Acórdão do Tribunal da Relação do Porto
| 225/12.6TJVNF.P1 |  |
PRESUNÇÃO DE CULPA DO BANCO
FRAUDE INFORMÁTICA
II – Incumbe ao Banco, enquanto depositário ilidir a presunção de culpa pelo perecimento de quantias cujo domínio lhe foi transferido por via contratual, ainda que a causa do perecimento resulte de acessos fraudulentos aos meios de movimentação de contas bancárias que disponibiliza aos seus clientes.
III – Não age com culpa o depositante que por via de uma fraude informática levada a efeito por terceiros, na convicção que estava na página on line do Banco/homebanking, introduziu numa página colonada da internet do Banco, as suas certificações, pessoais e intransmissíveis, que abusivamente vieram a ser utilizadas no acesso, por terceiros, à conta de que era titular.
Vila Nova de Famalicão
Acordam no Tribunal da Relação do Porto:
Recorrente: B…, S.A.
Recorrido: C….
I – A tramitação na 1ª instância.
1. C…, solteiro, maior, residente na Rua …, nº .., em Vila Nova de Famalicão, instaurou contra B…, S.A., com sede na …, .., Porto, acção declarativa com processo sumário.
Em síntese alegou que:
É cliente do Banco réu, neste dispondo de uma conta bancária desde 23/1/2003, a qual pode movimentar designadamente via internet, por utilização do sistema “homebanking”.
No dia 3/3/2011, pelas 14 ou 15 horas, desapareceu da sua conta o valor de € 4.912,09, a qual foi transferida para um cliente do Banco réu sem o seu conhecimento e contra a sua vontade.
A quantia em causa destinava-se a pagar a segunda prestação de um contrato-promessa para aquisição de uma fracção autónoma de um prédio e por falta deste pagamento o promitente vendedor resolveu o contrato e fez sua a quantia de € 5.000,00 que o A. lhe havia já entregue a titulo de sinal cifrando-se o seu prejuízo na soma desta quantia com o valor da transferência ilícita.
No mesmo dia 3/3/2011, a empresa D…, Ldª foi alvo de um saque idêntico, embora com valores bem mais elevados, numa conta bancária que só o A. movimentava e o respectivo Banco já repôs o valor retirado da mesma.
Conclui pedindo a condenação do Réu no pagamento da quantia de € 9.912,09, acrescida de juros.
Contestou o Réu defendendo, em síntese, que a transferência reportada pelo A. foi concretizada com os códigos para acesso e movimentação da conta deste, os quais são pessoais e intransmissíveis e foram inadvertidamente facultados pelo A. a terceiros, segundo declarações do próprio A.
O A. descurou regras de segurança e cuidado essenciais na utilização do serviço B… Net, por meios a que o R. é totalmente alheio e não poderia evitar, razão pela qual o pedido do A. não merece proceder.
Concluiu pela improcedência da acção e provocou a intervenção de E… para o auxiliar da defesa, na qualidade de titular da conta para a qual foi concretizada a transferência.
Admitida a intervenção e citado o chamado não contestou.
2. Foi proferido despacho saneador e dispensada a selecção da matéria de facto.
Teve lugar a audiência de discussão e julgamento, sem reclamações foi proferido despacho que respondeu à matéria de facto e depois proferida sentença, em cujo dispositivo se consignou:
“(…) julgo a presente acção parcialmente procedente e, em consequência, condeno a R. “B…; S.A.” a pagar ao A. C… a quantia de 4912,09 €, acrescido de juros mora, à taxa legal, vencidos desde a citação até integral pagamento.
As custas ficam a cargo do A. e da R. na proporção do respectivo decaimento (art. 446º, nºs. 1 e 2, do CPC).”
II – O recurso.
1. Argumentos das partes:
É desta sentença que o Réu inconformado interpôs o presente recurso, exarando as seguintes conclusões que se transcrevem:
“1. Com todo o respeito pela decisão proferida pelo Tribunal a quo, o Banco ora apelante entende que a sentença em análise fez incorrecta interpretação e aplicação do direito aos factos em discussão nos presentes autos.
2. A sentença recorrida imputa ao Banco R. a responsabilidade pelo pagamento da quantia de € 4.912,09, correspondente ao valor da transferência fraudulentamente efetuada por terceiros através do serviço de homebanking B… Net.
3. O Tribunal a quo sustenta esta decisão no entendimento de que o Banco R. não cumpriu cabalmente os deveres de informação que se lhe impunham e não ilidiu a presunção de culpa prevista pelo art. 799º do CC, correndo ainda por conta do Banco o risco de acessos fraudulentos, nos termos do disposto no art. 796º, nº 1 do CC, pois não se teria provado que o seu cliente, ora A., fez uma utilização imprudente do serviço de homebanking.
4. O B… Net é um serviço de homebanking prestado pelo Banco R. através do qual o cliente tem a possibilidade de efectuar diversas operações bancárias via internet, nomeadamente, consultas, pagamentos e transferências.
5. Ao aceder pela primeira vez ao serviço “B… Net”, o cliente deverá utilizar as chaves de acesso indicadas no seu contrato de adesão, a saber: número de adesão (constituído por 9 dígitos) e código secreto (constituído por 5 dígitos).
