Acórdão do Tribunal da Relação do Porto
| 2513/14.8TBVFR.P1 |  |
PHARMING
FISHING
II - Em todo o caso, o banco pode ilidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers.
III - Provada apenas a culpa leve ou levíssima do cliente, a responsabilidade deste pelo desaparecimento do valor em conta deve ser limitada ao € 150,00 por cada transferência, nas condições enunciadas no nº 1 do referido art.º 72º, ficando Banco responsável pela reposição do valor restante.
IV - No dano não patrimonial sofrido e indemnizável deve ser considerado, para efeitos de fixação da indemnização, a medida da culpa do lesado, cumprindo ao Banco responder na medida da sua culpa.
Comarca de Aveiro – St.ª Maria Feira – Inst. Local – Secção Cível
Relator Filipe Caroço
Adj. Desemb. Judite Pires
Adj. Desemb. Aristides de Almeida
Acordam no Tribunal da Relação do Porto
I.
B…, casado, residente na Urbanização …, Rua …, n.º .., freguesia de …, Santa Maria da Feira, intentou a ação declarativa sob a forma de processo comum contra BANCO C…, S.A., …, com sede na Rua …, n.º …, ….-… Porto, alegando essencialmente que, na qualidade de único titular de uma conta de depósito aberta no Banco R., aderiu ao sistema C… Net, ficando com a possibilidade de aceder à sua conta via internet, designadamente para consultar informação sobre produtos e serviços do Banco e realizar operações bancárias sobre contas de que seja titular através da utilização de um código secreto e de dados constantes de um cartão matriz.Sem que alguma vez tivesse facultado esses dados a terceiros, foram efetuadas, em dois dias consecutivos, duas transferências bancárias, a débito sobre a sua conta, pelos valores de € 4.980,00 e € 4.100,00, por um terceiro que se aproveitou das vulnerabilidades dos sistemas informáticos bancários e neles se introduziu, sem a sua autorização ou conhecimento.
Alega ainda que, quando dias antes, efetuou uma transferência bancária através daquele serviço C1… e estava prestes a concluir a operação, foi-lhe solicitada dentro da página do C…, através de uma janela, a indicação do número e modelo do seu telemóvel, com indicação de que era para lhe ser enviada uma mensagem para confirmar a operação, pedido que o A. satisfez. Foi, assim, enganado por um terceiro a quem, daquela forma, forneceu dados que permitiram que, a partir daí, passasse a ter acesso aos códigos e password necessários para efetuar as transferências.
A R., apesar de se ter apercebido de várias tentativas falhadas de transferência para a realização da segunda efetuada, só no dia posterior a esta telefonou ao A. para saber se fora ele o real ordenante. Deveria ter suspendido ou cancelado o serviço C… Net quando tinha razões para suspeitar dessas operações.
Para além do prejuízo equivalente às duas quantias pecuniárias fraudulentamente retiradas da sua conta, o A. sofreu ainda danos não patrimoniais pelos quais visa obter a responsabilização do Banco R.
Por tudo deduziu o seguinte pedido:
«a) (…)
b) A acção ser julgada provada e procedente e em consequência, a Ré condenada a pagar ao A. a quantia de € 9.080,00, a título de danos patrimoniais;
c) A indemnizar o A. por danos não patrimoniais, no valor de 1.500,00€;
d) A pagar juros à taxa legal, sobre os montantes pedidos em a) e b), desde a citação e até integral pagamento;
e) Pagar as custas do processo;» (sic)
Citado, o R. contestou a ação por impugnação. Explicou o funcionamento do serviço C… Net e C… Net Empresas e alegou, em síntese, que tem vindo a publicar recomendações de segurança sobre o acesso e utilização do mesmo de forma constante e contínua desde 13 de dezembro de 2004. Assegura que são fiáveis e que a falha resultou de um facto imputável ao A. ao facultou informação sobre o telemóvel através de uma página fraudulenta com que se deparou ao tentar aceder ao C… Net, sendo que a instalação do serviço de autorização por SMS não exige, nem nunca exigiu, o preenchimento por parte do cliente de qualquer informação relativa ao telefone, nomeadamente marca ou modelo, apenas a indicação do número pretendido, o que só é possível caso tenha sido previamente registado no Banco R. Como esta página não é do C… Net, o A. não poderia estar a aceder àquele serviço quando se deparou com a referida página de fraude, nem esta é registada pelo Banco R. (porque a página não é do C… Net).
As transferências foram realizadas para uma conta aberta no R. de que é titular D…. autorizadas com códigos enviados por SMS para o telemóvel do A., introduzidos em cada operação no C… Net, e automaticamente validados. Cada um desses dois créditos foi levantado avulso no dia da respetiva operação de transferência.
As operações efetuadas ocorreram durante acessos ao C… Net, realizados nos dias 14.06.2011 às 12:05:03 através do IP português ..........., que corresponde ao E…, e em 15.06.2011 pelas 12:33:17 através do IP português ............, que corresponde ao F…, SA. Tais acessos foram realizados com as Chaves de Acesso do A., sendo essa informação pessoal e intransmissível.
As operações em causa cumpriam as regras e os níveis de segurança do serviço, considerando-se que foram ordenadas, pretendidas e validadas pelo A.
O contrato foi cancelado por iniciativa do Banco e não a pedido do A.
Pediu a intervenção acessória de D….
Concluiu pela ausência dos pressupostos da responsabilidade contratual e pela consequente improcedência da ação.
Foi admitida a intervenção acessória provocada e citado o interveniente, que não reagiu.
Dispensada a audiência prévia, foi proferido despacho saneador tabelar e designada data para audiência final que teve lugar em três sessões diárias entre o dia 2.11.2015 e o dia 5.2.2016 e após a qual foi proferida sentença com o seguinte dispositivo, ipsis verbis:
«Nestes termos, o Tribunal julga totalmente procedente o pedido e, em consequência:
I – Condena o Réu, “Banco C…, S.A. – Sociedade Aberta” a pagar ao Autor, B…, as quantias de € 9.080,00, a título de danos patrimoniais, e de € 1.500,00, a título de danos não patrimoniais, acrescido dos juros de mora vencidos e vincendos, calculados à taxa legal de 4%, desde a citação (19-06-2014) até efectivo e integral pagamento.
***
Custas pelo Réu (cfr. art. 527.º, n.ºs 1 e 2, do Novo Código de Processo Civil).»*
Inconformado, o Banco R. apelou da sentença, com as seguintes CONCLUSÕES de alegações:«1. Considera o Banco apelante como incorrectamente julgado quanto à MATÉRIA DE FACTO, os pontos constantes da MATÉRIA PROVADA, do seguinte teor:
“10. Dados esses que não transmitiu a ninguém.
12. Aquando dessa transferência, dentro da página do C…/NET e quase a concluir a operação, foi-lhe solicitado o número e modelo de telemóvel, com a indicação de que era para enviarem mensagem a confirmar a operação.
37. O Réu sempre teve conhecimento e acesso às movimentações na conta da A. referidas em 17.
38. O Réu suspeitou dessas operações e podia ter suspendido/bloqueado o serviço C…/NET.
39. O Réu optou por telefonar ao A. já depois das transferências feitas.
40. Teve de ser o A. a pedir para cancelarem o serviço da net, após o contacto telefónico por parte do banco.
41. O A., em momento algum, indicou a terceiros os seus códigos de acesso, nomeadamente password e os elementos do cartão matriz relativos à sua conta.
42. O A. ao longo do tempo que utilizou o C…/NET, desde 2000 até 2011, teve sempre o cuidado de apenas aceder a esta conta online através do seu computador pessoal, protegido por antivírus e de não indicar os seus dados de acesso a terceiros, conforme recomendado pelo réu.
43. Aquando da solicitação do seu número de telemóvel e modelo, no dia 6 de Junho de 2011, o A. não estranhou, pois o pedido foi feito no decorrer da transferência que estava a efectuar e com a página do C…/NET aberta, com o aparecimento de uma janela.
118. O A. deparou-se com uma página “dentro do C… Net” a pedir para preencher o n.º do telemóvel e marca.
2. No seu entender tal MATÉRIA só poderá merecer uma apreciação probatória de NÃO PROVADO, quanto aos seguintes pontos:
37. O Réu sempre teve conhecimento e acesso às movimentações na conta da A. referidas em 17.
38. O Réu suspeitou dessas operações e podia ter suspendido/bloqueado o serviço C…/NET.
39. O Réu optou por telefonar ao A. já depois das transferências feitas.
40. Teve de ser o A. a pedir para cancelarem o serviço da net, após o contacto telefónico por parte do banco.
41. O A., em momento algum, indicou a terceiros os seus códigos de acesso, nomeadamente password e os elementos do cartão matriz relativos à sua conta.
42. O A. ao longo do tempo que utilizou o C…/NET, desde 2000 até 2011, teve sempre o cuidado de apenas aceder a esta conta online através do seu computador pessoal, protegido por antivírus e de não indicar os seus dados de acesso a terceiros, conforme recomendado pelo réu.
43. Aquando da solicitação do seu número de telemóvel e modelo, no dia 6 de Junho de 2011, o A. não estranhou, pois o pedido foi feito no decorrer da transferência que estava a efectuar e com a página do C…/NET aberta, com o aparecimento de uma janela.
3. E de PROVADO apenas que:
12. Em tal data, foi-lhe solicitado o número e modelo de telemóvel, com a indicação de que era para enviarem mensagem a confirmar a operação.
118. O A. deparou-se com uma página a pedir para preencher o n.º do telemóvel e marca.
4. Considera o Banco apelante como, incorrectamente julgados, quanto à MATÉRIA DE FACTO, a sua inclusão na MATÉRIA NÃO PROVADA, dos seguintes pontos:
b) – A protecção contra acessos exteriores não autorizados é efectuada pela tecnologia mais actual.
c) – Na página no site Banco C… foram publicadas em 29/01/2009 explicações mais detalhadas e repostas a possíveis questões sobre a Autorização por SMS.
d) – Foi enviado em 22/01/2009 um E-mail a todos os utilizadores do C… Net.
e) – A situação em análise foi identificada no seguimento do alerta de um outro cliente do Banco R.
f) – O A. recebeu o código de autorização por SMS no telemóvel que previamente tinha configurado para a autorização de operações por SMS através do sistema C… Net.
g) – O A. contrariou as recomendações de segurança disponibilizada pelo R.”
h) – O A. acedeu a duas páginas com conteúdos de segurança com informações sobre os cuidados a ter com o telemóvel.
5. No seu entender tal MATÉRIA só poderá merecer uma apreciação probatória de PROVADO.
6. Considerou a sentença revidenda que não se pode assacar ao Recorrido qualquer culpa pela movimentação fraudulenta da sua conta, correndo os riscos da falha do sistema informático utilizado por conta do Recorrente, nos termos do art. 796º, nº 1 do CC.
7. Mas tal consideração, não é compaginável com o facto de que o Recorrido claramente incumpriu as obrigações contratuais e de segurança, relativas à utilização do serviço C… NET - v.g. pontos nº 12 e 118, dos factos Provados bem como das alíneas g) e h), dos factos não provados a merecerem reconsideração probatória, de acordo com a IMPUGNAÇÃO efectuada pelo Recorrente, bem como da inexistência de prova do facto nº 43.
8. Certo é que a conduta do recorrido foi ela própria, em si mesmo, causadora de uma grave quebra na segurança das operações em causa.
9. Resulta dos autos, no âmbito da matéria de facto cuja reapreciação foi suscitada, que o Recorrido preencheu numa pagina da Internet, e não na página do próprio Banco Recorrente, o nº de telemóvel e marca respectiva, em contravenção com todas as normas de segurança divulgadas pelo Banco Recorrente, bem como visualizadas pelo próprio Recorrido em momentos específicos da sua utilização do C… NET ao longo dos anos - cf. docs 53, 54, 55 e 56 da Contestação.
10. Não pode pois ser o resultado da violação deste dever contratual, e de diligência, absolutamente essencial por parte do recorrido, ser imputado ao Recorrente.
11. Pode o Recorrente ilidir a sua presunção de culpa, quer afastando-a quer “demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso (…). No primeiro caso, o Banco pode ainda ser responsabilizado pelo risco, enquanto na segunda hipótese a responsabilidade é do cliente.” (Ac. da Relação de Guimarães de 23/10/2012, proferido no Proc. nº 305/09.5TBCBT.G1).
12. Neste caso, entende pois o Banco recorrente que existe culpa e grosseira do Recorrido não se entendendo que se possa apontar qualquer culpa ao mesmo Recorrente, pelos factos acima descritos.
13. Pois a única conduta pela qual o Banco Recorrente poderia ser responsabilizado seria pelos riscos da falha do seu próprio sistema informático, mas não do sistema utilizado pelo Recorrido, ou de qualquer cliente.
14. O Banco Recorrente, como qualquer Banco, apenas pode garantir a segurança e confidencialidade do seu próprio sistema informático, sendo certo que numa relação de C1…, existem claramente dois hardwares - o do Banco e o do cliente em causa.
15. O comportamento do utilizador do serviço de C1… é decisivo para definir quem irá suportar as perdas resultantes das operações fraudulentas antes da notificação da ocorrência à entidade bancária, agravando-se as consequências desvantajosas para o cliente à medida que a sua actuação se revela mais censurável.
16. No caso concreto e tendo em ponderação o critério da diligência de um homem médio, constata-se que o Recorrido actuou com negligência grosseira.
17. Contrariando as instruções de segurança divulgadas pelo próprio Banco Recorrente, forneceu a um terceiro dados sobre o seu telemóvel que permitiram a este efectuar sucessivas tentativas de movimentos da conta bancária do Recorrido, logrando obter sucesso em duas delas.
18. Tal facto não pode ter surgido no momento em que o mesmo Recorrido navegava no site do Banco Recorrente, sendo ademais certo que o simples pedido de tais informações, deveria ter alertado o Recorido para tal estranha e anómala situação, já que, de forma alguma tal pedido se poderia considerar como legitimamente efectuado pelo Banco Recorrente.
19. A existência de uma relação de confiança na utilização, de forma segura do sistema informático do Banco Recorrente, é apenas isso: o grau de fiabilidade e segurança do sistema do Banco, não, jamais e em tempo algum, da segurança de um meio, naturalmente inseguro, como é a internet, conceito esse que todo e qualquer cidadão, com grau de diligência média, intui.
20. Desta forma, foi por acto de terceiro, alheio ao funcionamento do sistema do Banco Recorrente, e ao censurável o comportamento do Recorrido, em termos de clara negligência grosseira, que as 2 transferências em causa, ocorreram.
21. De forma alguma, assiste razão à sentença recorrida ao determinar que que o Recorrido deva ser reembolsado pelo Banco Recorrente, na totalidade da quantia de que se viu desapossado.
22. Não se compreende que a douta sentença possa avançar no sentido de justificar danos morais no montante de € 1.500,00…
23. A reparação dos danos morais, consiste não numa fixação de um “pretium doloris”, mas de uma verdadeira “compensatio doloris”.
24. O montante em causa, deve ser fixado, de acordo com os parâmetros, constantes do art. 496, nº 3, do C.C.
25. De acordo com os critérios do bom senso, do equilíbrio, da objectividade e da proporcionalidade.
26. Quanto à específica e concreta existência dos danos sofridos, apenas temos a matéria de facto supra transcrita, que não se encontra, minimamente circunstanciada, nem sequer se encontra suficientemente indiciada a gravidade dos alegados danos, gravidade essa, que é requisito, essencial, para a sua ressarcibilidade, e muito menos no montante, consignado na sentença revidenda.
27. Ora, em face da matéria de facto, provada, nos termos em que o foi, não se vislumbra que os danos em causa, assumam de alguma forma, a natureza de danos morais, juridicamente tuteláveis, nos termos do art. 496º, nº 1, do C.C.
28. Mesmo que assim se não entenda, sempre se dirá que a verba fixada de € 1.500,00 sempre se deverá considerar como francamente exagerada, em face de todos os considerandos anteriores e da jurisprudência nacional, mais representativa a esse nível, tendo em conta inclusivamente o montante do valor dos danos patrimoniais em causa nos autos, no montante de € 9.080,00…
29. A decisão recorrida, no segmento em recurso, violou, por errada interpretação e aplicação as normas constantes dos artigos 496º, 796º, 799º, 804º, 805º, 806º, 1114º e 1206º, do Código Civil e artº 67º, 68º, 70º, 71º, 72º, 73º, 101º, do Regime jurídico anexo ao D.L. 317/2009.» (sic)
Propugna, assim, como na contestação, pela sua absolvição integral do pedido.
