Acórdão do Tribunal da Relação de Coimbra | |||
Processo: |
| ||
Nº Convencional: | JTRC | ||
Relator: | CARLOS MOREIRA | ||
Descritores: | RESPONSABILIDADE CIVIL RESPONSABILIDADE BANCÁRIA SERVIÇO HOMEBANKING SERVIÇO DE PAGAMENTO FRAUDE CLÁUSULAS CONTRATUAIS GERAIS ÓNUS DA PROVA RECURSO DE FACTO ÓNUS DE ESPECIFICAÇÃO | ||
Data do Acordão: | 03/31/2020 | ||
Votação: | UNANIMIDADE | ||
Tribunal Recurso: | TRIBUNAL JUDICIAL DA COMARCA DE VISEU - TONDELA - JUÍZO C. GENÉRICA | ||
Texto Integral: | S | ||
Meio Processual: | APELAÇÃO | ||
Decisão: | CONFIRMADA | ||
Legislação Nacional: | ARTS.796, 1144, 1205, 1206 CC, DL Nº 446/85 DE 25/10, DL Nº 317/2009 DE 30/10, DIRECTIVA N.º 2007/64/CE, DO PARLAMENTO EUROPEU E DO CONSELHO, DE 13 DE NOVEMBRO. | ||
Sumário: | I - A não indicação das passagens da gravação nem nas conclusões nem no corpo das alegações, acarreta, por via de regra, e ponderados critérios de proporcionalidade, a liminar rejeição do recurso da decisão da matéria de facto na parte afetada. II - A censura da convicção do julgador da matéria de facto apenas pode emergir quando a prova apresentada pelo recorrente e a exegese conclusiva dela operada não apenas sugira, como inequivocamente convença, imponha, tal censura. III - No REGIME JURÍDICO QUE REGULA O ACESSO À ACTIVIDADE DAS INSTITUIÇÕES DE PAGAMENTO E A PRESTAÇÃO DE SERVIÇOS DE PAGAMENTO aprovado pelo DL nº 317/2009 de 30.10, relativo aos serviços de pagamento no mercado interno, o regime da Prova de autenticação e execução das operações de pagamento – artº 70º - e o regime da Responsabilidade do ordenante por operações de pagamento não autorizadas – artº 72º - é, para as microempresas e os consumidores, de cariz imperativo, tornando nulas clausulas convencionais padronizadas, mesmo aceites pelas partes, que o contrariem. IV - De tal regime decorre, nuclearmente, que caso o utilizador do serviço negue ter autorizado uma operação, o prestador do serviço só pode exonerar-se de responsabilidade se, cumulativamente, fizer a prova: i) que a operação foi, sem afetação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; ii) que ela se ficou a dever a fraude ou a incumprimento doloso ou gravemente negligente por parte do utilizador das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes referentes à segurança ou fiabilidade do instrumento de pagamento. V - A cedência pelo utilizador, no quadro de uma solicitação de pharming, dos elementos de acesso e movimento do homebanking, não o coloca, por via de regra, e salvo se o prestador provar dolo ou negligência grave daquele, numa situação responsabilizante. | ||
Decisão Texto Integral: |
ACORDAM NO TRIBUNAL DA RELAÇÃO DE COIMBRA
A (…), instaurou contra C (…), S.A., ação declarativa, de condenação, com processo comum.
Pedindo: Que a Ré seja condenada a restituir-lhe as quantias fraudulentamente transferidas da sua conta, no valor global de € 23.139,00 (vinte e três mil cento e trinta e nove euros), acrescida dos juros legais vencidos e vincendos, até efetivo e integral restituição a contar da data em que o Autor negou ter autorizado as operações de pagamento, fixável, em 19 de Janeiro de 2010 e que, à data da propositura da acção 28-04-2015, ascendiam a €17.079,45 (dezassete mil e setenta e nove euros e quarenta e cinco cêntimos). Para tanto alegou em súmula que: Subscreveu o serviço de homebanking, sobre uma conta bancária de que ele e a esposa é titular. A conta bancária foi acedida e movimentada de forma irregular tendo sido retirada da mesma a quantia de €23.139,00. Tal ocorreu por falha de segurança do serviço prestado pela ré.
Regularmente citada a ré contestou alegando que: O serviço foi acedido de forma irregular porque o autor ou alguém forneceu dados que não deveriam; O sistema informático de onde o autor acedeu não possuía segurança adequada; A ré cumpriu os deveres que lhe eram impostos. F (…), permitiu o acesso pela sua rede informática; S (…) e A (…), receberam os valores da conta do autor e transferiam-nos sem se assegurarem da proveniência legítima dos mesmos. Requereu a intervenção dos supra referidos na acção.
Foi deferido o chamamento à ação dos supra indicados, tendo os mesmos sido citados na qualidade de partes acessórias. Estes contestaram, pugnando pela improcedência por ilegitimidade dos mesmos.
2. Seguiram os autos os seus termos tendo, a final, sido proferida sentença na qual foi decidido: «Por tudo o exposto o Tribunal julga procedente porque provada a presente acção e em consequência disso: A. Condena a Ré a restituir ao Autor as quantias fraudulentamente transferidas da sua conta, no valor global de € 23.139,00 (vinte e três mil cento e trinta e nove euros), acrescida dos juros legais vencidos e vincendos, calculados de acordo com a aplicação da taxa e respectivo acréscimo referido artigo 71º do regime anexo ao Dec.-Lei nº 317/2009 o e até efectivo e integral restituição a contar da data em que o Autor negou ter autorizado as operações de pagamento, fixando-se o termo inicial em 19 de Janeiro de 2010. B. Absolve do pedido os chamados F (…), S (…) e A (…). C. Condena a Ré no pagamento das custas.»
3. Inconformada recorreu a ré. Rematando as suas alegações com as seguintes conclusões: (…)
Contra alegou o autor pugnando pela manutenção do decidido com os seguintes argumentos finais: (…) 4. Sendo que, por via de regra: artºs 635º nº4 e 639º do CPC - de que o presente caso não constitui exceção - o teor das conclusões define o objeto do recurso, as questões essenciais decidendas são as seguintes:
1ª - Alteração da decisão sobre a matéria de facto. 2ª - Improcedência da ação.
5. Apreciando. 5.1. Primeira questão. 5.1.1. No nosso ordenamento vigora o princípio da liberdade de julgamento ou da livre convicção segundo o qual o tribunal aprecia livremente as provas, sem qualquer grau de hierarquização, e fixa a matéria de facto em sintonia com a sua prudente convicção firmada acerca de cada facto controvertido -artº607 nº5 do CPC. Perante o estatuído neste artigo, exige-se ao juiz que julgue conforme a convicção que a prova determinou e cujo carácter racional se deve exprimir na correspondente motivação – cfr. J. Rodrigues Bastos, Notas ao CPC, 3º, 3ªed. 2001, p.175. O princípio da prova livre significa a prova apreciada em inteira liberdade pelo julgador, sem obediência a uma tabela ditada externamente; mas apreciada em conformidade racional com tal prova e com as regras da lógica e as máximas da experiência – cfr. Alberto dos Reis, Anotado, 3ª ed. III, p.245. Acresce que há que ter em conta que as decisões judiciais não pretendem constituir verdades ou certezas absolutas. Pois que às mesmas não subjazem dogmas e, por via de regra, provas de todo irrefutáveis, não se regendo a produção e análise da prova por critérios e meras operações lógico-matemáticas. Assim: «a verdade judicial é uma verdade relativa, não só porque resultante de um juízo em si mesmo passível de erro, mas também porque assenta em prova, como a testemunhal, cuja falibilidade constitui um conhecido dado psico-sociológico» - Cfr. Ac. do STJ de 11.12.2003, p.03B3893 dgsi.pt. Acresce que a convicção do juiz é uma convicção pessoal, sendo construída, dialeticamente, para além dos dados objetivos fornecidos pelos documentos e outras provas constituídas, nela desempenhando uma função de relevo não só a atividade puramente cognitiva mas também elementos racionalmente não explicáveis e mesmo puramente emocionais – AC. do STJ de 20.09.2004 dgsi.pt. Nesta conformidade - e como em qualquer atividade humana - existirá sempre na atuação jurisdicional uma margem de incerteza, aleatoriedade e erro. Mas tal é inelutável. O que importa é que se minimize o mais possível tal margem de erro. O que passa, como se viu, pela integração da decisão de facto dentro de parâmetros admissíveis em face da prova produzida, objetiva e sindicável, e pela interpretação e apreciação desta prova de acordo com as regras da lógica e da experiência comum. Finalmente, e como dimana do já supra referido, e como constituem doutrina e jurisprudência pacíficas, o recorrente não pode limitar-se a invocar mais ou menos abstrata e genericamente, a prova que aduz em abono da alteração dos factos. A lei exige que os meios probatórios invocados imponham decisão (não basta que sugiram) diversa da recorrida. Ora tal imposição não pode advir, em termos mais ou menos apriorísticos, da sua, subjetiva, convicção sobre a prova. Porque, afinal, quem tem o poder/dever de apreciar/julgar é o juiz. Por conseguinte, para obter ganho de causa neste particular, deve ele efetivar uma análise concreta, discriminada, objetiva, crítica, logica e racional, do acervo probatório produzido, de sorte a convencer o tribunal ad quem da bondade da sua pretensão. A qual, como é outrossim comummente aceite, apenas pode proceder se se concluir que o julgador apreciou o acervo probatório com extrapolação manifesta dos cânones e das regras hermenêuticas, e para além da margem de álea em direito probatório permitida e que lhe é concedida. E só quando se concluir que a natureza e a força da prova produzida é de tal ordem e magnitude que inequivocamente contraria ou infirma tal convicção, se podem censurar as respostas dadas.– cfr. neste sentido, os Acs. da RC de 29-02-2012, p. nº1324/09.7TBMGR.C1, de 10-02-2015, p. 2466/11.4TBFIG.C1, de 03-03-2015, p. 1381/12.9TBGRD.C1 e de 17.05.2016, p. 339/13.1TBSRT.C1; e do STJ de 15.09.2011, p. 1079/07.0TVPRT.P1.S1., todos in dgsi.pt; Até porque constitui jurisprudência sedimentada, que: «Quando o pedido de reapreciação da prova se baseie em elementos de características subjectivas, a respectiva sindicação tem de ser exercida com o máximo cuidado e só deve o tribunal de 2.ª instância alterar os factos incorporados em registos fonográficos quando efectivamente se convença, com base em elementos lógicos ou objectivos e com uma margem de segurança muito elevada, que houve errada decisão na 1.ª instância, por ser ilógica a resposta dada em face dos depoimentos prestados ou por ser formal ou materialmente impossível, por não ter qualquer suporte para ela. – Ac. do STJ de.20.05.2010, dgsi.pt p. 73/2002.S1. 