a sua apropriação por terceiros, adoptando uma cultura de segurança e rigor, face aos interesses envolvidos. IX - As entidades bancárias têm (ou deverão ter) os meios para controlar a segurança da parte do sistema que se encontra do seu lado, ou seja, de fazer tudo o que está ao seu alcance para proteger os interesses dos seus clientes, dotando a sua organização empresarial com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência. Mas não têm qualquer possibilidade de controlar a parte do sistema que se encontra do lado do cliente/utilizador (utilização que os clientes fazem dos seus computadores). X - Apenas no caso de estarmos perante uma situação de negligência leve do utilizador do serviço é que o Banco terá de suportar os prejuízos excedentes que decorram de operações de pagamento não autorizadas, cabendo-lhe, nessa situação, suportar o risco do sistema informático que permitiu a intromissão de terceiros. XI - Já tratando-se de negligência grave/grosseira ou dolo do utilizador do serviço, terá de ser esse utilizador a arcar com as consequências nefastas para si do desvio ilícito de fundos da sua conta, a ele, portanto, cabendo suportar os prejuízos que decorram de tais operações de pagamento não autorizadas. XII - Sendo que a negligência grosseira constitui uma negligência temerária, qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, adoptando-se uma conduta de manifesta irreflexão ou ligeireza. XIII - A conduta negligente grave do Autor (v.g., facultando a alguém qualquer dos três níveis de segurança – número de contrato, password e Cartão Matriz) não se pode consubstanciar como um risco inerente à actividade económica do Banco. A não se entender assim, o equilíbrio contratual – inerente ao sinalagma contratual – ficaria seriamente posto em causa, com aceitação duma postura leónica a todos os títulos inaceitável. XIX - Estando provado que A autora transmitiu as credenciais de autenticação ao Pai que as disponibilizou online em site e por meio não apurado, incluindo os números das coordenadas do cartão matriz e que “foi através do uso dessas credenciais de acesso que um sujeito cuja identificação não foi possível apurar actuou da forma descrita nas alíneas …” (para além de se ter, ainda, provado que “O sistema informático do réu não foi alvo por essa ocasião de um ataque informático), só a essa postura gravemente negligente da Autora se devem atribuir as consequências danosas no seu património, que, como tal, terá de suportar. XV - E sendo, embora, ao Banco Réu que cabe provar o comportamento negligente do titular da conta e a medida em que esse contribuiu para as operações não autorizadas, feita essa prova e bem assim que não houve qualquer ataque ao sistema do Banco Réu (por força do qual terceiros acedessem à conta da autora), ficará ilidida a presunção dos artigos 799º, nº1 do Código Civil e mesmo afastada a aplicação do artigo 796º, nº1, do Código Civil, porquanto foi o alienante (a Autora/Cliente) que causou o perecimento da coisa, não sendo o Banco responsável pelo prejuízo causado ao credor (art. 798.º do Código Civil).
Reclamações:
Decisão Texto Integral:	Proc. 22158/17.0T8PRT.P1 Relator: Fernando Baptista Adjuntos: Des. Amaral Ferreira Des. Deolinda Varão SUMÁRIO ....................................................... ....................................................... ....................................................... I. RELATÓRIO Acordam na Secção Cível do tribunal da Relação do Porto B… instaurou acção declarativa, forma de processo comum, contra a “C…”. Pede a condenação da ré no pagamento à autora da quantia de 19.656,36€, dos juros vencidos e vincendos sobre tal quantia acrescidos de 10% e da quantia de 150,00€ por mês desde Fevereiro de 2017 até ao trânsito em julgado da sentença. Alegou, em suma, ser titular de conta aberta junto do réu, tendo-lhe sido disponibilizado como meio de consulta e movimentação o serviço “C1…”, bem como que, em 30 de Janeiro de 2017, celebrou com o réu um contrato de depósito denominado “C2…” com o valor de 22.000,00€. Contudo, no próprio dia e no dia subsequente, foram movimentadas quantias desse depósito a prazo para a conta à ordem e, a partir desta conta, feitos vinte e cinco pagamentos no valor total de 19.656,36€, movimentos e pagamentos para os quais a autora não deu autorização. Mais alegou que tal se ficou a dever a um ataque informático de que foi alvo o sistema informático do réu, circunstância a que a autora é alheia, tendo ficado desapossada da quantia de 19.656,36€, o que lhe causou transtornos. O réu contestou. Defendeu-se por excepção invocando, em suma, que aqueles movimentos e pagamentos não ocorreram por culpa sua mas porque a autora disponibilizou as credenciais de autenticação do serviço “C1…”, bem como que cumpriu o dever de informação para com os clientes, designadamente quando acedem à própria página inicial do sistema. Foi proferido despacho mediante o qual foi fixado o valor da causa, identificado o objecto do litígio e enunciados os temas de prova. A final veio ser proferida sentença, julgando-se a acção improcedente, com a consequente absolvição do réu do pedido Inconformada com esta sentença, dela recorreu a Autora B…, apresentando alegações que remata com as seguintes CONCLUSÕES: ………………………………………………….. ………………………………………………….. ………………………………………………….. Nestes termos, e nos melhores de direito que V. Exas doutamente suprirão, deverá a Apelação ser julgada procedente e a Decisão recorrida revogada e substituída por outra que condene a Ré no pedido formulado, com o que V. Exas. farão a costumada e sã JUSTIÇA! A Recorrida apresentou contra-alegações, pugnando pela improcedência do recurso. Foram colhidos os vistos legais. II. FUNDAMENTAÇÃO II.1. AS QUESTÕES Tendo presente que: - O objecto dos recursos é balizado pelas conclusões das alegações dos recorrentes, não podendo este Tribunal conhecer de matérias não incluídas, a não ser que as mesmas sejam de conhecimento oficioso (arts. 635º, nº4 e 639º, do C. P. Civil); - Nos recursos se apreciam questões e não razões; - Os recursos não visam criar decisões sobre matéria nova, sendo o seu âmbito delimitado pelo conteúdo do acto recorrido, as questões suscitadas nos recursos são: A. DA MATÉRIA DE FACTO: ● Se deve ser considerada não provada a matéria de facto contida nos pontos 21) e 22) dos factos provados[1]. ● Se deve ser dado como provado o ponto b) da relação dos factos não provados – isto é, que “O réu tinha conhecimento que a entidade ….. era utilizada para efeitos idênticos” e se deve, ainda, ser aditado neste ponto expressão “i.e., para a realização de pagamentos não consentidos pelo titular dos saldos bancários”. ● Se deve ser aditado um novo facto provado, com a seguinte redação: “O sistema informático do banco Réu não era, mas poderia ser, dotado de tecnologia que detectasse como anómalos movimentos bancários como os referidos nos pontos 15) a 19) dos factos dados como provados”. B. DA MATÉRIA DE DIREITO ● Se o Banco Réu não cumpriu com o ónus da prova que lhe incumbe a fim de demonstrar que foi o utilizador do sistema de pagamento (a Autora) que actuou de forma gravemente negligente. ● Se o Banco Réu deve ser responsabilizado pelos movimentos a débito (saques bancários) que, sem autorização da Autora, foram efectuados na conta bancária por esta titulada nessa instituição, com a consequente restituição de tais valores à Autora, ● …ou se tal responsabilidade cabe à Autora, titular da conta, por ter actuado com “negligência grave” ou “negligência grosseira”, no contexto do RSP (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica – DL nº 317/2009, de 30.10, em vigor à data dos factos). ● Da indemnização por danos morais à Autora e juros legais. II.2. OS FACTOS No Tribunal recorrido deram-se como provados os seguintes factos: 1. A ré é uma instituição bancária. 2. A autora é cliente da ré, sendo titular da conta de depósito à ordem n.º...........-. e da conta de depósito a prazo n.º……………-., sedeadas na agência de Vila Nova de Gaia - …. 3. Tinham poderes para movimentar a conta D… e E…. 4. A conta de depósito à ordem era utilizada como uma conta de aforro. 5. O réu disponibilizou à autora o serviço denominado “C1…”, que consiste num sistema de serviço electrónico que permite ao utilizador consultar as contas e realizar operações bancárias sem necessitar de contacto presencial com o banco. 6. O que fez em 2 de Agosto de 2012 com a adesão da autora ao serviço. 7. A utilização do serviço “C3…” decorre da adesão ao serviço “C1…” e opera através do acesso no smartphone com acesso a internet. 6. Com a adesão, o réu obrigou-se a disponibilizar as credenciais de autenticação para utilização pelo cliente para aceder ao serviço via telefone, internet ou outras formas telemáticas às contas de que seja titular (cláusula 3.3 do contrato). 7. E a autora obrigou-se a guardar sob segredo as suas credenciais de autenticação, bem como a prevenir adequadamente a sua utilização abusiva por parte de terceiros (cláusula 4.2 do contrato). 8. À data da adesão ao serviço por parte da autora, o serviço tinha como mecanismos de segurança: a) Número de contrato; b) Password; e c) Cartão Matriz, que se trata de uma chave com várias coordenadas, sendo pedidas duas de forma aleatória para a realização de cada operação, nunca sendo repetida a mesma conjugação. 9. O réu disponibilizou essas credenciais de autenticação à autora. 12. A autora utilizou o serviço “C1…” para fazer consultas e efectuar transferências por essa via desde a data da adesão até 30 de Janeiro de 2017. * 13. No dia 30 de Janeiro de 2017, no referido balcão do Candal, foi celebrado com o réu um contrato de depósito denominado “C2…”, tendo sido entregue à guarda deste, pelo prazo de doze meses e por crédito na conta de depósito a prazo referida em 1), o montante de 22.000,00€. 14. O montante mínimo de constituição do referido depósito a prazo era de 1.000,00€, podendo ser “mobilizado a qualquer momento total ou parcialmente” e admitindo “no caso de mobilizações parciais” que “o saldo remanescente tem de respeitar o montante mínimo de constituição”. 15. No próprio dia, através do serviço de pagamentos electrónicos, foram efectuadas, da conta de depósito a prazo para a conta de depósito à ordem, transferências das seguintes quantias: dois movimentos de 3.500,00€ e um movimento de 6.250,00€. 16. E no dia seguinte uma nova transferência no valor de 8.750,00€. 17. Entre o dia 30 de Janeiro de 2017 e 1 de Fevereiro de 2017, foram realizadas as seguintes operações a partir da conta de depósito à ordem da autora: Às 15h05 do dia 30 de Janeiro de 2017 foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência ……………. no valor de 189,63€; - Às 15h09 do mesmo dia foi efectuado, através do serviço C1…, uma “Transferência Internacional” (“ord. Pag. …………”) no valor de 2.488,00€; - Às 15h24 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência …………….. no valor de 483,80€; - Às 15h25 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência …………… no valor de 483,80€; - Às 15h27 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência ………….. no valor de 483,80€; - Às 15h28 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência …………. no valor de 483,80€; - Às 15h31 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência ………… no mesmo valor de 483,80€; - Às 15h32 do mesmo dia foi efectuado, através do serviço C3…, um “Pagamento de Serviços” com a referência ………….. no mesmo valor de 483,80€; - Às 23h35 do mesmo dia foi efectuado, através do serviço C3…, um “Pagamento de Serviços” com a referência ………….. no mesmo valor de 483,80€; - Às 00h03 do dia 31 de Janeiro de 2017 foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência …………… no mesmo valor de 483,80€; - Às 00h06 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência ……….. no mesmo valor de 483,80€; - Às 00h07 do dia mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência …………. no mesmo valor de 483,80€; - Às 00h07 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência …………. no mesmo valor de 483,80€; - Às 00h09 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência ……………. no mesmo valor de 483,80€; - Às 00h10 do mesmo dia foi efectuado, através do serviço C1…, um “Pagamento de Serviços” com a referência …………. no mesmo valor de 483,80€; - Às 00h13 do mesmo dia foi efectuada, através do serviço C1…, uma transferência bancária internacional (“Ord. Pag. …………..”) no valor de 2.480,00€; - Às 08h57 do mesmo dia, através do serviço C1…, foi efectuada uma transferência interbancária urgente para o destinatário “F…” no valor de 2.489,00€; - Às 00h19 do dia 1 de Fevereiro de 2017 foi efectuada, através do serviço C1…, um “Pagamento de Serviços” com a referência ……………. no mesmo valor de 483,80; - Às 00h21 do mesmo dia foi efectuada, através do serviço C1…, um “Pagamento de Serviços” com a referência …………… no mesmo valor de 483,80; - Às 00h23 do mesmo dia foi efectuada, através do serviço C1…, um “Pagamento de Serviços” com a referência …………… no mesmo valor de 483,80€; - Às 00h24 do mesmo dia foi efectuada, através do serviço C1…, um “Pagamento de Serviços” com a referência ………….. no mesmo valor de 483,80; Às 00h26 do mesmo dia foi efectuada, através do serviço C1…, um “Pagamento de Serviços” com a referência ……………. no mesmo valor de 483,80; - Às 00h28 do mesmo dia foi efectuada, através do serviço C1…, um “Pagamento de Serviços” com a referência ………….. no mesmo valor de 483,80€; - Às 00h30 do mesmo dia foi efectuada, através do serviço C1…, um “Pagamento de Serviços” com a referência ………… no mesmo valor de 483,80€; - Às 08h36 do mesmo dia, através do serviço C1…, foi efectuada uma transferência interbancária urgente para o destinatário “G…” no valor de 2.300,00€. 18. Foram debitados do saldo da conta de depósito à ordem as despesas com comissões e imposto de selo relativos às quatro transferências bancárias no valor de 42,73€. 19. O réu rejeitou a efectivação dos seguintes pagamentos de serviços: a) Às 15h30 de dia 30 de Janeiro de 2017, pelo valor de 483,80€; b) Às 00h01 de dia 31 de Janeiro de 2017, pelo valor de 483,80€; c) Às 00h02 de dia 31 de Janeiro de 2017, pelo valor de 483,80€. 