*
O A. respondeu em contra-alegações que sintetizou como o se segue:«1. O Autor, ora recorrente, em 27-01-2000, discordando da douta decisão do tribunal recorrido sobre a matéria de facto por incorreta interpretação e apreciação da prova produzida cm audiência de julgamento no caso «sub judice», pretende com o presente recurso impugnar e consequentemente alterar aquela decisão. Para tal, o recorrente enunciou nas suas doutas alegações os ‘”pontos de facto que se considera incorretamente julgados”, tese que o Autor discorda nos termos supra alegados.
2. O A., aqui recorrido, em 27-01-2000, aderiu ao C…/NET. Serviço designado por C1…, através do contrato de adesão n° ……….
3. Para o efeito, o Réu atribuiu ao Autor um número de contrato e um código secreto, que após o primeiro acesso feito pelo Autor foi mudado, bem como um cartão matriz com coordenadas.
4. O Autor para acesso à sua conta pessoal sempre utilizou um computador pessoal e devidamente protegido por antivírus, que estava instalado c ativo no ano de 2011 e que tem sido sempre renovado ate à presente data.
5. O Autor foi a única pessoa que teve acesso aos dados relativos ao Serviço C… Net e fornecidos pelo Réu, nomeadamente o código secreto, a password e os elementos do cartão matriz, dados esses que o A. não transmitiu a ninguém.
6. Em 6 de Junho de 2011, o Autor acedeu à sua conta, para efetuar uma transferência bancária, no valor de € 500,00.
7. Depois dessa data o Autor não fez qualquer transferência na sua conta, que implicasse o uso dos códigos pessoais, nomeadamente a password e cartão matriz.
8. O Autor e outro cliente do C… de nome G…, e de acordo com a investigação feita no âmbito do processo criminal, que deu origem a acusação, foi possível determinar a existência de um ‘’esquema”, utilizado pelo arguido identificado no processo criminal – Doc. 2 da P. I. – que o mesmo aproveitando as vulnerabilidades dos sistemas informáticos bancários, se aproveitou indevidamente do A. e de outras clientes bancários.
9. O Autor em momento algum, indicou a terceiros os seus códigos de acesso. Nomeadamente n password c os elementos do cartão matriz relativos à sua conta do C… Net.
10. A solicitação do seu número de telemóvel e modelo, no dia 6 de Junho de 2011, foi feito no decorrer da transferência que estava a efetuar e com a página do C… Net aberta, com o aparecimento de uma “janela”.
11. O Autor foi vítima de ura terceiro, que da mesma forma, lesou na mesma altura, outras pessoas, uma delas também cliente do Banco Réu, conseguindo iludir o sistema de segurança do Réu.
12. O Autor não violou nenhuma das suas obrigações contratuais e foi totalmente alheio às transferências do montante global de € 9.080,00 da sua conta, não tendo sido aquele a dar as ordens de transferência da aludida importância.
13.0 Banco réu não evitou, como lhe competia, o acesso do terceiro à conta do Autor, apesar de garantir a segurança e a proteção a fraudes de terceiros por utilizar tecnologias de ponta no seu sistema informático.
14. O Banco réu suspeitou que as tentativas de transferência bancária não estariam a ser efetuadas pelo Réu, só lhe comunicou o sucedido quando as mesmas já se tinham consumado e o mesmo ficou sem qualquer fundo na sua conta, facto ate então do seu total desconhecimento.
15.0 Banco réu ao colocar no mercado o serviço C1… tem o dever de manter a operacionalidade do respetivo sistema informático e assegurar que não ocorrem falhas técnicas no decorrer das operações, dando assim confiança aos seus utilizadores – artigos 67° a 73° do Decreto-Lei n° 317/2009, de 30 de Outubro que aprovou o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica.
16. Incumbia ao Banco réu., o que não logrou fazer, o ónus de alegar e provar que as transferências foram autorizadas pelo Autor, ou que este agira de forma fraudulenta ou que não cumprira deliberada ou de forma negligente as suas obrigações contratuais – artigos 796, n° l e 799, n° l do Código Civil.
17. Por conseguinte, o Autor entende ser de total justiça a decisão do tribunal de primeira instância ao determinar que o Autor deve ser reembolsado pelo Banco Réu na totalidade da quantia de € 9.080,00 que se viu desapossado.
18. Tendo em atenção a matéria de facto provada, concretamente que o Autor desde Junho de 2011 vive angustiado c preocupado em virtude de não poder usufruir do dinheiro que lhe foi subtraído da sua conta pessoal no valor de € 9.080,00, é do parecer do Autor, que não pode deixar de ser relevante para o direito como dano moral indemnizarei – artigo n° 496, n° l do Código Civil.
19. Deverá assim, salvo o devido respeito por melhor opinião, manter-se a condenação do Banco réu a pagar ao Autor a quantia de € 1.500,00 pela indemnização pelos danos morais.» (sic)
Defende o A. a confirmação do julgado.
*
Colhidos os vistos legais, cumpre decidir.*
II.
O objeto do recurso está delimitado pelas conclusões da apelação do Banco R., acima transcritas, sendo que se apreciam apenas as questões invocadas e relacionadas com o conteúdo do ato recorrido, delas retirando as devidas consequências, e não sobre matéria nova, exceção feita para o que for do conhecimento oficioso (cf. art.ºs 608º, nº 2, 635º e 639º, do Código de Processo Civil[1]).II.
Está para apreciar e decidir se a R. Banco C…, S.A., Sociedade Aberta é responsável pelos prejuízos sofridos pelo A. por efeito de duas ações fraudulentas ocorridas sobre uma conta de depósito de que é titular, aberta no balcão de … – …, do Banco C…, seja pela via da modificação da matéria de facto fixada na sentença, seja em função da interpretação e aplicação do Direito e, na afirmativa, definir a medida da reparação dos danos patrimoniais e não patrimoniais.
*
III.
É a seguinte a matéria de facto considerada provada na 1ª instância[2]:III.
01. O A. é titular único da conta pessoal à ordem n.º ………………., do balcão de … do C….
02. O Réu é uma sociedade que se dedica à actividade bancária.
03. O A. em 27-01-2000 aderiu ao C…/NET, através do contrato de adesão n.º ……….
04. O A. passou a ter a possibilidade de utilizar serviços com o banco via internet, nomeadamente:
- Aceder informação sobre produtos e serviços do Banco;
- Obter informações e realizar operações bancárias sobre contas de que o cliente seja titular.
05. Para o efeito, o Réu atribuiu ao A. um número de contrato e um código secreto, que, após o primeiro acesso feito pelo A., foi mudado, bem como um cartão matriz com coordenadas.
06. O serviço prestado pelo Réu é designado “Serviço de C1…”.
07. O A. passou a utilizar os Serviços do C… NET, a maioria das vezes para consultar o seu saldo e, em menor número, para fazer pagamentos e transferências bancárias.
08. O A. para o acesso à sua conta pessoal sempre utilizou e utiliza um computador pessoal, que se encontra na sua residência e devidamente protegido por anti-virus “AVG”, que estava instalado e activo no ano de 2011 e que tem sido renovado sucessivamente.
09. O A. foi a única pessoa que teve acesso aos dados relativos ao Serviço C… NET e fornecidos pelo Réu, nomeadamente código secreto, password e elementos do cartão matriz.
10. Dados esses que não transmitiu a ninguém.
11. O A. a 6 de Junho de 2011 acedeu à sua conta para efectuar uma transferência bancária, no valor de € 500,00.
12. Aquando dessa transferência, dentro da página do C…/NET e quase a concluir a operação, foi-lhe solicitado o número e modelo de telemóvel, com a indicação de que era para enviarem mensagem a confirmar a operação.
13. O A. indicou o número e modelo do seu telemóvel.
14. O A. recebeu no seu telemóvel uma mensagem com um código, que introduziu para confirmar a transferência de € 500,00, tendo a transferência sido efectuada.
15. Depois dessa data o A. não fez qualquer transferência da sua conta que implicasse o uso dos códigos pessoais, nomeadamente password e cartão matriz.
16. A 16 ou 17 de Junho de 2011, o A. foi contactado telefonicamente por um funcionário do Banco C…, tendo-lhe sido perguntado se tinha dado autorização para as transferências feitas na sua conta à ordem a 14 e 15 de Junho de 2011, no valor de € 4.980,00 e € 4.100,00, respectivamente.
17. Perante a resposta negativa dada pelo A. o mesmo foi informado que tinham havido diversas tentativas para entrar na sua conta e transferências, nomeadamente:
- A 14/06/2011, pelas:
- 12h03 houve um acesso à conta do A.;
- 12h04 foi validada a transferência de € 4.980,00;
- 12h45m tentativa de validação de transferência de € 4.200,00;
- 12h47m tentativa de validação da transferência de € 4.200,00;
- 14h tentativa de validação de transferência de € 4.200,00;
- 14h02m tentativa de validação de transferência de € 4.200,00;
- A 15/06/2011 pelas 10h45m tentativa de validação de transferência de € 4.200,00;
- Pelas 12h30m foi validada a transferência de € 4.100,00;
Depois que houve consulta de dados.
18. O A. informou a R. que não deu ordens para se efectuarem as duas transferências.
19. Tendo ordenado o cancelamento do serviço C… NET.
20. O referido contrato foi cancelado em 17/06/2011, às 10.10.2013.
21. Perante o facto de terem sido feitas duas transferências na sua conta, sem sua autorização e conhecimento, apresentou na P.S.P. em 17/06/2011, queixa-crime contra desconhecidos, que deu origem ao Processo 983/11.5JAPRT, a correr termos no 1.º Juízo Criminal de Vila Nova de Famalicão.
22. O A. também reclamou pessoalmente junto do Réu, quer ao balcão da mesma em …, quer por carta, pela falta de segurança no sistema de C1…, utilizado pelo Réu, que deu azo a que um terceiro tivesse acedido à conta do A. e sem o seu consentimento e conhecimento tenha procedido às transferências de 14 e 15 de Junho de 2011.
23. O A. solicitou ao Réu a reposição do montante das duas transferências, no valor global de € 9.080,00, o que não aconteceu.
24. O A. reclamou ainda junto do Banco de Portugal sobre a actuação do Réu.
25. Em resposta às reclamações feitas pessoalmente pelo A. junto do balcão em …, quer por escrito, respondeu-lhe o Réu dizendo, entre outras coisas, que não era responsável por qualquer falha do seu sistema de segurança.
26. Quanto ao serviço de C1…, prestado pelo Réu, esta assume que o “C… assegura a total segurança, integridade e inviolabilidade dos acessos e operações realizados através do Serviço, só podendo tal ser posto em causa em caso de utilização abusiva e fraudulenta dos dados de acesso e validação (em resultado da sua perda, furto, roubo ou divulgação não autorizada a terceiro”.
27. No caso do A. e de outro cliente do C…, de nome G…, de acordo com a investigação feita no âmbito do inquérito do processo crime, que deu origem a acusação, foi possível determinar a existência de um “esquema”, utilizado por um terceiro que aproveitando as vulnerabilidades dos sistemas informáticos, se aproveitou indevidamente do Autor e de outros clientes bancários.
28. Esquema que consistia em alguém infiltrar-se nos servidores dos computadores dos titulares das contas bancárias em sistema de C1…, ou banca online, por meio não concretamente apurado, permitindo-lhe recolher os dados confidenciais necessários às movimentações das contas bancárias, nomeadamente códigos ou passwords.
29. O A. foi enganado por um terceiro, que conseguiu que aquele lhe indicasse o seu número de telemóvel e a partir daí passou a ter acesso aos códigos e password necessárias para efectuar transferências.
30. O terceiro procedeu às duas transferências da conta do A., sem sua autorização e conhecimento.
31. O dinheiro dessas transferências foi depositado pelo terceiro numa conta que detinha no Banco C…, balcão de …, com o n.º ……………….
32. O mesmo procedimento foi seguido para retirar dinheiro ao outro cliente do C… referido na acusação.
33. As quantias retiradas ao A. foram parceladas em duas tranches, uma vez que, por razões de segurança, o limite máximo diário e por transacção através do Serviço C…/NET é de e 5.000,00.
34. O terceiro que efectuou as duas transferências da conta do A., em Junho de 2011 era cliente do C… e utilizador do C…/NET.
35. O Réu já no dia 15 de Junho de 2011 teve conhecimento de uma situação anómala na conta do A., ao constatar e registar que foi feita uma transferência e diversas tentativas para a realização de uma segunda transferência, que não foi conseguida.
36. Só após o dia 16 de Junho de 2011 e depois da segunda transferência feita no dia 15 de Junho de 2011 é que o Réu contactou o A. para saber se tinha sido ele a ordenar as transferências.
37. O Réu sempre teve conhecimento e acesso às movimentações na conta da A. referidas em 17.
38. O Réu suspeitou dessas operações e podia ter suspendido/bloqueado o serviço C…/NET.
39. O Réu optou por telefonar ao A. já depois das transferências feitas.
40. Teve de ser o A. a pedir para cancelarem o serviço da net, após o contacto telefónico por parte do banco.
41. O A., em momento algum, indicou a terceiros os seus códigos de acesso, nomeadamente password e os elementos do cartão matriz relativos à sua conta.
42. O A. ao longo do tempo que utilizou o C…/NET, desde 2000 até 2011, teve sempre o cuidado de apenas aceder a esta conta online através do seu computador pessoal, protegido por antivírus e de não indicar os seus dados de acesso a terceiros, conforme recomendado pelo réu.
43. Aquando da solicitação do seu número de telemóvel e modelo, no dia 6 de Junho de 2011, o A. não estranhou, pois o pedido foi feito no decorrer da transferência que estava a efectuar e com a página do C…/NET aberta, com o aparecimento de uma janela.
44. O A. desde Junho de 2011 vive angustiado e preocupado em virtude de não poder usufruir do dinheiro que lhe foi subtraído da sua conta pessoal no valor de € 9.080,00.
45. Pelo tempo que despendeu e ainda depende na resolução do assunto, com deslocações várias ao balcão do Réu, na elaboração de reclamações e de até à presente data o Réu nada fazer para o reembolsar.
46. Em 5/04/2013 e a pedido do A. foi emitido um novo contrato de adesão ao Serviço C… NET, tendo o A. voltado a utilizar o referido serviço.
47. A descrição do Serviço C… NET consta da página do site Banco C…, no seguinte endereço: http://www.bancoC....pt/pagina.asp?s=1&a=4&F=272&opt=f
“O C… Net é o Serviço de C1… do C…, destinado a Particulares, Empresários e Negócios que permite aceder ao Banco de uma forma simples e segura, através de um computado com ligação à internet, 24 horas por dia, 365 dias por ano.
É um serviço de fácil utilização, apresentando um conjunto de écrans extremamente simples que lhe permitem aceder às suas Contas, aplicações e créditos e realizar um conjunto alargado de operações bancárias.
4 Razões para utilizar o C… Net:
Comodidade e Flexibilidade
Poderá aceder à sua Conta em qualquer parte do Mundo, 24 horas por dia, 365 dias por ano.
Facilidade e Rapidez
A partir da Internet, e de uma forma extremamente simples e rápida, tem acesso à sua Conta e poderá realizar um conjunto alargado de operações bancárias.
Preçário
A adesão ao C… Net é gratuita, beneficiando ainda de condições muito vantajosas na realização de algumas operações, comparativamente com qualquer Balcão C….
Segurança e Confidencialidade
O C… garante total segurança e confidencialidade nas operações efectuadas, utilizando a mais avançada tecnologia de protecção de dados, complementada com Chaves de Acesso e Cartão Pessoal de Coordenadas.
48. O folheto e o guia do utilizador do Serviço C… Net estão disponíveis através da mesma página do site Banco C…: http://www.bancoC....pt/pagina.asp?s=1&a=4&F=272&opt=f.
49. E as operações bancárias que podem ser efectuadas através do C… Net são indicadas na página: http://www.bancoC....pt/pagina.asp?s=1&a=4&F=272&opt=f
“O C… Net permite-lhe efectuar um vasto leque de operações bancárias, tais como:
Consultas de Saldos, Movimentos e NIB;
- Exportação de Movimentos para Excel;
- Transferências Nacionais e para o Estrangeiro;
- Criação de Lista de Beneficiários para Transferências;
- Pagamentos de Serviços (incluindo Carregamentos de telemóveis);
- Pagamentos ao Estado (IRS, IRS; IVA, Imposto de Selo, entre outros);
- Agenda de Pagamentos (com ou sem periodicidade);
- Avisos de Transferência e Pagamentos agendados por e-mail ou SMS;
- Requisição e Cancelamento de Cheques;
- Activação, consulta de Extracto e Operações de Cartões;
- Aplicações Financeiras;
- Operações de Bolsa.
50. O Banco R. atribuiu ao A. Chaves de Acesso (Número de Adesão e Palavra-Chave), bem como mecanismos de autorização de operações.