6. Estas chaves são pessoais e intransmissíveis, como resulta do aludido contrato de adesão.
7. Para autenticação do acesso ao serviço de homebanking, é indispensável a introdução de dados pessoais individualizados (chaves de acesso), que permitem a identificação do cliente e que são encriptados no momento de envio através da Internet. As chaves de acesso são definidas no momento da adesão, sendo obrigatória a alteração do código secreto no momento do primeiro acesso.
8. Contrariamente à conclusão do Tribunal a quo, não só está demonstrado nos autos que o Banco apelante cumpriu cabalmente os deveres de informação que lhe incumbiam, como está provada também, no entender do ora apelante, a atuação imprudente, descuidada e negligente do A., que viabilizou, de per si, a concretização da transferência em discussão na presente lide.
9. Desde logo, a conduta dos clientes / utilizadores do serviço B… Net é determinante para um funcionamento seguro e fiável do mesmo, pelo que é sempre exigível e necessária a leitura das normas de segurança e uma atuação conforme com essas mesmas normas.
10. A divulgação da informação tida por relevante pelo Tribunal a quo é e foi efetuada pelo Banco na própria área de acesso ao serviço “B… Net”, no local e no momento em que um qualquer cliente utiliza o serviço, precisamente através dos “banners” a que o Tribunal a quo alude.
11. Os avisos (banners) que aparecerem ao abrir a página do serviço “B… Net” e que têm de ser fechados pelo cliente para conseguir prosseguir o procedimento de acesso ao próprio serviço – são um dos meios de divulgação e publicitação das referidas recomendações sobre o acesso e utilização dos serviços do “B… Net” dentro da área de acesso e no momento em que o cliente acede ao serviço.
12. Qualquer cliente, incluindo o ora A., ao aceder ao serviço “B… Net”, é confrontado com os ditos “banners” (avisos) que terá de fechar necessariamente para conseguir registar o seu acesso, introduzindo o seu Número / Nome de Adesão e Código Secreto. Ou seja, “são obrigados” pelo próprio serviço “B… Net” – na área de acesso – a ler tais avisos e recomendações!
13. Tal matéria de facto está dada como provada nos autos no ponto 22. dos Factos Provados, a que acresce toda a informação prestada e divulgada pelo Banco apelante, dada como provada nos pontos 20., 21. e 23. dos Factos Provados.
14. Improcede assim a conclusão do Tribunal quanto ao incumprimento do dever de informação pelo Banco.
15. Acresce que, estão dados como provados os seguintes factos:
- o A. exerce funções como director financeiro da empresa “D…, Lda.” (ponto 43. dos Factos Provados);
- o A. utiliza o serviço de homebanking desde o dia 23.01.2003 (ponto 24. dos Factos Provados);
- o A. configurou o serviço de autorização por SMS em 17.02.2009, tendo selecionado o número de telemóvel ………, que o próprio tinha anteriormente fornecido ao Banco (ponto 26. dos Factos Provados) e, desde esta data, utilizou o serviço “B… Net” com autorização SMS (ponto 27. dos Factos Provados);
- as regras de acesso ao “B… Net” não sofreram qualquer alteração desde o ano de 2009 (ponto 38. dos Factos Provados);
- No acesso e utilização do “B… Net” nunca é solicitado o número de telemóvel dos clientes ou outros elementos que não o número de adesão e código de acesso (ponto 34. dos Factos Provados) e de igual forma, nunca foi solicitado pelo Banco aos clientes, incluindo o A., que descarregassem quaisquer programas ou aplicações informáticas para os respetivos telemóveis de forma a acederem ao serviço “B… Net” (ponto 35. dos Factos Provados).
16. Assim, se as instituições de crédito, como o ora apelante, estão obrigadas a assegurar elevados níveis de segurança e competência técnica nas operações realizadas através do serviço de homebanking, implementando medidas de segurança nos seus sistemas informáticos e de comunicações, os seus clientes, por seu turno, estão obrigados a cumprir regras de segurança na utilização daquele serviço, designadamente, a manter em segredo as suas chaves de acesso ao serviço (à semelhança do que já se vem praticando há mais tempo com os cartões de débito e de crédito e respetivos “PIN”).
17. O cumprimento de tais regras por parte do cliente é imprescindível para que o serviço de homebanking funcione nas condições de segurança implementadas pelo Banco.
18. O A., pelas funções profissionais que exerce – diretor financeiro de uma empresa - e pela frequente utilização do serviço de homebanking “B… Net”, tinha a obrigação de conhecer as regras de segurança na utilização do serviço “B… Net”, designadamente a não divulgação dos códigos e “passwords” de acesso nem de informação pessoal nunca solicitada por aquele serviço de homebanking (vide pontos 34., 35. e 38. dos Factos Provados).
19. Está provado nos autos que:
“28 – No dia 3-3-2011, pelas 14:14:02, após acesso, por pessoa não concretamente determinada, ao serviço “homebanking” com os códigos para acesso e movimentação do serviço fornecidos ao A:, foi efectuada uma tentativa de transferência da conta do A., no valor de 4.912,87 €, a favor de uma conta no “B…”, que não foi concretizada porque o código enviado via SMS para autorização da operação não foi introduzido.
29 – Nesse mesmo dia, pelas 14:18:59 horas, foi enviada pelo Banco uma SMS para o telemóvel do A. com o código de autorização para a referida transferência de 4.912,09 €.