20. Os movimentos descritos em 15) a 19) foram efectuados sem autorização, conhecimento ou aquiescência da autora e contra a sua vontade. * 21. A autora transmitiu as credenciais de autenticação referidas em 10) ao Pai que as disponibilizou online em site e por meio não apurado, incluindo os números das coordenadas do cartão matriz. 22. Foi através do uso dessas credenciais de acesso que um sujeito cuja identificação não foi possível apurar actuou da forma descrita nas alíneas 15) a 17). 23. O sistema informático do réu não foi alvo por essa ocasião de um ataque informático. * 24. No dia 3 de Fevereiro de 2017, quando o Pai da autora se dirigiu ao balcão do Candal dando conta de que o acesso ao serviço “C1…” estava bloqueado, não foi informado das operações de transferência e pagamento descritas nas alíneas 15) a 19). 25. A autora ficou angustiada com o sucedido. * 26. Em Julho de 2016, o réu adoptou como mecanismo de segurança, a acrescer ao referido na alínea 10), o envio de um SMS para o telemóvel do utilizador, através do qual é gerado um código de confirmação adicional composto de seis dígitos para validar a operação. 27. E no mês de Abril de 2017 estabeleceu essa medida como obrigatória. 28. O réu disponibiliza informações referentes à utilização segura do serviço “C1…” na página de acesso, com indicação de como verificar se o utilizador está perante o site legítimo. 29. Quanto o cliente do réu acede à plataforma do serviço “C1…”, dispõe de uma área de mensagens pela qual efectua as comunicações com o cliente. 30. O réu emite por essa via avisos de segurança, requerendo a alteração da password de acesso caso já tenha decorrido muito tempo desde a última actualização. * Não se consideraram provados os seguintes factos: a.- A autora aderiu ao serviço “C1…” em 5 de Março de 2004. b.- O réu tinha conhecimento que a entidade …... era utilizada para efeitos idênticos. c.- Os pagamentos referidos em 19) foram rejeitados pela actuação de um mecanismo de segurança do sistema informático. d.- Desde o ocorrido, a autora perdeu a confiança no réu e no sistema bancário em geral. e.- Vivendo em permanente sobressalto no que à sua vida financeira diz respeito. f.- Por causa da perda do seu aforro, que era resultado de anos de poupança e à custa de privações, sentiu-se e sente-se tensa, vexada, triste e humilhada. g.- Discute e indispõe-se com familiares sobre e por causa do que aconteceu. h.- Perdeu a alegria. i.- A autora destinava tal aforro a prover necessidades inesperadas. j.- A falta de tal disponibilidade financeira impediu-a de auxiliar os pais numa altura em que foram interpelados, enquanto fiadores, para procederem ao pagamento de um crédito de terceiro em dívida. k.- A impossibilidade de solver a responsabilidade dos pais deixou-a preocupada, triste e ansiosa. III. O DIREITO Vejamos, então, as questões suscitadas no recurso. A. DA IMPUGNAÇÃO DA MATÉRIA DE FACTO ……………………………........ ………………………………….... ………………………………….... A expressão “mas poderia ser” é, porém, meramente conclusiva, sem relevância probatória (em termos de factos). Como tal, adiciona-se à relação dos factos provados o seguinte: 31) O sistema informático do banco Réu não era dotado de tecnologia que detectasse como anómalos movimentos bancários como os referidos nos pontos 15) a 19) dos factos dados como provados. *** B. DA MATÉRIA DE DIREITO ● O Banco Réu não cumpriu com o ónus da prova que lhe incumbe a fim demonstrar que foi o utilizador do sistema de pagamento (a Autora) que actuou de forma gravemente negligente? ● O Banco Réu deve ser responsabilizado pelos movimentos a débito (saques bancários) que, sem autorização da Autora, foram efectuados na conta bancária por esta titulada nessa instituição, com a consequente restituição de tais valores à Autora? Ou, ao invés, tal responsabilidade cabe à Autora, titular da conta, por ter actuado com “negligência grave” ou “negligência grosseira”, no contexto do RSP (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica – DL nº 317/2009, de 30.10, em vigor à data dos factos)? As duas questões estão, naturalmente, ligada – em causa, afinal, saber se a Autora – como sustenta o Réu – agiu com “negligência grave” ou “negligência grosseira” (no contexto do RSP), ónus probatório a incidir sobre o Réu para se desresponsabilizar do ressarcimento dos danos da Autora. Situa a A. a conduta do R. no âmbito da responsabilidade contratual, nomeadamente por violação dos deveres decorrentes para o banco, da celebração do contrato de depósito e de homebanking. ● DO CONTRATO DE DEPÓSITO BANCÁRIO E DE HOME BANKING CELEBRADO ENTRE A AUTORA E O BANCO RÉU E DOS DEVERES DELE DECORRENTES PARA AS PARTES – DA ASSUNÇÃO DO RISCO DA UTILIZAÇÃO INDEVIDA DO SISTEMA DE HOME BANKING Vejamos. Dos factos acima referidos resulta, por um lado, a celebração de um contrato de depósito bancário entre A. e R. e, por outro lado, a celebração de um outro contrato de acesso a estes serviços à distância, via internet, sujeito às condições estipuladas neste documento (fls. 50 a 51), ao regime das clausulas contratuais gerais pois que de um contrato de adesão se trata, e ao disposto no D.L. 317/2009 de 30/10/2009. DA ABERTURA DE CONTA A relação estabelecida entre a Autora e o Banco Réu teve na sua génese uma abertura de conta. A propósito, escrevemos no nosso Contratos Privados, Das Noções à Prática Judicial[2]: «A abertura de conta é o contrato que marca o início de uma relação jurídica bancária, complexa e duradoura, que funciona como ponto de partida, de “invólucro” dentro do qual cabem e se desenvolvem múltiplas operações bancárias que correspondem, as mais das vezes, a outras tantas figuras negociais, típicas ou não. Na expressão de Menezes Cordeiro, a abertura de conta opera como um acto nuclear cujo conteúdo constitui na prática, o tronco comum dos diversos actos bancários subsequentes [3]. Na verdade, a abertura de conta permite o acesso a uma série de “produtos” oferecidos pela entidade bancária, ou seja, potencia a prestação, mais ou menos alargada, de uma série de serviços por parte da entidade bancária: o dever de aceitar depósitos, uma convenção quanto ao uso de cheques, o acesso a cartões de débito e de crédito, o dever de emitir extractos ou entregar cadernetas, o serviço de C4…. A abertura de conta, enquanto contrato-quadro ou relação contratual global [4], não dispõe de qualquer regime legal explícito — ela assenta essencialmente, nas cláusulas contratuais gerais dos bancos e nos usos bancários. A abertura de conta consubstancia, assim, um contrato de depósito bancário “pelo qual uma pessoa entrega determinada quantidade em dinheiro a um banco, que adquire a respectiva propriedade e se obriga a restituí-lo no fim do prazo convencionado ou a pedido do depositante”[5]. Com a abertura da conta inicia-se entre as partes outorgantes uma relação complexa, tendencialmente prolongada no tempo, e que envolve a prática de novos negócios jurídicos. Várias tentativas foram sendo feitas pela doutrina ao longo do tempo para enquadrar esta relação complexa que assim é estabelecida, desde o recurso às cláusulas contratuais gerais até à figura do contrato promessa, passando mesmo pela descaracterização dos negócios jurídicos subsequentes, encarados como meras instruções dadas pelos clientes ao banqueiro[6]. Menezes Cordeiro[7] enquadra toda a relação que se estabelece entre cliente e banqueiro através do contrato de abertura de conta — é com referência a este contrato, complementado com a lei e os usos, que os negócios celebrados posteriormente ganham sentido num todo global.». A conta representa a expressão contabilística do depósito efectuado, estando o banco apenas obrigado à restituição do saldo existente em determinado momento. Essas operações, entregas e levantamentos, integram-se num só contrato, gerando-se créditos de que “o banco e o cliente são reciprocamente titulares, de modo que, se o saldo é credor, o banco apenas deve tal saldo e não cada uma das parcelas, em numerário ou não, sucessivamente creditadas ao cliente; se o saldo é devedor, é o cliente que deve”[8]. DO CONTRATO DE DEPÓSITO: NOÇÃO E NATUREZA JURÍDICA Com o acto de abertura da conta pela Autora no Banco Réu, gerou-se entre ambos uma relação contratual, passando a vigorar entre ambos o denominado contrato de depósito. Com efeito, tratando-se o contrato inicial celebrado pela A. com o Banco R., de um contrato de depósito, temos como características deste tipo de contratos, o facto de alguém (depositante) entregar ao banco (depositário) uma soma de dinheiro, para que este o guarde e restitua quando peticionado. Trata-se de uma relação complexa, alvo de aturados estudos na doutrina e jurisprudência, maxime quanto à sua natureza. Seguimos o que deixámos escrito na nossa já citada Obra “Contratos Privados…”, vol. II, Item “Depósito Bancário”. O mútuo bancário conta-se entre as operações bancárias activas, assim denominadas em atenção à posição activa do banco na relação de crédito. Ora, os bancos, que são por natureza instituições de mediação do crédito, recorrem por sua vez ao financiamento. No caso dos bancos comerciais ou de retalho, as mais frequentes operações bancárias passivas consistem na captação de fundos junto do público através dos chamados depósitos bancários (a prazo, com pré-aviso ou à ordem, consoante o reembolso se efectue em prazo certo, com prazo certo após interpelação ou a todo o tempo). É muito controversa, na Doutrina e Jurisprudência, a natureza jurídica dos contratos de depósito bancário, distribuindo-se as opiniões no direito português por várias orientações [9], umas monistas (depósito irregular — opinião dominante na jurisprudência —, mútuo, contrato sui generis), outras dualistas (depósito irregular, para os depósitos à ordem e com pré-aviso; mútuo, para os contrato de depósito a prazo). A propósito, escreve, doutamente, Carlos Ferreira de Almeida [10]: «Algumas destas formulações fazem (a nosso ver, bem) uma distinção preliminar: por um lado, a conta corrente (que a prática designa por conta de depósito à ordem), onde se registam os movimentos gerados por um contrato-quadro entre o banco e o seu cliente; por outro lado, cada um dos actos que justificam tais movimentos, entre os quais se incluem, geralmente, um contrato de "depósito" à ordem e, frequentemente, outros contratos, tais como contratos de "depósito" a prazo ou com pré-aviso, contratos de prestação de serviço de C4…, contratos de gestão de valores mobiliários e contratos de crédito (concedido ao cliente) [11].». E continua, ali, o ilustre Autor: «Na verdade, o uso actual da palavra "depósito" nas expressões "contrato de depósito bancário" e "conta de depósito à ordem" apenas se explica como resquício do tempo em que os bancos recebiam dos seus clientes para depósito bens valiosos, fungíveis ou infungíveis. Ora, em minha opinião, o tipo legal do contrato de depósito não prescinde, em nenhuma das suas modalidades de um elemento de guarda, que só é compatível com as coisas corpóreas. Este requisito não deixa de ser necessário no depósito irregular que foi concebido para coisas fungíveis, mas corpóreas, como cereais e barras de ouro (cfr. artigos 1185.º e 1189.º). Os únicos contratos de depósito bancário que subsistem são, pois, os depósitos administrados (isto é, com obrigação de gestão dos bens depositados) e os depósitos em cofre forte. Os "depósitos" em dinheiro (meramente escritural) em conta bancária não satisfazem o requisito da obrigação de guarda, razão pela qual não podem ser qualificados como contratos de depósito. Na prática actual, os contratos de "depósito" bancário preenchem, sim, todos os elementos do tipo contratual do mútuo (real quoad constitutionem), porquanto, em todas as suas modalidades, o mutuante (cliente) entrega ao mutuário (banco) uma determinada quantia em dinheiro que este se obriga a reembolsar….». Ainda sobre a natureza jurídica do contrato de deposito bancário, veja-se o aludido (e desenvolvido) estudo de Paula P. Camanho [12] — para uns, um verdadeiro contrato de depósito (ver. ob. cit., pp. 149-156); para outros, um contrato de mútuo (ver cit., pp. 157-161); outros fazem depender a natureza jurídica do contrato do tipo de depósito efectuado (cit., pp. 161-163); contrato de depósito como relação complexa (cit., pp. 163-164); contrato de depósito como um contrato atípico (ob. cit., pp. 164-166); contrato de depósito como contrato inominado (cit., p. 166); contrato de depósito como um depósito irregular (cit., 166-167). Esta aludida autora, após ali fazer um estudo exaustivo sobre as diversas posições que a Doutrina e Jurisprudência têm sustentado e debatido, conclui desta forma: «O contrato de depósito reveste a natureza de um verdadeiro contrato de mútuo. É o contrato pelo qual uma das partes (cliente) empresta à outra parte (banco) dinheiro, ficando esta obrigação da a restituir outro tanto do mesmo género ou qualidade (artigo 1142.º do Código Civil). A definição, assim como o regime deste contrato, adequa-se perfeitamente ao depósito bancário, bem como a todo o regime deste contrato. Na verdade, tal como no contrato de mútuo, a propriedade da quantia entregue transfere-se para o banco (mutuário), podendo este livremente utilizá - la. O motivo que leva o cliente a depositar uma quantia no banco é, não só obter a segurança do seu dinheiro (tal como aconteceria num genuíno contrato de depósito), mas também investir essa quantia, tal como o mutuante num contrato de mútuo oneroso, uma vez que receberá um juro e, eventualmente, beneficiar de um conjunto de serviços acessórios que o banco lhe poderá proporcionar. Além disso, o interesse neste contrato não é exclusivamente o do cliente (tal como acontece nos contratos de depósito, em que o interesse é do depositante). À semelhança do mútuo, existe também um interesse do banco (mutuário) na obtenção de fundos necessários ao financiamento das suas operações de crédito, sendo mesmo frequente o recurso a meios publicitários para "recrutar" novos clientes (potenciais depositantes). Há ainda dois argumentos que afastam a tese do depósito irregular, aproximando o depósito bancário do contrato de mútuo. O depósito bancário a prazo nunca poderia ser considerado como depósito irregular uma vez que neste, mesmo quando é fixado um prazo ao contrato, o depositante pode, a todo o tempo, exigir a restituição da coisa. Ora, tal não acontece no depósito bancário, onde o termo é, também, estipulado no interesse do banco (mutuário). Por outro lado, se há lugar ao pagamento de juros, tal implica que se considere que o interesse prevalecente no contrato é o do accipiens e que, deste modo, o contrato deverá ser considerado como um mútuo. Não se diga, porém, que, nos depósitos à ordem em que não haja lugar ao pagamento de juros, se pode identificar a figura do depósito irregular. E que tais depósitos são perfeitamente enquadráveis no contrato de mútuo, tal como as outras modalidades de depósito bancário, não obstante admitirmos que aqui já não terão cabimento as duas críticas atrás referidas. Na verdade, o facto de, nos depósitos à ordem (e, eventualmente nalguns depósitos a prazo, quando tal for acordado) 651 o cliente (mutuante) poder exigir a restituição imediata da quantia entregue não é impeditivo da qualificação por nós defendida, uma vez que a fixação de um prazo não é elemento essencial do mútuo. Com efeito, os n.os 1 e 2 do artigo 1148.