51. As Chaves de Acesso são constituídas pelo Número de Adesão e a Palavra-Chave e são atribuídas aos Clientes através do Contrato de Adesão:
- Número de Adesão (constituído por 9 dígitos) – definido pelo Banco, através do seu registo apenas nas bases de dados centrais do Banco as quais estão protegidas contra acessos exteriores não autorizados;
- Palavra-Chave (Constituída por 5 Dígitos) – alterado obrigatoriamente pelo Cliente no primeiro acesso ao serviço, a qual não é do conhecimento do Banco nem dos seus colaboradores, ficando apenas a informação referente à mesma encriptada no servidor central do Banco, por forma a que a aplicação informática que controla e gere os acessos possa validar a introdução da palavra-chave correcta.
52. Na data da adesão do A. ao C… Net o Cartão Pessoal de coordenadas constituía o único mecanismo de autorização de operações.
53. Em 22/01/2009 foi implementada a autorização por SMS.
54. Esta alteração foi comunicada da seguinte forma:
- Página de passagem obrigatória após o login a informar os Clientes sobre a Autorização por SMS, onde possa ser seleccionado o N.º Telemóvel onde os Clientes pretendem receber o SMS com o Código de Autorização e onde é indicado uma linha de apoio específica para esclarecimento de eventuais dúvidas;
- Página de passagem obrigatória após o login a informar os Clientes sobre a Autorização por SMS.
55. O link “Como funciona a Autorização por SMS?” remete para a página seguinte, que apresenta explicações adicionais sobre o mecanismo de Autorização por SMS.
56. Foi colocada notícia no C… Net e no site Banco C… (site institucional disponível para Clientes e Não Clientes), publicada em 22/01/2009.
57. O A. alterou a sua password no dia 27/01/2010 às 14:04:49.
58. A identificação de Cliente para acesso ao Serviço C… Net processa-se através da indicação pelo mesmo do Número de Adesão, bem como do Código Secreto definido pelo Banco R. no momento da adesão e alterado obrigatoriamente pelo Cliente após o primeiro acesso efectuado através desse serviço.
59. Quanto aos mecanismos de autorização de operações, o Banco R. pode, a qualquer momento, condicionar a realização de operações através deste serviço obrigando à introdução de uma coordenada do Cartão Pessoal de Coordenadas ou de um Código de Autorização único e específico composto por 6 dígitos enviado pelo mesmo Banco por SMS (short message service) para o número de telemóvel previamente indicado pelo Cliente para o efeito.
60. O Cartão das Coordenadas é emitido independentemente do perfil de utilização do Cliente, sob a forma de uma matriz de coordenadas sempre em nome de uma pessoa singular. O algoritmo que calcula e gera as respectivas coordenadas foi criado pelo Banco R. e é do conhecimento exclusivo do Banco sendo o mesmo igualmente utilizado pela aplicação informática para validar a coordenada introduzida pelo cliente, aquando da autorização de determinada operação ordenada através do serviço.
61. O Código de Autorização é único e especifico composto por 6 dígitos enviados pelo Banco por SMS (short message service) para o número de telemóvel previamente indicado pelo Cliente para o efeito. Trata-se de uma OTP (One Time Password, ou seja, é um código válido para autorizar a operação em causa) enviado para o número de telemóvel configurado pelo Cliente. As mensagens enviadas para o telemóvel do Cliente com códigos de autorização apresentam um resumo dos dados da operação a autorizar.
62. O Serviço de Autorização por SMS traduz-se num mecanismo de segurança implementado no C… Net para Autorização de Operações que consiste no envio de um Código de Autorização por SMS para o telemóvel do Cliente no momento da realização de determinadas operações.
63. Com tal mecanismo, a autorização de algumas operações que afectam o património financeiro e que cumprem determinados critérios, como por exemplo o montante da transacção, passa a ser realizada através da introdução de um Código de Autorização (6 dígitos), que será enviado através de um SMS gratuito, imediatamente após a introdução da informação da transacção, para o número de telemóvel configurado pelos Clientes.
64. O SMS com o Código de Autorização é enviado para o N.º de Telemóvel configurado pelos Clientes, sendo válido apenas para autorizar a operação em causa, apresentando um resumo dos dados da mesma.
65. Na configuração da Autorização por SMS, os Clientes têm que indicar o N.º de Telemóvel em que pretendem receber as mensagens com os Códigos de Autorização, podendo-o fazer através de:
- C… Net, mas apenas se já tiverem um N.º de Telemóvel criado;
- N.º … … … (.. … .. … .. .. a partir do estrangeiro) para activar um N.º de Telemóvel já existente no Banco R. ou se pretenderem alterar o N.º de Telemóvel já criado ou registar um novo;
- Balcão do Banco R. para activar um N.º de Telemóvel já existente no Banco se pretenderem alterar o N.º de Telemóvel já criado ou registar um novo.
66. Quando os Clientes anteriormente já forneceram ao Banco R. os seus números de telemóveis (através das suas Agências), estes números ficam disponíveis para selecção pelos Clientes directamente através do site.
67. A lista de telemóveis que os Clientes podem seleccionar é disponibilizada de forma truncada, isto é, apenas o primeiro e os últimos 4 números são visíveis.
68. A configuração do número de telemóvel associado à autorização por SMS não exige, nem nunca exigiu, o preenchimento por parte do Cliente de qualquer informação relativa ao telefone, nomeadamente marca ou modelo, apenas a indicação do número pretendido, o que só é possível caso tenha sido previamente registado no Banco R.
69. O A. tinha anteriormente facultado o seu número de telemóvel, pelo que foi possível configurar a Autorização por SMS através do C… Net.
70. Em 29/03/2009, às 15:55:01, o A. acedeu ao C… Net.
71. No mesmo acesso, às 15:55, o A. acedeu à página informativa, que explicava a existência do serviço de autorização por SMS e que prestava esclarecimentos sobre a respectiva configuração e funcionamento.
72. O A. configurou o mecanismo de Autorização por SMS em 29/09/2009 às 15:55:37, tendo seleccionado o número de telemóvel ………., que naquela data já constava da lista dos seus contactos no Banco R.
73. Este número foi apresentado ao A. de forma truncada (………) e o mesmo apenas procedeu à respectiva selecção (clicando sobre o número) e confirmou através do Botão “Confirmar”.
74. Em seguida, o A. recebeu no telemóvel por sio indicado a seguinte mensagem de confirmação de activação do serviço de autorização por SMS: “C… Net, 29 Mar 15h55 – Este número foi associado ao serviço de Autorização por SMS. Para qualquer questão contacte ………”.
75. A utilização do serviço C… NET, por parte do A., consta dos documentos em anexo, que contém:
- N.º de Transacções concretizadas através do Serviço C… Directo/Net desde a data da adesão (exclui acessos e movimentos não reconhecidos pelo A.).
- Detalhe das Consultas efectuadas e
- Detalhe das Operações efectuadas.
76. Através de averiguações efectuadas pelo Banco foi apurada a conta titulada pelo Chamado, D…, cuja análise permitiu identificar que as transferências da conta do A. haviam sido creditadas na conta daquele beneficiário.
77. O perfil de acesso ao C… Net do A. foi alterado, apenas para consultas em 16/06/2011 às 18:34:34, deixando de ser possível a realização de operações.
78. Em seguida foi alertado o Balcão do Banco R. de … – … a solicitar a confirmação junto do A. da movimentação verificada.
79. Dado que o A. não reconheceu a movimentação realizada na sua conta, foi aconselhado a contactar a linha de apoio do C… (Linha divulgada no C… Net para reportar situações de segurança).
80. Foram realizados dois contactos telefónicos realizados com a Linha de Atendimento do Banco R., que ficaram gravados digitalmente.
81. O A. contactou a Linha de Apoio do Banco R. no dia 17 de Junho de 2011 às 9h47.
82. Durante tal chamada, em síntese:
- O A. informou não reconhecer duas transferências realizadas a débito da sua conta, uma de 4.980Eur e outra de 4.100 Eur.
- A operadora informou o A, que as duas operações foram realizadas através do C… Net, em 14 e 15 de Junho de 2011.
- A operadora questionou o A. se, ao tentar aceder ao C… Net, teria recentemente verificado algum pedido da totalidade de coordenadas do Cartão Pessoal de Coordenadas ou de preenchimento de algum n.º telemóvel, marca ou modelo. O A. indicou que no dia em que acedeu ao Serviço para efectuar uma transferência de 500,00Eur (05/06/2011) teria facultado o n.º de telemóvel.
- O A. questionou a operaria se se trataria de uma utilização fraudulenta e se seria possível recuperar os fundos, ao que operadora responde que a situação será alvo de análise.
- O A. foi aconselhado a apresentar uma queixa junto das autoridades para reportar os movimentos não reconhecidos.
- Foram confirmados quais os acessos e movimentos que o A. não reconhecia.
O A. informou que o último acesso que tinha realizado ocorreu no dia 05/06/2011.
- Foi solicitado ao A. que, após apresentação da queixa, se deslocasse ao balcão para entregar uma cópia do documento entregue pelas autoridades.
- Foi indicado ao A. para não aceder a outros serviços de C1… (outros Bancos) e contactar essas Instituições de Crédito, enquanto não estivessem garantidas as condições de segurança do seu computador;
- A operadora informou o A. que o seu acesso ao C… Net ira ser de imediato cancelado.
83. O cancelamento do contrato ocorreu em 17/06/2011 às 10:19:43, após confirmação com o A. dos acessos e movimentos.
84. Em 20/06/2011 às 12:56 o A. voltou a contactar a Linha de Atendimento do Banco R. para saber se já existia alguma novidade relativamente à situação anteriormente reportada, tendo a operadora confirmado ao A. que o acesso se encontrava cancelado e aconselhou-o a contactar o Balcão de domicílio da conta, para saber informação actualizada do processo.
85. No dia 5/06/2011 às 23:19:03.247 foi realizado um acesso ao Serviço C… Net com os códigos do A. que o mesmo reconhece ter efectuado.
86. Neste acesso aos Serviços C… Net, que foi realizada através do IP: ............, H…: PORTUGAL, ocorreram os seguintes movimentos:
05/06/2011 23:19:10.620 Consulta Saldos Aceite C… Net
05/06/2011 23:24:53.290 Consulta de Movimentos Aceite C… Net
05/06/2011 23:26:57.450 Validação de Transferências Rejeitada C… Net
05/06/2011 23:27:11.650 Autorização Pedido Aceite C… Net
05/06/2011 23:27:56.433 Autorização resposta Aceite C… Net
05/06/2011 23:27:56.847 Transferências Planos e Agendas Aceite C… Net
05/06/2011 23:28:40.920 Consulta de Movimentos Aceite C… Net
05/06/2011 23:29:50.500 Posição Integrada Aceite C… Net
05/06/2011 23:30:09.000 Logoff – C1… Aceite C… Net
87. A transacção “Validação de Transferências” corresponde à página de preenchimento dos dados da transferência e apresenta o estado “Rejeitada” porque a hora limite para aquele processamento naquele dia já tinha sido ultrapassada (17h).
88. O A. registou a transferência às 23:26:57.450 de 05/06/2011, pelo que esta só seria executada no dia útil seguinte e o montante da transferência apenas ficaria reflectido no saldo e nos movimentos da conta nesse dia.
89. Por este motivo, foi apresentada ao A. uma mensagem que questionava se pretendia continuar ou se pretendia anular a transferência ou alterar a data do processamento.
90. O A. confirmou que pretendia continuar e a transferência foi executada no dia útil seguinte, ou seja 06/06/2011.
91. A transferência registada no dia 05/06/2011 às 23:27:56.847, foi uma transferência interbancária a favor do NIB …. …. ……….. do I… no montante de € 500,00, a débito da conta .-………......, titulada pelo A.
92. A transferência foi autorizada com código enviado por SMS para o telemóvel do A. e ficou agendada para o dia útil seguinte.
93. Foi enviado SMS com código de autorização para o telemóvel do A. (………) às 23:27:12, com o seguinte conteúdo:
“C… Net, 05 Jun às 23h27 Montante: 500,00 EUR Operação: Transferência p/Conta ………………… Código Autorização: ……”.
94. O Código de Autorização enviado para o telemóvel do A. foi introduzido às 23:23:56, tendo a operação sido registada.
95. Após o acesso do dia 05/06/2011 às 23:19:247, foram realizados oito acessos aceites ao serviço C… Net com os códigos do A., os quais o mesmo não confirmou.
96. No acesso ao Serviço C… Net que ocorreu no dia 08/06/2011 ao 12:30:42 foi realizada uma tentativa de transferência a favor de uma conta do C…, titulada por J…, que não foi concretizada porque o código para autorização da operação não foi introduzido.
97. Foi enviado SMS com código de autorização para o telemóvel do A. (………) às 12:32:21, com o seguinte conteúdo:
“C… Net, 08 Jun às 12h32 Montante: 4910,00 EUR Operação: Transferência p/Conta .-…………. Código de Autorização: ……”.
98. Nos dias 14 e 15 de Junho de 2011 foram realizados cinco acessos ao serviço C… Net com os códigos do A., os quais o mesmo não reconhece.
99. No acesso ao Serviço C… Net que ocorreu no dia 14/06/2011 pelas 12:03:10 foi realizada uma transferência a favor de uma conta no Banco R., titulada por D…, autorizada com código enviado por SMS para o pretenso telemóvel do A. e foi concretizada.
100. Foi enviado SMS com código de autorização para o telemóvel do A. (………) às 12:04:19 com o seguinte conteúdo:
“C… Net, 14 Jun às 12h04 Montante: 4980,00 EUR Operação: Transferência p/Conta .-………….. Código de Autorização: …….”.
101. O código de autorização enviado para o telemóvel do A. foi introduzido no C… Net às 12:05:03.
102. Após validação automática deste código, ou seja, correspondendo ao código enviado para o telemóvel do A. para autorização desta operação específica, a operação foi processada às 12:05:04.
103. Em 14/06/2011 pelas 12:46:12 foi feita uma tentativa de transferência no valor 4.200,00Eur a favor da conta crédito .-………...... no Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
104. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respectiva autorização (coordenada ou código enviado por SMS).
105. Em 14/06/2011, pelas 12:47:37 foi efectuada nova tentativa de transferência do montante de 4.200,00Eur a favor da mesma conta no Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
106. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respectiva autorização (coordenada ou código enviado por SMS).
107. Em 14/06/2011, pelas 14:00:54 foi efectuada nova tentativa de transferência de montante de 4.200,00Eur a favor da mesma conta do Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
108. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respectiva autorização (coordenada ou código enviado por SMS).
109. Em 14/06/2011, pelas 14:02:00 foi efectuada nova tentativa de transferência de montante de 4.200,00Eur a favor da mesma conta do Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
110. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respectiva autorização (coordenada ou código enviado por SMS).
111. No acesso ao Serviço C… Net que ocorreu no dia 15/06/2011, pelas 12:30:31 foi efectuada uma transferência no valor de 4.100,00Eur, a favor da mesma conta no Banco R., titulada por D…, a qual foi autorizada com código enviado por SMS para o telemóvel do A. e foi concretizada.
112. O código de autorização, enviado para o pretenso telemóvel do A., foi introduzido no C… Net às 12:33:16.
113. Após validação automática deste código a operação foi processada às 12:33:17.
114. O beneficiário das transferências provenientes da conta do A. é D…, titular da conta n.º .-………......, aberta em 18/05/2011, no Balcão do Banco R. de …-….
115. D…, nos dias 14 e 15 de Junho de 2011, recebeu duas as transferências realizadas através do Serviço C… Net.
116. Os Fundos foram movimentados através de levantamentos avulso no Balcão de …-…, que ocorreram nas datas dos respectivos créditos, bem como através de dois levantamentos em ATM, tendo então tal conta ficado com saldo residual.
117. Foram infrutíferos os contactos do Banco com o Chamado no sentido do esclarecimento da situação.
118. O A. deparou-se com uma página “dentro do C… Net” a pedir para preencher o n.º do telemóvel e marca.
119. A página que lhe solicitava o preenchimento do n.º de telemóvel e marca era uma página falsa, com o objectivo de capturar a informação solicitada para posterior utilização fraudulenta.
120. O Banco R. tem vindo a publicar recomendações de segurança, sob a forma de notícias nos sites C… Net, C… Net Empresas e Banco C…, “…”, página de passagens obrigatória após o login, páginas de confirmação de operações no C… Net e ….
*
Foi expressamente dada como não provada a seguinte materialidade[3]:a) – O terceiro que efectuou as duas transferências tivesse conhecimento do limite máximo diário por transferência.
b) – A protecção contra acessos exteriores não autorizados é efectuada pela tecnologia mais actual.
c) – Na página no site Banco C… foram publicadas em 29/01/2009 explicações mais detalhadas e repostas a possíveis questões sobre a Autorização por SMS.
d) – Foi enviado em 22/01/2009 um e-mail a todos os utilizadores do C… Net.
e) – A situação em análise foi identificada no seguimento do alerta de um outro cliente do Banco R.
f) – O A. recebeu o código de autorização por SMS no telemóvel que previamente tinha configurado para a autorização de operações por SMS através do sistema C… Net.
g) – O A. contrariou as recomendações de segurança disponibilizada pelo R.
h) – O A. acedeu a duas páginas com conteúdos de segurança com informações sobre os cuidados a ter com o telemóvel.