30 – O referido código enviado para o telemóvel indicado pelo A. foi introduzido por pessoa não concretamente apurada às 14:19:59.
31 – Às 14:19:50 horas, foi concretizada a transferência interna dos aludidos 4.912,09 € para a conta de E….
32 – Cerca de um mês antes do aludido dia 3.3.2011, o A. facultou o seu número de telemóvel, a respectiva marca e o modelo, ao tentar aceder ao serviço “B… Net”.
33 – Uns dias antes do referido dia 3.3.2011, o A. recebeu uma mensagem no telemóvel supostamente enviada pelo Banco R., a indicar que, para realizar operações no serviço “B… NET” teria que descarregar uma aplicação para o telefone, tendo o A. actuado em conformidade com esse pedido.
36 – Em momento não concretamente apurado, o A. acedeu, inadvertidamente, a uma página de internet fraudulenta, e não à pagina do serviço “B… net” do Banco R..
37 – Nessa altura, o A. forneceu os seus códigos de acesso ao serviço “homebanking”, bem como o seu número de telemóvel, marca e modelo.
41 – O A. forneceu a terceiros, nos moldes acima descritos em 37), inadvertidamente, as credenciais para acesso e movimentação da sua conta através do “B… Net”.(sublinhados nossos).
20. Com todo o respeito, os factos provados acima elencados demonstram que o A. violou regras de segurança essenciais na utilização do serviço B… Net, designadamente a divulgação na Internet das suas credenciais pessoais e intransmissíveis, a disponibilização do número e marca do seu telemóvel, bem como o descarregamento de aplicações informáticas no seu telemóvel para um pretenso acesso ao serviço do B… Net.
21. O A. nunca contactou o Banco apelante no sentido de confirmar ou infirmar tais procedimentos.
22. Convém salientar que, no dia 03.03.2011, previamente à concretização da transferência fraudulenta às 14:19:50, no valor de € 4.912,09, foi efetuada uma primeira tentativa de transferência às 14:14:03, no montante de € 4.912,87 “(…) que não foi concretizada porque o código enviado via SMS para autorização da operação não foi introduzido.”
23. O A. recebeu o aludido SMS no seu telemóvel – com o código de autorização e os elementos de identificação da operação: “B… Net, 03 Mar às 14h14 Montante: 4912,87 EUR Operação: Transferencia p/ Conta .-…………. Código de Autorização: …….” – e apesar de não ter acedido ao serviço B… Net para realizar tal transferência, NADA FEZ!
24. Tais factos encontram-se assentes e resultam da fundamentação da decisão sobre a matéria de facto (cfr. Acta da audiência de leitura de resposta à matéria incluída nos articulados realizada no dia 29.05.2013), citada no corpo da presente alegação e para a qual se remete e aqui se dá por integralmente reproduzida, por razões de economia processual.
25. A mais elementar prudência, por referência ao critério do “homo diligentissimus ou bónus pater familias” – ou nas palavras da decisão sob recurso, as regras de segurança que “(…) segundo um padrão de normalidade, o comum utilizador da Internet sabe que devem ser observadas (…)”, impunha que o A. tivesse efetuado um contacto prévio com o ora apelante no sentido de apurar a razão do envio de tal SMS.
26. A mais elementar prudência, por referência aos aludidos critérios, impunha que o A. tivesse efetuado um contacto prévio com o ora apelante no sentido de confirmar, ou infirmar, a necessidade de introduzir dados pessoais novos, até então nunca solicitados, para aceder ao serviço B… Net.
27. De realçar que os três acessos verificados no dia 03.03.2011, identificados nos pontos 28., 29., 30. e 31. dos Factos Provados, foram concretizados com os códigos pessoais para acesso e movimentação do serviço do cliente C…, ora A. Estes códigos são pessoais e intransmissíveis.
28. O A. descurou regras de segurança essenciais e foi imprudente na utilização do serviço “B… Net”, pois forneceu elementos nunca solicitados por este serviço e negligenciou o cumprimento de regras de segurança que o comum dos utilizadores da Internet sabe que deve observar.
29. O A. introduziu o número, marca e modelo do seu telemóvel numa página que não era do serviço do B… Net, descarregou uma aplicação no telemóvel, sem nunca ter contactado previamente o Banco, recebeu um SMS com um código de autorização de transferência e, sabendo que não estava a utilizar o serviço de homebanking, não cuidou de verificar o que se tratava…
30. Assim, não foi uma qualquer “vulnerabilidade” do serviço de homebanking do ora apelante que viabilizou a concretização da transferência em causa nos autos.
31. O Tribunal a quo concluiu que “o serviço de “homebanking” do Banco é vulnerável, pois o sistema utilizado não conseguiu impedir o acesso fraudulento de terceiros.” E reforça tal conclusão com o facto de “o serviço disponibilizado pelo Banco depender da utilização de telemóvel, o que significa estar dependente de um serviço cuja segurança não pode garantir pois é prestado por entidades cuja actividade não controla.”
32. Com todo o respeito, o acesso fraudulento a terceiros do serviço de homebanking foi disponibilizado pelo próprio A., que forneceu as suas credenciais pessoais, facultou o seu número e modelo de telemóvel e descarregou neste uma aplicação informática.