º do Código Civil revestem natureza supletiva, podendo, por consequência, as partes convencionar a restituição imediata da quantia mutuada a pedido do mutuante, fixando o momento do vencimento da obrigação de restituição, e retomando até o número 1 do artigo 777.º do Código Civil.» - destaque nosso. DOS DEVERES DO BANCO E DOS CLIENTES Aspecto que aqui releva é a função ou dever de custódia por banda do banco, relativamente aos valores ali depositados pelo cliente. Com efeito, apesar de não se poder negar que a função de custódia tem vindo a perder relevância, ela não deixa de estar presente na relação estabelecida entre depositante e depositário. Poder – se - á encontrar toda uma série de deveres e obrigações conexas às principais, mas tal estrutura obrigacional complexa não chegará para desvirtuar o núcleo do negócio jurídico que o depósito constitui. A realidade bancária é cada vez mais complexa e tende a uma cada vez maior desmaterialização - a moeda em circulação no sistema bancário é crescentemente escritural, originada pelos mecanismos de criação de moeda bancária. A mudança de enquadramento jurídico das suas operações seria uma constante se a cada passo se tivesse de procurar dar enquadramento a novas figuras criadas pelos actores económicos - o que certamente atingiria de forma grave a segurança e certeza do comércio jurídico. Assim se retira da aplicação do art. 1144.º do Código Civil que a coisa depositada se torna propriedade do depositário (Banco) a partir do momento da entrega, ficando este obrigado a restituir outro tanto do mesmo género. Como tal, a sua regência está submetida à aplicação do disposto nos arts. 1205.º e 1206.º do Código Civil e 363.º e 406.º do Código Comercial, já que o dinheiro se assume como coisa fungível que, na sequência do depósito, se torna propriedade do banco com a obrigação de restituição (cfr. arts. 1206.º e 1144.º do Código Civil). Dada a mencionada transferência de propriedade a favor do banco e de harmonia com o preceituado no art. 796.º, n.º 1, do Código Civil, o risco de perecimento ou deterioração da coisa por causa não imputável ao alienante corre por conta do adquirente. Para além disso, em caso de incumprimento, incumbe ao devedor provar que este (ou o cumprimento defeituoso) não procede de culpa sua, apreciada nos termos aplicáveis à responsabilidade civil (art. 799.º, n.os 1 e 2, do Código Civil). Deste modo, uma vez que a propriedade das quantias depositadas se transfere para o depositário, da aplicação da regra do referido preceito se extrai que o risco do perecimento da coisa corre por conta do adquirente, salvo se este provar que tal perecimento se deveu a causa imputável ao alienante [13]. Não pode nunca olvidar-se, por outra via, que na base de um contrato de depósito bancário está subjacente a recíproca relação de confiança e lealdade entre o depositante - que vê garantida a restituição dos montantes entregues - e o Banco - que conta com as entregas dos seus clientes para financiar as suas próprias aplicações e investimentos [14]. Como em qualquer outro negócio, também os contratos bancários, em qualquer das suas modalidades, ficam sujeitos, estão subordinados, aos deveres acessórios de conduta, que genericamente se substanciam na boa fé, segurança, informação e lealdade e dimanam do disposto no art. 762.º, n.º 2, do Código Civil. Aliás, prevê o art. 74.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras que “nas relações com os clientes, os administradores e os empregados das instituições de crédito devem proceder com diligência, neutralidade e discrição e respeito consciencioso dos interesses que lhe estão confiados”. Nesta senda, caso, v. g., um funcionário do Banco não use de diligência e consciencioso respeito dos interesses que lhe foram confiados pelo cliente da sua entidade patronal, entender – se - á que o Banco não cumpriu o acordo que havia estabelecido, assim deixando recair sob a sua responsabilidade uma presunção de culpa inerente à falta de cumprimento (art. 799.º, n.º 1, do Código Civil). E não afastando tal presunção, torna - se responsável pelo prejuízo que causar ao credor (art. 798.º do Código Civil)[15]. Portanto, emerge do já referido que a relação do banco com o cliente, surgindo, normalmente, com a celebração de um contrato de abertura de conta, intensifica-se ao longo do tempo, volvendo - se numa relação contínua, que, podendo ser preenchida com os mais diversos negócios, mantém, todavia, uma certa unidade. A relação bancária tem, pois, origem contratual. É certo que, celebrado o acordo inicial, intervêm e logram depois aplicação regras legais, ou fundadas nos usos ou em cláusulas contratuais gerais - mas a natureza contratual subsiste, configurando-se como uma relação contratual duradoura[16]. E, como dito, entre as partes - banqueiro e cliente - haverá deveres de conduta, decorrentes da boa fé, em articulação com os usos ou os acordos parcelares que venham a celebrar, designadamente deveres de lealdade, com especial incidência sobre a parte profissional, o banqueiro. É assim que os actos bancários que profissionalmente as instituições bancárias desenvolvem, obrigam estas instituições a adoptar uma orgânica própria e muito especializada, que possa responder, com eficácia, ao complexo de deveres a que estão vinculadas, e que têm a ver, no sector bancário, não só com preocupações de política económica, de salvaguarda do sistema, mas também com a tutela dos direitos e interesses dos clientes. Por essa razão, o Dec - lei n.º 298/92, de 31.12 que instituiu o Regime Geral das Instituições de Crédito e Sociedades Financeiras contém um complexo de normas relativas às regras de conduta do banqueiro, aí constando, no que tange a deveres gerais, regras respeitantes à competência técnica, às relações com os clientes, ao dever de informação e ao critério de diligência (arts. 73.º a 76.º). Na relação que se desenvolve o banco fica vinculado a deveres de actuação conformes com aquilo que é expectável da parte de um profissional tecnicamente competente, que conhece e domina as regras da ars bancaria, e que se guia pela defesa e o respeito dos interesses do seu cliente. A tutela da confiança é um dos valores fundamentais a ter em conta no desenvolvimento da relação contratual bancária. Neste segmento afirma Almeno de Sá que há um fundamental dever de prestação de serviços, no qual se insere, designadamente, a obrigação de o banco colocar à disposição do cliente a respectiva estrutura organizativo-funcional, em ordem à execução de tarefas de tipo variado no âmbito da actividade bancário-financeira; ao banco é imposta uma obrigação de acautelamento de interesses do cliente, no que respeita a todos os assuntos de carácter bancário-financeiro e implicam, neste particular domínio, uma continuada promoção e vigilância dos interesses do cliente; a relação de confiança inerente a toda a actividade bancária situa-se num plano contratual, e não meramente legal — in “relação bancária e cláusulas contratuais gerais”, publicado no BFDUC, LXXXVII, 2002.». A consideração da existência de uma tal relação contratual leva ainda a que “também a relação de confiança inerente a toda a vinculação bancária” seja “colocada num plano contratual e não meramente legal”, sendo esta dimensão contratual que “conforma o dever geral do banco de executar as diversas operações solicitadas pelo cliente ao longo do tempo, e mesmo os singulares negócios bancários acordados, os quais, a serem isoladamente considerados, poderiam eventualmente ter um “tratamento” jurídico menos favorável aos interesses deste último”[17]. Daí, portanto, que o dever geral do banco de executar as diversas operações que lhe são solicitadas, ao longo do tempo, pelo cliente, e mesmo os singulares negócios acordados, seja conformado e medido com base nesta dimensão contratual global. Sendo o depósito à ordem, o depositante pode solicitar ao banco a entrega total das quantias depositadas, quando quiser em qualquer momento e sem dependência de aviso prévio, movimentar a sua conta a seu belo prazer, quer a débito, quer a crédito, mediante o depósito de numerário ou valores, ou transferências destes montantes para contas por si determinadas e mediante as respectivas ordens de transferência. Ao banco enquanto entidade depositária incumbe a verificação das assinaturas, por semelhança, dos valores e das contas indicadas, cumprindo de acordo com as instruções dadas as ordens do seu emitente/depositante. Estas instruções e consultas da conta de um determinado depositante pode operar quer por contacto pessoal do mesmo com o banco, quer mediante a utilização de instrumentos informáticos, nomeadamente a internet, mediante a adesão ao denominado “homebanking” ou ao que o R. designa por C1…, equiparando-se então a conferência de assinaturas com a aceitação e validação das denominadas “Chaves de Acesso”. Sendo a abertura e gestão de uma conta o negócio bancário nuclear, conforme dito e referido no Ac. da R. de Coimbra de 16/03/99[18], que envolve deveres e obrigações para ambas as partes, para o banqueiro envolve o dever de administrar e ocupar-se dos interesses e património do seu cliente e o dever de não prejudicar o seu cliente através de comportamentos e omissões, devendo restituir o montante do depósito quando solicitado pelo cliente e cumprir ponto por ponto as instruções do seu cliente. Por sua vez o cliente está vinculado às condições estipuladas para movimentação da sua conta, devendo agir também de forma diligente quer na tramitação de ordens, quer na salvaguarda de elementos confidenciais. No caso de um contrato bancário, existem, como visto, especiais deveres de cuidado e diligência a cargo das instituições bancárias, sendo de presumir a sua culpa. Com efeito, o Banco é uma instituição de crédito, nos termos definidos pelo nº2 do RGIC, sendo aliás a instituição de crédito paradigmática, podendo exercer todos as operações constante do artº 4 deste diploma, sem prejuízo ainda da realização de outras operações análogas e que a lei lhes não proíba. Entre as operações possíveis de serem realizadas salienta-se a recepção de depósitos e concessão de crédito (sendo este o núcleo aliás da actividade bancária), a emissão e gestão de meios de pagamento (cheques, cartões de crédito), participação em emissões e colocação de valores mobiliários, a actuação nos mercados interbancários, a gestão de patrimónios de terceiros (pelo recurso cada vez mais frequente ao private banking), a prestação de serviços de consultadoria, e em muitos casos o exercício da actividade de locação financeira, de factoring, etc... Os bancos realizam, assim, uma actividade empresarial que se revela no mercado através de operações bancárias, geradoras, por sua vez de direitos e obrigações, correspondendo a estas relações económicas bancárias, relações jurídicas bancárias. Assim, as instituições de crédito são responsáveis pela boa gestão de enormes quantias monetárias ali depositadas pelos seus clientes. De modo a proteger esses depósitos e a suportar as condições contratuais acordadas com os clientes, os Bancos devem proceder a uma gestão criteriosa e prudente desses activos financeiros, assegurar a fiabilidade dos serviços de acesso à distância, nomeadamente pela utilização da internet, e a confidencialidade dos dados dos seus clientes. * O CONTRATO DE UTILIZAÇÃO DE INSTRUMENTO DE PAGAMENTO O uso de um instrumento de pagamento eletrónico faz-se pela celebração de um contrato específico entre o cliente e o prestador de serviço, geralmente apelidado de contrato de utilização. “Este contrato é uma das manifestações da revolução tecnológica no que toca às transferências electrónicas de fundos e que suscita ‘complexos problemas de direito probatório - v.g., de repartição do ónus da prova -, bem como [...] em matéria de distribuição do risco’”[19]. A nossa jurisprudência tem analisado a relação contratual que se estabelece entre a entidade prestadora do serviço de pagamento e o utilizador[20], tendo o Supremo Tribunal de Justiça, por diversas vezes, se pronunciado no sentido da autonomia do contrato[21] que permite ao utilizador do IP movimentar fundos de forma simples e mecânica. Os nossos tribunais começaram por identificá-lo apenas como contrato de adesão[22], sendo, maioritariamente, chamados a pronunciar-se sobre a validade das cláusulas contratuais gerais que o compõem, assumindo uma clara intenção de proteger o contraente aderente, necessariamente mais débil, das disfunções provocadas pela desigualdade contratual das partes. O comércio eletrónico, particularmente a atividade de pagamento, constitui uma área especialmente fértil para os contratos de adesão ou, no uso da designação adotada pelo legislador português, contratos com recurso a cláusulas contratuais gerais. Foi dado um importante passo pelo legislador comunitário e nacional, demonstrando nas normas do D.L. n.º 317/2009, de 30 de outubro, um perfeito conhecimento das cláusulas contratuais gerais normalmente utilizadas pelas instituições prestadoras de serviços de pagamentos, estabelecendo várias das regras que os tribunais faziam prevalecer por interpretação do D.L. n.º 446/85, de 25 de outubro. Com a consagração deste regime, o Tribunal da Relação de Lisboa entendeu que “a questão [quer da distribuição do risco como quanto à repartição do ónus da prova] perdeu interesse face ao estatuído no art. 101º, do Dec. Lei n.