5.1.2. Por outro lado importa ter presente o plasmado no preâmbulo do Decreto-Lei nº 39/95 (…), «a garantia do duplo grau de jurisdição em sede de matéria de facto, nunca poderá envolver, pela própria natureza das coisas, a reapreciação sistemática e global de toda a prova produzida em audiência – visando apenas a detecção e correcção de pontuais, concretos e seguramente excepcionais erros de julgamento, incidindo sobre pontos determinados da matéria de facto, que o recorrente sempre terá o ónus de apontar claramente e fundamentar na sua minuta de recurso. Não poderá, deste modo, em nenhuma circunstância, admitir-se como sendo lícito ao recorrente que este se limitasse a atacar, de forma genérica e global, a decisão de facto, pedindo, pura e simplesmente, a reapreciação de toda a prova produzida em 1ª instância, manifestando genérica discordância com o decidido.». Como corolário deste princípio: «impôs-se ao recorrente um “especial ónus de alegação”, no que respeita “à delimitação do objecto do recurso e à respectiva fundamentação”, em decorrência “dos princípios estruturantes da cooperação e da lealdade e boa fé processuais, assegurando, em última análise, a seriedade do próprio recurso intentado e obviando a que o alargamento dos poderes cognitivos das relações (resultante da nova redacção do artigo 712º [actual 662º]) – e a consequente ampliação das possibilidades de impugnação das decisões proferidas em 1ª instância – possa ser utilizado para fins puramente dilatórios, visando apenas o protelamento do trânsito e julgado de uma decisão inquestionavelmente correcta.» É que: «A reforma do Código de Processo Civil de 2013 não pretendeu alterar o sistema dos recursos cíveis…mas teve a preocupação de “conferir maior eficácia à segunda instância para o exame da matéria de facto”, como se pode ler na Exposição de Motivos da Proposta de Lei nº 113/XII apresentada à Assembleia da República…Essa maior eficácia traduziu-se no reforço e ampliação dos poderes da Relação, no que toca ao julgamento do recurso da decisão de facto; mas não trouxe consigo a eliminação ou, sequer, a atenuação do ónus de delimitação e fundamentação do recurso, introduzidos em 1995. Com efeito, o nº 1 do artigo 640º vigente, aplicável ao recurso de apelação que agora nos interessa: – manteve a indicação obrigatória “dos concretos pontos de facto” que o recorrente “considera incorrectamente julgados” (al. a), – manteve o ónus da especificação dos “concretos meios probatórios, constantes do processo ou de registo ou gravação nele realizada, que impunham decisão sobre os pontos de facto impugnados diversa da recorrida” (al. b), – exigiu ao recorrente que especificasse “a decisão que, no seu entender, deve ser proferida sobre as questões de facto impugnadas” (al. c), sob pena de rejeição do recurso de facto. E à mesma rejeição imediata conduz a falta de indicação exacta “das passagens da gravação em que se funda” o recurso, se for o caso, sem prejuízo de poder optar pela apresentação da “transcrição dos excertos” relevantes.» - Ac. do STJ de 01.10.2015, sup. cit. Nesta senda, estatui o artº 640º do CPC: “1 — Quando seja impugnada a decisão sobre a matéria de facto, deve o recorrente obrigatoriamente especificar, sob pena de rejeição: a) Os concretos pontos de facto que considera incorretamente julgados; b) Os concretos meios probatórios, constantes do processo ou de registo ou gravação nele realizada, que impunham decisão sobre os pontos da matéria de facto impugnados diversa da recorrida. c) A decisão que, no seu entender, deve ser proferida sobre as questões de facto impugnadas. 2 - No caso previsto na alínea b) do número anterior, observa-se o seguinte: a) Quando os meios probatórios invocados como fundamento do erro na apreciação das provas tenham sido gravados, incumbe ao recorrente, sob pena de imediata rejeição do recurso na respetiva parte, indicar com exatidão as passagens da gravação em que se funda o seu recurso, sem prejuízo de poder proceder à transcrição dos excertos que considere relevantes;» Da consideração concatenada do elemento histórico/teleológico que constitui o preâmbulo de um diploma legal, resulta, numa exegese respeitadora da letra e do espírito da lei, desde logo uma ilação fulcral, a saber: a impugnação da decisão sobre a matéria de facto não se destina a que o tribunal da Relação reaprecie global e genericamente a prova valorada em primeira instância, ainda que apenas se pretenda discutir parte da decisão. Certo é que: «…a Relação tem autonomia decisória, competindo-lhe formar e formular a sua própria convicção, mediante a reapreciação dos meios de prova indicados pelas partes ou daqueles que se mostrem acessíveis e com observância do princípio do dispositivo no que concerne à identificação dos pontos de discórdia…O recurso de apelação em matéria de facto não é, em rigor, um meio para um novo julgamento mas um “recurso de reponderação” ou “recurso de reexame” do julgamento realizado na instância antecedente» - Ac. do STJ de 30.05.2019, p. 156/16.0T8BCL.G1.S1 in dgsi.pt. como os infra citados Efetivamente: «O sentido e alcance destes requisitos formais de impugnação da decisão de facto devem ser equacionados à luz das razões que lhes estão subjacentes, mormente em função da economia do julgamento em sede de recurso de apelação e da natureza e estrutura da própria decisão de facto. Assim, em primeira linha, importa ter presente que, no domínio do nosso regime recursório cível, o meio impugnatório para um tribunal superior não visa propriamente um novo julgamento global ou latitudinário da causa, mas apenas uma reapreciação do julgamento proferido pelo tribunal a quo com vista a corrigir eventuais erros da decisão recorrida. Significa isto que a finalidade do recurso não é proferir um novo julgamento da ação, mas julgar a própria decisão recorrida.» - Ac. do STJ de 17.03.2016, p. 124/12.1TBMTJ.L1.S1. Na verdade: «…a lei, cooptando o recorrente para a colaboração com o tribunal e para a autorresponsabilização, visa agilizar a intervenção da Relação na reapreciação (que é pontual, no sentido de circunscrita a certos factos e a certas provas) da matéria de facto…» - Ac. do STJ de 18.06.2019, p. 152/18.3T8GRD.C1.S1. Efetivamente, e nesta senda: «…A indicação precisa do início e termo das concretas (…) passagens da gravação destina-se a simplificar a tarefa da Relação na reapreciação da prova gravada, não só chamando a atenção para aquela parte do depoimento, como tornando mais fácil e célere a respetiva localização na gravação, sabido como é que, em regra, cada testemunha depõe sobre mais do que um facto. De outra forma bastaria que o recorrente impugnasse a decisão sobre a matéria de facto cumprindo todos os ónus estabelecidos no art. 640º do CPC, com exceção do determinado na al. a) do nº 2, e requeresse a audição e reapreciação integral de todos ou de alguns os depoimentos o que significaria a repetição do julgamento, desiderato que não foi visado pelo legislador”.» - Ac. do STJ de 26.1.2017, p. 599/15.7T8CLD.C1.S1, apud, Ac. do STJ de 18.09.2018, p. 108/13.2TBPNH.C1.S1; cfr, ainda, os Acs. do STJ de 27.10.2016, p. 3176/11.8TBBCL.G1.S1 e de 05.08.2018, p. 15787/15.8T8PRT.P1.S2. A transcrição parcelar dos depoimentos não exime ao cumprimento daquele dever. 5.1.3. O caso vertente. 5.1.3.1. Percorrido o teor da peça recursiva, verifica-se que, relativamente ao ponto 18 dos factos provados, nela, nem em sede de conclusões, nem sequer no seu corpo, a ré cumpre a indicação das passagens da gravação dos depoimentos em que se fundamenta para alicerçar a sua pretensão. Limitando-se a tecer considerações sobre o que as quatro testemunhas que invoca – (…) - disseram. Nem sequer transcrevendo, em discurso direto, a parte dos depoimentos em que alegadamente se estriba. Nem sequer indicando o início e fim dos seus depoimentos. Assim sendo, no atinente a este ponto, e por evidente e total incumprimento deste ónus, e sendo certo que se trata de depoimentos vários e que se prolongaram, no seu conjunto, durante várias horas, não é razoável, em função do supra exposto, exigir a este tribunal ad quem a morosa tarefa de os ouvir na sua íntegra ou de procurar as passagens das gravações que interessarão, se efetivamente existiram; pelo que a sua apreciação tem de ser liminarmente rejeitada. 5.1.3.2. Relativamente ao ponto 28 com o seguinte teor: « Estes movimentos, feitos de forma ilegítima e não consentida nem autorizada pelo Autor como se alegou, só foram possíveis graças às fragilidades do sistema de segurança do serviço “C (...) e-banking” da Ré» Aqui a ré cumpre deficientemente o aludido ónus. Pois que: Quanto às testemunhas (…), limita-se a indicar o início e fim dos depoimentos, sem sequer transcrever as partes dos mesmos que, segundo o alegado pela recorrente, apontam no sentido inverso do provado pelo julgador neste ponto. Já quanto ao depoimento do Sr. Perito (…) ela indica, a espaços, as passagens da gravação. Assim, fá-lo para convencer de que ele não conhece a sua, da ré, plataforma informática – fls 320 verso -; que o perito disse que o acesso ao computador do autor por piratas informáticos, e que originou o desfalque, só foi possível porque o computador foi préviamente infetado – fls. 321. Há que apreciar este depoimento atentos os mencionados passos. A testemunha disse que efetivamente não conhece em pormenor o sistema informático da ré; e que a retirada ilegal de informação do computador do autor relativamente ao número da conta, password e combinações de dígitos do cartão matriz, só foi possível porque ele foi previamente infetado pelos hackers. O teor do ponto é algo conclusivo. Porém, vista a posição do julgador e da ré recorrente, a sua densificação passará por apurar se, como o julgador entendeu, o furto da informação se deu no interior sistema/site/página da ré, ou antes, como pugna a recorrente, se se deu no computador do autor e fora de tal página. O Julgador, tanto quanto se alcança, fundamentou esta resposta, nos seguintes, essenciais , termos: «Teve(-se) em conta as declarações do autor que explicitou como acedeu ao site do serviço o dia e hora, o que efectuou e que a operação foi realizada com sucesso, não tendo havido, da sua parte, qualquer suspeita de que estava num site não conforme, ou inseguro. Mais adiante e quanto aos depoimentos das testemunhas da ré supra aludidas, expendeu que elas: «não (puderam) assegurar se foi mediante uma página fraudulenta ou por um “vírus informático” que acederam ao computador do autor, ou os piratas informáticos recolheram os elementos na página/plataforma da C (...). Assinalando ainda que tais depoimentos assumiam: «divergências com o que afirma o perito, sendo possível um pirata informático, aceder à página e dela “sacar” induzindo em erro o cliente que estando convicto que está numa plataforma segura, elementos que lhe permitam aceder aos valores das contas bancárias.» E finalmente expendendo: «Também resultou dos depoimentos dos funcionários da C (…) que ocorreram algumas tentativas, não concluídas, para realização de transferências, seguramente para conseguirem que a plataforma lhes pedisse os nºs do cartão matriz que haviam conseguido. Ante esta situação, seria lógico, para quem poderia, e não seria o autor, intervir no sistema informático da C (…) a ré, impedir a transferência efectiva, ou pelo menos alertar as contas de destino, em Portugal, para impedir os levantamentos, antes da confirmação da operação, junto do titular da conta, o autor, o que não ocorreu.» Resulta do documento de fls.265 e sgs. que transcreve a conversa entre o autor e a funcionária da ré, C (…) que este verbalizou que forneceu três dígitos da mesma parcela do cartão matriz quando estava a fazer uma operação de transferência conta a conta de 428 euros, e que, nestes termos, esta operação foi bem sucedida. O que parece ser confirmado pela dita funcionária quando afirma: «Neste caso se estivesse nalguma página fraudulenta…se fosse alguma situação irregular, a transferência não tinha sido feita, porque estava numa página fraudulenta. Se nos indica que…a operação foi feita, então o procedimento foi todo correto» Assim sendo - e pelo menos em termos de uma certa normalidade e lógica, o que, nesta sede probatória e porque o direito não é uma ciência exata e admite alguma, posto que razoável, álea, é o qb. -, a conclusão a retirar é que a operação só poderia estar a ser feita no verdadeiro site da ré. Tendo, porém, este já sido maliciosamente invadido pelos piratas informáticos. Nem o depoimento do Sr. Perito – nem, aliás, e em função do que o Sr. Juiz afirmou, os depoimentos das testemunhas da ré - têm força bastante para impor, como exige a lei, a versão da recorrente. Antes pelo contrário. Efetivamente, e ainda que o Perito, em sede de audiência, tenha sido menos assertivo na defesa do que havia exposto na perícia, p. ex. no ponto 3, certo é que desta dimana que o sistema apenas garante a «autenticidade do cliente» «até certo ponto» (ponto 2.3.), ou seja, diremos nós, é, em termos de segurança, apenas suficiente ou mediano. Tanto assim que, segundo a perícia, é possível melhorá-lo, vg. pelas implementações técnicas sugeridas nos pontos 3.1.a.3.3. Por conseguinte, este ponto é de manter. 5.1.3.3. No tangente ao aditamento do seguinte facto: «O Autor ou a sua esposa por qualquer forma ou modo, cederam ou transmitiram a terceiros os elementos identificativos da conta e cartão matriz.» O tribunal, alicerçou a não prova nos seguintes termos: « Quanto aos factos não provados pelos motivos supra expostos, sendo que a prova dos mesmos cabia à ré, que não obstante ter indicado funcionários que trabalham na área da informática, permaneceram dúvidas sobre a forma como foi conseguida a colheita dos elementos para aceder à conta, sendo que o IP, das operações suspeitas, encontrava-se localizado em Arraiolos, sendo que o último acesso, pelo autor foi realizado em (…). É sobejamente sabido que os hackers recorrem a várias formas de obtenção de informação, nomeadamente, SPAM, mensagens de pop-up, e páginas web falsas, fazendo-se passar por empresas ou organizações legítimas com a qual a potencial vítima tem negócios - por exemplo, o serviço de homebanking, as redes sociais onde possui conta, ou até um organismo governamental. De uma forma geral estes ataques circulam sobre forma de e-mails que alegam provir de uma organização conhecida da vítima, referindo que é necessário "actualizar" ou "validar" a informação da conta. Nalguns casos, para colocar alguma pressão na vítima é anunciado que, caso a validação não aconteça, a mesma pode ser penalizada. Estes e-mails reencaminham o utilizador para um website que até pode ter uma aparência legítima, mas no entanto, é apenas um formulário que irá entregar os dados da vítima directamente ao atacante.» Já a recorrente entende, que a prova produzida, nuclear e decisivamente, a perícia, a conversa do autor com a Testemunha (…)e o depoimento de (…) provam o referido teor. A recorrente entende que a introdução dos elementos de identificação da conta, que, pelo que supra se mencionou, tudo indica ocorreu aquando da aludida transferência de 428 euros, se verificou já numa página fraudulenta, pois que o computador do autor estava infetado e o vírus informático nele colocado pelos piratas direcionou o autor para uma página fictícia. Mas a prova por ela indicada não aponta, e, muito menos, inequivocamente convence, nesse sentido, como lhe era exigível para obter ganho de causa. Já se viu que, tendo a cedência de dados sido feita numa operação de transferência bancária que decorreu normalmente, i.e., com o depósito do dinheiro na conta que o autor pretendia, é de concluir que tanto aquela cedência como esta operação se concretizaram no site verdadeiro e oficial da ré. O tribunal também valorizou os depoimentos do autor e do seu filho que disseram que o acesso ao site da ré foi feito com sucesso e, bem assim, o depoimento da testemunha (…) que verbalizou que dava assistência ao computador do autor e que este mantinha os antivírus e firewall atualizados de modo a não ser alvo de ataques informáticos. Certo é que aqueles depoimentos têm de ser apreciados cum granno sallis, ie. cautelosa e comedidamente, mas também não podem, liminar e aprioristicamente, e só porque a parte ou o seu descendente têm, ou podem ter, interesse no desfecho da causa, serem totalmente desvalorizados. Maxime se colhem respaldo ou arrimo em outros elementos de prova, como é o caso. Finalmente diga-se que o computador do autor até podia estar infetado. Mas tal não basta(ria) para se concluir pela prova deste facto com o sentido censurável que a ré lhe pretende imprimir. Urgiria ainda provar que o modo como essa infeção produziu os seus efeitos nocivos era imputável ao autor. O que não foi provado. Antes pelo contrário se tendo de concluir – posto que dentro de alguma álea ainda admissível em direito – que essa infeção só se manifestou e atuou após o autor ter entrado no genuíno e verdadeiro site da ré. E não se tendo provado, nem a ré alegado, que antes de entrar no site da ré ele sabia, ou era-lhe exigível que soubesse, que estava infetado ou que a infeção tenha atuado noutro site ou para qualquer outra finalidade. Logo, não se pode concluir que ele facultou inadvertidamente, ie., descuidadamente, os dados da sua conta a terceiros. Facultou-os à ré no seu – desta - site. E porque, como resulta da conversa do autor com a testemunha (…) –fls. 265vº e 266 -, a operação de transferência dos 428 euros foi realizada com sucesso mesmo após terem sido introduzidos pelo autor três dígitos do cartão matriz da mesma coluna, em vez de apenas um, como era a regra, e, posteriormente, permitiu a transferência das quantias em causa, então o sistema da ré falhou e deixou-se enganar pelo vírus, quer este estivesse já no site, quer estivesse no computador do autor. 5.1.4. Por conseguinte, os factos a considerar são os apurados na 1ª instância, a saber: 1. O Autor é um empresário em nome individual que se dedica à actividade comercial de compra e venda de veículos automóveis, novos e usados, com sede no seu domicílio pessoal na Av. (…) nesta cidade de (…). 2. A Ré é uma instituição de crédito cuja actividade consiste em receber do público depósitos ou outros fundos reembolsáveis a fim de os aplicar por conta própria mediante a concessão de crédito, podendo ainda efectuar todas as demais operações previstas no artigo 4º do Regime Geral das Instituições de Crédito e Sociedades Financeiras aprovado pelo Dec.-Lei nº 298/92, de 31/12 e que está autorizada pelo Banco de Portugal a efectuar serviços de pagamento nos termos do respectivo regime jurídico aprovado pelo Decreto Lei nº 317/2009. 3. Por contrato de abertura de conta, celebrado entre Autor e Ré em data já incerta mas muito antes de 8 de Janeiro de 2010, foi aberta na agência da Ré desta cidade de (…) uma conta bancária a que foi atribuído o nº 2119015548830. 4. Desde a sua abertura o Autor tem vindo a movimentar esta identificada conta, quer a crédito, quer a débito, nela fazendo depósitos de recursos monetários e sobre ela fazendo os mais diversos pagamentos com vista, quer ao apoio da sua economia doméstica, quer essencialmente ao apoio da sua actividade empresarial. 5. Por contrato vulgarmente designado de “homebanking” celebrado em 11 de Janeiro de 2007 o Autor contratou com a Ré a utilização do serviço electrónico “C (...) e-banking” através do qual e relativamente à supra identificada conta lhe passou a permitir efetuar operações de consulta de saldos; requisição de cheques; pagamentos e transferências. (cfr. doc. de fls. 14 vs a 15 vs. cujo teor se dá por integralmente reproduzido para todos os efeitos legais) 6. Este serviço de “homebanking” passou então a permitir ao Autor a possibilidade de efetuar operações bancárias através da internet, concretamente pagamentos e transferências sem a intervenção direta dos funcionários do banco. 7. Estas vantagens, de poder realizar operações bancárias sem necessidade de se deslocar aos balcões do banco Ré e sem estar sujeito aos horários de atendimento ao público, foram efectivamente determinantes para que o Autor acedesse à celebração do referido contrato de “homebanking” e consequente subscrição do serviço “C (...) e-banking” que a Ré lhe propôs. 8. Aliciamento este a que, aliás, não foi alheia a oferta da gratuitidade do serviço e bem assim da isenção de comissões concedida ao Autor pela subscrição de tal serviço. (cfr. cláusula 19ª do contrato) 9. Este serviço trouxe vantagens para o Autor, as reais e inegáveis vantagens da subscrição de tal serviço foram do banco, in casu da C (...) Ré, na medida em que o Autor deixou de ter necessidade de realizar operações bancárias com intervenção do seu pessoal com a inerente diminuição dos seus custos de funcionamento. 10. Quando o Autor subscreveu o serviço da Ré denominado de “B”directa on-line, foram inseridos no sistema os códigos e elementos de segurança, pertencentes ao Autor aderente, cifrados. 