33. O A. descurou regras de segurança e cuidado essenciais na utilização do serviço do B… Net, ao fornecer elementos pessoais nunca antes solicitados pelo serviço e ao permitir a instalação de um programa fraudulento no seu telemóvel, também nunca solicitado pelo B… Net, comportamentos claramente contrários às boas práticas e recomendações há muito conhecidas e divulgadas pelo Banco B….
34. Podia ter contactado o ora apelante previamente à disponibilização de tais dados, através da linha telefónica disponibilizada para o efeito, mas não o fez.
35. A falta de cuidado do A., a sua censurável inadvertência, ao disponibilizar as suas credenciais secretas de acesso ao B… Net e o seu número e modelo de telemóvel, conduz à prova da sua culpa, elidindo a culpa presumida do ora apelante.
36. O A. contribuiu de forma decisiva para a produção do alegado dano, existindo, por essa razão, culpa do lesado, nos termos e para os efeitos previstos pelo art. 570º do CC.
37. Com todo o respeito pela decisão recorrida, atenta a factualidade apurada terá de concluir-se que a divulgação dos dados pessoais e confidenciais pelo A., nos termos em que ocorreram e estão provados nos autos, viabilizaram a concretização da transferência fraudulenta, afastando–se assim a presunção de culpa que recai sobre o apelante, nos termos previstos pelo art. 799º do CC.
38. De igual forma, a factualidade provada nos autos determina, ainda, que a divulgação de dados pessoais pelo A. traduz uma conduta imprudente, descuidada e censurável, situação que afasta o risco da previsão do art. 796º do CC.
39. O risco da instituição de crédito a que se alude na sentença recorrida é o que resulta de uma utilização adequada, cuidada e diligente do serviço de homebanking, o que não ocorreu no caso sub judice, como ficou demonstrado nos autos.
40. Como, aliás, se decidiu no Acórdão do Tribunal da Relação de Guimarães de 23.10.2012, proferido no processo 305/09.5TBCBT.G1, citado no corpo da presente alegação, citação que aqui se dá por integralmente reproduzida, transcrevendo–se apenas o respetivo sumário:
“1- A complexidade dos sistemas bancários home banking, concebidos e controlados pelos Bancos, assim como a grande exigência dos mecanismos relacionados com a segurança das operações bancárias através deles realizadas, a par da propriedade do banco sobre os valores depositados pelos seus clientes, em ambiente contratual, justificam o funcionamento da regra da presunção de culpa prevista pelo art.º 799º, nº 1, do Código Civil, que recai sobre a entidade bancária na responsabilidade pela utilização fraudulenta daqueles meios.
2- Em todo o caso, o banco pode elidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers.
3- No primeiro caso, o Banco pode ainda ser responsabilizado pelo risco, enquanto na segunda hipótese a responsabilidade é do cliente.”
41. Face ao exposto na presente alegação, deverá a decisão recorrida ser revogada, por enfermar de vícios graves, designadamente, por incorrecta interpretação e aplicação do direito aos factos provados nos presentes autos, designadamente os arts. 570º, 796º, 798º e 799º do CC.
42. E, em conformidade, deverá a decisão proferida pelo Tribunal a quo ser substituída por outra que absolva totalmente o Banco apelante dos pedidos, com todas as consequências legais.
Termos em que,
- Deverão V. Exas. conceder provimento ao presente recurso, revogando-se a decisão recorrida, de acordo com as precedentes conclusões, como é de inteira Justiça!”[1]
Respondeu o A. defendendo a manutenção da decisão recorrida.
Admitido o recurso e facultados os vistos legais, cumpre apreciar e decidir.
2. Objecto do recurso.
Considerando as conclusões da motivação do recurso importa decidir se o A. descurou regras de segurança causais da transferência fraudulenta
3. Fundamentação.
3.1. Factos provados.
Por ausência de impugnação, os factos que importa considerar são os julgados provados pela decisão recorrida e que são os seguintes:
1 - Em 23-1-2003, o A. abriu uma conta na agência/balcão de …, Guimarães, da R. “B…, S.A.”, a que foi atribuído o nº .-…………...
2 - Tal conta foi transferida para a agência/balcão de …, VN de Famalicão, do “B…”, e, em 30-7-2011, foi a mesma conta transferida para a agência/balcão de …, VN de Famalicão, do “B…”.
3 - Esta conta sempre foi acompanhada pelo gerente de conta do B…, F….
4 - Desde a data da abertura da conta até ao dia 2-3-2011, nunca existiu nenhum queixa do A. ou contra o A. por alguma irregularidade na indicada conta bancária.
5 - Na sequência da abertura da referida conta, foi atribuído ao A. um cartão multibanco e um cartão de crédito.
6 - Foi-lhe ainda concedida a possibilidade de movimentar a indicada conta via “Internet”, através do serviço “B… Net”/sistema de “homebanking” de particulares, através do contrato constante de fls. 77 e segs., tendo o A. aí aposto a sua assinatura em 23-1-2003.
7 - No dia 2-3-2011, o A. tinha disponíveis 2 803,92 € na indicada conta do “B…”.
8 - No dia 3-3-2011, entrou, por transferência para a aludida conta, o montante de 3 000 €.