º 317/2009. Nesse artigo estabelece-se o dever dos prestadores de serviços de pagamento adaptarem os contratos vigentes às disposições constantes do novo regime, e prescreve-se (n.º 1), que: ‘O regime constante do presente regime jurídico não prejudica a validade dos contratos em vigor relativos aos serviços de pagamento nele regulados, sendo-lhes desde logo aplicáveis as disposições do presente regime jurídico que se mostrem mais favoráveis aos utilizadores de serviços de pagamento’. Sendo as disposições do citado diploma legal em matéria de culpa e distribuição do risco mais favoráveis aos autores, enquanto utilizadores de serviços de pagamento, são as mesmas aplicáveis ao caso”[23]. DOS DIREITOS E DEVERES ASSOCIADOS AO USO DO INSTRUMENTO DE PAGAMENTO DO CONTRATO DE HOME BANKING “O titular do IP deve utilizá-lo de acordo com as condições que regem a sua emissão e utilização” – esta será, tipicamente, uma das cláusulas presente nos contratos[24] que disciplinam a relação duradoura entre as partes e comportam, naturalmente, a criação de direitos e deveres[25]. Na verdade, o cerne do contrato-quadro de utilização é composto precisamente por esses direitos e deveres dos contraentes[26]. Os direitos e obrigações com maior destaque nesta relação serão: a emissão e entrega dos instrumentos de pagamento; o dever de informação e de esclarecimento do conteúdo do contrato e das principais causas de fraude[27]; o dever de guarda do IP e de sigilo relativamente aos dispositivos de segurança que lhe estão associados; a correta execução das ordens de pagamento e a manutenção de um sistema de pagamentos funcional, sem deficiência técnicas; o dever de comunicar o extravio/perda do IP ou qualquer operação não autorizada e de imediato cancelamento do IP extraviado; o dever de reembolso imediato dos montantes de operações de pagamento não autorizadas; o dever de aviso prévio em caso de modificação do contrato de utilização e em caso de denúncia de contrato de duração indeterminada; discutindo-se na doutrina se haverá ainda um outro dever - o dever de vigilância da entidade bancária relativamente aos fundos depositados pelo seu cliente. Vários destes deveres resultavam já da recomendação da Comissão 97/489/CE, de 30.07.1997, relativa às transações realizadas com recurso a IP eletrónico e às relações entre emitente e detentor. No art. 5.º deste diploma prevê-se a obrigação do detentor do IP “tomar todas as precauções razoáveis para garantir a segurança do instrumento de pagamento” e de comunicar, logo que tenha conhecimento, “o extravio ou furto do instrumento de pagamento” (cfr. alínea a) e b)), tendo o emissor de disponibilizar os meios que permitam, 24 horas por dia, fazer tal comunicação (art. 9.º da recomendação). Resultavam ainda dos Avisos do Banco de Portugal relativos a esta matéria, pelo que não poderá atribuir-se à Diretiva n.º 2007/64/CE do Parlamento Europeu e do Conselho, de 13 de Novembro de 2007, transposta para o ordenamento interno pelo diploma de 30 de Outubro de 2009, um carácter particularmente inovador quanto a este ponto. Antes apresenta um objetivo de uniformização[28]. ** A factualidade que os autos ostentam mostra que entre Autora e o banco Réu foi celebrado um contrato designado de homebanking – “o homebanking C1…”. Contrato este dependente geneticamente do contrato de abertura de conta anteriormente celebrado que deu início à relação bancária (relação complexa) entre ambos. O contrato de “homebanking” – um meio de pagamento regulado pelo Dec.-Lei nº 317/2009, de 30 de Outubro – é uma expressão que vai sendo corrente. É também a referida por Maria Raquel Guimarães[29]. Por via desse contrato homebanking “C1…”, a Autora, utilizadora desse serviço, ficou com a possibilidade de movimentar por via electrónica os fundos que tem à sua disposição na sua conta, dessa forma se mostrando o homebanking como contrato acessório ao contrato de depósito bancário, surgindo ambos como uma coligação funcional[30]. A literatura especializada de outros países tem, também, chamado a atenção para a caracterização destes contratos como contratos de adesão. Em Espanha, MARIA DEL CARMEN GETE-ALONSO Y CALERA, Las tarjetas de crédito, Relaciones contractuales y conflictividade, Marcial Pons, Ediciones jurídicas y sociales, Madrid, 1997, p. 158: “se trata de contratos, en particular com referencia al que se celebra entre la entidade emissora y el titular de la tarjeta (…), de adhesion, cuya regulacion contractual viene normalmente predeterminada o perfijada por las condiciones generales, previamente redactadas por la empresa que, ademas, las impone a la outra parte”. São, como tal, considerados instrumentos de pagamento quer os cartões de débito e de crédito, quer o serviço de home banking. Segundo o art. 2º, alínea z) do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RSP), constante do Anexo I do DL n.º 317/2009, de 30 de Outubro, define-se como instrumento de pagamento “qualquer dispositivo personalizado ou conjunto de procedimentos acordados entre o utilizador e o prestador do serviço de pagamento e a que o utilizador de serviços de pagamento recorra para emitir uma ordem de pagamento”. Assim, são considerados instrumentos de pagamento quer os cartões de débito e de crédito, quer o serviço de home banking. Ao celebrar um contrato de execução continuada como o contrato de utilização de home banking gera-se uma relação obrigacional complexa onde direitos subjectivos, deveres principais, acessórios e laterais se interligam tendo em vista a prossecução de um mesmo fim contratual. Concretamente e do que se trata, em termos simplistas, é da possibilidade de o titular de uma conta bancária, aceder à mesma, através de um computador com ligação à internet e pelo mesmo meio, realizar operações bancárias como transferências, pagamentos e consultas de movimentos bancários. Esta forma de realização de operações bancárias permite aos clientes a realização daquelas a qualquer hora do dia ou da noite, todos os dias, acesso de qualquer ponto desde que com ligação à internet, poupança de tempo (evitam-se deslocações) e permite aos bancos uma redução de custos (pense-se por exemplo e apenas, nos meios humanos e materiais necessários para atender todos os clientes que se dirigiam aos balcões e processar os milhões de cheques que todos os anos eram utilizados como meio de pagamento) ainda que implique custos em hardware e software, ou seja, é um sistema que tem benefícios para ambas as partes. Ora, a disponibilização do home-banking pressupõe a obrigação do Banco de disponibilizar ao cliente benificiário um serviço seguro e eficaz. Dever esse que emerge, também, do disposto no artº 73º do Regime Geral das Instituições de Crédito e Sociedades Financeiras (RGICSF), onde se determina que “as instituições bancárias devem assegurar, em todas as actividades que exerçam, elevados níveis de competência técnica, garantindo que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e segurança”. Também Calvão da Silva[31] refere que esta exigência de observância de padrões profissionais e éticos elevados por parte da entidade bancária resulta, também, da “relação de clientela”, isto é, da “especial relação obrigacional complexa de confiança mútua e dominada pelo intuitus personae que se estabelece entre as partes. Logo, o banco ao oferecer o serviço de cartão de débito tem o dever de manter operacional o sistema informático que o sustenta e de garantir que não ocorrem falhas técnicas durante as operações. Mais do que isso, a instituição bancária deve criar um sistema de acesso à conta bancária e respectiva movimentação no qual o utilizador possa confiar. Este dever do banco é compreensível uma vez que o cliente não tem qualquer controlo sobre os sofisticados meios informáticos da entidade bancária, nem dispõe da assessoria técnica que esta tem à disposição”[32]. Daqui logo se vê que a disponibilização deste serviço de home-banking é um sistema que coloca particulares problemas de segurança, como também observa Maria Raquel Guimarães[33]. Por um lado, o sistema leva a uma perda da imediação entre o banco e o cliente e, desse modo, desde que estejam a ser utilizadas as chaves de acesso, o banco não sabe se quem as está a utilizar é efectivamente o cliente ou outra pessoa, autorizada ou não. Por outro lado, tem - se vindo a verificar situações em que terceiros, utilizando a tecnologia informática, conseguem capturar as passwords necessárias ao acesso às contas bancárias, captura essa realizada através de a) “ phishing” - envio de e - mail com a aparência de ser proveniente da entidade bancária, com pedido de confirmação dos códigos pessoais do cliente - passwords, dados do cartão matriz ou outros - e outros elementos - telemóvel, resposta ao mesmo b) ou através do envio de um e-mail com um arquivo anexo ou hiperligação que o utilizador é convidado a abrir e que instala no computador do cliente um software malicioso - “malware” - (keyloggers ou trojans) capaz de captar o que o usuário escreve no teclado. Estes terceiros fazem uso de “engenharia social”, isto é, acções que enganam ou exploram a confiança das pessoas, como é o caso do envio de um e - mail com um arquivo anexo ou hiperligação, de uma entidade com a qual o utilizador tem alguma relação, contendo avisos de consequências negativas caso não haja resposta às mesmas. Face ao principio geral da boa fé, com tradução no art. 762.º, n.º 2, do CC, impõe-se, a quem pretende utilizar o home - banking, o especial dever de guarda dos dados que lhe permitem aceder ao sistema e realizar operações on - line e de preservação da confidencialidade dos mesmos, por forma a evitar a sua apropriação por terceiros, adoptando uma cultura de segurança e rigor, face aos interesses envolvidos. Hoje, face às formas de fraude conhecidas, face aos sucessivos alertas das entidades bancárias, aquele dever do utilizador operacionaliza - se i) através da digitação do endereço do home - banking directamente no browser, ii) através da instalação e actualização constante de software adequado a evitar acessos não autorizados e a introdução no sistema do utilizador de “ malware” - antivírus, firewall - , iii) através da análise atenta dos e - mail’s recepcionados, antes de os abrir, desconfiando dos aparentemente enviados por entidades bancárias que peçam a confirmação / divulgação dos dados de acesso (todas as entidades bancárias afirmam que não enviam e - mail’s), verificando sempre o remetente dos mesmos, nunca os abrindo, nem respondendo aos mesmos, nem, abrindo - os, não fazendo download de arquivos não solicitados, iv) através da verificação periódica dos movimentos bancários. Importa, no entanto, considerar que as formas de fraude evoluem e sofisticam-se (como em qualquer domínio da criminalidade), de tal forma que serão sempre possíveis novas formas de fraude e que a “doença vem primeiro e só depois a cura”. * Ao prestador de serviços de pagamento impõe-se a obrigação de “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento” (art. 68.º/1, a)), devendo proporcionar ao utilizador um sistema de segurança eficaz, impeditivo (em princípio) de uma utilização abusiva por terceiros[34]. Porém, ao utilizador cabe a guarda do seu IP[35] e o dever de “tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados” (art. 67.º/2 do RSP), tendo, como já dito, o dever primordial de não facultar a terceiros os elementos de segurança que lhe são atribuídos, atendendo à sua função de autenticação das operações de pagamento. O cumprimento deste dever tem também sido analisado pelos nossos tribunais em várias situações[36]. Assim, portanto, as entidades bancárias têm (ou deverão ter) os meios para controlar a segurança da parte do sistema que se encontra do seu lado, ou seja, de fazer tudo o que está ao seu alcance para proteger os interesses dos seus clientes, dotando a sua organização empresarial com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência. Mas não têm qualquer possibilidade de controlar a parte do sistema que se encontra do lado do cliente, a utilização que os clientes fazem dos seus computadores – isto é, não se vislumbra seja possível estender essa protecção à parte do sistema que está do lado do utilizador. É neste pressuposto ou na ponderação destes princípios que o 72º, nº1 do RSP refere que, estando em causa apenas uma negligência leve do utilizador, “no caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este apenas suportará as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de €150”. Portanto, apenas no caso de estarmos perante uma situação de negligência leve do utilizador do serviço é que o Banco terá de suportar os prejuízos excedentes que decorram de operações de pagamento não autorizadas, cabendo-lhe, nessa situação, suportar o risco do sistema informático que permitiu a intromissão de terceiros. Ou seja, se o utilizador do serviço de pagamento actuou de forma diligente, preservando a confidencialidade e eficácia dos dispositivos de segurança que lhe foram entregues (ou o contrário não se conseguir provar), e, ainda assim, um terceiro conseguiu usar o cartão, o utilizador não deve responder pelos prejuízos resultantes das operações fraudulentas ocorridas antes da notificação ao banco, nem sequer até ao montante de €150[37]. Dito de outra forma: se o cliente for diligente no cumprimento das suas obrigações de guarda e notificação, não deve suportar nenhum prejuízo decorrente da operação fraudulenta. Tratando-se de negligência grave/grosseira ou dolo do utilizador do serviço, a situação é, porém, de todo diferente: aqui, terá de ser esse utilizador a arcar com as consequências nefastas para si do desvio ilícito de fundos da sua conta, a ele, portanto, cabendo suportar os prejuízos que decorram de tais operações de pagamento não autorizadas. DA DEFINIÇÃO DE NEGLIGÊNCIA GRAVE OU NEGLIGÊNCIA GROSSEIRA Quando falamos da negligência do devedor na responsabilidade contratual, a censura do devedor funda - se apenas em ele não ter agido com a diligência ou com o discernimento exigíveis para ter evitado a falta de cumprimento da obrigação, ou para a ter previsto e evitado, quando porventura nem sequer dela se tenha apercebido. Umas vezes, a negligência traduz - se em o devedor, apesar de ter previsto a falta de cumprimento como um efeito possível da sua conduta, ter acabado por aceitar propositada ou levianamente