11. Nos termos do estipulado em 9 e 10 das Condições Gerais de Utilização do Serviço “E Banking”directa, subscritas pelo Autor (cuja cópia se encontra a fls. 22 dos autos), presume-se que as operações realizadas com a inserção dos elementos de segurança pessoais e intransmissíveis do subscritor do serviço são da autoria do subscritor do serviço; caso se demonstre que as operações (transferências) realizadas foram efectuadas por terceiros, presume-se que tal foi consentido ou culposamente facilitado pelo subscritor aderente; 12. Aquando da subscrição do serviço “C (...) E Banking”directa on-line foi fornecido ao Autor, na activação deste serviço, um número de contrato, um código de acesso e um cartão matriz com um conjunto único de 64 combinações de números de três algarismos cada, que funciona como um elemento de segurança adicional para as operações realizadas no serviço “B”directa on-line; 13. Qualquer um destes três dados deve ser pessoal, secreto e intransmissível; 14. O Autor sabia dever respeitar as recomendações de segurança e os alertas de segurança que a Ré divulgava e divulga no seu sítio e que estão disponíveis ao utilizador imediatamente antes do acesso ao serviço e sempre em cada utilização deste. 15. Nas sobreditas recomendações de segurança, acessíveis aos utilizadores do serviço, sob o título de “Mantenha a confidencialidade dos seus dados pessoais”, consta expressamente: “(…) Mantenha sempre os seus códigos de acesso ao “C (...)” directa online reservados. Não os divulgue, nem mesmo se solicitado por pessoas que se identifiquem como colaboradores da “C (...)”, não os escreva de forma a poderem ser consultados por terceiros, nem os envie por correio electrónico (nem mesmo para si próprio)”; 16. Nas mesmas recomendações de segurança, sob o título “Proteja e preserve o seu cartão matriz”, a Ré avisa os utentes que devem “preservar a confidencialidade dos números contidos no cartão”; e, ainda, que “deve ter sempre presente que a “C (...)” nunca solicita dados de segurança (códigos de acesso e cartão matriz) ou outro tipo de informação confidencial através de mensagens de email, telefone, ou outro tipo de contacto. Nunca se deve responder a este tipo de solicitação porque se trata de fraude. Para ter a certeza que está a aceder ao site “C (...)” directa on-line, deve sempre aceder através do endereço e nunca através de links contidos em mensagens de email, mesmo que estas tenham alegadamente origem na C (...); 17. Para que o utente do serviço “C (...)” directa on-line possa efectuar operações na(s) sua(s) conta(s), após fazer o login (mediante a introdução do número de contrato e do código de acesso), é-lhe solicitada aleatoriamente pelo sistema uma das 64 possíveis combinações de três números que compõem o cartão matriz de modo a validar a operação que pretende realizar, e realizá-la; 18. O sistema informático da Ré e, em concreto, o serviço “C (...)” directa on-line, encontra-se protegido, sendo considerado pelos especialistas como um sistema seguro, não obstante alguns clientes terem sido já alvo de acção organizada de grande dimensão.”. 19. Após a celebração deste contrato de “homebanking” o Autor passou a usar este serviço, procedendo, através dele, a operações de pagamentos e transferências e bem assim de consultas de saldos da sua identificada conta. 20. De acordo com o anexo B do referenciado contrato de “homebanking”, para além do Autor estava também autorizada a fazer as operações aí previstas (consultas de saldos e movimentos) (…) cônjuge do Autor. 21. A realização de uma operação bancária, concretamente uma transferência, depende, depois de se ter acedido à página informática do serviço “C (...) e-banking”, da correta inserção do número do contrato e da respectiva password, que é pessoal e intransmissível, e bem assim de três números aleatórios do cartão matriz associado ao contrato. 22. No dia 8 de Janeiro de 2010 (sexta-feira), por volta das dezoito horas um funcionário da Ré, que se apresentou como sendo do Serviço “C (...) e banking”, telefonou ao Autor questionando-o se usava ou não regularmente o serviço de “C (...) e-banking”, ao mesmo tempo que lhe perguntou se tinha sido ele ou não a realizar os movimentos suspeitos, e por não o ter assumido, informou que o serviço que tinha contratado com a Ré de “C (...) e-banking” havia sido cancelado por razões de segurança. 23. Mais informou então este funcionário da Ré o Autor que se este pretendesse a reactivação de tal serviço teria de se dirigir ao seu balcão da C (…), agência desta cidade de (…). 24. Ante esta informação, no dia útil imediatamente seguinte – dia 11 de Janeiro seguinte, segunda-feira – o Autor dirigiu-se ao balcão da Ré nesta cidade de (…), e aí, após lhe ter sido facultada uma impressão em papel dos últimos movimentos da sua conta, verificou que esta mesma conta havia sido irregular e fraudulentamente movimentada dela tendo sido retirada, através de duas ordens de pagamento, nos valores respectivos de € 11.570,00 e € 11.569,00, a quantia global de € 23.139,00. (doc. de fls. 16 cujo teor se dá por reproduzido). 25. Ordens de pagamento estas que o Autor desde logo, verbalmente e perante os funcionários do balcão de (…) da Ré, negou ter autorizado ou terem por si sido efectuadas. 26. Negação esta que foi, entretanto, transmitida por escrito à Ré através de carta registada com aviso de recepção subscrita pelo mandatário do Autor e datada de 18 de janeiro seguinte e por esta recebida no dia seguinte, ou seja, no dia 19 de Janeiro de 2010, através da qual foi solicitada a reposição dos valores fraudulentamente retirados da conta do Autor. (fls. 16 vs a 18 cujo teor se dá por reproduzido) 27. Em sede de investigação criminal, ficou demonstrado que tais movimentos foram efetuados por alguém que não foi possível identificar, apenas se sabendo que foram ordenadas através do endereço de IP (internet protocol) (…)no dia 8 de Janeiro de 2010, pelas 5h 42m16s o qual se encontrava então atribuído a F (…). (cfr. fls. 18 vs a 19 vs.) 28. Estes movimentos, feitos de forma ilegítima e não consentida nem autorizada pelo Autor como se alegou, só foram possíveis graças às fragilidades do sistema de segurança do serviço “C (...) e-banking” da Ré, 29. Na sequência destes movimentos ilegítimos da conta do Autor e após deles ter tomado conhecimento, este, no dia 11 de Janeiro de 2010, segunda-feira – apresentou junto da GNR, posto desta cidade de (…), uma queixa formal contra desconhecidos pela prática de dois crimes de burla informática. 30. Na sequência da investigação que dos factos foi feita, por parte da Polícia Judiciária, veio este órgão da polícia criminal a concluir o seguinte: a) que no dia 8 de Janeiro de 2010 (data dos factos), o queixoso e ora Autor foi contactado pela C (...) Geral de Depósitos – ora Ré – de Lisboa, informando-o que, por razões de segurança, iam cancelar o seu contrato de acesso online à conta bancária, vindo o Autor posteriormente a tomar conhecimento do acesso ilegítimo à mesma e das duas transferências em questão; b) que no decorrer das investigações veio a C (...) Geral de Depósitos - Ré – informar que as operações bancárias ilícitas haviam sido ordenadas através do endereço de IP 82.154.149.46 no dia 8 de Janeiro de 2010, pelas 5h41m16s e que os montantes transferidos haviam tido como destino as contas com os NIBs (…); c) que os titulares destas contas haviam supostamente celebrado um contrato de trabalho com uma empresa com a designação de G (…) e que após terem visto as suas contas assim creditadas alguém desta empresa lhes terá determinado a transferência de tais valores para a cidade de Saint Petersburg em nome dos suspeitos (…). (doc. fls. 19vs. a 21 vs. cujo teor se dá por reproduzido). 31. Por falta de indícios e, concretamente por não terem sido identificados os autores dos factos denunciados, este inquérito veio a ser arquivado por despacho proferido em 22 de Março de 2013. (cfr. doc. fls. 19vs. a 21 vs. cujo teor se dá por reproduzido). 32. O Autor tinha perfeita consciência das recomendações de segurança de utilização do sistema de “C (...) e-banking” da Ré nomeadamente do carácter pessoal dos dados pessoais que lhe foram fornecidos aquando da celebração do contrato de “homebanking” (número do contrato e respectiva password e cartão matriz associado ao contrato). 33. Bem sabendo assim que qualquer um destes dados eram pessoais, secretos e intransmissíveis. 34. Quem acedeu à conta bancária do Autor pôde fazê-lo porque obteve, quer o número do contrato, quer o número do código de acesso, quer todas, ou parte, das 64 combinações de três algarismos que compõem o cartão matriz. 35. As movimentações da conta do Autor foram executadas porque introduzidos os códigos que permitiam o acesso àquela conta bancária. 36. A chamada A (…), então recém‐licenciada e desempregada, concorreu a um anúncio para trabalhar a partir de casa para a empresa «G (…)», com a categoria profissional de «Regional Sales Manager», tendo por missão controlar as vendas on line feitas por essa empresa a cliente sediados em Portugal, bem como aumentar as encomendas e agilizar a distribuição dos produtos. 37. «G (…), Ltd» apresentava-se nas páginas de anúncios de empregos como uma empresa internacional de renome, que se dedica a importar e distribuir produtos alimentares da gama gourmet. 38. A chamada enviou a candidatura, incluindo, por tal lhe haver sido solicitado, o seu NIB, ou seja, a identificação da sua conta bancária. 39. A indicação desse NIB era necessária, porque os serviços a prestar pela chamada a essa empresa internacional iriam ser pagos por transferência bancária. 40. A chamada foi admitida para trabalhar nessa empresa, celebrou contrato com a mesma e foi contactada em 5 de Janeiro de 2010, pelo supervisor da empresa para a Europa, no sentido de começar efectivamente a trabalhar como colaboradora da empresa a partir do dia 11 desse mês (data a partir da qual afirmou estar disponível). 41. Por mail, a sua nova entidade patronal informou‐a então de que a sua primeira tarefa seria familiarizar‐se com alguns documentos para clientes e com os produtos que tinham para oferecer. 42. Depois, com a assistência do supervisor, pessoa que se identificava como J (…), foi informada que teria de finalizar uma venda, envolvendo contacto com o cliente na área, por telefone ou e‐mail, enviando ou recebendo correspondência e confirmando a encomenda e respectivo pagamento. 43. Mais lhe fez saber que estavam à espera de grandes encomendas dentro de dias e, quando isso sucedesse, lhe enviariam as instruções. 44. Também lhe afirmou, o seu supervisor, que iria identificá‐la numa das próximas encomendas, para que a acompanhasse directamente. 45. A chamada A (…) ficou expectante, para começar desenvolver o tirocínio na actividade para que fora contratada, a partir de 2ª feira dia 11 de Janeiro de 2010. 