*
IV.
1. Erro na decisão em matéria de factoIV.
O recorrente considera incorretamente julgados os pontos 10, 12, 37, 38, 39, 40, 41, 42, 43 e 118 dos factos provados.
Na sua perspetiva:
- Os pontos 37, 38, 39, 40, 41, 42 e 43 deveriam ter sido dados como não provados;
- O ponto 12 deveria ter sido restringido nos seguintes termos: Em tal data, foi-lhe solicitado o número e modelo de telemóvel, com a indicação de que era para enviarem mensagem a confirmar a operação;
- O ponto 118 deveria ter sido assim restringido: O A. deparou-se com uma página a pedir para preencher o número de telemóvel e marca.
Quanto à matéria dada como não provada:
- Os pontos b), c), d), e), f), g) e h) dados como não provados, deveriam ter tido a resposta de provados.
O recorrente indicou os meios probatórios com base nos quais se manifestou a favor das modificações agora pretendidas, sendo eles:
- Gravação dos contactos telefónicos, juntos aos autos como doc. nº 13;
- Documentos nº 1 a 12 e 14, 38 a 62 da contestação.
- Depoimento da testemunha K…, a tal matéria realizado na sessão de 18.12.2015, de 01:30, até 01:37.
- A sua conjugação, entre si e com a matéria de facto provada, especialmente com os pontos 82 e 116.
Indicou --- e até transcreveu --- a passagem da gravação daquele depoimento que julga relevante para efeitos do recurso.
O recorrente satisfez o ónus de impugnação previsto no art.º 640º, nº 1, al.s a), b) e c) e nº 2, al. a).
Na resposta ao recurso, o recorrido invocou o seu próprio depoimento e as prestações testemunhais de L…, M… e K… para sustentar a manutenção do julgado.
Entende-se atualmente, de uma forma que se vinha já generalizando nos tribunais superiores, hoje largamente acolhida no art.º 662º, que no seu julgamento, a Relação, enquanto tribunal de instância, usa do princípio da livre apreciação da prova com a mesma amplitude de poderes que tem a 1ª instância (art.º 655º do anterior Código de Processo Civil e art.º 607º, nº 5, do atual Código de Processo Civil), em ordem ao controlo efetivo da decisão recorrida, devendo sindicar a formação da convicção do juiz, ou seja, o processo lógico da decisão, recorrendo com a mesma amplitude de poderes às regras de experiência e da lógica jurídica na análise das provas, como garantia efetiva de um segundo grau de jurisdição em matéria de facto; porém, sem prejuízo do reconhecimento da vantagem em que se encontra o julgador na 1ª instância em razão da imediação da prova e da observação de sinais diversos e comportamentos que só a imagem fornece.
Como refere A. Abrantes Geraldes[4], “a Relação deve alterar a decisão da matéria de facto sempre que, no seu juízo autónomo, os elementos de prova que se mostrem acessíveis determinem uma solução diversa, designadamente em resultado da reponderação dos documentos, depoimentos e relatórios periciais, complementados ou não pelas regras de experiência”… “afastando definitivamente o argumento de que a modificação da decisão da matéria de facto deveria ser reservada para casos de erro manifesto” ou de que “não é permitido à Relação contrariar o juízo formulado pela 1ª instância relativamente a meios de prova que foram objecto de livre apreciação”, acrescentando que este tribunal “deve assumir-se como verdadeiro tribunal de instância e, por isso, desde que, dentro dos seus poderes de livre apreciação dos meios de prova, encontre motivo para tal, deve introduzir as modificações que se justificarem”.
Importa, pois, por regra, reexaminar as provas indicadas pelo recorrente e, se necessário, outras provas, maxime as indicadas pelo recorrido nas contra-alegações e as referenciadas na fundamentação da decisão em matéria de facto e que, deste modo, serviram para formar a convicção do Ex.mo Julgador, em ordem a manter ou a alterar a referida materialidade, exercendo-se um controlo efetivo dessa decisão e evitando, na medida do possível, a anulação do julgamento, antes corrigindo, por substituição, a decisão em matéria de facto.
Citando Antunes Varela, escreve Baltazar Coelho[5] que “a prova jurídica de determinado facto … não visa obter a certeza absoluta, irremovível da (sua) verificação, antes se reporta apenas a certeza subjectiva, a convicção positiva do julgador ou, o que vale por dizer, apenas aponta para a certeza relativa dos factos pretéritos da vida social e não para a certeza absoluta do fenómeno de carácter científico”.
Na mesma linha, ensina Vaz Serra[6] que “as provas não têm forçosamente que criar no espírito do juiz uma absoluta certeza acerca dos factos a provar, certeza essa que seria impossível ou geralmente impossível: o que elas devem é determinar um grau de probabilidade tão elevado que baste para as necessidades da vida”. É a afirmação da corrente probabilística, seguida pela maior parte da doutrina que, opondo-se à corrente dogmática, considera não exigível mais do que um elevado grau de probabilidade para que se considere provado o facto.
Terá que haver sempre um grau de convicção indispensável e suficiente que justifique a decisão, que não pode ser, de modo algum, arbitrária, funcionando aquela como base de compreensão do processo lógico e convincente da sua formação.
Sempre se dirá ainda que a decisão só deverá ser alterada perante uma situação probatória de imposição de decisão diversa, como resulta expresso no nº 1 do art.º 662º, ou seja, quando se verifique, relativamente a cada facto impugnado, uma prova impositiva, determinante, que torne imperiosa a fixação do facto diferente.
Vejamos então!
Par uma melhor compreensão dos factos, no seu conjunto, foi integralmente ouvida a prova oralmente produzida e gravada em audiência, assim como foram analisados os documentos referidos pelo R. recorrente e outros que se tiveram por relevantes no âmbito da impugnação da decisão, com especial destaque para aqueles que foram discutidos na própria audiência final por confronto com o depoimento do A. (fl.s 76 e seg.s, fl.s 160 a 163) e com a prestação testemunhal de N… (fl.s. 76 e seg.s, 139 e 140, 160 a 167 e 216 e seg.s) e relativamente aos quais há que reconhecer grande importância na caraterização e compreensão da conduta habitual do A. na utilização do serviço C… Net desde que a ele aderiu, em janeiro de 2000, e da sua ação nas circunstâncias de tempo em que se situa a fraude que foi exercida sobre a conta de depósito a que está associado aquele serviço on-line.
Foram ainda integralmente ouvidas as gravações das chamadas telefónicas, conforme o registo fonográfico que constitui o documento de fl.s 95, junto com a contestação (doc. nº 13), com destaque para a chamada que o A. efetuou no dia 17 de junho de 2011 para o serviço de apoio do Banco R., na qual se tratou do cancelamento do serviço C1… contratado pelo demandante.
Considerando os pontos controvertidos da matéria de facto provada e não provada, o depoimento de O… não tem interesse. Não obstante ser funcionária do Banco C…, no balcão de Vila Nova de Famalicão, onde estava domiciliada a conta de depósito aberta em nome de D… e para a qual foram efetuadas as duas transferências, de 14 e 15 de junho de 2016, não interveio naquelas ações nem foi ela que tentou contactar aquele titular. Simplesmente fez a abertura da conta dele.
A prestação de M…, mulher do A., relevou sobretudo em matéria de prejuízos e confirmação de que a transferência que o seu marido efetuou a partir do serviço C… Net no dia 6 de junho de 2011, no valor de € 500,00 foi normal e para uma conta conjunta de ambos no Banco I…, por ela gerida. Quanto às duas transferências posteriores e tentativas de transferência, apenas se limitou a ajudar o marido nas elaboração das reclamações posteriores.
Também não tem interesse neste âmbito a que somos chamados o depoimento do funcionário do C… P….
Têm interesse o depoimento de parte do A., obviamente em função do relato que fez de acontecimentos em que, sem dúvida, foi parte direta e ativa e o depoimento de Q…, funcionária de dependência do Banco C… de … – … no ano de 2011 e que, no dia 16 de junho desse ano recebeu, da área de segurança do Banco, um contacto para que fosse solicitada a intervenção do A. a fim de esclarecer movimentos em conta suspeitos de fraude. Foi ela que, de imediato fez com que o A. recebesse aquela informação, tendo recebido a sua reclamação no dia seguinte, depois de o A. ter participado os factos também à polícia. Mostrou conhecer bem o A., tendo-o como pessoa cuidadosa e instruída.
K…, funcionário do R. desde o ano de 2004, sempre nos serviços centrais, com responsabilidades de chefia na área de segurança dos sistemas informáticos do C…, em 2011 na direção de markting e dos novos canais, prestou, sem dúvida, o depoimento mais seguro e informado de todos, quer com base nos conhecimentos pessoais que mostrou ter na matéria, por formação e obtidos ao longo do tempo em funções no exercício da sua atividade na área referida. Ainda que não conhecendo o A., referiu-se às questões que a ele dizem respeito, designadamente por confronto com os documentos acima identificados, de forma muito segura, bem fundamentada e explicada, sem contradições ou divergências, de tal modo que não deixou suspeita sobre o conteúdo do seu depoimento e à interpretação da fraude na medida em que lhe foi possível explicá-la, aliás, deve dizer-se, com a colaboração do demandante que aceitou desde o contacto telefónico que no dia 17 de junho efetuou para o serviço de apoio (cujo teor consta do documento nº 13 junto com a contestação e cuja interlocutora foi S…), que forneceu determinados dados do seu telemóvel enquanto efetuava a transferência no dia 5 de junho de 2011 (concretizada no imediato dia 6).
Vejamos agora, mais concretamente, o efeito da análise conjugada das referidas provas e das regras da experiência comum sobre a matéria objeto da impugnação recursiva, não podendo olvidar-se que o depoimento do A. é tendencialmente interessado e tem que ser ponderado, principalmente na parte que lhe é favorável, no conjunto das circunstâncias e com especial cotejo da prestação de K….
Desde que o A. foi confrontado com a situação de suspeita pelo Banco que assumiu o fornecimento do número e modelo do seu telemóvel no momento em que efetuava a operação de transferência no dia 5 de junho de 2011, inscrevendo esses dados num espaço que se abriu para o efeito no seu decurso, convencido que lhe estavam a ser solicitados pelo Banco. Mas não é aceitável que tal pedido abusivo de dados tivesse resultado necessariamente do interior do sítio do …C… Net; foi um espaço que se abriu nas circunstâncias da operação de transferência. Não foi um pedido do Banco, não proveio da origem da sua página, nem sabemos o momento exato da operação em que os dados foram solicitados.
O ponto 12 dos factos provados passa a ter a seguinte teor:
12. Aquando dessa transferência, durante a operação, foi-lhe solicitado o número e modelo de telemóvel, com a indicação de que era para enviarem mensagem a confirmar a operação.
Quanto aos pontos 37 a 39 dos factos provados, a testemunha K… deixou muito claro que o serviço C… Net tem uma utilização muito grande. Por mês tem cerca de 3.000.000 de acessos, sendo 1.000.000 de transferências. Para segurança do sistema há implantação de meios de deteção de fraude. Determinados comportamentos na utilização do sistema através de IPs podem indiciar conduta fraudulenta e levar os agentes do serviço de segurança do sistema a suspender imediatamente a possibilidade de efetuar transferências, pagamentos e outras operações de disposição patrimonial. Todavia, não é fácil essa deteção e, no caso, apenas foi possível construir a suspeita de fraude imediatamente após um outro cliente, no final da tarde do dia 16 de junho, ter contactado a sua equipa acusando uma transferência da sua conta que não reconhecia. Foi então verificado que a mesma pessoa que efetuou aquela transferência por viciação, transferiu também as duas quantias do A. em circunstâncias semelhantes e que, imediatamente, as levantou da sua conta. Nesse mesmo dia foi dado conhecimento ao balcão e este ao A. E ainda o cliente não tinha tomado conhecimento da situação, já o Banco tinha suspendido aquele tipo de operações no serviço prestado ao cliente.
Por conseguinte, os pontos 37, 38 e 39 não correspondem à realidade provada, designadamente, telefonar para o A. já depois das transferências feitas não foi uma opção do Banco. Transitam para a matéria não provada.
O ponto 40 dos factos provados deve ser dado como não provado. Do depoimento da testemunha K… consta que o contrato foi cancelado no final do contacto telefónico e que o cliente (o A.) foi informado que assim teria que ser, podendo, no entanto, solicitar de novo o serviço, mas com outra chave de acesso. É o procedimento normal do Banco; não precisa de ser solicitado pelo cliente defraudado.
Atestando a confiança que este depoimento nos merece, ouvimos na gravação da chamada telefónica do dia 17 de junho, ao minuto 17,40, a operadora a informar o A. de que, por uma questão de precaução, iam cancelar o seu acesso ao C… Net. O que notamos na gravação da chamada telefónica é o cliente a conformar-se com o cancelamento, o que era também do seu interesse, apesar de ter restado uma quantia quase insignificante em depósito na conta defraudada.
O próprio A. mostrou-se confuso quanto a este ponto, de tal modo que, ao minuto 19,20 do se depoimento disse não se recordar ao pormenor quem decidiu cancelar o serviço. Simplesmente disse pensar que foi ele.
O ponto 40 transita para a matéria não provada. Por efeito e evitando contradições na matéria que fica provada, elimina-se o ponto 19 dos factos provados.
Acreditamos no A. quando refere que nunca cedeu diretamente a terceiros (referiu que nem à sua mulher) os seus códigos de acesso, nomeadamente password e os elementos do cartão matriz relativos à sua conta. Mas não está excluído que terceiros a eles tenham acedido por via da informação que transmitiu sobre o seu telemóvel, permitindo a sua infeção e a recolha fraudulenta daqueles elementos secretos.
O ponto 41 passa a ter o seguinte texto:
«O A., em momento algum, cedeu diretamente a terceiros os seus códigos de acesso, nomeadamente password e os elementos do cartão matriz relativos à sua conta.»
A matéria do ponto 42 dificilmente poderia ser contrariada por alguém e não foi posta em causa por outras testemunhas. O A. deu explicação suficiente para justificar a afirmação deste ponto e a suam mulher confirmou o facto. Deve manter-se nos factos provados.
Quanto ao ponto 43, se o A. tivesse estranhado o pedido de informação não teria concluído a operação e foi também razoavelmente aceite por todos que o pedido foi feito no decorrer da transferência que estava a efetuar e com a página do C…/NET aberta, com o aparecimento de uma janela. Deve este ponto manter-se, tal como está, nos factos provados.
O ponto 118, pelos motivos atrás já evidenciados, tem que ser reduzido ao seguinte texto:
«Durante a operação, o A. deparou-se com um pedido para preencher o número de telemóvel e o modelo.»
Observemos agora a matéria dada como não provada que a R. pretende que seja dada como provada.
Quanto à al. b), ninguém pôs em causa a atualidade da tecnologia informática usada pelo C… Net, tendo a testemunha K… deixado uma ideia de evolução do sistema desde a sua instalação pioneira no Banco. Ficou uma clara impressão de modernidade tecnológica, ditando a experiência que é semelhante à dos outros prestadores nacionais de serviços semelhantes on-line.
A al. b) deve transitar para os factos provados, assim:
«A proteção contra acessos exteriores não autorizados é efetuada pela tecnologia mais atual.»
No que respeita à al. c):
Foi em janeiro de 2009 que o Banco criou a autorização por SMS para valores de transferência ou pagamento superiores a € 2.000,00. Então, este sistema substituiu o sistema de coordenadas do cartão matriz para aquelas operações. Em março do mesmo ano, o A. aderiu a este serviço SMS[7].
Não é seguro afirmar que no dia 29.1.2009 foram publicadas no sítio da internet do C… explicações detalhadas e respostas a possíveis questões sobre a autorização por SMS. Mas pode afirmar-se, com base no depoimento da testemunha K… que já no ano de 2009 e sobretudo no ano de 2010, naquela página eram feitas aquelas explicações, tal como eram efetuadas através de “bannners” a que os clientes, ao utilizarem o C… Net, tinham necessariamente acesso e que só com o respetivo fecho poderiam avançar na utilização de tal serviço.
A al. c) deve passar a ter o seguinte teor nos factos provados:
«No sítio da internet do Banco C… foram publicadas no ano de 2009 explicações mais detalhadas e repostas a possíveis questões sobre a Autorização por SMS.»