que poderia cumprir; outras vezes, a negligência consistirá em o devedor, censuravelmente. não se ter apercebido sequer da possibilidade da falta de cumprimento como um efeito da sua conduta [38]. Segundo as palavras do saudoso Professor Eduardo Correia [39], a negligência é a omissão de um dever objectivo de cuidado ou diligência. O dever, cuja violação a negligência supõe, consiste antes de tudo em o agente não ter usado aquela diligência exigida segundo as circunstâncias concretas para evitar o evento. Contudo, é necessário que a produção do evento seja previsível, e só a omissão desse dever impeça a sua previsão ou a sua justa previsão. Logo, a mera omissão dum dever jurídico não implica desde logo a possibilidade objectiva da negligência. É necessário que esse dever vise obstar à produção do evento, isto é, seja adequado a evitá - lo. A previsibilidade não é absoluta, mas determinada de acordo com as regras gerais da experiência dos homens, ou de certo tipo profissional de homem. O agente admite e prevê como possível a realização do resultado típico, mas confia, não devendo confiar, em que o mesmo se não realiza (negligência consciente); ou o agente omitiu os deveres de diligência a que, segundo as circunstâncias e os seus conhecimentos e capacidades pessoais, era obrigado e, em consequência disso, não previu, como podia, a realização do resultado (negligência inconsciente). A censura na negligência tem, assim, dois elementos: uma não representação ou uma representação inexacta do resultado; uma omissão concreta da vontade, um não ter querido levar a cabo a diligência que permitiria representá - lo. A delimitação do dever de cuidado efectua - se mediante a formulação de um juízo ex ante em que se atende ao cuidado exigível a um “homem médio”, ou seja, um homem medianamente conhecedor e diligente do tipo social e profissional do agente colocado nessa situação concreta e detendo idênticos conhecimentos especiais. Importa ainda definir quando é que o resultado tem como causa a acção violadora do cuidado. A causalidade pode analisar-se em dois níveis: o natural (nexo causal) e o jurídico (imputação objectiva). Segundo a teoria da equivalência das condições o resultado tem de ter como sua causa natural a acção. Mas a imputação objectiva exige que tenha sido a violação do dever de cuidado, de entre as várias condições que concorreram para a produção do evento, aquela causa específica que produziu o resultado. Para que se possa estabelecer o nexo de imputação objectiva é necessário que: ■ o resultado pudesse ter sido evitado com uma conduta conforme ao dever de cuidado (requisito da evitabilidade do resultado); ■ a norma cominadora do dever de cuidado violada tivesse precisamente como fim evitar a produção ou perigo de produção de eventos como o produzido no caso concreto (requisito de que o resultado típico caia na esfera de protecção da norma). Finalmente, o resultado típico e o processo causal que o originou têm de ser previsíveis nos seus elementos essenciais, segundo uma apreciação objectiva dos acontecimentos em função da capacidade de conhecer e avaliar que uma pessoa normal do mesmo tipo social do agente teria, munido dos conhecimentos pessoais deste. O conceito de cuidado é sem dúvida, objetivo e normativo. É objetivo, pois, para o estabelecer importa ponderar do cuidado que é requerido numa perspetiva de interação social relativamente ao comportamento em causa. O que supõe um juízo normativo, que resulta da comparação entre a conduta que devia ter adotado um homem razoável e prudente na situação da Autora e a conduta que efetivamente observou. Este juízo normativo, conforme escreve Muñoz Conde[40], é integrado por dois elementos: um elemento intelectual, segundo o qual é necessária a consideração de todas as consequências da ação que, num juízo razoável (objetivo), eram de consideração previsível (previsibilidade objetiva); outro valorativo, segundo o qual só é contrária ao cuidado a conduta que vai além da medida socialmente adequada (risco permitido). Todavia, diferentemente do que sucede no domínio da responsabilidade penal (cf. art. 15.º do Código Penal - “A propósito do qual entende Figueiredo Dias que está implícita uma exigência de previsibilidade, como limite inferior, o mínimo necessário na demarcação da fronteira com o caso fortuito e o nullum crimen est in casu, acrescentando ainda que aí “está (…) verdadeiramente em causa um critério subjetivo e concreto, ou individualizante, que deve partir do que seria razoável de esperar de um homem com as qualidades e capacidades do agente”. Pelo que, “se for de esperar que ele respondesse às exigências do cuidado objetivamente imposto e devido (…) é que, em concreto, se deverá afirmar o conteúdo da culpa próprio da negligência e fundamentar aqui a respetiva punição”), já não interessa tanto averiguar se, na situação concreta, tal cuidado foi aplicado ou podia ser aplicado pelo agente, pois que o conceito de culpa para efeitos da responsabilidade civil é primacialmente abstracto[41], ainda que se deva reportar também às circunstâncias de cada caso. Deixam - se assim claramente de fora ponderações relativas à capacidade concreta do agente, numa perspetiva de dever subjetivo de cuidado. Por conseguinte, trazendo - se à colação as ideias de previsibilidade, capacidade e evitabilidade, fulcrais na compreensão e análise da categoria da negligência, como forma de culpa, enquanto defeito de atitude interna, objecto de censura legal, tais ideias não têm que se referir ao sujeito concreto, na medida em que não está em causa a diligência normal do causador do dano, mas antes a diligência e prudência que um homem normal teria em face do condicionalismo exterior próprio do caso concreto. Donde, que Le Tourneau qualifique como culposo o acto que se afasta da conduta normal com a qual cada um tem o direito de contar[42]. ** Que dizer da negligência grosseira (ou negligência grave – que para o que aqui nos importa tem o mesmo sentido)? Como dito, a negligência é, antes de mais, a violação de um dever objectivo de cuidado, violação essa que permite afirmar o desvalor da acção. Trata-se do cuidado objectivamente devido, isto é, que o agente deve ter e que se afigura como necessário para evitar a realização do tipo. Aquela violação verifica-se quando o agente não usou da diligência exigida em função das concretas circunstâncias do caso para evitar o evento criminoso. A negligência grosseira constitui uma negligência qualificada, um grau exasperado de negligência, correspondente à antiga culpa lata latina, tratando - se de uma negligência temerária, bem conhecida do direito espanhol, de contornos mal definidos, mas que a doutrina e a jurisprudência do País vizinho definem como podendo consistir na falta das precauções exigidas pela mais elementar prudência ou das aconselhadas pela previsão mais elementar que devem ser observadas nos actos correntes da vida, ou de uma conduta de manifesta irreflexão ou ligeireza. Com efeito, “a expressão negligência grosseira corresponde na nossa tradição à figura da culpa temerária ou esquecimento de deveres”[43], implicando temeridade, leviandade e a total ausência de cuidados ou a grave violação do dever de cuidado, de atenção e de prudência. Noutras palavras, a negligência grosseira constitui a grave omissão das cautelas necessárias para evitar a realização do facto anti-jurídico, quando não foi observado, de forma pouco habitual, o cuidado exigido, ou que, no caso concreto, resultaria evidente para qualquer pessoa. A negligência grosseira é, assim, como dito, uma negligência qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, adoptando-se uma conduta de manifesta irreflexão ou ligeireza. Trata-se de uma negligência temerária, consistindo na falta das precauções exigidas pela mais elementar prudência[44]. Como se salientou no Tribunal da Relação do Porto em acórdão de 26 de Março de 2008[45], "Os elementos da negligência são: o dever objectivo de cuidado; a capacidade de cumprimento desse dever, aferida de acordo com o critério do homem concreto; e a previsibilidade do resultado. Há negligência grosseira quando a acção é particularmente perigosa para o bem jurídico e o resultado é de verificação altamente provável". E o mesmo Tribunal da Relação, em acórdão de 9 de Abril de 1997[46], salientou que "A negligência grosseira vem sendo entendida pela jurisprudência e pela doutrina como negligência qualificada ou temerária, consistindo num comportamento de clara irreflexão ou ligeireza ou de falia de precauções exigidas pela mais elementar prudência”. Neste mesmo sentido, em acórdão do Tribunal da Rel. de Coimbra de 4 de Maio de 2005[47], escreveu-se que "Não sendo definido, deforma expressa, pelo legislador, o conceito de negligência grosseira, entende-se que constitui uma forma qualificada de negligência, ligando-se à ideia de «culpa temerária», particularmente censurável, em que a culpa é agravada pelo elevado grau de imprevisão, de falta de cuidados elementares que importam grave desrespeito do dever de representação ou da justa representação da possibilidade de ocorrência do resultado proibido. Ao nível da ilicitude, pressupondo uni comportamento particularmente perigoso e um resultado de verificação altamente provável à luz da conduta adoptada. E ao nível da culpa, revelando uma atitude particularmente censurável de leviandade ou de descuido perante o comando jurídico-­penal. Podendo tomar-se como critério de referência, ao nível da ilicitude, a natureza da norma violada (v. g. actuação que integre outro crime, contra-ordenações graves ou muito graves) ou a quantidade de normas violadas". Também no Acórdão do Tribunal da Relação de Coimbra de 21 de Janeiro de 2004[48] se conclui que "A negligência grosseira deve ser aferida não só a nível da culpa, mas também do ilícito, posto que o comportamento do agente deve ser visto e analisado, por um lado, através da atitude particularmente censurável de leviandade ou descuido do agente e, por outro lado, a partir da perigosidade do próprio comportamento e da probabilidade do resultado à luz da conduta adoptada. Só o comportamento particularmente censurável, postergador de cuidados básicos ou revelador de elevado grau de irreflexão ou insensatez e gerador de perigo quase certo, deve ser tido como integrador da negligência grosseira". Diga-se, a finalizar, que é indiferente à qualificação de negligência como grosseira, a circunstância de o agente haver ou não previsto a realização do resultado típico (com ele não se conformando, obviamente), querendo com isto significar-se que quer a negligência consciente, quer a inconsciente podem consubstanciar este concreto tipo de culpa. Há-de é tratar-se de temeridade, de ousadia perante o perigo quase certo, previsto ou previsível atentas as circunstâncias. ** DA RESPONSABILIDADE DO BANCO RÉU….OU DA AUTORA? É hora de regressar aos factos e aferir se, perante eles, deve, ou não, imputar-se responsabilidade ao banco Réu pelo desvio ilícito havido nos dinheiros havidos na conta da Autora. Dito de outra forma: a factualidade apurada permite atribuir à Autora (titular da conta de onde foram, ilicitamente, desviados fundos) uma negligência qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta das precauções exigidas pela mais elementar prudência, tendo adoptado uma conduta de manifesta irreflexão ou ligeireza? Cremos que a resposta deve ser positiva. Seja qual for a qualificação dada ao depósito bancário “sempre que o banco debite na conta do seu cliente uma determinada quantia sem a autorização deste último, o seu cliente manter-se-á credor do montante debitado. E este princípio vale não só para os montantes debitados em virtude de erro do sistema ou de uma qualquer anomalia técnica, mas também para aquelas situações de actuação fraudulenta de um terceiro, sempre que essa actuação não seja imputável a acto ou a omissão do cliente do banco. A instituição bancária não pode liberar-se da sua obrigação de restituição dos fundos "depositados" se a ordem de pagamento emana de um terceiro. O cumprimento feito a terceiro não extingue a obrigação do credor nos termos da nossa lei civil e, apesar as ordens de pagamento dadas através de um terminal electrónico por um terceiro serem eventualmente acompanhadas da introdução de um cartão de débito e da correcta marcação do PIN respectivo no teclado da máquina, criando-se, portanto, a aparência do direito de crédito do "depositante", não se pode esquecer a irrelevância atribuída pelo legislador português ao cumprimento efectuado ao credor aparente, com a consequente possibilidade de o solvens repetir a prestação, estando, no entanto, obrigado a efectuar nova prestação perante o verdadeiro credor.”