9 - Para movimentar a aludida conta através de sistema de “homebanking”, era necessário que o A. introduzisse, no “site” do “B…”, um código de acesso e um número de adesão.
10 – Sem que o A. desse qualquer autorização ou ordem de pagamento/transferência de qualquer tipo, a quem quer que seja, para levantar a indicada quantia, e sem que retirasse ele próprio qualquer quantia da indicada conta, sem que utilizasse a “internet” para fazer qualquer transferência bancária ou outra operação mesmo género, no dia 3-3-2011, entre as 14:00 e as 15:00 horas da tarde, foi retirado da aludida conta o montante de 4912,09 €.
11 – Tal montante foi transferido para uma conta do mesmo “B…”, aberta na agência de …, com o nº ……………, titulada por E….
12 – O referido E…, às 14:31:30 do dia 3-3-2011, procedeu ao levantamento daquele montante, através de cheque avulso.
13 – Para realização da referida operação de transferência, o A. teria de a confirmar através da introdução de um código que lhe seria remetido pelo “B…” para o seu telemóvel.
14 – À hora em que a referida transferência ocorreu, o A. encontrava-se numa reunião na empresa “D…, Lda.”, sua entidade patronal.
15 – O A. participou criminalmente às autoridades policiais a realização da mencionada transferência bancária.
16 – No dia 3-3-2011, o A. deu conhecimento à R., através de linha telefónica de apoio a clientes do “B…”, dos factos acima referidos relativos à mencionada transferência.
17 – O A. não conhece o aludido E… nem nunca teve com o mesmo qualquer negócio.
18 – Em 29-3-2011, o A., através do escrito de fls. 17, solicitou à R. a devolução do montante de 4912,09 €.
19 – Até ao dia 3-3-2011, o A. utilizou sempre o serviço “homebanking” nos computadores da empresa “D…, Lda.”
20 – O serviço “B… Net” e o respectivo folheto e guia do utilizador vêm divulgados no sítio electrónico do Banco R., aqui incluindo as informações sobre o acesso e a utilização desse serviço e as operações bancárias disponíveis.
21 – O Banco R. procede, no seu sítio electrónico, à divulgação de recomendações e informações de segurança sobre a utilização do sistema “homebanking”, designadamente, quanto ao “reforço da segurança dos seus serviços através da utilização de cartão pessoal de coordenadas ou da autorização por SMS”, bem como advertindo os clientes que “Nunca deverá facultar a terceiros ao seu cartão pessoal de coordenadas”.
22 – O Banco R., através de “banners”, ou seja, avisos que aparecerem ao abrir a página do “B… Net” e que têm de ser fechados para que o cliente possa prosseguir o procedimento de acesso ao serviço, tem vindo a publicitar recomendações sobre o acesso e a utilização dos serviços “B… Net”.
23 – O Banco R. procede à publicação, na área de “Notícias de Segurança” do seu sítio electrónico, de notícias e informações quanto às regras de segurança a levar em conta na utilização do serviço “B… Net”, designadamente, com as advertências de que na página de acesso ao serviço “B… Net” “nunca é solicitada nenhuma coordenada do cartão pessoal de coordenadas, nem a introdução do nº de telemóvel ou telefone fixo; apenas é solicitado o seu nome/nº de adesão e o código secreto”.
24 – O A., desde o aludido dia 23-1-2003, tem utilizado, com frequência não concretamente apurada, o serviço “Homebanking”.
25 – A autorização de operações no sistema “homebanking” que afectam o património do cliente em montante superior a 500 € é realizada através da introdução de um código de autorização com 6 dígitos, que é enviado pelo Banco através de um “SMS” gratuito, imediatamente após a introdução da informação da transacção, para o número de telemóvel previamente configurado pelo cliente.
26 – O A. configurou o serviço de autorização por SMS em 17-2-2009, tendo seleccionado o nº de telemóvel ………, que o próprio tinha anteriormente fornecido ao Banco.
27 – O A., desde o aludido dia 17-2-2009, utilizou, com frequência não concretamente apurada, o serviço “B… Net” com autorização por SMS.
28 – No dia 3-3-2011, pelas 14:14:02, após acesso, por pessoa não concretamente determinada, ao serviço “homebanking” com os códigos para acesso e movimentação do serviço fornecidos ao A:, foi efectuada uma tentativa de transferência da conta do A., no valor de 4.912,87 €, a favor de uma conta no “B…”, que não foi concretizada porque o código enviado via SMS para autorização da operação não foi introduzido.
29 – Nesse mesmo dia, pelas 14:18:59 horas, foi enviada pelo Banco uma SMS para o telemóvel do A. com o código de autorização para a referida transferência de 4.912,09 €.
30 – O referido código enviado para o telemóvel indicado pelo A. foi introduzido por pessoa não concretamente apurada às 14:19:59.
31 – Às 14:19:50 horas, foi concretizada a transferência interna dos aludidos 4.912,09 € para a conta de E….
32 – Cerca de um mês antes do aludido dia 3-3-2011, o A. facultou o seu número de telemóvel, a respectiva marca e o modelo, ao tentar aceder ao serviço “B… Net”.
33 – Uns dias antes do referido dia 3-3-2011, o A. recebeu uma mensagem no telemóvel supostamente enviada pelo Banco R., a indicar que, para realizar operações no serviço “B… NET” teria que descarregar uma aplicação para o telefone, tendo o A. actuado em conformidade com esse pedido.