46. Porém, na 6ª feira dia 8 de Janeiro de 2010, ao início da manhã, a chamada foi contactada por mail e por telefone, pelo seu supervisor na empresa, o qual a informou de que teria sido feita uma encomenda de beluga e caviar, por um cliente português da empresa, um tal Arlindo Bandeira Antunes, e que essa encomenda seria urgente, 47. Bem como que, por esse motivo, tinham dado instruções para a mercadoria ser providenciada para entrega urgente, numa empresa sediada em St. Petersburg, na Rússia. 48. Mais a informou o referido supervisor de que o preço da mercadoria teria sido transferido para a conta da chamada, num valor de 11.569€, pelo que deveria transferir o dinheiro para a empresa na Rússia, assim permitindo o envio da mercadoria encomendada pelo cliente português, com excepção de 669€, que deveria manter consigo para despesas com deslocações e envio, bem como comissão pela venda. 49. O seu supervisor ordenou‐lhe que transferisse via Western Union 5.450€ para uma tal (…) e 5.450€ para um tal (…), ambos domiciliados em St. Petersburg, Rússia. 50. A chamada, quer ao telefone quer por mail, de imediato se mostrou desagradada com o seu supervisor, o sobredito J (…), por a sua conta ter sido abusivamente usada para este fim, posto que só fornecera o número da sua conta para pagamento do seu salário e mais nada. 51. E afirmou prontamente que nunca mais permitira o uso da sua conta bancária para esses fins. 52. Porém, como o dinheiro não lhe pertencia e lhe foi feito crer que respeitava a uma encomenda feita por um cliente português, para compra de mercadoria na Rússia, porque não queria aquele dinheiro na sua conta, e porque essa era a ordem que lhe estava a ser dada pela sua entidade patronal, a chamada levantou a quantia de sua conta e enviou‐a via Western Union para as pessoas indicadas pelo seu supervisor. 53. Gastou na remessa do dinheiro para o estrangeiro 302€. 54. A partir dessa data, a chamada nunca mais teve qualquer contacto do seu supervisor, nem da sua entidade patronal, nem no dia 11 nem no dia 12 de Janeiro de 2010, pelo que começou a desconfiar de que poderia ter sido usada para fins ilícitos. 55. No dia 13 de Janeiro de 2010, pela manhã, a chamada contactou a Polícia Judiciária do Porto, a quem narrou os factos, fazendo a respectiva denúncia criminal, cujo inquérito correu termos pelos Serviços do Ministério Público de Vila do Conde sob o nº132/10.7JAPRT, tendo sido posteriormente incorporado no inquérito nº14/10.2GCTND que correu termos pelos Serviços do Ministério Público de Tondela. 56. Foi aí informada pelo inspector que a atendeu de que teria sido com toda a probabilidade usada a sua conta para uma burla informática, cujos contornos a P.J. bem conhecia, por ser já prática habitual em contas da C (...) e estar já a ser investigada essa actuação devido a outros casos similares. 57. Foi ainda aconselhada pela PJ a encerrar a sua conta bancária – o que fez de imediato – e a aguardar pelo desfecho das investigações. 58. A chamada agiu com total boa‐fé, convicta de que a quantia que lhe apareceu na sua conta teria sido transferida por um cliente da sua entidade patronal, para pagamento duma encomenda, e se destinaria a uma empresa fornecedora de bens situada na Rússia. 59. Agiu em cumprimento de ordens dadas pela sua entidade patronal, através do respectivo supervisor, que lhe ordenou a remessa dessa quantia para os respectivos destinatários. 60. A chamada ignorava em absoluto que poderia estar a ser utilizada numa operação de phishing, ou para quaisquer outros fins criminosos. 61. A chamada não se apropriou de qualquer quantia, nem teve qualquer actuação censurável, apenas foi vítima dum logro de contornos criminais, como a ré C (...) bem sabe. 62. A chamada não recolheu nenhuns fundos na sua conta, antes os mesmos foram creditados na sua conta sem seu conhecimento e mesmo contra a sua vontade expressa, posto que quando facultou o número da conta o fez apenas para que aí fosse creditado o seu salário. 63. Também não aceitou tais fundos, nem os fez seus. 64. Cumprindo ordens expressas da entidade patronal, a chamada levantou a quantia que, segundo lhe foi convictamente afirmado e conforme cria, tinha sido disponibilizada por um cliente da G (…), para compra de mercadorias através da empresa em que ela própria trabalhava, transferindo essa quantia para as pessoas que acreditava absolutamente serem as suas destinatárias legítimas. 65. No ano de 2009 e 2010 a interveniente S (…) encontrava-se desempregada e à procura de emprego. 66. A interveniente havia trabalhado como assistente de investigação num projecto sobre economias rurais, onde se valorizava o teletrabalho. 67. Nessa sequência, em Dezembro de 2009 e numa visita ao site “NET EMPREGO”, a interveniente vê uma oferta de emprego para exercer as funções de gestor comercial de uma empresa de alimentos gourmet. 68. Nessa mesma altura, a interveniente envia o seu curriculum vitae para a referida empresa em busca de um emprego. 69. No dia 29 de Dezembro de 2009 a interveniente recebeu um e-mail de um tal D (…), dos recursos humanos da empresa gourmet, dando nota de que o curriculum vitae da interveniente havia sido considerado pelo recursos humanos e que a empresa gostaria de lhe oferecer uma posição/emprego como “regional sales manager”. 70. Nesse mesmo dia, a interveniente respondeu ao referido e-mail colocando algumas questões/dúvidas sobre o seu suposto novo emprego. 71. A 30 de Dezembro de 2009, a interveniente é contratada para a “G (…))” tendo-lhe sido atribuído o número de funcionário P01356 – confrontar documento n.º3, que se junta e se dá por integralmente reproduzido para os devidos efeitos legais – sendo que, brevemente, seria contactada pelo seu supervisor (“supervising manager”). 72. Nesse mesmo dia, é remetido à interveniente o suposto contrato de trabalho e que, brevemente, iria para formação tendo, no entretanto, a interveniente facultado toda documentação necessária para o efeito nomeadamente, o seu número de identificação bancária. 73. No entanto, a interveniente fica alguns dias sem qualquer noticia por parte da “G (…) tendo insistido por resposta a 4 de Janeiro de 2010 – conforme documentos de fls. 127 e seguintes que se dá por integralmente reproduzido para os devidos efeitos legais. 74. Eis que, a 8 de Janeiro de 2010, a interveniente é, novamente, contactada pela “G (…)desta feita, por um tal J (…) supostamente, “Senior Sales Advisor” e, como tal, supervisor da interveniente – conforme documentos de fls. 127 e seguintes que se dá por integralmente reproduzido para os devidos efeitos legais. 75. Do referido e-mail, seguem ordens muito precisas para a interveniente executar nomeadamente, teria que fazer uma transferência para “fornecedores” do pagamento que o “cliente” da “G (…))” havia efectuado na conta bancária da interveniente – entretanto facultada à “G (…))”. 76. O depósito bancário efectuado pelo “cliente” incluía o valor das encomendas e a comissão da interveniente, tudo num total de €11.570,00 (onze mil quinhentos e setenta euros) a que acresce, o valor da comissão no montante de €670,00 (seiscentos e setenta euros) – conforme documentos de fls. 127 e seguintes que se dá por integralmente reproduzido para os devidos efeitos legais. 77. Sendo que, deveria tal montante ser levantado pela interveniente e transferido, via “Western Union” para os supostos “fornecedores” a saber: - O (…) São Petersburgo, Rússia, montante de €5.450,00; - I (…) São Petersburgo, Rússia, montante de €5.450,00. 78. A interveniente acatou as ordens da sua “nova entidade patronal” sendo que, e não obstante, alerta para o facto de nunca ter trabalhado com a “Western Union” – vide documento junto sob o nº 5. 79. Nessa sequência, qual como havia sido solicitado, a interveniente deslocou-se ao seu balcão habitual, do B (…), no qual efectuou o levantamento da quantia de €11.570,00 (onze mil quinhentos e setenta euros). 80. De seguida, e ainda no dia 8 de Janeiro de 2010, a interveniente deslocou-se a uma agência bancária (…), em Vila Real, tendo efectuado as transferências bancárias para as indicadas pessoas. 81. De tal facto, e conforme solicitado, a interveniente dá conhecimento à “G (…) tendo, inclusive, enviado os comprovativos das transferências bancárias – conforme documentos de fls. 127 e seguintes que se dá por integralmente reproduzido para os devidos efeitos legais. 82. No dia 8 de Janeiro de 2010, o suposto supervisor da interveniente agradece o esforço da interveniente referindo ainda que, logo que tivesse feedback da contabilidade sobre as transferências bancárias, entraria em contacto – conforme documento de fls. 135 que se dá por integralmente reproduzido para os devidos efeitos legais. 83. Nesse mesmo dia, o gestor de conta da interveniente alerta para os procedimentos da “Western Union”, ou seja, que as transferências bancárias efectuadas através desta entidade não deixam qualquer “rasto”, 84. No entanto, não obstante ter ficado bastante apreensiva pelo facto de ficar sem comprovativo das transferências - “sem rasto” - face à ordem expressa que tinha, a interveniente fez as transferências bancárias. 85. No dia seguinte, ou seja, no dia 9 de Janeiro de 2010, a interveniente é contactada pelo seu gestor de conta, 86. Dando-lhe nota de que a C (…) havia contactado o B(…) pedindo explicações sobre o sucedido. 87. Alarmada com tal situação, a interveniente deslocou-se, prontamente, à polícia judiciária – directoria do Norte - para dar nota do sucedido e do esquema em que, involuntariamente, se viu envolvida e, deixou, de imediato, de utilizar a conta bancária do B (…) mantendo-a unicamente aberta com o montante correspondente à suposta comissão, ou seja, com o montante de €670,00 (seiscentos e setenta euros), que nunca usou. 88. A interveniente contactou, ainda, um advogado, que não o ora signatário ou alguém do seu escritório, para se aconselhar sobre o que podia fazer face ao esquema em que se viu envolvida. 89. A interveniente desconhece quem seja o autor ou mesmo, bem como F (…) bem como, A (..). 90. Tais factos foram já dados como provados nos processos-crime que, no entretanto, correram termos nomeadamente, o processo n.º 14/10.2GCTND e ainda, o processo n.º 213/10.7JAPRT que correu termos nos serviços do Ministério Púbico de Vila Real – incorporado mais tarde no referido processo n.º 14/10.2GCTND. 91. O chamado F (…) sempre teve e utilizou os antivírus mais pesados, mais recentes e mais poderosos, sempre devidamente actualizados. 92. O equipamento de wifi em sua casa é propriedade da operadora, não podendo o interveniente aceder ao softwear que o mesmo possui.