Quanto à al. d) afirmou aquela testemunha, de modo convincente, que, aquando da criação da Autorização por SMS, foi enviado um e-mail pessoal a todos os clientes do sistema C… Net, o que não foi posto em causa na audiência. Daí, deve ser dado como provado:
«No início do ano de 2009, foi enviado um e-mail à generalidade dos utilizadores do C… Net.»
A al. e) tem que transitar para os factos provados por corresponder a uma realidade comprovada, conforme explicação supra:
«A situação em análise foi identificada no seguimento de um alerta de um outro cliente do Banco R.»
Quanto à al. f), não está provado que o A. tivesse efetivamente recebido o código de autorização SMS no seu telemóvel, mas é seguro afirmar que o serviço C… Net enviou esse código para o telemóvel que previamente tinha configurado para a autorização de operações por SMS através do sistema.
O que o conjunto da prova permite aferir, com base essencial no depoimento de K…, é que ao A. não foi acessível o código de cada uma das duas autorizações por SMS dos dias 14 e 15 de junho, apesar de enviadas para o seu telemóvel, porque, ao ter facultado o respetivo número e modelo no precedente dia 5, permitiu a infeção do seu telemóvel e que tais códigos fossem desviados dali para o hacker que o solicitou.
A al. f) passa para os factos provados, com o seguinte teor:
«O A. não recebeu os códigos de autorização por SMS no telemóvel que previamente tinha configurado para a autorização de operações por SMS através do sistema C… Net nos dias 14 e 15 de junho de 2011, por terem sido desviados para terceiro em virtude de ter fornecido o seu número e modelo do seu telemóvel nas referidas circunstâncias do dia 5 de junho de 2011.»
Quanto às al.s g) e h), foi evidenciado em audiência que o A. acedeu pelo menos a duas informações de texto na página do serviço C… Net, no ano de 2010 e que teve que fechar para prosseguir na sua consulta, onde era referido expressamente que o C… nunca solicita a introdução do seu número de telemóvel. A testemunha identificou, por análise dos documentos de fl.s 76 e seg.s e de fl.s 160 e seg.s dos autos, os dias em que o A. acedeu àquele serviço e se defrontou necessariamente com aquela informação.
Ao fornecer o número de telemóvel quando utilizava a página do C… Net contrariou recomendações de segurança disponibilizadas pelo R. quer no seu sítio na internet quer na página do referido serviço.
Logo, as al.s g) e h) transitam também para os facto provados:
«O A. contrariou as recomendações de segurança disponibilizada pelo R.»
e
«O A. acedeu a duas páginas com conteúdos de segurança com informações sobre os cuidados a ter com o telemóvel.»
Os factos provados passam a ser os seguintes:
01. O A. é titular único da conta pessoal à ordem n.º …………………., do balcão de …-… do C….
02. O Réu é uma sociedade que se dedica à atividade bancária.
03. O A. em 27.01.2000 aderiu ao C…/NET, através do contrato de adesão n.º ………..
04. O A. passou a ter a possibilidade de utilizar serviços com o banco via internet, nomeadamente:
- Aceder informação sobre produtos e serviços do Banco;
- Obter informações e realizar operações bancárias sobre contas de que o cliente seja titular.
05. Para o efeito, o Réu atribuiu ao A. um número de contrato e um código secreto, que, após o primeiro acesso feito pelo A., foi mudado, bem como um cartão matriz com coordenadas.
06. O serviço prestado pelo Réu é designado “Serviço de C1…”.
07. O A. passou a utilizar os Serviços do C… Net, a maioria das vezes para consultar o seu saldo e, em menor número, para fazer pagamentos e transferências bancárias.
08. O A. para o acesso à sua conta pessoal sempre utilizou e utiliza um computador pessoal, que se encontra na sua residência e devidamente protegido por anti-virus “AVG”, que estava instalado e ativo no ano de 2011 e que tem sido renovado sucessivamente.
09. O A. foi a única pessoa que teve acesso aos dados relativos ao Serviço C… NET e fornecidos pelo Réu, nomeadamente código secreto, password e elementos do cartão matriz.
10. Dados esses que não transmitiu a ninguém.
11. O A. a 5 de junho de 2011 acedeu à sua conta para efetuar uma transferência bancária, no valor de € 500,00.
12. Aquando dessa transferência, durante a operação, foi-lhe solicitado o número e modelo de telemóvel, com a indicação de que era para enviarem mensagem a confirmar a operação.
13. O A. indicou o número e modelo do seu telemóvel.
14. O A. recebeu no seu telemóvel uma mensagem com um código, que introduziu para confirmar a transferência de € 500,00, tendo a transferência sido efetuada.
15. Depois dessa data o A. não fez qualquer transferência da sua conta que implicasse o uso dos códigos pessoais, nomeadamente password e cartão matriz.
16. A 16 ou 17 de junho de 2011, o A. foi contactado telefonicamente por um funcionário do Banco C…, tendo-lhe sido perguntado se tinha dado autorização para as transferências feitas na sua conta à ordem a 14 e 15 de junho de 2011, no valor de € 4.980,00 e € 4.100,00, respetivamente.
17. Perante a resposta negativa dada pelo A. o mesmo foi informado que tinham havido diversas tentativas para entrar na sua conta e transferências, nomeadamente:
- A 14.06.2011, pelas:
- 12h03 houve um acesso à conta do A.;
- 12h04 foi validada a transferência de € 4.980,00;
- 12h45m tentativa de validação de transferência de € 4.200,00;
- 12h47m tentativa de validação da transferência de € 4.200,00;
- 14h tentativa de validação de transferência de € 4.200,00;
- 14h02m tentativa de validação de transferência de € 4.200,00;
- A 15.06.2011 pelas 10h45m tentativa de validação de transferência de € 4.200,00;
- Pelas 12h30m foi validada a transferência de € 4.100,00;
Depois que houve consulta de dados.
18. O A. informou a R. que não deu ordens para se efetuarem as duas transferências.
20. O referido contrato foi cancelado em 17.06.2011, às 10.10.
21. Perante o facto de terem sido feitas duas transferências na sua conta, sem sua autorização e conhecimento, apresentou na P.S.P. em 17.06.2011, queixa-crime contra desconhecidos, que deu origem ao Processo 983/11.5JAPRT, a correr termos no 1.º Juízo Criminal de Vila Nova de Famalicão.
22. O A. também reclamou pessoalmente junto do Réu, quer ao balcão da mesma em …, quer por carta, pela falta de segurança no sistema de C1…, utilizado pelo Réu, que deu azo a que um terceiro tivesse acedido à conta do A. e sem o seu consentimento e conhecimento tenha procedido às transferências de 14 e 15 de junho de 2011.
23. O A. solicitou ao Réu a reposição do montante das duas transferências, no valor global de € 9.080,00, o que não aconteceu.
24. O A. reclamou ainda junto do Banco de Portugal sobre a atuação do Réu.
25. Em resposta às reclamações feitas pessoalmente pelo A. junto do balcão em …, quer por escrito, respondeu-lhe o Réu dizendo, entre outras coisas, que não era responsável por qualquer falha do seu sistema de segurança.
26. Quanto ao serviço de C1…, prestado pelo Réu, esta assume que o “C… assegura a total segurança, integridade e inviolabilidade dos acessos e operações realizados através do Serviço, só podendo tal ser posto em causa em caso de utilização abusiva e fraudulenta dos dados de acesso e validação (em resultado da sua perda, furto, roubo ou divulgação não autorizada a terceiro)”.
27. No caso do A. e de outro cliente do C…, de nome G…, de acordo com a investigação feita no âmbito do inquérito do processo-crime, que deu origem a acusação, foi possível determinar a existência de um “esquema”, utilizado por um terceiro que aproveitando as vulnerabilidades dos sistemas informáticos, se aproveitou indevidamente do Autor e de outros clientes bancários.
28. Esquema que consistia em alguém infiltrar-se nos servidores dos computadores dos titulares das contas bancárias em sistema de C1…, ou banca online, por meio não concretamente apurado, permitindo-lhe recolher os dados confidenciais necessários às movimentações das contas bancárias, nomeadamente códigos ou passwords.
29. O A. foi enganado por um terceiro, que conseguiu que aquele lhe indicasse o seu número de telemóvel e a partir daí passou a ter acesso aos códigos e password necessárias para efetuar transferências.
30. O terceiro procedeu às duas transferências da conta do A., sem sua autorização e conhecimento.
31. O dinheiro dessas transferências foi depositado pelo terceiro numa conta que detinha no Banco C…, balcão de …, com o n.º ………............
32. O mesmo procedimento foi seguido para retirar dinheiro ao outro cliente do C… referido na acusação.
33. As quantias retiradas ao A. foram parceladas em duas tranches, uma vez que, por razões de segurança, o limite máximo diário e por transação através do Serviço C…/Net é de e € 5.000,00.
34. O terceiro que efetuou as duas transferências da conta do A., em junho de 2011 era cliente do C… e utilizador do C… Net.
35. O Réu já no dia 15 de junho de 2011 teve conhecimento de uma situação anómala na conta do A., ao constatar e registar que foi feita uma transferência e diversas tentativas para a realização de uma segunda transferência, que não foi conseguida.
36. Só após o dia 16 de junho de 2011 e depois da segunda transferência feita no dia 15 de junho de 2011 é que o Réu contactou o A. para saber se tinha sido ele a ordenar as transferências.
41. O A., em momento algum, cedeu diretamente a terceiros os seus códigos de acesso, nomeadamente password e os elementos do cartão matriz relativos à sua conta.
42. O A. ao longo do tempo que utilizou o C… Net, desde 2000 até 2011, teve sempre o cuidado de apenas aceder a esta conta on-line através do seu computador pessoal, protegido por antivírus e de não indicar os seus dados de acesso a terceiros, conforme recomendado pelo Réu.
43. Aquando da solicitação do seu número de telemóvel e modelo, no dia 6 de junho de 2011, o A. não estranhou, pois o pedido foi feito no decorrer da transferência que estava a efetuar e com a página do C… Net aberta, com o aparecimento de uma janela.
44. O A. vive angustiado desde junho de 2011 e preocupado em virtude de não poder usufruir do dinheiro que lhe foi subtraído da sua conta pessoal no valor de € 9.080,00.
45. Pelo tempo que despendeu e ainda depende na resolução do assunto, com deslocações várias ao balcão do Réu, na elaboração de reclamações e de até à presente data o Réu nada fazer para o reembolsar.
46. Em 5.04.2013 e a pedido do A. foi emitido um novo contrato de adesão ao Serviço C… Net, tendo o A. voltado a utilizar o referido serviço.
47. A descrição do Serviço C… Net consta da página do Banco C…, no seguinte endereço: http://www.bancoC....pt/pagina.asp?s=1&a=4&F=272&opt=f
“O C… Net é o Serviço de C1… do C…, destinado a Particulares, Empresários e Negócios que permite aceder ao Banco de uma forma simples e segura, através de um computado com ligação à internet, 24 horas por dia, 365 dias por ano.
É um serviço de fácil utilização, apresentando um conjunto de écrans extremamente simples que lhe permitem aceder às suas contas, aplicações e créditos e realizar um conjunto alargado de operações bancárias.
4 Razões para utilizar o C… Net:
Comodidade e Flexibilidade
Poderá aceder à sua Conta em qualquer parte do Mundo, 24 horas por dia, 365 dias por ano.
Facilidade e Rapidez
A partir da Internet, e de uma forma extremamente simples e rápida, tem acesso à sua Conta e poderá realizar um conjunto alargado de operações bancárias.
Preçário
A adesão ao C… Net é gratuita, beneficiando ainda de condições muito vantajosas na realização de algumas operações, comparativamente com qualquer Balcão C….
Segurança e Confidencialidade
O C… garante total segurança e confidencialidade nas operações efectuadas, utilizando a mais avançada tecnologia de protecção de dados, complementada com Chaves de Acesso e Cartão Pessoal de Coordenadas.
48. O folheto e o guia do utilizador do Serviço C… Net estão disponíveis através da mesma página do site Banco C…: http://www.bancoC....pt/pagina.asp?s=1&a=4&F=272&opt=f.
49. E as operações bancárias que podem ser efetuadas através do C… Net são indicadas na página: http://www.bancoC....pt/pagina.asp?s=1&a=4&F=272&opt=f
“O C… Net permite-lhe efetuar um vasto leque de operações bancárias, tais como:
Consultas de Saldos, Movimentos e NIB;
- Exportação de Movimentos para Excel;
- Transferências Nacionais e para o Estrangeiro;
- Criação de Lista de Beneficiários para Transferências;
- Pagamentos de Serviços (incluindo Carregamentos de telemóveis);
- Pagamentos ao Estado (IRS, IRS; IVA, Imposto de Selo, entre outros);
- Agenda de Pagamentos (com ou sem periodicidade);
- Avisos de Transferência e Pagamentos agendados por e-mail ou SMS;
- Requisição e Cancelamento de Cheques;
- Ativação, consulta de Extrato e Operações de Cartões;
- Aplicações Financeiras;
- Operações de Bolsa.
50. O Banco R. atribuiu ao A. Chaves de Acesso (Número de Adesão e Palavra-Chave), bem como mecanismos de autorização de operações.
51. As Chaves de Acesso são constituídas pelo Número de Adesão e a Palavra-Chave e são atribuídas aos Clientes através do Contrato de Adesão:
- Número de Adesão (constituído por 9 dígitos) – definido pelo Banco, através do seu registo apenas nas bases de dados centrais do Banco as quais estão protegidas contra acessos exteriores não autorizados;
- Palavra-Chave (Constituída por 5 Dígitos) – alterado obrigatoriamente pelo Cliente no primeiro acesso ao serviço, a qual não é do conhecimento do Banco nem dos seus colaboradores, ficando apenas a informação referente à mesma encriptada no servidor central do Banco, por forma a que a aplicação informática que controla e gere os acessos possa validar a introdução da palavra-chave correta.
52. Na data da adesão do A. ao C… Net o Cartão Pessoal de coordenadas constituía o único mecanismo de autorização de operações.
53. Em 22.01.2009 foi implementada a autorização por SMS.
54. Esta alteração foi comunicada da seguinte forma:
- Página de passagem obrigatória após o login a informar os Clientes sobre a Autorização por SMS, onde possa ser selecionado o número de telemóvel onde os clientes pretendem receber o SMS com o Código de Autorização e onde é indicado uma linha de apoio específica para esclarecimento de eventuais dúvidas;
- Página de passagem obrigatória após o login a informar os Clientes sobre a Autorização por SMS.
55. O link “Como funciona a Autorização por SMS?” remete para a página seguinte, que apresenta explicações adicionais sobre o mecanismo de Autorização por SMS.
56. Foi colocada notícia no C… Net e no sítio Banco C… (sítio institucional disponível para Clientes e Não Clientes), publicada em 22.01.2009.
57. O A. alterou a sua password no dia 27.01.2010 às 14:04:49.
58. A identificação de cliente para acesso ao Serviço C… Net processa-se através da indicação pelo mesmo do Número de Adesão, bem como do Código Secreto definido pelo Banco R. no momento da adesão e alterado obrigatoriamente pelo Cliente após o primeiro acesso efetuado através desse serviço.
59. Quanto aos mecanismos de autorização de operações, o Banco R. pode, a qualquer momento, condicionar a realização de operações através deste serviço obrigando à introdução de uma coordenada do Cartão Pessoal de Coordenadas ou de um Código de Autorização único e específico composto por 6 dígitos enviado pelo mesmo Banco por SMS (short message service) para o número de telemóvel previamente indicado pelo Cliente para o efeito.
60. O Cartão das Coordenadas é emitido independentemente do perfil de utilização do cliente, sob a forma de uma matriz de coordenadas sempre em nome de uma pessoa singular. O algoritmo que calcula e gera as respetivas coordenadas foi criado pelo Banco R. e é do conhecimento exclusivo do Banco sendo o mesmo igualmente utilizado pela aplicação informática para validar a coordenada introduzida pelo cliente, aquando da autorização de determinada operação ordenada através do serviço.
61. O Código de Autorização é único e especifico composto por 6 dígitos enviados pelo Banco por SMS (short message service) para o número de telemóvel previamente indicado pelo Cliente para o efeito. Trata-se de uma OTP (One Time Password, ou seja, é um código válido para autorizar a operação em causa) enviado para o número de telemóvel configurado pelo cliente. As mensagens enviadas para o telemóvel do cliente com códigos de autorização apresentam um resumo dos dados da operação a autorizar.
62. O Serviço de Autorização por SMS traduz-se num mecanismo de segurança implementado no C… Net para Autorização de Operações que consiste no envio de um Código de Autorização por SMS para o telemóvel do cliente no momento da realização de determinadas operações.