[49]. Estamos, pois, no âmbito da responsabilidade contratual, sendo que o ónus de prova quanto à inexistência de culpa no incumprimento ou cumprimento defeituoso da prestação incidirá sobre o R., nos termos do artº 799 do C.C. Em qualquer dos casos (responsabilidade contratual ou extra-contratual) os elementos exigidos são os mesmos: o facto; a ilicitude desse mesmo facto (ilicitude que pode revestir duas modalidades, traduzindo-se na violação do direito de outrem ou na violação de uma disposição legal destinada a proteger interesses alheios); o nexo de imputação do facto ao lesante; o dano e finalmente, o nexo de causalidade entre o facto e o dano. Por outro lado, para que o devedor se constitua na obrigação de indemnizar, é ainda necessário que esse facto lhe seja imputável, isto é, que este tenha agido com culpa. E aqui apenas nos interessa a mera culpa ou negligência, que consiste na omissão da diligência devida. Como determina o nº 2 do artº 799º, a culpa é apreciada nos mesmos termos da responsabilidade civil por factos ilícitos, pela diligência de um bom pai de família, em face das circunstâncias de cada caso (487º, nº 2) e tratando-se de instituições bancárias de acordo com as normas que regulam a sua actividade. Assim sendo, à A./depositante incumbia o ónus de prova do facto ilícito consistente na transferência indevida de fundos da sua conta para a conta de terceiro, mediante intromissão no sistema informático disponibilizado pelo Banco, serviço C1…, sem que a ordem tenha emanado do titular da conta. O dano consistiu em o depositante ter ficado efectivamente desapossado do montante em causa e demais prejuízos provocados pela transferência indevida de fundos. Incumbia, por outro lado, ao Banco R., a fim de afastar a presunção de culpa a seu cargo, alegar e provar que esta transferência de montantes propriedade do depositante, pese embora indevida, não decorreu de culpa sua, por ter cumprido com todos os deveres de cuidado e diligência que lhe incumbiam, alegando e provando, por sua vez, que o depositante actuou com culpa. Nunca é demais referir que a utilização da ferramenta eletrónica bancária (home banking) impõe particulares deveres de cuidado e de segurança personalizados, os quais estão – desde logo – expressos no facto provado sob 9, obrigando-se a autora a manter sob rigorosa confidencialidade os códigos secretos e a informação constante do cartão matriz que lhe é atribuído. Também decorre do Artigo 68º do Decreto-lei nº 317/2009, de 30.10, que: 1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento tem as seguintes obrigações: a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; e b) Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento. 2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados. Estes deveres de segurança decorrem da circunstância conhecida de que o ambiente informático está sujeito a ataques de piratas que, com recurso a diversas técnicas, tentam apossar-se dos elementos de identificação e códigos de acesso dos clientes bancários para, na posse dos mesmos, se apropriarem de quantias que não lhe pertencem. Ora, como visto, a A. por contrato celebrado com o Banco R., aderiu ao serviço C1…, disponibilizado pelo R. aos seus clientes para facilitar o acesso e movimentação de contas à distância, pela Internet. Trata-se, como dito supra, do denominado home-banking ou banco online, que já vimos se caracterizar pela possibilidade conferida pela entidade bancária aos seus clientes de poder realizar toda uma série de operações bancárias, relativamente às sua contas, utilizando para o efeito canais de telecomunicações, mediante determinados condicionalismos, no que se reporta ao utilizador, condições de acesso (chaves de acesso) e confidencialidade deste sistema. Reveste-se este serviço de inegável utilidade para o cliente, possibilitando-lhe, a partir de qualquer local e por qualquer meio, desde que com ligação à internet (computador, telemóvel, etc…), aceder ao seu banco e às suas contas, fora do horário normal de atendimento e dos locais normais de atendimento. Mas há que não olvidar que se reveste de inegável interesse e utilidade também para as instituições bancárias na medida em que lhes permite desviar dos seus balcões uma parte significativa das operações bancárias, com a consequente poupança quer em número de balcões abertos ao público, quer em número de funcionários, quer no próprio tratamento das ordens transmitidas (informático). Porque assim é, acedendo os clientes a um serviço que é disponibilizado pelo banco, de acordo com condições de acesso e segurança por este estipuladas, de acordo com tratamento e acesso de dados por este determinadas, sendo a única actuação do cliente o acesso a este serviço, em cuja concepção e segurança não pode interferir nem efectivamente interfere, tem sido comumente entendido que, em caso de, da sua utilização, resultar um acesso indevido às contas do cliente, é ao banco que incumbe assumir a responsabilidade pelo risco que dessa forma de acesso decorre. Os riscos da falha do sistema informático que é disponibilizado pelos bancos, bem como de eventuais ataques cibernáuticos (seja por phishing, seja por farming, seja por qualquer outra forma) correm sempre por conta destes, excepto se culpa tiver havido do cliente[50]. A mesma conclusão decorre expressamente do disposto no já referido artº 68 nº 2 do D.L. 317/2009, de 30 de Outubro, que transpôs para a nossa ordem jurídica o novo enquadramento comunitário em matéria de serviços de pagamentos, maxime a Directiva 2007/64/CE do Parlamento Europeu e do Conselho de 13 de Novembro, o qual dispõe que “O risco do envio ao ordenante de um instrumento de pagamento ou dos respectivos dispositivos de segurança personalizados corre por conta do prestador do serviço de pagamento.”. Ora, se o risco corre por conta do banco e este tem o dever de diligenciar pela segurança do sistema e dos depósitos do seus clientes, o depositante também tem o dever de utilizar o serviço disponibilizado de acordo com as condições da sua utilização e está igualmente vinculado aos deveres de confidencialidade e salvaguarda das chaves de acesso e cartão entregue, como, aliás, dispõe o artº 67 do referido diploma legal. É certo que o banco deverá garantir a manutenção de um sistema informático dotado de mecanismos técnicos que obstem a intrusão nos seus servidos; mas também é certo que também exige a lei um dever especial de cuidado, do utilizador, quanto à correta salvaguarda dos mecanismos de segurança, que decorrem do contrato e do próprio terminal de acesso à chamada banca online. DA APROPRIAÇÃO POR TERCEIROS DE QUANTIAS DO DENOMINADO “PHISHING” E DA EXISTÊNCIA DE CULPA DA AUTORA POR CEDÊNCIA DOS SEUS DADOS PESSOAIS, DAS CHAVES DE ACESSO E DO CARTÃO DE COORDENADAS. Nos dias aludidos em 15 a 17 dos factos provados houve lugar a movimentos a débito, transferências para contas de terceiros, não autorizadas e efectuadas pela Autora, mediante a utilização do serviço C1…. Alega a A. que tal retirada dos montantes da sua conta, por si não efectuada, nem autorizada, decorreu de falha no sistema disponibilizado pelo banco, nomeadamente pela intromissão de um “hacker”, que terá utilizado a técnica conhecida por phishing para retirada destes valores, desviando-os para contas de terceiros. Ora, o “phishing (do inglês fishing «pesca») pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente. Outra modalidade de fraude online é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, destinando-se ambas as técnicas (phishing e pharming) à obtenção fraudulenta de fundos.”[51]. Processando-se o acesso do cliente, já não de forma presencial e mediante a conferência de assinaturas, mas antes por meios electrónicos, mediante a disponibilização pelo banco do respectivo serviço e fornecimento de senhas pessoais, cartões matrizes contendo uma infinidade de composições numéricas, exigindo-se um sistema de autenticação que passa pela utilização de uma, duas, ou mais coordenadas, sendo esse cartão do exclusivo conhecimento e acesso do cliente/utilizador autorizado, foram desenvolvidos meios de aceder de forma ilícita a esses dados, e assim se apropriarem de valores depositados nestas contas, pelas formas acima referidas e que são as mais conhecidas. No caso presente, porém, pouco importa se o “saque” de valores se deveu a “phishing”, “farming” ou utilização abusiva (no sentido de realização de movimentos não autorizados pelo titular da conta) por parte de terceiros que tenham tido acesso físico ao mesmo cartão e chaves, pois que vem invocada a culpa (grave) do cliente (Autora), consistente na entrega do cartão a quem não era utilizador autorizado do mesmo, na divulgação das chaves de acesso, enfim, no permitir de forma livre e sem qualquer controlo, a um terceiro, o acesso às contas da 1º A. e sua movimentação. E tal resultou provado. Ora, como se vê no ponto 3.3. do Contrato de adesão ao C1… (fls. 50), a propósito da “Utilização dos serviços C1…”, em resultado da adesão do cliente a tal serviço, foram-lhe fornecidas pelo C… credenciais de autenticação, a utilizar pelo cliente, credenciais essas que permitem o acesso e a correta validação da intenção do utilizador de emitir uma ordem ao banco, seja para realização de um pagamento ou subscrição de um outro serviço. Os mecanismos de segurança do serviço são o número de contrato, a password e o Cartão Matriz – este que é composto por varias coordenadas, pedidas aleatoriamente e nunca se repetindo, que autentica a identidade do ordenante e que, sendo processado de forma eletrónica e expedido por correio, o seu processo de elaboração não dispõe de qualquer intervenção humana – , sendo que o número de contrato e a password são fornecidos presencialmente ao cliente no momento de subscrição do serviço. Note-se que no ponto 4.2 daquele Contrato de adesão ao C1… se dispõe, com toda a clareza, que “o cliente compromete-se igualmente a guardar segredo das suas Credenciais de Autenticação, bem como a prevenir igualmente a sua utilização abusiva pro parte de terceiros.”. E acrescenta: “O cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do serviço C1… por parte de terceiros, com exceção do estabelecido no ponto 5.3”. Ora, tal como entende a Apelada, também não cremos que, caso o cliente faculte a alguém qualquer dos três níveis de segurança (número de contrato, password e Cartão Matriz), tal possa ser considerado um risco da actividade económica. Ou seja, a conduta negligente grave da Autora não se pode consubstanciar como um risco inerente à actividade económica da Ré. A não se entender assim, teríamos o campo aberto à aceitação do desleixo, da incúria do utilizador do serviço, sem quaisquer consequências para o mesmo. O equilíbrio contratual – inerente ao sinalagma contratual – ficaria seriamente posto em causa, com aceitação duma postura leónica a todos os títulos inaceitável. Veja-se que no ponto 3.5.c) do contrato de adesão (fls. 49 verso) o Cliente autorizou o Banco a “não executar ordens quando não sejam facultadas Credenciais de Autenticação do Cliente, consideradas necessárias para as realizar”. O que significa que o Banco parte do princípio – perfeitamente natural – de que se tais credenciais, fornecidas, o são…pelo Cliente, pois só ele é suposto as deter, com a obrigação/imposição de as não facultar a terceiros. Daí que o Banco, perante o fornecimento de tais credenciais, afinal, ao aceitar os pagamentos mais não está do que a cumprir a sua parte no sinalagma contratual livremente assumido por ambas as partes. Se o são por terceiros, por incúria ou negligência grave ou grosseira, é claro que terá que incidir sobre o Cliente o risco das consequências que daí lhe possam advir. Veja-se que o artigo 76º-1 do Decreto-lei 317/2009 dispõe que “No caso de estarem reunidas todas as condições previstas no contrato quadro celebrado com o ordenante, o prestador de serviços de pagamento do ordenante não pode recusar a execução de uma ordem de pagamento autorizada, independentemente de ter sido emitida pelo ordenante, pelo beneficiário, ou através dele, salvo disposição legal em contrario”. Portanto, estando provado que “A autora transmitiu as credenciais de autenticação referidas em 10) ao Pai que as disponibilizou online em site e por meio não apurado, incluindo os números das coordenadas do cartão matriz.” (facto 21) e que “Foi através do uso dessas credenciais de acesso que um sujeito cuja identificação não foi possível apurar actuou da forma descrita nas alíneas 15) a 17)” (facto 22) - para além de se ter, ainda, provado que “O sistema informático do réu não foi alvo por essa ocasião de um ataque informático” (facto 23) – , claro que só a essa postura gravemente negligente se devem atribuir as consequências danosas no seu património, que, como tal, terá de suportar. Pelo serviço C1… só podiam aceder “utilizadores autorizados” e indicados pelo cliente que os podia acrescentar ou retirar. Para acesso a este serviço foi fornecido ao cliente um cartão de coordenadas pessoal, intransmissível e chaves de acesso secretas e confidenciais. A Autora, tal como o Banco R., estavam obrigados a deveres de confidencialidade, incumbindo à A não divulgar estes elementos a terceiros e muito menos permitir a utilização deste serviço por parte de terceiros (sendo irrelevante que fosse seu pai ou outra pessoa da sua absoluta confiança ou quiçá da confiança do próprio R.). Sendo equiparadas juridicamente as Chaves de Acesso às assinaturas manuscritas do Cliente nas Condições Gerais das Contas, o fornecimento pelo cliente da sua assinatura para utilização por terceiros, constitui quebra grave do dever de sigilo e confidencialidade a seu cargo, tornando-o responsável pela eventual utilização abusiva que venha a ser feita destas “assinaturas digitais”. Conforme se refere no Acórdão do Tribunal da Relação de Guimarães de 23.10.2012, Filipe Caroço, 305/09, a propósito de um caso similar, « (…)contrariando o que deve se tido por elementares regras de procedimento no acesso ao home banking e, em particular, à C4… on-line, o A. Fr.. forneceu todas as combinações de números do seu cartão matriz de acesso à sua conta bancária relativo àquele serviço e do cartão matriz dos A.A. seus pais, por tal lhe ter sido pedido pela internet. Como nos parece também inquestionável, jamais a C.. pediria tal informação na prestação daquele seu serviço, pois que a ser assim não faria sentido o fornecimento e a utilização do cartão matriz, que só existe para que se introduzam no serviço on-line, a partir dele, determinadas variáveis, caso a caso, ou operação a operação, como é próprio daquele serviço e da segurança que lhe deve ser inerente. Aliás, como vimos, constitui contrapartida contratual do acesso ao serviço, que o aderente garanta a segurança dos elementos de identificação que lhe são fornecidos com confidencialidade, a título pessoal e intransmissível, o que implica que se coloque a salvo de todos os terceiros, incluindo os funcionários daquela ou de qualquer outra instituição de crédito. Ao divulgar na internet todas aquelas combinações possíveis de algarismos dos dois cartões matriz e o seu número fiscal de contribuinte, como se não existisse pirataria informática, o 2º R. viabilizou com evidente negligência, o acesso às respetivas contas, permitindo que sobre elas, terceiros desconhecidos – sem que a C.. tivesse que os conhecer ou suspeitar sequer de que se trataria de atos fraudulentos – efetuassem operações abusivas sobre tais depósitos, nomeadamente transferindo valores, conforme efetivamente transferiram para contas diversas. (…) Pese embora a grande complexidade do sistema de segurança do home banking e do crescente nível de ameaças que sobre ele existem – o que sempre deve manter os usuários em alerta para os perigos eventuais – ficou provado que as transferências das quantias depositadas não resultou de vulnerabilidades do sistema de segurança implementado pelo Banco, mas da falta de cuidado do 2º A., da sua censurável inadvertência, ao disponibilizar a estranhos os meios secretos e de acesso pessoal às contas de depósito, o que conduz à prova da sua culpa, assim, com elisão da culpa presumida dos R.R. C.. e A.. (art.