5.2. Segunda questão. O Sr. Juiz decidiu aduzindo o seguinte, essencial e sinótico, discurso argumentativo: «Nos presentes autos suscita-se uma questão de responsabilidade civil, decorrente de um contrato, que é especial, e que tem regulamentação própria, bem como o sector em causa… Com efeito, sob a epígrafe “Critérios de diligência”, inserido no título de supervisão comportamental estatui o artigo 75º do Regime Geral das Instituições de Crédito e Sociedades Financeiras o seguinte: “Os membros dos órgãos de administração das instituições de crédito, bem como as pessoas que nelas exerçam cargos de direção, gerência, chefia ou similares, devem proceder nas suas funções com a diligência de um gestor criterioso e ordenado, de acordo com o princípio da repartição de riscos e da segurança das aplicações e ter em conta o interesse dos depositantes, dos investidores, dos demais credores e de todos os clientes em geral.” Por sua vez e sob a epígrafe: “Obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento” diz o artigo 68º do Regime Jurídico das Instituições de Pagamento e Prestação de Serviços de Pagamento anexo ao Dec.-Lei nº 317/2009”: “1. O prestador de serviços de pagamento que emite um instrumento de pagamento tem as seguintes obrigações: a) Assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior; b) Abster -se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído; c) Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à notificação prevista na alínea b do n.º 1 do artigo anterior ou solicitar o desbloqueio nos termos do n.º 4 do artigo 66.º; d) O prestador do serviço de pagamento deve facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a notificação prevista na alínea b) do n.º 1 do artigo anterior, de que efectuou essa notificação; e e) Impedir qualquer utilização do instrumento de pagamento logo que a notificação prevista na alínea b) do n.º 1 do artigo anterior tenha sido efectuada. 2. O risco do envio ao ordenante de um instrumento de pagamento ou dos respectivos dispositivos de segurança personalizados corre por conta do prestador do serviço de pagamento.” Resulta dos factos provados que a Ré só cancelou o serviço depois de ter verificado um “máximo de tentativas credencial, ou seja, quando alguém fez um máximo de tentativas de acesso à conta”. Facto que, já tardiamente, fez alertar a Ré para o risco de segurança de que a conta do Autor estava a ser alvo. No entanto, a Ré nada fez no sentido de, atempadamente, sustar o acesso fraudulento à conta do Autor, procedendo, nomeadamente ao bloqueio do instrumento ou instrumentos de pagamento que determinaram as citadas transferências fraudulentamente efectuadas, como lhe impunha a regra do artigo 66º nº 2 do citado regime anexo ao dec-lei nº 317/2009 e de acordo com o estipulado no respectivo contrato quadro (cfr clausula 13ª, alínea a) do contrato identificado nos factos provados. Resulta também dos factos provados que as incessantes tentativas de introdução dos respectivos códigos de acesso à conta do Autor por parte dos hackers/piratas deveria ter, de imediato, levantado a suspeita de utilização não autorizada ou fraudulenta dos instrumentos de pagamentos utilizados e o seu imediato bloqueio, por parte da Ré. Não tendo sido provado que tenha havido transmissão dos dados do cartão matriz de forma negligente, única forma de afastar a responsabilidade da ré, escudou-se então a Ré na cláusula décima primeira do contrato de C (...) e-banking ou contrato de Homebanking que prevê que a realização de uma operação por terceiro se presume dolosa ou culposamente permitida pelo utilizador/detentor dos códigos secretos que a validarem… No entanto, esta cláusula é de considerar absolutamente proibida e, como tal, sancionada com o regime da nulidade. Na verdade, inserindo-se o contrato sub judice no âmbito das relações com os consumidores finais, a apertada literalidade desta cláusula contratual geral estabelecida no contrato modifica as regras da repartição do ónus da prova prevista no artº. 342º do Código Civil sendo como tal, sancionada com a nulidade respectiva nos termos das disposições combinadas dos artigos 20º e 21º, alínea g) do Regime Jurídico das Cláusulas Contratuais Gerais aprovado pelo Dec.-Lei nº 446/85 com as alterações que lhe foram introduzidas pelo Dec.-Lei nº 220/95. Esta questão, da proibição e subsequente nulidade deste tipo de cláusulas contratuais gerais que expressamente presumem a culpa do aderente na realização por terceiro de uma operação de homebanking não consentida, foi aliás já proficuamente analisada e versada no acórdão da Relação de Lisboa de 24-05-2012 – processo nº 192119/11.8YIPRT.L1-2 –…in www.dgsi.pt...: III – O contrato de serviço de “homebanking” insere-se numa relação negocial complexa iniciada através de um contrato de abertura de conta, e da constituição de depósitos de quantias em conta. IV – As cláusulas do contrato de “homebanking” que presumem expressamente a culpa ou consentimento do aderente na realização, por terceiro, de operação de homebanking mediante a inserção dos elementos de segurança pessoais e intransmissíveis do subscritor do serviço, implicam a modificação dos critérios legais de repartição do ónus da prova aplicáveis ao contrato de depósito bancário. V – Como tal essas cláusulas, quando estabelecidas em contratos celebrados com o consumidor final são proibidas, e sancionadas com a nulidade.” Declarando-se assim nula tal cláusula contratual. O objecto do depósito bancário é de natureza fungível, tem sido entendimento jurisprudencial dominante que o depósito bancário, à falta de norma expressa que o qualifique, é um depósito irregular na noção que lhe é dada pelo artigo 1205º do Código Civil. Assim, a estes depósitos, e na medida do possível, são-lhe aplicáveis as normas relativas ao contrato de mútuo. (artigo 1206º do Código Civil) Por força do contrato de mútuo, as coisas mutuadas tornam-se propriedade do mutuário por força da entrega. (artigo 1144º do Código Civil) Adquirindo assim o banqueiro a titularidade do dinheiro que lhe é entregue, passando a partir de então o banqueiro a ter a disponibilidade deste dinheiro para que no exercício da sua actividade o aplique por conta própria mediante concessão de crédito. Por tal efeito, o banqueiro assume o risco sobre a gestão da quantia que recebeu em depósito e consequentemente cabe, no entanto, ao banqueiro, enquanto depositário e titular das quantias que lhe foram entregues a tal título, responder pelo risco de extravio ou dissipação de tais valores até aos montantes que sejam exigíveis no momento do pedido da respectiva restituição. A não ser que consiga elidir a presunção da culpa que sobre ele impende nos termos da norma do artigo 799º do Código Civil, o que, manifestamente, nos presentes autos não fez. Nos presentes autos estamos perante uma “fraude virtual” … que envolve o uso de dados bancários roubados ou furtados, ou de acesso ilegítimo a coberto de enganos subtis. Actualmente a fraude virtual mais aplicada na internet que prejudica o sistema bancário é a chamada “salami slicing” ou seja, fatias de salame. Os seus agentes, utilizando vários recursos, realizam transferências electrónicas, de pequenas ou grandes quantias, de milhares de contas. …os bancos são responsáveis pelos prejuízos advindos das fraudes virtuais que lesam as contas de seus clientes efectuadas através dos sites das respectivas instituições financeiras, ou seja, o cliente ao se sentir lesado por ser vítima de terceiro que movimente sua conta ao ponto de lhe causar prejuízo financeiro, deve ser ressarcido pelo banco, pois este tem o dever de manter seu serviço em segurança. A instituição financeira ao se descuidar da segurança das contas de seus clientes, deve ser responsabilizada por isso… E, assim, impendendo sobre o banco/depositário a obrigação de restituição de quantia em dinheiro igual à depositada – porventura acrescida de juros e deduzida dos encargos bancários acordados – sobre ele recairá o ónus de prova de a circunstância de a restituição ser de quantia inferior, não provir de culpa sua. Tal restituição dos valores indevidamente retirados da conta do Autor é ainda imposta pelas normas do citado Regime Jurídico da Prestação de Serviços de Pagamento anexo ao Dec.-Lei nº 317/2009. Sendo a Ré uma instituição de crédito que está autorizada pelo Banco de Portugal a prestar serviços de pagamento, nos termos das disposições combinadas dos artigos 4º, 6º e 7º do Regime anexo ao Dec.-Lei nº 317/2009. Encontra-se provado que as operações em discussão, não foram autorizadas pelo Autor. Assim, por efeito do estatuído no artigo 71º deste citado diploma legal: (“1. Sem prejuízo do disposto no artigo 69.º, em relação a uma operação de pagamento não autorizada, o prestador de serviços de pagamento do ordenante deve reembolsá-lo imediatamente do montante da operação de pagamento não autorizada e, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada.” 2. Sempre que o ordenante não seja imediatamente reembolsado pelo respectivo prestador de serviços de pagamento nos termos do número anterior, são devidos juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada, até à data do reembolso efectivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.”), ter-se á que condenar a ré no pagamento dos juros que nesta aprte têm vertente sancionatória. A data em que o Autor negou ter autorizado as operações de pagamento efectuadas é fixável, de acordo com os factos provados, no dia 19 de Janeiro de 2010, data a partir da qual e nos termos da citada norma do artigo 71º do regime anexo ao Dec.