63. Com tal mecanismo, a autorização de algumas operações que afetam o património financeiro e que cumprem determinados critérios, como por exemplo o montante da transação, passa a ser realizada através da introdução de um Código de Autorização (6 dígitos), que será enviado através de um SMS gratuito, imediatamente após a introdução da informação da transação, para o número de telemóvel configurado pelos Clientes.
64. O SMS com o Código de Autorização é enviado para o N.º de Telemóvel configurado pelos clientes, sendo válido apenas para autorizar a operação em causa, apresentando um resumo dos dados da mesma.
65. Na configuração da Autorização por SMS, os clientes têm que indicar o número de telemóvel em que pretendem receber as mensagens com os Códigos de Autorização, podendo-o fazer através de:
- C… Net, mas apenas se já tiverem um número de telemóvel criado;
- N.º … … … (... … .. … .. .. a partir do estrangeiro) para ativar um número de telemóvel já existente no Banco R. ou se pretenderem alterar o número de telemóvel já criado ou registar um novo;
- Balcão do Banco R. para ativar um número de telemóvel já existente no Banco se pretenderem alterar número de telemóvel já criado ou registar um novo.
66. Quando os clientes anteriormente já forneceram ao Banco R. os seus números de telemóveis (através das suas agências), estes números ficam disponíveis para seleção pelos clientes diretamente através do sítio.
67. A lista de telemóveis que os clientes podem selecionar é disponibilizada de forma truncada, isto é, apenas o primeiro e os últimos 4 números são visíveis.
68. A configuração do número de telemóvel associado à autorização por SMS não exige, nem nunca exigiu, o preenchimento por parte do cliente de qualquer informação relativa ao telefone, nomeadamente marca ou modelo, apenas a indicação do número pretendido, o que só é possível caso tenha sido previamente registado no Banco R.
69. O A. tinha anteriormente facultado o seu número de telemóvel, pelo que foi possível configurar a Autorização por SMS através do C… Net.
70. Em 29.03.2009, às 15:55:01, o A. acedeu ao C… Net.
71. No mesmo acesso, às 15:55, o A. acedeu à página informativa, que explicava a existência do serviço de autorização por SMS e que prestava esclarecimentos sobre a respetiva configuração e funcionamento.
72. O A. configurou o mecanismo de Autorização por SMS em 29.09.2009 às 15:55:37, tendo selecionado o número de telemóvel ………, que naquela data já constava da lista dos seus contactos no Banco R.
73. Este número foi apresentado ao A. de forma truncada (………..) e o mesmo apenas procedeu à respetiva seleção (clicando sobre o número) e confirmou através do Botão “Confirmar”.
74. Em seguida, o A. recebeu no telemóvel por sio indicado a seguinte mensagem de confirmação de ativação do serviço de autorização por SMS: “C… Net, 29 Mar 15h55 – Este número foi associado ao serviço de Autorização por SMS. Para qualquer questão contacte ………”.
75. A utilização do serviço C… Net, por parte do A., consta dos documentos em anexo, que contém:
- Número de transações concretizadas através do Serviço C… Directo/Net desde a data da adesão (exclui acessos e movimentos não reconhecidos pelo A.).
- Detalhe das consultas efetuadas e
- Detalhe das operações efetuadas.
76. Através de averiguações efetuadas pelo Banco foi apurada a conta titulada pelo Chamado, D…, cuja análise permitiu identificar que as transferências da conta do A. haviam sido creditadas na conta daquele beneficiário.
77. O perfil de acesso ao C… Net do A. foi alterado, apenas para consultas em 16/06/2011 às 18:34:34, deixando de ser possível a realização de operações.
78. Em seguida foi alertado o Balcão do Banco R. de … – … a solicitar a confirmação junto do A. da movimentação verificada.
79. Dado que o A. não reconheceu a movimentação realizada na sua conta, foi aconselhado a contactar a linha de apoio do C… (Linha divulgada no C… Net para reportar situações de segurança).
80. Foram realizados dois contactos telefónicos realizados com a Linha de Atendimento do Banco R., que ficaram gravados digitalmente.
81. O A. contactou a Linha de Apoio do Banco R. no dia 17 de Junho de 2011 às 9h47.
82. Durante tal chamada, em síntese:
- O A. informou não reconhecer duas transferências realizadas a débito da sua conta, uma de € 4.980 e outra de € 4.100.
- A operadora informou o A, que as duas operações foram realizadas através do C… Net, em 14 e 15 de Junho de 2011.
- A operadora questionou o A. se, ao tentar aceder ao C… Net, teria recentemente verificado algum pedido da totalidade de coordenadas do Cartão Pessoal de Coordenadas ou de preenchimento de algum n.º telemóvel, marca ou modelo. O A. indicou que no dia em que acedeu ao Serviço para efetuar uma transferência de € 500,00 (05/06/2011) teria facultado o número de telemóvel.
- O A. questionou a operadora se se trataria de uma utilização fraudulenta e se seria possível recuperar os fundos, ao que operadora responde que a situação será alvo de análise.
- O A. foi aconselhado a apresentar uma queixa junto das autoridades para reportar os movimentos não reconhecidos.
- Foram confirmados quais os acessos e movimentos que o A. não reconhecia.
O A. informou que o último acesso que tinha realizado ocorreu no dia 05/06/2011.
- Foi solicitado ao A. que, após apresentação da queixa, se deslocasse ao balcão para entregar uma cópia do documento entregue pelas autoridades.
- Foi indicado ao A. para não aceder a outros serviços de C1… (outros Bancos) e contactar essas instituições de crédito, enquanto não estivessem garantidas as condições de segurança do seu computador;
- A operadora informou o A. que o seu acesso ao C… Net ira ser de imediato cancelado.
83. O cancelamento do contrato ocorreu em 17.06.2011 às 10:19:43, após confirmação com o A. dos acessos e movimentos.
84. Em 20.06.2011 às 12:56 o A. voltou a contactar a linha de atendimento do Banco R. para saber se já existia alguma novidade relativamente à situação anteriormente reportada, tendo a operadora confirmado ao A. que o acesso se encontrava cancelado e aconselhou-o a contactar o Balcão de domicílio da conta, para saber informação atualizada do processo.
85. No dia 5.06.2011 às 23:19:03.247 foi realizado um acesso ao Serviço C… Net com os códigos do A. que o mesmo reconhece ter efetuado.
86. Neste acesso aos Serviços C… Net, que foi realizada através do IP: ............., H…; PAIS: PORTUGAL, ocorreram os seguintes movimentos:
05/06/2011 23:19:10.620 Consulta Saldos Aceite C… Net
05/06/2011 23:24:53.290 Consulta de Movimentos Aceite C… Net
05/06/2011 23:26:57.450 Validação de Transferências Rejeitada* C… Net
05/06/2011 23:27:11.650 Autorização Pedido Aceite C… Net
05/06/2011 23:27:56.433 Autorização resposta Aceite C… Net
05/06/2011 23:27:56.847 Transferências Planos e Agendas Aceite C… Net
05/06/2011 23:28:40.920 Consulta de Movimentos Aceite C… Net
05/06/2011 23:29:50.500 Posição Integrada Aceite C… Net
05/06/2011 23:30:09.000 … – C1… Aceite C… Net
87. A transação “Validação de Transferências” corresponde à página de preenchimento dos dados da transferência e apresenta o estado “Rejeitada” porque a hora limite para aquele processamento naquele dia já tinha sido ultrapassada (17h).
88. O A. registou a transferência às 23:26:57.450 de 05/06/2011, pelo que esta só seria executada no dia útil seguinte e o montante da transferência apenas ficaria refletido no saldo e nos movimentos da conta nesse dia.
89. Por este motivo, foi apresentada ao A. uma mensagem que questionava se pretendia continuar ou se pretendia anular a transferência ou alterar a data do processamento.
90. O A. confirmou que pretendia continuar e a transferência foi executada no dia útil seguinte, ou seja 06.06.2011.
91. A transferência registada no dia 05/06/2011 às 23:27:56.847, foi uma transferência interbancária a favor do NIB …. …. ………… do I… no montante de € 500,00, a débito da conta .-………......., titulada pelo A.
92. A transferência foi autorizada com código enviado por SMS para o telemóvel do A. e ficou agendada para o dia útil seguinte.
93. Foi enviado SMS com código de autorização para o telemóvel do A. (………) às 23:27:12, com o seguinte conteúdo:
“C… Net, 05 Jun às 23h27 Montante: 500,00 EUR Operação: Transferência p/Conta …………………. Código Autorização: ……”.
94. O Código de Autorização enviado para o telemóvel do A. foi introduzido às 23:23:56, tendo a operação sido registada.
95. Após o acesso do dia 05.06.2011 às 23:19:247, foram realizados oito acessos aceites ao serviço C… Net com os códigos do A., os quais o mesmo não confirmou.
96. No acesso ao Serviço C… Net que ocorreu no dia 08/06/2011 ao 12:30:42 foi realizada uma tentativa de transferência a favor de uma conta do C…, titulada por J…, que não foi concretizada porque o código para autorização da operação não foi introduzido.
97. Foi enviado SMS com código de autorização para o telemóvel do A. (………) às 12:32:21, com o seguinte conteúdo:
“C… Net, 08 jun às 12h32 Montante: 4910,00 EUR Operação: Transferência p/Conta .-………… Código de Autorização: ……”.
98. Nos dias 14 e 15 de junho de 2011 foram realizados cinco acessos ao serviço C… Net com os códigos do A., os quais o mesmo não reconhece.
99. No acesso ao Serviço C… Net que ocorreu no dia 14.06.2011 pelas 12:03:10 foi realizada uma transferência a favor de uma conta no Banco R., titulada por D…, autorizada com código enviado por SMS para o pretenso telemóvel do A. e foi concretizada.
100. Foi enviado SMS com código de autorização para o telemóvel do A. (………) às 12:04:19 com o seguinte conteúdo:
“C… Net, 14 Jun às 12h04 Montante: 4980,00 EUR Operação: Transferência p/Conta .-………… Código de Autorização: ……”.
101. O código de autorização enviado para o telemóvel do A. foi introduzido no C… Net às 12:05:03.
102. Após validação automática deste código, ou seja, correspondendo ao código enviado para o telemóvel do A. para autorização desta operação específica, a operação foi processada às 12:05:04.
103. Em 14.06.2011 pelas 12:46:12 foi feita uma tentativa de transferência no valor € 4.200,00 a favor da conta crédito .-……………. no Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
104. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respetiva autorização (coordenada ou código enviado por SMS).
105. Em 14.06.2011, pelas 12:47:37 foi efetuada nova tentativa de transferência do montante de € 4.200,00 a favor da mesma conta no Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
106. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respetiva autorização (coordenada ou código enviado por SMS).
107. Em 14.06.2011, pelas 14:00:54 foi efetuada nova tentativa de transferência de montante de € 4.200,00 a favor da mesma conta do Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
108. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respetiva autorização (coordenada ou código enviado por SMS).
109. Em 14.06.2011, pelas 14:02:00 foi efetuada nova tentativa de transferência de montante de € 4.200,00 a favor da mesma conta do Banco R., titulada por D…, que não foi concretizada, por exceder o limite máximo diário.
110. Uma vez que a realização desta última operação não era permitida atendendo ao montante, não foi pedida a respetiva autorização (coordenada ou código enviado por SMS).
111. No acesso ao Serviço C… Net que ocorreu no dia 15.06.2011, pelas 12:30:31 foi efetuada uma transferência no valor de € 4.100,00, a favor da mesma conta no Banco R., titulada por D…, a qual foi autorizada com código enviado por SMS para o telemóvel do A. e foi concretizada.
112. O código de autorização, enviado para o pretenso telemóvel do A., foi introduzido no C… Net às 12:33:16.
113. Após validação automática deste código a operação foi processada às 12:33:17.
114. O beneficiário das transferências provenientes da conta do A. é C…, titular da conta n.º .-………......, aberta em 18/05/2011, no Balcão do Banco R. de … - ….
115. D…, nos dias 14 e 15 de junho de 2011, recebeu duas as transferências realizadas através do Serviço C… Net.
116. Os Fundos foram movimentados através de levantamentos avulso no Balcão de … - …, que ocorreram nas datas dos respetivos créditos, bem como através de dois levantamentos em ATM, tendo então tal conta ficado com saldo residual.
117. Foram infrutíferos os contactos do Banco com o Chamado no sentido do esclarecimento da situação.
118. Durante a operação, o A. deparou-se com um pedido para preencher o número de telemóvel e o modelo.
119. A página que lhe solicitava o preenchimento do número de telemóvel e marca era uma página falsa, com o objetivo de capturar a informação solicitada para posterior utilização fraudulenta.
120. O Banco R. tem vindo a publicar recomendações de segurança, sob a forma de notícias nos sítios C… Net, C… Net Empresas e Banco C…, “…”, página de passagens obrigatória após o login, páginas de confirmação de operações no C… Net e ….
121. A proteção contra acessos exteriores não autorizados é efetuada pela tecnologia mais atual.
122. No sítio da internet do Banco C… foram publicadas no ano de 2009 explicações mais detalhadas e repostas a possíveis questões sobre a Autorização por SMS.
123. No início do ano de 2009, foi enviado um e-mail à generalidade dos utilizadores do C… Net.
124. A situação em análise foi identificada no seguimento de um alerta de um outro cliente do Banco R.
125. O A. não recebeu os códigos de autorização por SMS no telemóvel que previamente tinha configurado para a autorização de operações por SMS através do sistema C… Net nos dias 14 e 15 de junho de 2011, por terem sido desviados para terceiros em virtude de ter fornecido o seu número e modelo do seu telemóvel nas referidas circunstâncias do dia 5 de junho de 2011.
126. O A. contrariou as recomendações de segurança disponibilizada pelo R.
127. O A. acedeu a duas páginas com conteúdos de segurança com informações sobre os cuidados a ter com o telemóvel.
*
A matéria não provada passa a ser a seguinte:a) O Réu sempre teve conhecimento e acesso às movimentações na conta da A. referidas em 17.
b) O Réu suspeitou dessas operações e podia ter suspendido/bloqueado o serviço C…/NET.
c) O Réu optou por telefonar ao A. já depois das transferências feitas.
d) Teve de ser o A. a pedir para cancelarem o serviço da net, após o contacto telefónico por parte do banco.
*
A responsabilidade da R. Banco C…, S.A.Vejamos então se, em razão dos factos provados, é de imputar ao Banco R. qualquer responsabilidade; ou melhor, se nesta questão a sentença recorrida se afastou das boas regras da hermenêutica jurídica ao afirmar tal responsabilidade, condenando o demandado.
A generalidade das relações travadas entre o Banco e um seu cliente inicia-se pela abertura de uma conta (contrato de abertura de conta) de que este fica titular, quase sempre uma conta de depósito na qual é creditado o valor dos depósitos efetuados pelo cliente ou por terceiros, ou financiado pelo Banco, e debitado o valor de levantamentos feitos pelo cliente ou de pagamentos ou transferências efetuadas por sua ordem.
Pelo depósito bancário (contrato diferente do anterior, mas com ele conexo) o cliente ou um terceiro entregam ao Banco uma quantia para crédito duma conta. Não corresponde ao típico contrato de depósito previsto nos art.ºs 1185º e seg.s do Código Civil, porque transfere para o Banco a propriedade da quantia depositada, ficando o titular da conta com apenas um direito de crédito sobre o Banco. É um negócio indireto usualmente designado como “deposito irregular” que se traduz numa manipulação do tipo do depósito para fins que lhe não são típicos, mas que permite alcançar. O objeto do depósito bancário é fungível (artigo 1205º do Código Civil)[8].
O depósito bancário é hoje regulado, em geral, pelo Decreto-lei nº 430/91, de 2 de novembro, alterado pelo Decreto-lei nº 88/2008, de 29 de maio. Sem que ali dê definição de depósito bancário, o respetivo art.º 1º estabelece as modalidades de depósito possíveis nas disponibilidades monetárias nas instituições de crédito.
São aplicáveis ao depósito bancário, por força do art.º 1206° do Código Civil, as disposições relativas ao mútuo, designadamente a obrigação de restituição do tantundem eiusdem generis (art.º 1142° do mesmo código), mais os juros, quando convencionados, e a transferência da propriedade sobre as espécies monetárias pelo facto da entrega (art.º 1144° também do Código Civil). Corre, por isso, por conta do banco o risco relativo à subtração dessas espécies monetárias, a partir do momento em que são entregues.[9] Embora se conheçam posições divergentes, a jurisprudência maioritária segue esta tese.[10]
Como se refere no citado acórdão do Supremo Tribunal de Justiça de 10.11.2011, “através do acto de depósito o tradens aceita transferir para a esfera de “domínio (propriedade) do accipiens o risco sobre a gestão da quantia que transferiu, sendo que a partir desse momento se alheia da responsabilidade quanto ao uso e fruição, por transferência para a esfera de responsabilidade do depositário. Cabe ao depositário, enquanto proprietário da coisa transferida responder pelo risco de extravio ou dissipação da coisa até ao montante exigível no momento da solicitação da restituição”.