34 – No acesso e utilização do serviço “B… Net” nunca é solicitado o número de telemóvel dos clientes ou outros elementos que não o número de adesão e código secreto.
35 – De igual forma, nunca foi solicitado pelo Banco aos clientes, incluindo ao A., que descarregassem quaisquer programas ou aplicações informáticas para os respectivos telemóveis de forma a acederem ao serviço “B… Net”, pois o telemóvel apenas é utilizado para o envio dos códigos de autorização.
36 – Em momento não concretamente apurado, o A. acedeu, inadvertidamente, a uma página de internet fraudulenta, e não à pagina do serviço “B… net” do Banco R..
37 – Nessa altura, o R. forneceu os seus códigos de acesso ao serviço “homebanking”, bem como o seu número de telemóvel, marca e modelo.
38 – As regras de acesso ao “B… Net” não sofreram qualquer alteração desde o ano de 2009.
39 – No referido dia 3-3-2011, pelas 17:53:30, o A. contactou telefonicamente o serviço “B… Directo”, informando que não tinha efectuado nem autorizado a aludida transferência.
40 – Após esse contacto, os responsáveis do Banco para a área de segurança informática encetaram diligências para apreciação do sucedido, não tendo, nessa sequência, detectado qualquer falha de segurança, erro ou anomalia do sistema informático e de comunicações que pudessem de alguma forma viabilizar a concretização da referida transferência.
41 – O A. forneceu a terceiros, nos moldes acima descritos em 37), inadvertidamente, as credenciais para acesso e movimentação da sua conta através do “B… Net”.
42 – Esses terceiros, utilizando essa informação, procederam à transferência em causa.
43 – O A. exerce funções como director financeiro de “D…, lda.”
3.2. O direito.
Na sua acepção doutrinária designa-se “por contrato de conta bancária, também designado correntemente «contrato de abertura de conta» (…), o contrato celebrado entre um banco e um cliente através do qual usualmente se constitui, disciplina, e baliza a respectiva relação jurídica bancária”[2].
O contrato de conta bancária “constitui, por regra, o contrato bancário primogénito (…) que estabelece o quadro geral de regulação da maioria dos futuros negócios que venham eventualmente a ser celebrados entre as partes: será na órbita da conta bancária (…) que gravitarão usualmente os contratos de depósito, cheque, emissão de cartões bancários, empréstimos, créditos ao consumo, e de todos e cada um dos demais contratos bancários individuais que venham porventura a existir subsequentemente.”[3]
Ao contrato de abertura de conta encontra-se indissociavelmente ligado o depósito bancário, genericamente regulado pelo DL 430/91, de 2/11, com as alterações introduzidas pelo DL 88/2008, de 29/5, qualificado pela doutrina e jurisprudência como uma modalidade de depósito irregular, “cuja especificidade resulta apenas do facto de o depositário ser um banco”[4], através do qual o depositante (proprietário) de recursos monetários transfere para uma instituição bancária a propriedade dos valores depositados para que a segunda, podendo usá-los e dispor deles, lhos restitua quando para tal lhe for solicitado ou exigido[5].
Atenta matéria de facto provada, designadamente a discriminada nos pontos 1 a 5, nenhuma dúvida subsiste quanto à natureza da relação jurídica estabelecida entre as partes; o A. celebrou com o R. um contrato de abertura de conta e, associado a este, celebraram outros convénios designadamente um contrato de depósito bancário que o A. poderia movimentar através do cartão multibanco e via “Internet”, através do serviço “B… Net”/sistema de “homebanking” de particulares.
O pomo da discórdia está em determinar quem responde pelo desaparecimento da conta do A. da quantia de € 4.912,09, transferida para um cliente do Banco réu sem o conhecimento e contra a vontade do A. e que o R. afirma haver sido movimentada com os códigos de acesso do A., pessoais e intransmissíveis, inadvertidamente facultados por este a terceiros.
A propriedade das coisas mutuadas, como é o caso de depósito irregular, que o depósito bancário, como se viu, expressa “tornam-se propriedade do mutuário pelo facto da entrega” (artº 1144º, do CC).
E “nos contratos que importem a transferência do domínio sobre certa coisa ou que constituam ou transfiram um direito real sobre ela, o perecimento ou deterioração da coisa por causa não imputável ao alienante corre por conta do adquirente” (artº 796º, do CC).
Disciplina que aplicada ao depósito bancário significa que o banco torna-se o dono do dinheiro depositado assumindo assim todo o risco desde que o recebeu do depositante até à sua restituição quando tal lhe for solicitado ou exigido.
O depositário não está, porém, impedido de provar que o perecimento de valores depositados é imputável ao depositante/alienante e, por esta via, excluir a sua responsabilidade pelo risco do perecimento da coisa enquanto depositário, pois que este corre por sua conta quando não imputável ao alienante (artº 796º, nº1, cc).