-Lei nº 317/2009 são devidos juros de mora sobre o valor global das operações efectuadas e ainda não reembolsadas pela Ré.». Perscrutemos. Tal como alega a recorrente a referência de que se provou que: «a Ré só cancelou o serviço depois de ter verificado um “máximo de tentativas credencial, ou seja, quando alguém fez um máximo de tentativas de acesso à conta» e que houve: « incessantes tentativas de introdução dos respetivos códigos de acesso à conta do Autor por parte dos hackers/piratas» é menos adequada pois que tais factos não se apuraram, entendendo-se tais menções como devidas a mero lapso material, erro de simpatia ou lapsus calami. Porém, quanto ao cerne da questão e conforme dimana do mais expendido na sentença, esta, perante os factos apurados, não merece censura. Efetivamente a jurisprudência e a doutrina vão no sentido quasi unânime de que: «Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta dos bancos, por a tal conduzir o disposto no artigo 796º, nº1 do CCivil, e por aplicação do DL 317/2009, de 30 de Outubro, que transpôs para a nossa ordem jurídica o novo enquadramento comunitário em matéria de serviços de pagamentos, maxime a Directiva 2007/64/CE do Parlamento Europeu e do Conselho de 13 de Novembro…» – Ac. do STJ de 18.12.2013, p. 6479/09.8TBBRG.G1.S1 in dgsi.pt. Urge atentar especialmente no estatuído no REGIME JURÍDICO QUE REGULA O ACESSO À ACTIVIDADE DAS INSTITUIÇÕES DE PAGAMENTO E A PRESTAÇÃO DE SERVIÇOS DE PAGAMENTO aprovado pelo DL nº 317/2009 de 30 de Outubro e que transpôs para a ordem jurídica interna a Directiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro, relativa aos serviços de pagamento no mercado interno.
Artigo 62.º Âmbito de aplicação. 1—As disposições do presente capítulo aplicam-se às microempresas do mesmo modo que aos consumidores. 2—Quando o utilizador do serviço de pagamento não seja um consumidor, as partes podem afastar a aplicação, no todo ou em parte, do disposto no n.º 3 do artigo 63.º, no n.º 3 do artigo 65.º e nos artigos 70.º, 72.º, 73.º, 74.º, 77.º, 86.º e 87º e, bem assim, acordar num prazo diferente do fixado no artigo 69.º. Artigo 67.º Obrigações do utilizador de serviços de pagamento associadas aos instrumentos de pagamento. 1—O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento tem as seguintes obrigações: a)Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; e b)Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento. 2—Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados. (…) Artigo 70.º Prova de autenticação e execução das operações de pagamento. 1—Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência. 2—Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67.º (…) Artigo 71.º Responsabilidade do prestador do serviço de pagamento por operações de pagamento não autorizadas. 1—Sem prejuízo do disposto no artigo 69.º, em relação a uma operação de pagamento não autorizada, o prestador de serviços de pagamento do ordenante deve reembolsá –lo imediatamente do montante da operação de pagamento não autorizada e, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada. 2—Sempre que o ordenante não seja imediatamente reembolsado pelo respectivo prestador de serviços de pagamento nos termos do número anterior, são devidos juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada, até à data do reembolso efectivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar. Artigo 72.º Responsabilidade do ordenante por operações de pagamento não autorizadas. 1—No caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de € 150. 2—O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a actuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67.º, caso em que não são aplicáveis os limites referidos no n.º 1. 3—Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva. 4—Após ter procedido à notificação a que se refere a alínea b) do n.º 1 do artigo 67.º, o ordenante não suporta quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, roubado ou abusivamente apropriado, salvo em caso de actuação fraudulenta. (…) Deste acervo legal dimanam várias conclusões, a saber: No caso em que o utilizador do serviço uma microempresa ou um consumidor, o seu regime é imperativo, sobrepondo-se ao anuído pelas partes o qual, se contrário ao aqui estatuído, irreleva - artº 62º, nºs 1 e 2. A aferição da diligência devida pelo utilizador do serviço de pagamentos no cumprimento das condições de utilização desse serviço deve ser feita segundo critérios de razoabilidade - artº 67º, nº 2. Caso o utilizador do serviço negue ter autorizado uma operação o prestador do serviço só pode exonerar-se de responsabilidade, competindo ao utilizador suportar todas as perdas, se, cumulativamente, fizer a prova: i) que a operação foi, sem afetação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; ii) que ela se ficou a dever a fraude ou a incumprimento doloso ou gravemente negligente por parte do utilizador das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes referentes à segurança ou fiabilidade do instrumento de pagamento - artigos 70º e 72º, nº 2. Não logrando fazer essa prova o prestador do serviço fica obrigado a reembolsar imediatamente o montante do pagamento não autorizado, repondo a conta debitada na situação em que se encontraria se a operação não autorizada não tivesse sido executada, e pagando juros moratórios, acrescidos no caso de atraso no reembolso - artº 71º . No caso, porém, de incumprimento gravemente negligente por parte do utilizador das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes, a responsabilidade deste pode ser reduzida, tendo em conta as circunstâncias do caso, até ao limite do saldo ou da linha de crédito associada à conta ou instrumento de pagamento artigo 61º, nº 3, da Diretiva e artigo 72º, nº 3, do RSP. Provando que a operação foi, sem afetação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada mas de que esta resultou de perda ou roubo do instrumento de pagamento ou sua apropriação abusiva por o utilizador não ter assegurado a confidencialidade dos dispositivos de segurança, cabe ao utilizador arcar com as perdas relativas até ao montante máximo de € 150 - artigo 72º, nº 1. Salvo em caso de fraude, o utilizador não tem qualquer responsabilidade por operações não autorizadas realizadas após a comunicação de vicissitude referente à segurança ou fiabilidade do instrumento de pagamento; ou após o momento em que não efetuou essa comunicação por o prestador do serviço não fornecer os meios adequados para o efeito - 72º, nºs 4 e 5. Assim: «A movimentação das contas de depósitos bancários através do serviço designado homebanking obriga os Bancos a assegurar que dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento. Incumbe ao Banco, enquanto depositário ilidir a presunção de culpa pelo perecimento de quantias cujo domínio lhe foi transferido por via contratual, ainda que a causa do perecimento resulte de acessos fraudulentos aos meios de movimentação de contas bancárias que disponibiliza aos seus clientes. Não age com culpa o depositante que por via de uma fraude informática levada a efeito por terceiros, na convicção que estava na página on line do Banco/homebanking, introduziu numa página colonada da internet do Banco, as suas certificações, pessoais e intransmissíveis, que abusivamente vieram a ser utilizadas no acesso, por terceiros, à conta de que era titular.» - Ac RP de 29.04.2014, p. 225/12.6TJVNF.P1.
«Num contrato de homebanking, o prestador de serviços de pagamento (normalmente um Banco), tem a obrigação de assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sendo seu o risco do envio ao utilizador de um instrumento de pagamento ou dos respectivos dispositivos de segurança personalizados. O utilizador de serviços de pagamento responde pelas perdas resultantes de operações de pagamento não autorizadas se tiver agido fraudulentamente ou com incumprimento deliberado de uma ou mais das suas obrigações (previstas no art.º 67.º do Dec.-Lei n.º 317/2009, de 30 de Outubro). Pode ainda responder por aquelas perdas se tiver actuado com negligência grave, conceito que se pode definir como “negligência grosseira, erro imperdoável, desatenção inexplicável, incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes» - Ac. RG de 17.12.2014, p. 1910/12.8TBVCT.G1 (no qual se decidiu que a utilização, por engano, de um sítio parecido com o genuíno não integra o conceito de negligência grave ou grosseira).
«A complexidade dos sistemas bancários… concebidos e controlados pelos Bancos, assim como a grande exigência dos mecanismos relacionados com a segurança das operações bancárias através deles realizadas, a par da propriedade do banco sobre os valores depositados pelos seus clientes, em ambiente contratual, justificam o funcionamento da regra da presunção de culpa prevista pelos art.ºs 796º e 799º, nº 1, do Código Civil que recai sobre a entidade bancária na responsabilidade pela utilização fraudulenta daqueles meios e das regras estabelecidas no art.º 72º, nºs 1, 2 e 3, do Decreto-lei nº 317/2009, de 30 de outubro. Em todo o caso, o banco pode ilidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e demonstrando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers. Provada apenas a culpa leve ou levíssima do cliente, a responsabilidade deste pelo desaparecimento do valor em conta deve ser limitada ao € 150,00 por cada transferência, nas condições enunciadas no nº 1 do referido art.º 72º, ficando Banco responsável pela reposição do valor restante.- Ac. RP de 13.10.2016, p. 2513/14.8TBVFR.P1.