Sendo assim, o risco inerente à conta do cliente, o risco relacionado com a obrigação de restituir coisa do mesmo género e qualidade, não pode deixar de correr por conta do banqueiro. Como refere o art.º 796º, nº 1, do Código Civil, nos contratos que importem a transferência do domínio sobre certa coisa ou que constituam ou transfiram um direito real sobre ela, o perecimento ou deterioração da coisa por causa não imputável ao alienante corre por conta do adquirente. Mais atendendo aos art.ºs 540º, 799º, nº 1, 1144º, 1185º, 1205º e 1206º e 1161º, al. e), todos do Código Civil, é ao Banco que cabe o ónus da elisão da presunção legal que sobre ele impende, demonstrando a culpa do cliente depositante na não restituição do dinheiro.
Seguindo de perto a doutrina citada no acórdão da Relação de Lisboa de 24.5.2012[11], mesmo para Maria Raquel Guimarães[12], que defende que prefere considerar o contrato de depósito bancário mais próximo do contrato de mandato, “sempre que o banco debite na conta do seu cliente uma determinada quantia sem a autorização deste último, o seu cliente manter-se-á credor do montante debitado. E este princípio vale não só para os montantes debitados em virtude de erro do sistema ou de uma qualquer anomalia técnica, mas também para aquelas situações de actuação fraudulenta de um terceiro, quando essa atuação não seja imputável a ato ou a omissão do cliente do Banco.
A instituição bancária não pode liberar-se da sua obrigação de restituição dos fundos “depositados” se a ordem de pagamento emana de um terceiro. O cumprimento feito a terceiro não extingue a obrigação do credor nos termos da nossa lei civil e, apesar das ordens de pagamento dadas através de um terminal eletrónico por um terceiro serem eventualmente acompanhadas da introdução de um cartão de débito e da correta marcação do PIN no respectivo teclado da máquina, criando-se, portanto, a aparência do direito de crédito do “depositante”, não se pode esquecer a irrelevância atribuída pelo legislador português ao cumprimento efetuado ao credor aparente, com a consequente possibilidade de o solvens repetir a prestação, estando, no entanto, obrigado a efectuar nova prestação perante o verdadeiro credor.”.
Estando na base da discórdia entre o A. e o R. a transferências de duas determinadas quantias de uma conta de depósito daquele para um terceiro é do papel do Banco R. que cuidamos.
O Banco não é alheio às transferências financeiras que operam através das suas agências e está também obrigado a regras de conduta previstas na lei que aprova o Regime Geral das Instituições de Crédito e Sociedades Financeiras, definido pelo Decreto-lei nº 298/92, de 31 de dezembro, com alterações sucessivas (as últimas foram operadas pelas Leis nº 16/2015, de 24 de fevereiro e nº 23-A/2015, de 26 de março) e de cujas normas, em particular dos art.ºs 73º a 77º, resultam deveres funcionais que se traduzem, nomeadamente, em assegurar aos clientes, em todas as atividades que exercem, elevados níveis de competência técnica, criação de condições apropriadas de qualidade e eficiência, de diligência, neutralidade, lealdade, discrição e respeito consciencioso dos interesses que lhes são confiados, informação aos clientes sobre as condições em que prestam os seus serviços, de diligência própria do gestor criterioso e ordenado de acordo com o princípio da segurança das aplicações, tendo em conta o interesse dos depositantes e dos clientes em geral.
Todavia, a observância destas regras de conduta não pode significar um entrave ao desenvolvimento e aperfeiçoamento da prática bancária, em permanente evolução, face às progressivas exigências da economia e dos mercados, e aos objetivos de desenvolvimento da sociedade de informação e do comércio jurídico. Há como que um compromisso entre o Banco e cada cliente, a que a lei não é alheia, no sentido do aperfeiçoamento e desenvolvimento da atividade bancária, com prestação de um serviço cada vez melhor, designadamente pela capacidade de resposta rápida e eficiente, sem prejuízo dos deveres de informação, de lealdade, diligência, transparência e tudo o mais que é inerente a uma relação de confiança e honestidade recíprocas.
Concretizando tais objetivos, assistimos hoje à exploração de novas ferramentas bancárias, nomeadamente on-line, como necessidade de responder aos níveis de exigência dos clientes (pelo menos de alguns deles) e que têm relevado como fator de concorrência entre os diversos Bancos Comerciais, contribuindo para uma espiral de aperfeiçoamento da capacidade de resposta bancária em benefício da clientela e onde se inclui o “Serviço C… Net” da R., manifestação típica do chamado C1…, figura bem distinta do depósito e que não é imposto pelo Banco, antes constitui uma faculdade de utilização pelo cliente mediante a adesão a um contrato, seja ao balcão, seja on-line, de onde constam condições de utilização que o cliente aceita, sem o que não pode beneficiar da inerente ferramenta Web. Pelo C1… podem ser adquiridos serviços, realizadas consultas e operações bancárias, relativamente às contas de que se seja o único titular ou cotitular em regime de solidariedade, e que possa livremente movimentar, utilizando para o efeito, canais telemáticos. É sabido que através deste serviço, o aderente faz, de um modo mais cómodo, designadamente, transferência de valores depositados em contas de que é titular para outras contas suas ou de terceiros, incluindo contas sediadas noutras instituições de crédito.
Concordando ainda com a doutrina citada no referido acórdão da Relação de Lisboa, este “novo” contrato insere-se numa relação negocial complexa iniciada através de um contrato de abertura de conta, e da constituição de depósitos de quantias em conta por parte do titular, numa verdadeira coligação de contratos, em que há certa dependência entre os contratos coligados --- substancialmente correlacionados entre si --- criada pela relação de motivação que os afeta, sem que porém esse nexo destrua a sua individualidade.[13]
O cliente obriga-se a cumprir determinadas condições de segurança na utilização daquele serviço, designadamente a manter em segredo absoluto o código de utilizador, password e outros elementos, tais como as coordenadas do cartão matriz e os códigos de autorização por SMS que utiliza para aceder ao serviço e proceder a transferências bancárias, pagamentos e outras operações, conforme, aliás, ficou provado no caso que nos ocupa (cf. desde logo a cláusula 5.2 do contrato de adesão ao serviço C… Net, junto com a contestação).
O secretismo daqueles dados e a sua correta utilização quando são solicitados por meios telemáticos para autenticação na página Web do Banco servidor são condições indispensáveis à proteção da conta e do interesse do cliente. Tanto o protocolo da página bancária, como o movimento de toda a informação nela processada --- o que inclui as sobreditas senhas de acesso --- são encriptadas, tornando quase impossível um terceiro obter ou alterar a informação depois de enviada. O uso do sistema em espaço aberto (fora da rede controlada pelo Banco), através de meios informáticos como computadores e telemóveis usados fora da vigilância do Banco, acarreta risco acrescido de fraude e o dever especial do servidor de prestar informação de modo a preveni-la, pelo menos quanto nas suas formas mais comuns. A propósito, Raquel Sofia Ribeiro Lima[14], refere que a divulgação de avisos/alertas na página inicial do serviço de banca eletrónica, que terão de ser fechados para introduzir os dados pessoais de acesso, será uma forma de cumprir esta obrigação de informação e cita o acórdão da Relação de Guimarães de 25.11.2013, de onde resulta que a entidade prestadora do serviço cumpre este dever, mesmo antes de existir estas mensagens de alerta, ao colocar num menu do site “toda a informação disponível sobre segurança, que os utentes têm o dever de consultar, para prevenirem fraudes”.
A criptografia, apanágio deste sistema, por si só, não elimina a possibilidade de ataques informáticos por hackers e a interceção das senhas enquanto estão a ser digitadas, vulgo keylogging. Nesta modalidade, o acesso é obtido pela quebra de segurança do sistema controlado pelo banco, havendo a interceção das senhas enquanto estão a ser digitadas.
Sabido que vão sendo criadas e exploradas novas formas de fishing e de pharming (uma e outra consubstanciam também fraude informática) na ação criativa dos hackers para acesso fraudulento às contas dos beneficiários do serviço C1…, os Bancos, à medida que as vão conhecendo, têm vindo a facultar informações nas suas páginas web sobre procedimentos a adotar ou a omitir pelos clientes para prevenir a fraude e os prejuízos que dela emergem.
Já a cláusula 6.ª do contrato de adesão se nos afigura abusiva ao estabelecer que “o Banco não será, em caso algum, responsável pelos prejuízos derivados de erros de transmissão, deficiências técnicas, interferências ou desconexões ocorridas por via e no âmbito dos sistemas de comunicação utilizados para a prestação do Serviço”.
É, no mínimo, duvidosa a sua validade à luz do Regime Geral das Cláusulas Contratuais Gerais, aprovado pelo Decreto-Lei n.° 446/85, de 25 de outubro --- sucessivamente alterado pelo Decreto-Lei n.º 220/95, de 31 de outubro, pelo Decreto-Lei n.º 220/95, de 31 de agosto, pelo Decreto-Lei n.º 249/99, de 7 de julho e pelo Decreto-Lei n.º 323/2001, de 17 de dezembro --- pela alteração abusiva das regras de repartição do ónus da prova, em prejuízo do consumidor aderente (art.ºs 20º e 21º, al. f) daquele Regime Geral), face à extrema dificuldade da prova que assim seria imposta ao consumidor colocado perante o funcionamento de um sistema informático complexo, que não domina e que constitui uma opção técnica da entidade bancária.
Ensina Menezes Cordeiro[15] que, “na presença dum acordo entre o banqueiro e o seu cliente ou, de modo mais lato, perante vínculos obrigacionais específicos, a simples falta do resultado normativamente prefigurado implica presunções de ilicitude, de culpa e de causalidade. Competirá, pois, ao devedor inadimplente apresentar alguma causa de extinção de obrigação ou de justificação do inadimplemento. Já se estivermos perante a inobservância de deveres genéricos, tudo fica nas mãos do prejudicado que deverá provar os diversos pressupostos de responsabilidade civil”.
De um modo geral, deve, nos serviços C1…, imperar a regra geral do art.º 799º, nº 1, do Código Civil, recaindo sobre o Banco depositário o ónus da prova de que a falta de cumprimento ou o cumprimento defeituoso da obrigação correspondente à transferência ou pagamento abusivo de valores em conta de depósito através daquele serviço não procede de culpa sua, mas do cliente, pois que os perigos de falha do sistema informático utilizado não podem ser, sem mais, imputados ao último e têm de correr por contado do Banco, desde logo ao abrigo do art.º 796º, nº 1, do Código Civil e do art.º 68º, nº 1, al. a), do Decreto-lei nº 317/2009, de 30 de outubro[16], segundo o qual “o prestador de serviços de pagamento que emite um instrumento de pagamento tem as seguintes obrigações: a) Assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior”.
De acordo com o precedente art.º 67º, nº 1, al. a) e nº 2, relativo às obrigações do utilizador do serviço, este tem como obrigação, entre outras, “utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização”, devendo “tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados”.
Assim, se houver uma utilização normal, adequada e conforme às regras de utilização previstas, todo o risco de fraude corre por conta do Banco, pois que foi esta entidade prestadora do serviço que o implementou, o colocou em funcionamento, o mantém e o faculta, de acordo com o seu critério de interesses interesse, limitando-se os clientes a aderir a ele nas condições predefinida pelo mesmo servidor.
O ordenante deve suportar todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67.º (art.º 72º, nº 2)
Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 150,00, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva (art.º 72º, nº 3, do mesmo decreto-lei).
Não se provando qualquer culpa do ordenante na efetivação da operação, o Banco servidor deve assumir a responsabilidade pelo reembolso das quantias objeto de transferências não autorizadas, por força do artigo 72º, nº 1, ainda do Decreto-lei nº 317/2009, tal como provinha já da responsabilidade contratual geral, nos termos do art.º 796º, nº 1, do Código Civil).
Portanto, no caso de apropriação abusiva do IP com quebra da confidencialidade imputável ao titular, este responderá por prejuízos até € 150,00, respondendo acima deste valor quando atue com negligência grave ou, por todos os prejuízos, se agir de forma fraudulenta ou em incumprimento deliberado dos seus deveres, nos termos n.° 2 e 3 do referido art.º 72º.[17]
A prova de que o cliente agiu com negligência grave ou violou deliberadamente alguma das suas obrigações cabe, nos termos do art.º 70.°, à entidade prestadora do serviço.
Retomemos o caso concreto, chamando à colação os factos mais relevantes.
- O A. cliente nunca transmitiu conscientemente a ninguém dados relativos ao Serviço C… Net, fornecidos pelo R., nomeadamente código secreto, password, elementos do cartão matriz relativos à conta e códigos SMS.
- Porém, quando, no dia 5.6.2011, acedeu normalmente à sua conta através do serviço C… Net para efetuar uma transferência bancária, durante a operação, com a página aberta, foi-lhe solicitado, numa janela que se abriu, o número e modelo de telemóvel, com a indicação de que era para enviarem mensagem a confirmar a operação. Com base nessa solicitação, o A. fez ali constar a informação solicitada. Nessa ocasião, recebeu uma mensagem no seu telemóvel com um código que introduziu para confirmar a transferência então ordenada.
- Depois daquela data o A. não fez qualquer transferência da sua conta que implicasse o uso dos códigos pessoais, nomeadamente password, cartão matriz ou autorização por SMS.
- No dia 14.6.2011, pelas 12h03m, houve um acesso à sua conta através daquele serviço Web e, cerca de 1 minuto depois foi validada uma transferência no valor de € 4.980,00. Ainda se seguiram 5 tentativas de novas validações de transferência, mas sem êxito, porque o sistema não permitia levantamento diário superior a € 5.000,00.
- Porém, no dia seguinte, um novo acesso à conta pela mesma via permitiu a validação de uma transferência de € 4.100,00.
- Um terceiro infiltrou-se no servidor do computador do A. e recolheu dados confidenciais necessários às movimentações das contas bancárias, nomeadamente códigos e passwords. Embora se desconheça exatamente como agiu, conhecemos uma parte essencial da sua ação: enganou o A., conseguindo que lhe indicasse o número e modelo do seu telemóvel na data da referida operação de 5 de junho, com o que logrou aceder aos seus dados mais confidenciais de acesso e fazer, mais tarde, as duas referidas transferências para uma conta do próprio hacker, também cliente do C…, sem intervenção do demandante ou do computador por ele utilizado, que nada autorizou nem conheceu.
- O A. não recebeu os códigos de autorização por SMS no telemóvel que previamente tinha configurado para a autorização de operações por SMS através do sistema C… Net nos dias 14 e 15 de junho de 2011, por terem sido desviados para terceiros em virtude da infeção anterior pelo fornecimento do número e modelo do seu telemóvel nas referidas circunstâncias do dia 5 de junho de 2011.
- Foi com utilização de dados secretos corretos que aquelas duas transferências se consumaram, depois daqueles terem sido automaticamente reconhecidos pelo sistema informático do Banco.
- Em junho de 2011 já havia sido implementado o sistema de validação das operações transferência e de pagamento através de autorização por SMS (em prática desde 22.1.2009) e o A., que a ele aderiu, era já servido do C… Net desde janeiro de 2000.
- No dia 29.3.2009, o A. acedeu ao C… Net e, nele, a uma página informativa que explicava a existência do serviço de autorização por SMS e que prestava esclarecimentos sobre a respetiva configuração e funcionamento. Fez essa configuração em 29.9.2009, selecionando o número de telemóvel que nessa data já constava dos serviços do Banco R.
- A página que, no dia 5.6.2011, solicitava o preenchimento do número e marca ou modelo do telemóvel do A. era uma página falsa, com o objetivo de capturar a informação solicitada para posterior utilização fraudulenta.
- O Banco R. tem vindo a publicar recomendações de segurança, sob a forma de notícias nos sítios C… Net, C… Net Empresas e Banco C…, “…”, página de passagens obrigatórias após o login, páginas de confirmação de operações no C… Net e ….
- A proteção contra acessos exteriores não autorizados é efetuada pela tecnologia mais atual.
- No sítio da internet do Banco C… foram publicadas no ano de 2009 explicações mais detalhadas e repostas a possíveis questões sobre a Autorização por SMS e, no início do ano de 2009, foi enviado um e-mail à generalidade dos utilizadores do C… Net.
- O A. acedeu a duas páginas com conteúdos de segurança com informações sobre os cuidados a ter com o telemóvel e contrariou recomendações de segurança disponibilizadas pelo R.
Prosseguindo…
O A. foi vítima de pharming e não de fishing, porquanto não resulta dos autos que lhe tivessem sido sacados os códigos pessoais através de qualquer mensagem de correio eletrónico do tipo spam.