º 799º, nº 12, do Código Civil), e mesmo do risco inerente à C4… on-line. A aceitar-se a tese dos A.A., estava aberto o caminho para o defraudamento sucessivo dos Bancos, designadamente pelo conluio. Fazendo correr sobre a Banca o risco que resultasse da divulgação de dados pessoais e intransmissíveis dos seus clientes, por eles próprios, estaria ditado o decesso imediato de um sistema que tantas vantagens traz par ao comércio bancário pelo encurtamento de tempo e distâncias, com economia de meios para os Bancos e clientes.». No mesmo sentido, se pronunciou o Acórdão do Tribunal da Relação de Guimarães 25.11.2013, Espinheira Baltar, 2869/11, ao afirmar que: «é de concluir que o comportamento da autora foi negligente, violador das regras de segurança impostas pelo contrato, que foram causa direta da movimentação das suas contas por terceiros. A ré, ao provar a culpa da autora na transmissão dos dados do cartão matriz a terceiros, ilidiu a presunção de culpa prevista no artigo 799 do C. Civil, aplicável a este contrato. Assim sendo, não é responsável pela movimentação das contas, de forma fraudulenta, porque deveu-se a culpa exclusiva da autora, que não teve o cuidado devido ao executar o contrato a que estava vinculada, traduzida no fornecimento dos dados do cartão matriz a terceiro.». Damos, assim, razão à Apelada: só a Autora, enquanto única responsável pela correcta guarda das credenciais de acesso, é (igualmente) responsável pela utilização que foi dada às suas coordenadas e códigos de acesso (à revelia de todos os avisos de segurança do Banco Réu), pois apenas ela própria tinha conhecimento das mesmas, sendo que qualquer pessoa diligente e cuidadosa não permite nem facilita o acesso de terceiros às mesmas. É que o risco de utilização do serviço C1… e consequentemente das respectivas credenciais de acesso (número de identificação, código PIN, cartão matriz), é da responsabilidade do utente/utilizador. Não se vislumbrando que possa ser imputada à Ré qualquer responsabilidade – muito menos apelo risco – , pois que seria , no nosso modesto ver, inaceitável, por de todo incompreensível, que se viesse a responsabilizar o Banco Réu numa situação em que – como ocorreu no presente caso – o seu cliente tenha fornecido ou permitido de forma deliberada o acesso a terceiros dos seus códigos pessoais de acesso e que serviram para a realização de movimentos na sua conta por banda desses mesmos terceiros. É claro que utilizando o Cliente de forma correcta os dados de segurança que o Banco lhe fornece, sem, portanto, os transmitir a terceiros, o sistema é perfeitamente seguro, não correndo o Cliente, dessa forma, quaisquer riscos. Podendo o banco R. elidir a sua presunção de culpa, quer afastando-a, quer “demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso (…). No primeiro caso, o Banco pode ainda ser responsabilizado pelo risco, enquanto na segunda hipótese a responsabilidade é do cliente.”[52]. Mesmo que se não considerasse que a Autora violou deliberadamente o dever de guarda dos dispositivos de segurança pessoais associados ao serviço, a verdade é que agiu de forma muito descuidada, demonstrando negligência grave. É a existência dos avisos, logo na página inicial do site, que tornará a conduta do titular do IP especialmente censurável. O utilizador é constantemente alertado para os indícios de fraude[53], de maneira a estar, naturalmente, consciente de que os pedidos feitos nestas páginas falsas não são legítimos. Responder a um pedido incomum na página clonada, por exemplo com a indicação das combinações do cartão matriz, demonstrará um enorme descuido e desatenção do titular do IP[54]. Pode, nessa situação, bem dizer-se que o titular deu azo a que terceiros acedessem ao ‘sistema’ e procedessem ao desvio das quantias em causa, permitindo a conclusão de que fez, de facto, uma utilização assaz imprudente do serviço. Neste caso, considerando que existe culpa e grosseira da Autora, não vemos como imputar qualquer culpa ao banco R. pelos factos acima descritos. Com efeito, ao ceder os elementos a seu pai que, por sua vez, os cedeu a terceiros, preenchendo os dígitos ínsitos no cartão matriz, a autora acabou por facultar na internet a piratas informáticos elementos de segurança que permitiam o acesso à sua conta bancária (ut factos provados sob 21) e 22)). Sendo certo que é ao banco Réu que cabe provar o comportamento negligente do titular e a medida em que esse contribuiu para as operações não autorizadas, certo é, como visto, também, que tal prova foi feita. Assim, face a tal factualidade e não tendo existido nenhum ataque ao sistema do Banco Réu (facto provado 23)) por força do qual terceiros acedessem à conta da autora, está ilidida a presunção dos artigos 799º, nº1 do Código Civil e mesmo afastada a aplicação do artigo 796º, nº1, do Código Civil, porquanto foi o alienante (autora) que causou o perecimento da coisa[55]. ** Havendo já sobre esta matéria já significativa jurisprudência – vária citada no texto e outrossim nos autos – , desconhecemos, porém, que haja jurisprudência no sentido de responsabilização do Banco em casos, como o presente, em que o Cliente teve uma conduta gravemente negligente, fornecendo, de forma deliberada, aquelas credenciais de segurança a terceiros, com base nas quais os movimentos na conta tiveram lugar[56]. ** Atento todo o explanado, damos razão à Apelada. Salienta-se que, tendo-se provado que as transferências foram efetuadas fraudulentamente por terceiros, com recurso à técnica conhecida por phishing, é manifesto que se não pode dizer que tenham ocorrido por uma qualquer avaria ou deficiência do sistema informático da Ré. Como tal, fica a valer o estatuído no art. 72.º, n.º 3: “Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva.”. Assim se não vislumbra censura a fazer à sentença recorrida. ● - Da indemnização por danos morais à Autora e juros legais. A apreciação desta questão está, obviamente, prejudicada: se não há censura a fazer ao Banco Réu, é claro que não há lugar a qualquer indemnização a arbitrar à Autora. *** IV. DECISÃO Termos em que acordam os Juízes da Secção Cível do Tribunal da Relação do Porto em julgar improcedente a apelação, confirmando-se a sentença recorrida. Custas pela Apelante. Porto, 2 de Julho de 2020 Fernando Baptista Amaral Ferreira Deolinda Varão _____________ [1] Que dispõem: 21) A autora transmitiu as credenciais de autenticação referidas em 10) ao Pai que as disponibilizou online em site e por meio não apurado, incluindo os números das coordenadas do cartão matriz. 22) Foi através do uso dessas credenciais de acesso que um sujeito cuja identificação não foi possível apurar actuou da forma descrita nas alíneas 15) a 17). [2] Vol. I, no item Abertura de Conta. [3] Manual de Direito Bancário, 2001, p. 500. [4] Cfr., Jose Simões Patrício, in A operação bancária de depósito, pp. 46 e 47. [5] Cfr. Alberto Luís, in Direito Bancário, 1985, p. 165. [6] Cfr. a minuciosa análise efectuada no Acórdão da Relação do Porto de 13/11/2000, in www.dgsi.pt, n.º convencional: JTRP00029895. [7] In “O Contrato Bancário Geral”, in Estudos de Direito Bancário, Coimbra editora, 1999. [8] Ac. STJ, no BMJ 403/441. [9] Cfr., além das obras citadas na nota seguinte, J. G. Pinto Coelho, Operações de banco, 1, Depósito bancário, Coimbra, 1949; Paula Camanho, Do contrato de depósito bancário, Coimbra, 1998; C. Lacerda Barata, Contrato de depósito bancário. Estudos em Homenagem ao Professor Doutor Inocêncio Galvão Telles.II, Direito Bancário, Coimbra, 2002, pp. 7 e ss. [10] Contratos, Almedina, 2007, p. 159. [11] Assim ou com posição próxima, J. Simões Patrício, A operação bancária de depósito, Porto, 1994; ID., Direito Bancário Privado, Lisboa, 2004, p. 237 e ss.; Menezes Cordeiro, Manual de Direito Bancário, pp. 489 e ss. e 513 e ss. (p. 524); F. Conceição Nunes, Depósito e conta, Estudos em Homenagem ao Professor Doutor Inocêncio Galvão Telles, II, Direito Bancário, Coimbra, 2002, p. 67 ss.; A. P. Azevedo Ferreira, A relação negocial bancária. Conceito e estrutura, Lisboa, 2005. Por ser notável, mas em sentido contrário, deve registar-se a opinião de C.-W. Canaris, Bankvertragsrecht, 1, 3.ª ed., Berlin. New York, 1988, pp. 3 e ss. [12] Do contrato de depósito bancário, cit…, pp. 146 e ss. [13] Ver Acórdão do STJ de 21/05/1996, bem como o acórdão da Relação do Porto de 04/05/1995, in www.dgsi.pt, n.º convencional: JTRP00014568 [14] Cfr., v. g., Ac. R.P. de 14.06.2010, proc. n.º 6474/03.0TVPRT.P1, in http://www.dgsi.pt. [15] Com efeito, de harmonia com o preceituado no art. 800.º, n.º 1, do Código Civil, “o devedor é responsável perante o credor pelos actos dos seus representantes legais ou das pessoas que utilize para o cumprimento da obrigação, como se tais factos fossem praticados pelo próprio devedor”. Significa isto que quaisquer garantias que o trabalhador de um Banco dê ao depositante vinculam aquele nos seus precisos termos, responsabilizando-o pelo inerente cumprimento; coisa diferente já será, naturalmente, se o funcionário bancário, abusando das suas funções, tiver praticado um ilícito (civil ou penal), caso em que a situação é remetida para o domínio dos arts. 165.º e 500.º do Código Civil. [16] Vide Acórdão do STJ de 18/11/2008, in www. JSTJ, dgsi.pt. [17] Almeno de Sá, Direito Bancário, Coimbra Editora, 2008, pp 18-20. [18] In C.J. de 1999, Tomo II, pág.21. [19] Trata-se ainda de um contrato inominado, tendo assim sido designado por MARIA RAQUEL GUIMARÃES nas suas obras sobre o tema, sendo, também, por nós adotada por colocar a tónica na determinação do modo de funcionamento do IP. A designação tem, igualmente, sido utilizada pela jurisprudência, sendo adotada pelo Supremo Tribunal de Justiça nos Acórdãos de 23.11.1999 (Garcia Marques), in CJ-STJ, III, 1999, p. 103; de 23.11.2000 (Sousa Inês), in CJ-STJ, III, 2000, p. 136; de 11.10.2001 (Silva Paixão), in CJ-STJ, III, 2001, p. 80; de 14.02.2002 (Ferreira de Almeida) in CJ-STJ, I, 2002, p. 101; de 19.11.2002 (Azevedo Ramos); de 17.05.2007 (Oliveira Rocha); de 15.05.2008 (Mota Miranda); de 21.10.2008 (Alves Velho), e de 20.03.2010 (Urbano Dias) acessíveis a partir do sítio <http://www.dgsi.pt> (consultados a 25.10.2014), embora referindo-se especificamente ao contrato de utilização de cartão; Também INÊS ISABEL DE CAMPOS MOURA, O contrato de prestação de serviços bancários através da Internet, JusJornal, n.º 1716, 25 de Junho de 2013, disponível in <http://jusjornal.wolterskluwer.pt/> (22.01.2015), tratando o contrato de utilização de homebanking que a autora denomina de ‘contrato de prestação de serviços bancários através da internet’, apesar de se referir a este como contrato de utilização, salienta o facto de estarmos perante um negócio jurídico inominado, mas socialmente típico. [20] A importância desta análise é referida pelo Tribunal da Relação do Porto, no Ac. de 12.04.2010 (Ana Paula Amorim) disponível em <http://www.dgsi.pt> (25.10.2014): “Para apreciar da questão em discussão nestes autos – utilização abusiva do cartão por terceiros – e dos fundamentos do recurso, mostra-se de particular relevo analisar a natureza da relação contratual entre a instituição emitente do cartão e o seu titular”. [21] É reconhecido como “verdadeiro contrato autónomo” no Acórdão do STJ de 15.10.2009 (Alberto Sobrinho) e no Ac. do Tribunal da Relação do Porto (TRP) de 28.09.2004 (Alberto Sobrinho), disponível em <http://www.dgsi.pt> (25.10.2014). Apesar de, por vezes, a jurisprudência ter tratado este contrato apenas como “um contrato acessório instrumental, em relação ao contrato de depósito bancário ou ao de abertura de crédito em conta corrente, acessoriedade revelada não apenas pela função do próprio contrato, mas também pelo seu destino, dependente das vicissitudes daqueles tipos contratuais” – cfr. Ac. STJ de 17.05.2007, já citado. [22] A literatura especializada de outros países tem, também, chamado a atenção para a caracterização destes contratos como contratos de adesão. Em Espanha, MARIA DEL CARMEN GETE-ALONSO Y CALERA, Las tarjetas de crédito, Relaciones contractuales y conflictividade, Marcial Pons, Ediciones jurídicas y sociales, Madrid, 1997, p. 158: “se trata de contratos, en particular com referencia al que se celebra entre la entidade emissora y el titular de la tarjeta (…), de adhesion, cuya regulacion contractual viene normalmente predeterminada o perfijada por las condiciones generales, previamente redactadas por la empresa que, ademas, las impone a la outra parte”. [23] Acórdão de 05.11.2013 (Manuel Marques), disponível no sítio <http://www.dgsi.pt> (13.01.2015). [24] É uma regra, igualmente, consagrada pelo art. 56.º da Diretiva n.º 2007/64/CE e pelo art. 67.º do D.L. n.º 317/2009. [25] Estamos perante um contrato sinalagmático e bilateral, dele emergindo direitos e obrigações na esfera jurídica de ambos os contratantes. [26] MARIA RAQUEL GUIMARÃES, O contrato-quadro no âmbito da utilização de meios de pagamento electrónicos, cit., p. 281, refere que estes direitos e deveres decorrentes do contrato de utilização constituem, precisamente, o conteúdo da relação contratual em causa. [27] Os requisitos de informação surgem no RSP no capítulo I do título III relativo à transparência das condições. O legislador nacional assumiu uma posição protecionista da parte que adere ao contrato, consagrando um especial dever de informação, que constitui um dever acessório de conduta decorrente da especial relação de confiança entre as partes. É previsto um elevado nível de informação, que deve ser prestado tendo em consideração os conhecimentos técnicos de cada utilizador. Estão previstas informações pré-contratuais, informações no âmbito contratual e pós-contratual, podendo o utilizador solicitar novas informações em qualquer momento. Contudo, este regime foi acusado de ser excessivo e demasiado protetor do utilizador – veja-se INÊS ISABEL DOS CAMPOS MOURA, “O contrato de prestação de serviços bancários através da Internet”, JusJornal, n.