Como ensina Menezes Cordeiro: “o banqueiro adquire a titularidade do dinheiro que lhe é entregue, sendo o cliente um simples credor. A pedra de toque está na disponibilidade permanente do saldo”.[6]
Disponibilidade permanente do saldo que se torna particularmente visível quando o acesso ao depósito e à sua movimentação é tecnicamente viável por meios electrónicos ou até pelo uso de outras vias telemáticas, que permitem ao depositante exigir a restituição do depósito, ou parte dele, em qualquer dia ou hora sem que fisicamente se haja que apresentar ao depositário para formular tal exigência; é a situação posta nos autos em que o A. podia aceder e movimentar a sua conta através do cartão multibanco e via “Internet”, através do serviço “B… Net”/sistema de “homebanking” de particulares.
Utilizando a conceptualização do Ac. STJ de 18-12-2013[7] o “(…) chamado «home banking» [Banco internético (do inglês Internet banking), e-banking, banco online, online banking, às vezes também banco virtual, banco electrónico], concretizado pela possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, on line, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet.
Através deste serviço que os bancos põem à disposição dos seus clientes, estes podem efectuar, além do mais, consultas de saldos, pagamentos de serviços/compras, carregamentos de telemóveis, transferências de valores depositados para contas próprias ou de terceiros, para a mesma ou para diversa instituição de crédito.”
Forma de interacção bancária que comporta vantagens para o banco e para o cliente, uma vez que permite a este realizar operações bancárias sem necessidade de se deslocar aos balcões do banco e de se sujeitar aos estreitos horários de atendimento ao público e permite ao banco optimizar a gestão dos seus recursos humanos agora desonerados da prática de actos anteriormente cometidos aos seus funcionários.
Esta uma face da moeda. A outra são as restritas regras de segurança e confidencialidade que esta interacção pressupõe e exige.
Em primeiro lugar as reportadas ao Banco, que se encontra legalmente obrigado a “assegurar, em todas as actividades que exerce, elevados níveis de competência técnica, garantindo que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência (art. 73º do RGICSF aprovado pelo DL 298/92 de 31/12, na redacção do texto consolidado publicado em anexo ao DL 126/2008 de 21/7) e enquanto prestador de serviços de pagamento que emite um instrumento de pagamento designadamente a obrigação de “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento (…)” (artigo 68º, nº1, alínea a) do DL nº DL 317/2009, de 30 de Outubro, que transpôs para a ordem jurídica interna o novo enquadramento comunitário em matéria de serviços de pagamentos).
E depois as particulares cautelas que a movimentação de uma conta bancária mediante a simples aposição no teclado de um qualquer computar (ou telefone) de códigos de acessos implica para o cliente/depositante.
Numa imagem menos virtual pode-se dizer em suma que o banco depositário deve zelar pela segurança do cofre e dos meios ao seu respectivo acesso e o cliente depositante deve manter o código de acesso ao cofre sobre rigoroso sigilo.
Disciplina que, em concreto, foi acordada pelas partes no contrato de adesão, por ambas subscrito no dia 23/1/2003, com vista à movimentação da conta pelo A. através do serviço B…/Net/sistema de homebanking particulares, de que dá conta o ponto 6 dos factos provados, estabelecendo sob a epígrafe de confidencialidade designadamente o seguinte:
“5.1 O Banco compromete-se a manter sob rigorosa confidencialidade os Códigos Secretos e a informação constante do Cartão atribuídos ao cliente.
5.2. O Cliente obriga-se a guardar sob segredo o seu Código Secreto e o seu Cartão e, bem assim, a prevenir o seu uso abusivo por parte de terceiros.”
A movimentação da conta do A., via homebanking, exigia o acesso ao site do B…, a introdução de um número de adesão e de um código de acesso (9), a que acrescia, para operações em montante superior a 500 €, a introdução de um código de autorização com 6 dígitos enviado pelo Banco através de SMS para um número de telemóvel previamente configurado pelo A. (25), número de telemóvel este que o A. havia indicado ao Banco no dia 17/2/2009 (26).
A transferência da quantia de € 4.912,87 da conta do A. para a conta de um terceiro cliente do Banco, no dia 3/3/2011, foi executada com os códigos de acesso e movimentação do serviço, designadamente com o código de autorização enviado para o número de telemóvel previamente indicado pelo A. ao Banco réu (28 a 31).
Prova-se que a introdução destes códigos foi efectuada por um terceiro não identificado nas seguintes circunstâncias:
Uns dias antes do referido dia 3-3-2011, o A. recebeu uma mensagem no telemóvel supostamente enviada pelo Banco R., a indicar que, para realizar operações no serviço “B… NET” teria que descarregar uma aplicação para o telefone, tendo o A. actuado em conformidade com esse pedido (33).
Em momento não concretamente apurado, o A. acedeu, inadvertidamente, a uma página de internet fraudulenta, e não à página do serviço “B… net” do Banco R. (36).
Nessa altura, o R. forneceu os seus códigos de acesso ao serviço “homebanking”, bem como o seu número de telemóvel, marca e modelo (37).
O A. forneceu a terceiros, nos moldes acima descritos em 37), inadvertidamente, as credenciais para acesso e movimentação da sua conta através do “B… Net” (41).
Esses terceiros, utilizando essa informação, procederam à transferência em causa (42).