O pharming é uma modalidade de fraude pela qual o utilizador é redirecionado pelo programa de navegação (browser) instalado no seu computador para uma página falsa, em tudo semelhante à verdadeira, quando digitaliza o endereço correto do serviço de banca on-line. Esta modalidade pode ser dirigida, não só a um computador pessoal mas a um servidor DNS (Domain Name System), sendo apelidado de “DNS poisoning”. Neste caso, será atingido um enorme número de utilizadores que digitem o endereço (URL) correto da página de C1…, que automaticamente, por alteração do endereço armazenado no DNS, são redirecionados para a página falsa.[18] É, no essencial, o acesso direto a uma página que, sendo falsa, se pensa ser verdadeira, que carateriza o pharming.
Assim aconteceu. O A. forneceu dados do seu telemóvel numa janela que se abriu enquanto executava uma operação de transferência no sítio autêntico do serviço C… Net. Essa janela abriu-se no momento em que executava a transferência e foi-lhe apresentada como condição de conclusão da operação. Nada aparentava tratar-se de uma página diferente e o A. convenceu-se de que também aquela solicitação era genuína.
O cidadão comum, colocado naquela situação, facilmente cairia no logro, convencido de que não lhe estavam a ser pedidos mais do que elementos de referência comum de telemóvel praticamente acessíveis a toda a gente. Os números de telemóveis circulam entre amigos, conhecidos e outros interessados; são concebidos para realizar chamadas telefónicas e estão necessariamente em poder de outras pessoas. Para se ficar a saber a marca e o modelo de cada telemóvel basta, em grande parte dos casos, senão na maioria deles, olhar para o equipamento em qualquer circunstância.
Não é rigorosamente cindível o que constitui o sistema informático interno do Banco servidor e o conjunto do sistema que permite a utilização do serviço C1…, já que aquele conta necessariamente com os meios de acesso que os clientes têm que utilizar, como sejam computadores e telemóveis. Sendo estes indispensáveis, o serviço depende de todos eles. A ação fraudulenta aproveita-se não apenas da debilidade dos terminais que o cliente utiliza e da maior ou menor ingenuidade de cada um, mas também das insuficiências que ainda vão persistindo no sistema informático bancário para a prevenir e eliminar. Não obstante saber-se que as novas tecnologias têm contribuído para melhorar progressivamente o seu funcionamento, é do conhecimento geral o surgimento de novas formas de contaminação dos serviços de C1… por fishing e pharming, surpreendendo os servidores e os clientes nas mais diversas ocasiões.
Estão, por isso, os prestadores do serviço adstritos a prestar de forma apelativa e clara, pelas formas mais adequadas, especialmente na própria página do serviço, através de caixas que o cliente deve fechar para prosseguir na ação desejada, as informações necessárias a prevenir o logro de cada um. Não basta avisar que há fraude no serviço C1…; deve ser explicitada cada uma das formas utilizadas pelos hackers e o modo como o cliente deve evitar o engano.
O cliente não deve ser surpreendido com uma forma nova e desconhecida de intrusão e recolha abusiva e eficaz de dados, sem revelação de códigos pessoais e outros elementos secretos, se o Banco já a conhecia e não a anunciou adequadamente na página do serviço ao longo do tempo em que é sabido estar a ser utilizada por hackers.
A prevenção do prejuízo emergente daquele tipo de ações é uma campanha que compete aos Bancos realizar de modo a que chegue rápido e eficazmente aos seus clientes de C1….
No caso, o A. para o acesso à sua conta pessoal sempre utilizou e utiliza um computador pessoal devidamente protegido por anti-virus “AVG”, que estava instalado e ativo no ano de 2011 e que tem sido renovado sucessivamente.
Resulta evidente dos factos provados que o A. não agiu deliberadamente em prejuízo do R. e que forneceu os referidos dados convencido de que o fazia a pedido do C… Net para concluir a operação de transferência. A sua solicitação surgiu dissimulada no momento da operação e, aparentemente, no âmbito da página daquele servidor.
Poderia e deveria o A. ter evitado fornecer aqueles dados?
Poderia ter contactado imediatamente o C… Net ou simplesmente não ter fornecido aqueles dados e tentar concluir a operação sem os introduzir, verificando depois se a transferência se consumara. Não o fez.
E deveria ter agido daquela forma?
Está provado que a modernidade da tecnologia utilizada pelo Banco não elimina os perigos. Por isso mesmo o Banco faz campanhas de prevenção na matéria.
Está provado que no sítio da internet do Banco C… foram publicadas no ano de 2009 explicações mais detalhadas e respostas a possíveis questões sobre a Autorização por SMS. Mas não está provado o teor dessa informação.
Está provado que no início do ano de 2009, foi enviado um e-mail à generalidade dos utilizadores do C… Net. Mas não está provado o teor dessa informação.
Está provado que o Banco R. tem vindo a publicar recomendações de segurança, sob a forma de notícias nos sítios C… Net, C… Net Empresas e Banco C…, “…” naquelas páginas de passagens obrigatória após o login, páginas de confirmação de operações no C… Net e …. Mas não está provado o teor dessa informação.
Está provado, desta feita, de um modo mais especificado, que o A. acedeu a duas páginas com conteúdos de segurança com informações sobre os cuidados a ter com o telemóvel, mas continuamos sem facto provado relativamente ao que fossem esses cuidados. Ainda que possamos entender que se revelam, por exemplo, no “…” de fl.s 160, desconhecemos o número de vezes que o A. se colocou em condições de a poder visualizar. E se isso aconteceu vários meses antes da data da fraude, não constitui aviso suficiente a evitar que o cidadão comum aponha os dados solicitados nas circunstâncias em que o A. o fez.
A informação que, verdadeiramente, permanece na memória do utilizador medianamente avisado é a de que não devem ser facultados a terceiros os códigos e outros elementos secretos de acesso à conta e às operações do C1…, escapando-lhe as mais variadas formas de tais elementos poderem ser desviados através do fornecimento de informação tão simples e banal como o número de telemóvel e a sua marca ou modelo, para mais solicitada no decorrer da operação e como condição da sua conclusão.
Não consta que o A. fosse uma pessoa com especiais conhecimentos de informática ou que fosse um experiente navegador, designadamente, na página do C… Net. Beneficiava do serviço há cerca de 11 anos e dele fazia uma utilização normal com consultas e algumas operações de transferência e pagamento que só correram mal no ano de 2011.
Não há negligência grave ou grosseira do A., no sentido de falta indesculpável, que só uma pessoa especialmente negligente, descuidada e incauta deixaria de observar. A falta de cuidado usada pelo A. não vai além da culpa leve ou mesmo levíssima, já que se prevê que os deveres de cuidado omitidos poderiam sê-lo por grande número de utilizadores, porventura a maior parte face ao modo como lhe surgiu o pedido de simples e vulgares dados, se não tivessem tido a oportunidade de ler, em tempo útil, informação detalhada sobre o dever de não serem fornecidos aqueles dados do telemóvel, como pode ter acontecido com o demandante em condições de a poder observar na ocasião.
Temos para nós que os factos provados revelam que o A. agiu com culpa leve ou levíssima. É pouco para fazer recair sobre ele toda a responsabilidade pelos prejuízos resultantes da viciação.
Só a violação deliberada do dever de sigilo dos dados pessoais e intransmissíveis ou a negligência grosseira do A. permitiriam o afastamento da responsabilidade o Banco.[19]
A técnica de pharming é mais difícil de ser detetada do que o fishing. Com ela, as páginas fraudulentas são muitas vezes iguais às páginas do banco e identificadas como ligações seguras, pelo que, a censura que se possa atribuir ao utilizar poderá ser aqui bem diferente da que se exerce nas situações de fishing.
A imputação de quebra de confidencialidade referida no nº 1 do citado art.º 72º é a que se faz a título de culpa leve ou risco. Como dissemos já, em tais situações este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de € 150,00.
Na parte em que o comportamento do titular não merece censura, deve ser o Banco a suportar os prejuízos que decorrem das operações abusivas, pois que a ele cabe diligenciar pela fiabilidade do serviço que presta --- quanto mais não fosse, através de informação forte e imediatamente apreensível pelo A. em circunstâncias de lhe ser exigível à data de 5 de junho de 2011 que não fornecesse os dados do telemóvel ---, suportando o risco do sistema de C1… não ser absolutamente seguro e permitir a intromissão de terceiros.
O R. deve responder pelos danos patrimoniais causados em tudo quanto está para além de € 150,00 relativamente a cada uma das duas operações efetuadas em dias diferentes. Ou seja, à quantia de € 9.080,00 fixada na 1ª instância a título de danos patrimoniais deve ser abatido o montante de € 300,00, ficando aquela reduzida ao valor indemnizatório de € 8.780,00.
Em tudo o mais, quanto a esta questão, a sentença merece confirmação.
*
3. Os danos não patrimoniaisO R. Banco considera exagerado o montante da indemnização fixado na sentença a título de danos não patrimoniais (a quantia de € 1.500.00).
A indemnização por danos não patrimoniais deve ser fixada de forma equilibrada e ponderada, atendendo em qualquer caso (quer haja dolo ou mera culpa do lesante) ao grau de culpabilidade do ofensor, à situação económica deste e do lesado e demais circunstâncias do caso. Como dizem Pires de Lima e Antunes Varela[20] “o montante de indemnização deve ser proporcionado à gravidade do dano, tomando em conta na sua fixação todas as regras de boa prudência, de bom senso prático, de justa medida das coisas de criteriosa ponderação da realidade da vida”, sem esquecer a natureza mista da reparação, pois visa-se reparar o dano e também punir a conduta.
Trata-se de prejuízos de natureza infungível, em que, por isso, não é possível uma reintegração por equivalente, mas tão-só um almejo de compensação que proporcione ao beneficiário certas satisfações decorrentes da utilização do dinheiro.
Assim, o montante da indemnização deve ser fixado equitativamente pelo tribunal (art.º 496º, nº 3, do Código Civil), através de adequado e equilibrado critério de justiça material e concreta.
Como temos vindo a entender, o valor de uma indemnização neste âmbito, deve visar compensar realmente o lesado pelo mal causado, donde resulta que o valor da indemnização deve ter um alcance significativo e não ser meramente simbólico. Para constituir uma efetiva possibilidade compensatória, tem que ser significativa[21], mas também tem que ser justificada e equilibrada; não pode constituir um enriquecimento ilegítimo e imoral.
A apreciação da gravidade do referido dano, embora tenha de assentar no circunstancialismo concreto envolvente, deve operar sob um critério objetivo, num quadro de exclusão, tanto quanto possível, da subjetividade inerente a alguma particular sensibilidade humana.
Não é de ânimo leve que o titular de uma conta bancária assiste ao desaparecimento injustificado de € 9.080,00, ficando numa situação em que sempre teria de admitir não vir a recuperar esse valor; dúvida que persistia à data da citação para a ação. Para além disso, viu-se na necessidade de praticar um conjunto de ações burocráticas para tentar recuperar o dinheiro, designadamente reclamações junto do Banco e da Polícia, para o que teve que se informar o melhor possível da complexidade do caso, com a consequente perturbação do normal exercício da sua vida diária. Não admira, pois a prova de que o A. viva angustiado e preocupado desde junho de 2011 por lhe ter sido subtraída a referida quantia e pelo dispêndio de tempo na resolução do assunto, com várias deslocações ao balcão do R. sem que tivesse obtido qualquer reembolso.
A quantia fixada na 1ª instância ajusta-se à compensação relativa àqueles danos não patrimoniais sofridos, não podendo considerar-se excessiva.
Em todo o caso, já observámos que o A. também contribuiu, com negligência leve ou levíssima para a produção dos factos danosos. Nessa medida, é responsável pelo dano sofrido, sem que para aqui se preveja qualquer limite pecuniário até ao qual deva suportar o prejuízo, ao contrário do que acontece com a aplicação da doutrina do art.º 72º, nº 1, do Decreto-lei nº 317/2009, de 30 de outubro.
Tudo ponderado, considerando a contribuição da culpa do A., temos como equilibrado reduzir a indemnização por danos morais para a quantia de € 1.200,00.
Nesta decorrência, procede parcialmente a apelação.
*
V.
SUMÁRIO (art.º 663º, nº 7, do Código de Processo Civil):V.
1- A complexidade dos sistemas bancários C1…, concebidos e controlados pelos Bancos, assim como a grande exigência dos mecanismos relacionados com a segurança das operações bancárias através deles realizadas, a par da propriedade do banco sobre os valores depositados pelos seus clientes, em ambiente contratual, justificam o funcionamento da regra da presunção de culpa prevista pelos art.ºs 796º e 799º, nº 1, do Código Civil que recai sobre a entidade bancária na responsabilidade pela utilização fraudulenta daqueles meios e das regras estabelecidas no art.º 72º, nºs 1, 2 e 3, do Decreto-lei nº 317/2009, de 30 de outubro.
2- Em todo o caso, o banco pode ilidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers.
3- Provada apenas a culpa leve ou levíssima do cliente, a responsabilidade deste pelo desaparecimento do valor em conta deve ser limitada ao € 150,00 por cada transferência, nas condições enunciadas no nº 1 do referido art.º 72º, ficando Banco responsável pela reposição do valor restante.
4- No dano não patrimonial sofrido e indemnizável deve ser considerado, para efeitos de fixação da indemnização, a medida da culpa do lesado, cumprindo ao Banco responder na medida da sua culpa.
*
VI.
Pelo exposto, acorda-se nesta Relação em julgar a apelação parcialmente procedente e, em consequência, quanto aos danos:VI.
1. Patrimoniais, reduz-se a indemnização para a quantia de € 8.780,00;
2. Não patrimoniais, reduz-se a indemnização para a quantia de € 1.200,00.
*
Custas da apelação pela apelante e pelo apelado na proporção do decaimento.*
Porto, 13 de outubro de 2016Filipe Caroço
Judite Pires
Aristides Rodrigues de Almeida
_________
[1] Diploma a que pertencem todas as disposições legais que se citarem sem menção de origem.
[2] Por transcrição.
[3] Por transcrição.
[4] Recursos no Novo Código de Processo Civil, 2013, Almedina, pág. 224 e 225.
[5] Sob o título “Os Ónus da Alegação e da Prova, em Geral …”, Colectânea de Jurisprudência, Ano VII, T I, pág. 19.
[6] “Provas – Direito Probatório Material”, BMJ 110/82 e 171.
[7] Só mais tarde, depois dos factos aqui em causa, o C… passou a exigir para operações acima de determinado valor a cumulação do sistema de coordenadas com o sistema de autorização por código via SMS.
[8] Pedro Pais de Vasconcelos, Direito Comercial, Almedina, vol. I, 2011, pág. 222.
[9] Luís Manuel Menezes Leitão, Contratos em Especial, Almedina, Vol. III, 2010, pág. 503, citando Menezes Cordeiro, Manual de Direito Bancário, pág. 349.
[10] Acórdãos do Supremo Tribunal de Justiça, de 2.03.1999, Colectânea de Jurisprudência do Supremo, Tomo I, págs. 133 e134, de 4.4.2006, proc. 06A579, in www.dgsi.pt e de 10.11.2011, proc. 1182/09.1TVLSB.S1.L1, in www.dgsi.pt.
[11] Proc. 2119/11.8YIPRT.L1-2, in www.dgsi.pt.
[12] “As Transferências Electrónicas de Fundos e os Cartões de Crédito, Almedina, 1999, pág. 233.
[13] A. Varela, Das Obrigações em Geral, vol. I, 10ª edição, Almedina 2003, pág.s 202-284.
[14] A RESPONSABILIDADE PELA UTILIZAÇÃO ABUSIVA ON-LINE DE INSTRUMENTOS DE PAGAMENTO ELETRÓNICO NA JURISPRUDÊNCIA PORTUGUESA, U. Porto, https://repositorio-aberto.up.pt/bitstream/10216/83561/2/36809.pdf.
[15] Manual de Direito Bancário, pág. 363.
[16] Transpôs para a nossa ordem jurídica o novo enquadramento comunitário em matéria de serviços de pagamentos e da moeda eletrónica, principalmente a Diretiva 2007/64/CE do Parlamento Europeu e do Conselho de 13 de novembro.
[17] Raquel Lima, ob. cit., pág. 47.
[18] Raquel Ribeiro Lima, ob. cit., pág. 34, citando Maria Raquel Guimarães.
[19] V.d. acórdão do Supremo Tribunal de Justiça de 18.12.2013, proc. 6479/09.8TBBRG.G1.S1, in www.dgsi.pt.
[20] Código Civil anotado, volume 1º, 4ª edição, pág. 501.
[21] Cf. acórdão do S.T.J. de 11.10.1994, BMJ 440/449 e, das Relações, acórdãos da Relação de Lisboa de 13.2.1997, Colectânea de Jurisprudência, Tomo I, pág. 123.