º 1716, 25 de Junho de 2013, disponível in <http://jusjornal.wolterskluwer.pt/> (22.01.2015) - nota de rodapé 121. Será ainda ao prestador do serviço de pagamento que cabe provar que cumpriu os requisitos de informação, nos termos do art. 44.º do RSP. Quanto a este dever, importa ainda considerar a necessidade de conjugar este regime com o regime do crédito aos consumidores, D.L. n.º 133/2009, de 2 de Junho, e com o D.L. n.º 95/2006, de 29 de Maio, que estabelece o regime aplicável à informação pré-contratual e aos contratos relativos a serviços financeiros prestados a consumidores através de meios de comunicação à distância. [28] O RSP regula os direitos e obrigações relativos à prestação e utilização do serviço de pagamento no capítulo II do título III. [29] In As transferências electrónicas de fundos e cartões de débito, cit. pp. 41-45. [30] Ver Maria Raquel Guimarães, sobre a relação entre o contrato de utilização de cartões depagamento e o contrato de depósito bancário, in As transferências electrónicas de fundos e os cartões de débito, Almedina, Coimbra, 1999, pp. 108-109. Ainda o STJ de 23/11/99 (Garcia Marques). [31] Direito bancário, p. 335. [32] Ainda, Ac. TRL de 12/12/2013 (Tomé Ramião) e do TRG de 30/05/2013 (Rita Romeira), ambos disposníveis em www.dgsi.pt. [33] Ob cit., pp 44. [34] No âmbito da banca eletrónica, a segurança do sítio da internet é garantida frequentemente por sistemas de codificação da informação (chaves de encriptação de 128bits) e pela certificação digital do site. [35] Dever-se-á ter presente que o dever de guarda não significará trazer sempre consigo o cartão, em certas situações, representará, pelo contrário, guardá-lo num local seguro. MANUEL CASTILLA CUBILLAS, La tarjeta de crédito - Tratado de Derecho Mercantil, Tomo 28, Marcial pons, Madrid, 2007, pp. 192 e 193, apresenta uma decisão do SAP de Castellón de 12.02.2000, onde o Tribunal entendeu que guardar o cartão dentro do carro estacionado num parque público – onde se pudesse esperar que houvesse algum tipo de sistema de vigilância – não podia configurar negligência grave. Entre nós, o STJ no Ac. de 19.11.2002, cit., entendeu existir violação grave do dever de guarda do titular que, enquanto foi à praia, “deixa um cartão de débito no interior de um veículo de matrícula estrangeira (ainda que dentro de uma carteira debaixo de um banco da frente), aparcada em lugar público, e só regressa a essa viatura cerca de sete horas e trinta minutos mais tarde”. Perguntamos nós, se este comportamento seria também considerado negligente se o roubo do cartão fosse consequência de um “arrastão” que ocorreu na praia, ou ocorresse enquanto o titular se encontrava na água, deixando o IP com os seus pertences junto à toalha? [36] Cfr. Ac. de 02.03.2010 (Urbano Dias) disponível in <http://www.dgsi.pt> (25.10.2014). Numa situação semelhante, em que o titular do IP transportava o PIN no verso de uma fotografia junto ao cartão, o TRL no Ac. de 19.09.2006 (Maria Amélia Ribeiro), in <http://www.dgsi.pt> (25.10.2014), entendeu que o titular suporta os prejuízos emergentes do furto, pois “foi o risco por ela própria criado que levou a que num curtíssimo período de tempo entre as 20.19h e as 20.42h fosse retirado a totalidade da quantia que a A. tinha depositada na sua conta bancária”. De facto, porque o seu comportamento foi grosseiramente negligente, o titular deve suportar os prejuízos até ao limite do saldo ou linha de crédito associada ao IP. [37] Cfr. Ac. TRL de 5/11/2013 (Manuel Marques). [38] Cfr. Antunes Varela, Das Obrigações, 3.ª ed., 2.º, p. 95. [39] In Direito Criminal, 1963, I, pp. 421 a 433. [40] Teoría General del Delito — Bogotá, 1984, p. 68 e 71 s.. [41] Cfr. Américo Marcelino - “Acidentes de Viação e Responsabilidade Civil”, 3.ª ed., 1995, p. 33 s. e Dário Martins de Almeida, Manual de Acidentes de Viação, p. 74. [42] Cfr. “La Responsabilité Civile”, p. 11. [43] Ac. RE, de 19 de Novembro de 1991; CJ, 1991, tomo 5, pág.260. [44] Pode ver-se, v.g., o Ac. do TRE de 19/11/91, in Colectânea de Jurisprudência, ano XVI, tomo 5, pág. 260 e o Ac. do STJ de 21/1/98, in Colectânea de Jurisprudência, Ano VI, Tomo I, pág. 173. [45] Disponível em www.dgsi.pt [46] Disponível no mesmo local. [47] Disponível, ainda, no mesmo local. [48] Mesmo local. [49] Ac. do STJ de 18/12/2013, proferido no proc. nº 6479/09.8TBBRG.G1.S1, disponível para consulta in www.dgsi.pt. [50] Neste sentido, vejam-se os Ac. do STJ de 18/12/2013, proferido no proc. nº 6479/09.8TBBRG.G1.S1; Ac. do T.R. Lisboa de 24/05/2012, proferido no proc. nº 192119/11.8YIPRT.L1-2; Ac. do T.R. Lisboa de 26/10/10, proferido no proc. nº 1943/09.1TJLSB.L1-7; Ac. do T.R. de Guimarães de 23/10/2012, proferido no proc. nº 305/09.5TBCBT.G1; Ac. da Relação do Porto, 07/10/14, proferido no porc. nº 747/12.9TJPRT.P1, disponíveis para consulta in www.dgsi.pt. [51] Supra mencionado do Ac. do STJ de 18/12/2013, proferido no proc. nº 6479/09.8TBBRG.G1.S1. [52] Ac. da R. de Guimarães de 23/10/2012, proferido no Proc. nº 305/09.5TBCBT.G1. [53] Antes de inserir os dados de acesso à sua conta, o utilizador terá de fechar o alerta de segurança. As mensagens preventivas são curtas, facilmente apreendidas e variáveis, alertando que o banco nunca pedirá todas as combinações do cartão matriz, nem a actualização de dados pelo telemóvel, na página ou por e-mail, etc. [54] Assim, MARIA RAQUEL GUIMARÃES, “As operações fraudulentas de home banking na jurisprudência recente - Ac. do STJ de 18.12.2013”. [55] Cfr. doutrina do Acórdão do Supremo Tribunal de Justiça de 18.12.2013, Ana Paula Boularot, 6479/09. [56] Deixam-se outras notas de jurisprudência - no essencial já carreada aos autos – alguma, diga-se, já aludida no texto: - Se o utilizador do serviço de pagamento actuou de forma diligente, preservando a confidencialidade e eficácia dos dispositivos de segurança que lhe foram entregues (ou o contrário não se conseguir provar), e, ainda assim, um terceiro conseguiu usar o cartão, o utilizador não deve responder pelos prejuízos resultantes das operações fraudulentas ocorridas antes da notificação ao banco, nem sequer até ao montante de € 150 referido no artº 72º, nº1 do RSP (Cfr. Ac. TRL de 5/11/2013 (Manuel Marques). Supremo Tribunal de Justiça, no Acórdão de 16 de Setembro de 2014, decidiu que O banco é responsável pelas transferências efectuadas fraudulentamente, ainda que aparentemente por ordem do seu cliente (depositante) – Ac do Acórdão de 16 de Setembro de 2014. Ac. do STJ de 8 de Fevereiro de 2012, Proc. 500/08.4TBESP.G1.S1 (Bettencourt de Faria): “a movimentação fraudulenta por terceiro de um depósito bancário não é oponível ao depositante, que a ela foi alheio, independentemente de culpa do banco depositário nessa movimentação”. No Ac. Tribunal da Relação de 26/10/2010 (Maria Amélia Ribeiro) disponível em www.dgsi.pt, citado pela Apelante, se bem que se diga o mais que a Apelante refere em 68º da sua p.i., igualmente refere (e bem) que – citando Raquel Guimarães, ob cit., pp 230-231) – que “é ao banco que cabe assegurar a regularidade do funcionamento do sistema, para além do controlo dos meios técnicos utilizados, compreendendo-se, assim, que sobre ele recaia o risco de esse mesmo sistema gerar danos não imputáveis a culpa dos seus utilizadores”. Concorda-se com o que se escreveu no Ac. do Tribunal da Relação de Guimarães de 30/05/2013 (Rita Romeira), quando refere que “não é legítimo ao banco invocar a sua irresponsabilidade numa situação de fraude informática, designada “phishing” de dados de autenticação do cliente, com o argumento que tal ocorreu no computador deste e não em qualquer sistema informático seu ou por si dominado, sabido que, é pressuposto deste tipo de serviço a utilização de computadores pessoais e não do próprio banco”. É claro para nós que o facto de aquela actuação ilícita ter ocorrido no computador do Cliente, por si só, não altera a responsabilidade do Banco. Mas coisa diferente é a situação ter ocorrido (independentemente do computador em causa) pelo facto de o Cliente ter actuado de forma gravemente negligente, fornecendo a terceiros os dados de segurança que só ele tinha (era suposto só ele ter) e bem sabia que em situação alguma podia fornecer a quem quer que fosse. Aqui a responsabilidade do Banco não pode manter-se. * Outra jurisprudência há bem mais expressiva acerca da responsabilidade do Banco nestas situações de negligência idêntica à destes autos, como bem mostra a Apelada. Assim, v.g.: Tribunal da Relação de Lisboa nº processo nº. 164/11.8TBSRT.L1-6: “Provando a Ré que a Autora fez uma utilização imprudente, negligente e descuidada desse serviço, revelando a terceiros, na internet, os seus códigos pessoais de acesso ao serviço, bem como dos elementos necessários para a confirmação/validação da operação bancária, não lhe é exigível o pagamento das quantias por eles indevidamente movimentadas”. Acórdão do Tribunal da Relação de Guimarães, processo nº 305/09.5TBCBT.G1: “Em todo o caso, o banco pode elidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers.” Ac. do Tribunal da Relação de Évora no processo nº 3052/11.4TBSTR.E1: “I) - O serviço de home banking prestado por uma instituição bancária aos seus clientes envolve obrigações recíprocas: por um lado, o Banco tem o dever de garantir a segurança na implementação do sistema informático e de informar os clientes das regras de segurança a seguir na utilização do serviço e, por outro, o cliente utilizador obriga-se a cumprir determinadas condições de segurança na utilização daquele serviço, designadamente a manter a confidencialidade do número do contrato, do código e do cartão matriz. (…) V) - Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do Banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador. (…) VII) - Ao divulgar na internet a totalidade dos dados do seu cartão matriz – apesar dos vários alertas de segurança no site da Ré na internet, advertindo os utilizadores para não reproduzirem os elementos do cartão matriz, e de ter tomado conhecimento das Recomendações de Segurança constantes do “guia de utilizador” que lhe foi entregue e que também se encontram acessíveis no mencionado site - a Autora actuou ao arrepio do contrato de home banking a que aderiu e em violação de regras básicas de segurança nele previstas para a utilização do serviço “C4…”, o que permitiu que terceiros se apoderassem dos seus elementos de segurança e assim lograssem aceder às contas bancárias tituladas pelas Autoras e efectuar operações fraudulentas…”. Acórdão do Tribunal da Relação de Guimarães, em 25/11/2013, entendeu que: “ 1 - No contrato coligado de depósito bancário e de serviços de acesso via internet à sua movimentação e a outros serviços disponibilizados pela ré, entidade bancária esta tem o dever de proteção e informação, na sua execução continuada. 2 - O aderente tem de cumprir um conjunto de deveres conexos com a segurança do seu sistema informático e uso da chave de acesso concedida pela ré, não a fornecendo a terceiros. 3. - A entidade bancária cumpre o seu dever de proteção e informação colocando no seu site toda a informação disponível sobre segurança, que os utentes têm o dever de consultar, para se prevenirem de fraudes. 4. - Age com culpa o utente que fornece todo o seu conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador. Ac. do Tribunal da relação de Évora de 12/12/2013, (…) 3.Provando a Ré que a Autora fez uma utilização imprudente, negligente e descuidada desse serviço, revelando a terceiros, na internet, os seus códigos pessoais de acesso ao serviço, bem como dos elementos necessários para a confirmação/validação da operação bancária, não lhe é exigível o pagamento das quantias por eles indevidamente movimentadas. Acórdão do Tribunal da Relação de Évora de 12/04/2018, onde se diz: I - A responsabilidade por operações de pagamento não autorizadas, realizadas com recurso ao serviço de homebanking, incumbe, em princípio, ao prestador de serviço de homebanking, conforme estatuído no art. 71º do RSP, cabendo ao utilizador nas situações previstas nos nºs 1 a 3 do artigo 72º daquele regime, designadamente em caso de negligência grave do ordenante; II - A apreciação da culpabilidade do ordenante impõe a análise da respetiva conduta, com vista a verificar se omitiu o comportamento devido e, em caso afirmativo, se o fez voluntariamente; III - Na graduação da culpabilidade do ordenante, há que ter em conta, entre outros fatores que se mostrem relevantes, os valores ou interesses que se pretendem acautelar com o comportamento devido, bem como a intervenção da vontade na omissão de tal comportamento; IV - O comportamento do autor que tendo acedido a uma página eletrónica ilícita convencido de que se tratava da página da entidade bancária, forneceu, a solicitação do sistema, além do número de identificação e do código PIN, a totalidade das coordenadas do cartão matriz, mostra-se adequado a viabilizar a realização por terceiros de operações de pagamentos não autorizadas; A advertência que foram transmitidas ao Autor e que constava do cartão matriz, de que a solicitação de mais do que duas posições desse cartão indica a presença de página fraudulenta, impunha cautela ao autor, permitindo-lhe prever a possibilidade de não se encontrar no sítio eletrónico correto e de estar a facultar os seus dados a terceiros.; V - A atuação do autor, ao inserir a totalidade das coordenadas inscritas no cartão matriz em páginas semelhante à do serviço de homebanking da Ré, configura negligência grave, preenchendo a previsão do art. 72, nº 3 … “. Acórdão do Tribunal da Relação de Lisboa de 12/07/2018, “(…) VII) Tendo o banco comunicado ao cliente, em vários momentos, por vários meios e formas o modo de corretamente utilizar as credenciais de acesso ao sistema de homebanking, a introdução pelo cliente dos códigos de acesso à conta bancária (…) dos números do cartão matriz (…) numa página Web com elementos (mais ou menos, muitos ou poucos) semelhantes à página do banco, mas à qual ao clicar numa hiperligação de um e-mail, constitui grave violação do dever de manter em segredo as credenciais em causa.” O cliente suporta (…) as perdas resultantes de operações de pagamento efetuadas em execução de ordens dadas através do sistema de homebanking por terceiros, a quem, por atuação gravemente negligente, facultou os códigos e chaves necessários a que tais ordens fossem identificadas como tendo sido dadas por si.”.