Circunstâncias factuais que não permitem, a nosso ver, imputar ao A. a responsabilidade decorrente da indesejada transferência de valores de que o Banco réu era depositário e isto porque na sua origem não encontra uma qualquer violação dos deveres designadamente de sigilo e confidencialidade a que o A. se encontrava obrigado mas uma fraude informática levada a efeito por terceiros que colonando a página da internet do R. fizeram crer ao A. que estava no site do Réu/homebanking levando aquele a fazer as suas certificações e operações usuais.
Fraude informática designada por pharming. “A outra modalidade de fraude on line é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real.”[8]
Não se evidencia, assim, uma qualquer violação por parte do A. dos deveres de sigilo e confidencialidade dos códigos e senhas de acesso na utilização do sistema homebankig, mas sim uma quebra de segurança nos meios de acesso ao sistema informático do Réu cuja responsabilidade, assim e ao que cremos, lhe é imputável seja porque a este incumbe, como já se adiantou e agora se repete “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento (…)” (artigo 68º, nº1, alínea a) do DL nº DL 317/2009, de 30/10, seja porque não logrou ilidir a presunção de culpa que, enquanto depositário, lhe advém do perecimento de coisas cujo domínio lhe foram transferidas por via contratual.
Retomando a imagem supra enunciada, a fraude ocorreu nos meios de acesso ao cofre cuja defesa e segurança são da responsabilidade do banco depositário.
Termos em que se conclui não demonstrar o Réu que o perecimento da quantia objecto da transferência haja ocorrido por causa imputável ao A.
Considera o Réu, que no dia 03.03.2011 previamente à concretização da transferência fraudulenta às 14:19:50, no valor de € 4.912,09, foi efectuada uma primeira tentativa de transferência às 14:14:03, no montante de € 4.912,87 “(…) que não foi concretizada porque o código enviado via SMS para autorização da operação não foi introduzido” e que o A. recebeu o aludido SMS no seu telemóvel – com o código de autorização e os elementos de identificação da operação: “B… Net, 03 Mar às 14h14 Montante: 4912,87 EUR Operação: Transferencia p/ Conta .-…………. Código de Autorização: …….” – e apesar de não ter acedido ao serviço B… Net para realizar tal transferência, NADA FEZ!
Lendo, porém, os factos provados deles resulta apenas assente um dos pressupostos desta argumentação do Réu, prova-se que no dia 3-3-2011, pelas 14:14:02, após acesso, por pessoa não concretamente determinada, ao serviço “homebanking” com os códigos para acesso e movimentação do serviço fornecidos ao A:, foi efectuada uma tentativa de transferência da conta do A., no valor de 4912,87 €, a favor de uma conta no “B…”, que não foi concretizada porque o código enviado via SMS para autorização da operação não foi introduzido (28), mas dos factos provados já não decorre que o A. haja recebido esta mensagem no seu telemóvel; a demonstração deste conhecimento é indispensável à formulação do juízo de culpa que, com este fundamento, se houvesse que imputar ao A., pois que não se demonstrando o acesso deste à informação contida no SMS do R. não se pode censurar a omissão de uma actuação que tal informação justificaria.
Ainda assim, a tentativa frustrada da transferência teve lugar às 14:14.02 do dia 3/3/2011, a que se seguiu a concretização da transferência pelas 14:19:50, incumbindo pois ao Réu demonstrar que neste período de menos de 6 minutos o A., diligenciando e informando os serviços de homebankig do Réu, poderia ter obstado à transferência; esta demonstração também não se mostra efectuada e, assim, ainda que se houvesse provado haver o A. recebido do SMS com a informação do valor da transferência e do código da sua autorização e não é o caso, não se poderia concluir pela culpa do A.
Improcede, pois, o recurso, restando confirmar a decisão recorrida.
Porque vencido no recurso, incumbe ao Recorrente pagar as custas (artº 446º, nº1, do CPC).
Sumário:
I –A movimentação das contas de depósitos bancários através do serviço designado homebanking obriga os Bancos a assegurar que dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento.
II – Incumbe ao Banco, enquanto depositário ilidir a presunção de culpa pelo perecimento de quantias cujo domínio lhe foi transferido por via contratual, ainda que a causa do perecimento resulte de acessos fraudulentos aos meios de movimentação de contas bancárias que disponibiliza aos seus clientes.
III – Não age com culpa o depositante que por via de uma fraude informática levada a efeito por terceiros, na convicção que estava na página on line do Banco/homebanking, introduziu numa página colonada da internet do Banco, as suas certificações, pessoais e intransmissíveis, que abusivamente vieram a ser utilizadas no acesso, por terceiros, à conta de que era titular.
4. Dispositivo:
Delibera-se, pelo exposto, na improcedência do recurso, em confirmar a sentença recorrida.
Custas a cargo do Recorrente.
Porto, 29/4/2014
Francisco Matos
Maria João Areias
Maria de Jesus Pereira
_____________
[1] Transcrição de fls. 313 a 320.
[2] Engrácia Antunes, Direito dos Contratos Comerciais, 483.
[3] Ob. cit. pág. 484.
[4] Menezes Leitão, Direito das Obrigações, 8ª ed. vol. III, pág. 445. [5] Ac. do STJ de 10/11/2011, in www.dgsi.pt
[6] Manual de Direito Bancário”, 2.ª ed., 2001, Almedina, pág. 525.
[7] Disponível in www.dgsi.pt
[8] Ac. STJ de 18/12/2013, www.dgsi.pt.