«Não se tendo apurado ter o cliente permitido o acesso de terceiros às suas credenciais, não se pode concluir ser imputável ao mesmo a quebra da confidencialidade dos dispositivos de segurança. Ignorando-se como é que os terceiros acederam às chaves ou códigos de acesso, recai sobre o banco o dever de reembolsar o autor do montante da operação de pagamento (art. 71º)... O banco responde para com o autor pelos prejuízos sofridos por este, sejam eles patrimoniais ou não patrimoniais, tanto mais que estes últimos foram agravados pela conduta do próprio banco, ao não cumprir a obrigação de reembolsar imediatamente o autor.» - Ac. RL de 03.03.2015 p. 1727/13.2TJLSB.L1-1; e da RC de 02.02.2016, p. 902/13.4TBCNT.C1.
Se o banco réu não demonstrou, como era seu ónus, que o utilizador tenha tido qualquer comportamento susceptível de pôr em causa a segurança do sistema, desconhecendo-se o modo como os terceiros lograram obter os dispositivos de segurança, tem o mesmo a obrigação de reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada (art. 71.º, n.º 1, do Regime dos Sistemas de Pagamento) - Ac. STJ de 14.12.2016, p. 1063/12.1TVLSB.L1.S1
«Negando o utilizador ter dado autorização para uma operação de pagamento que foi executado pela instituição bancária, é sobre esta que impende o ónus de prova de que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência e/ou que esse pagamento só foi possível devido à atuação fraudulenta daquele ou ao incumprimento deliberado ou com negligência grave dos deveres/obrigações decorrentes do artº. 67º do RSPME» - Ac. RC de 11.02.2020, p. 8592/17.9T8CBR.C1.
«No caso de terceiros, por meio desconhecido e fraudulento, lograrem obter os dispositivos de segurança e acesso a contas bancárias de cliente utilizador de serviços de pagamento (homebanking), não é adequado concluir, sem mais, ser tal quebra de segurança imputável ao utilizador desse serviço. Se o banco réu não demonstrou, como era seu ónus, que o utilizador teve qualquer comportamento susceptível de pôr em causa a segurança do sistema, desconhecendo-se o modo como os terceiros lograram obter as chaves de segurança (número do contrato, código de acesso (password) e combinação de três números das 64 possíveis do cartão matriz), tem o mesmo a obrigação de reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada (art.º 71.º, n.º 1, do Regime dos Sistemas de Pagamento aprovado pelo Dec.-Lei n.º 317/2009, de 30 de Outubro e alterado pelos Decretos-Leis n.ºs 242/2012, de 7 de Novembro e 157/2014, de 24 de Outubro). São nulas e devem ser excluídas das Condições Gerais do contrato de utilização do serviço C (...)directa on-line a que aludem os autos, por alterarem as regras de distribuição do risco e modificarem os critérios de repartição do ónus da prova (cf. artigos 12º, 20º e 21º, alíneas f) e g), do Dec.-Lei n.º 446/85, de 25 de Outubro), as cláusulas 9, 10 e 11 das referidas Condições Gerais, ao estabelecerem a presunção de que as operações bancárias realizadas fraudulentamente por terceiro foram consentidas e autorizadas pelo cliente.» - Ac. RL de 21.12.2017, p. 1318/09.2TBTNV.L1-6.
«No âmbito do contrato de “homebanking” a responsabilidade por operações de pagamento não autorizadas incumbe, em princípio, ao prestador de serviços de pagamento, conforme resulta da regra estatuída no artigo 71.º do Dec. Lei n.º 317/2009, de 30 de outubro, cabendo ao ordenante nas concretas situações previstas nos n.ºs 1 a 3 do artigo 72.º do mesmo diploma, designadamente em caso de negligência grave do ordenante. Não se tendo apurado ter o cliente permitido, ainda que de forma não intencional, o acesso de terceiros às suas credenciais, não se pode concluir ser imputável a este a quebra da confidencialidade dos dispositivos de segurança.» - Ac. RL de 06.11.2018, p. 1952/15.1T8SXL.L1-1.
«A cláusula contratual geral que pretende transferir para o cliente toda a responsabilidade pelos prejuízos resultantes da utilização indevida de serviço de homebanking por parte de terceiros, independentemente de tal utilização resultar do comportamento do cliente, altera as regras de distribuição do risco previstas na lei, sendo uma cláusula geral nula, nos termos dos artºs 12º, 20º, 21º al. f) e 24º do DL 446/85, por absolutamente proibida, quando inserida no âmbito de relações Banco/Consumidor final. O legislador faz recair sobre o banco a prova de que as operações de pagamento não foram efectuadas por avarias técnicas ou quaisquer outras deficiências, não bastando, para o efeito, socorrer-se do registo da operação de molde a demonstrar que ela foi autorizada pelo ordenante, tendo ainda de demonstrar que o cliente agiu de forma fraudulenta, ou não cumpriu deliberadamente ou por negligência grave algumas das suas obrigações previstas no artº 67º do DL 242/2012. O prestador de serviços é quem está em melhores condições, do que qualquer outro (incluindo o consumidor), para trazer a factualidade demonstrativa do modo como as coisas se passaram. Isto porque o funcionamento do “sistema informático” homebanking pertencente à sua esfera de risco, funcionando como critério suplementar de distribuição do ónus da prova, de acordo com a denominada teoria das esferas de risco. Não havendo um especial juízo de censura que recaia sobre o cliente do banco, é a instituição bancária que deve suportar os prejuízos resultantes da intromissão de um terceiro no sistema de pagamentos que criou.» - Ac. RL de 11.04.2019, p. 18/18.7T8TVD.L1-6.
«Constitui ónus da prova da entidade bancária provar a ocorrência de comportamento negligente, gravemente negligente ou doloso do utilizador. Age sem qualquer culpa ou negligência o utilizador de conta bancária, que utilizando os serviços de homebanking prestados pelo banco, é vítima de um ataque informático, através da técnica de “pharming”, mediante a qual foram “revelados” inadvertidamente os dispositivos de segurança que haviam sido fornecidos pelo banco, e que de forma não concretamente apurada, originaram uma operação de transferência de fundos não autorizada da sua conta para terceiro, não autorizada.»- Ac RP de 04.06.2109, p. 1482/17.7T8PRD.P2.
«Não se provando que o cliente agiu fraudulentamente, ou que não cumpriu intencionalmente ou com negligência grave a sua obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, designadamente as respeitantes às chaves de acesso ao serviço de “homebanking”, recai sobre o banco a responsabilidade pela movimentação fraudulenta da sua conta bancária, através da internet (arts. 67º, nº 1, a), 68º, nº 1, a), 70º, nº 1 e 2, e 72º, nº 1 a 3, do Regimento Jurídico dos Serviços de Pagamento e Moeda Electrónica, vulgo RJSPME, consagrado, na altura, no DL 317/2009, de 30.10). Ainda que se tratasse de uma situação de fraude informática, através do denominado “pharming”, não agiria com culpa o cliente que por via dessa fraude levada a efeito por terceiros, na convicção que estava na página online do banco, introduziu numa página falsa, clonada da página do Banco, as suas certificações, pessoais e intransmissíveis, que abusivamente vieram a ser utilizadas no acesso, por terceiros, à conta de que era titular.» - Ac. RC de 15.01.2019, p. 5600/11.0TBLRA.C1 (relatado pelo aqui 1º adjunto).
As citações foram longas mas valeram a pena pois que nos dispensam de adicionais e, quiçá, redundantes , considerações. Volvendo ao caso concreto, conclui-se, perante a lei que temos e a melhor interpretação que da mesma é feita pela jurisprudência, que, perante os seus contornos fáctico-circunstanciais, a decisão não pode ser censurada , antes, pelo contrário, merece ser corroborada e chancelada. Efetivamente, perante tais factos, meridianamente se alcança que a recorrente não cumpriu o seu ónus de provar atuação dolosa ou, sequer, gravemente negligente, do autor, na utilização do serviço de homebanking. Como se viu, este era o único caminho e meio de ela se poder eximir da sua responsabilidade. Ora a recorrente não logrou cumprir tal ónus. Como ressuma dos factos apurados, as transferências ocorreram devido às fragilidades do sistema da ré, o qual se revela(va) apenas medianamente seguro, a si permitiu o acesso por coordenadas não padronizadas, e dentro de si permitiu os movimentos por quem não tinha legitimidade, sem ter capacidade para detetar esta atuação abusiva. Mesmo que assim não fosse ou não se entenda, e se tivesse provado, como clamou a ré, que o acesso ilegítimo à sua página se verificou por o autor ter caído no engodo de uma atuação do tipo pharming, ou seja, pela cedência dos elementos de acesso da página numa página falsificada idêntica à sua, tal não bastaria. Pois que não resultaram provados factos bastantes para poder atribuir ao autor um juízo de culpa, lato sensu, desde logo, inequivocamente, a título de dolo, ou, sequer, e admissível ou concedívelmente, de negligência grave e censurável. Efetivamente, não se apurou que o computador do autor estivesse infetado por vírus, e, mesmo que estivesse, tal não foi a causa do acesso ilegítimo ao site da ré, mas antes, como aludido em 5.1.3., a falha do sistema da ré que permitiu o acesso a si ao próprio autor mesmo através de coordenadas que nem sequer eram as padronizadas. E, ademais, não se apurou que o autor tivesse transmitido inadvertidamente e de qualquer modo, a terceiros, os elementos identificativos da conta e cartão matriz. Se o fez foi exatamente no quadro desta solicitação de pharming, a qual, dada a sua jaez de sub-reptícia e dissimulada, e, assim, suscetível de enganar mesmo o normal homo prudens, apenas relevaria se a ré provasse que o autor agiu com censurável imprudência e levianamente deixando-se enganar no âmbito ou na dimensão do intolerável ou do inadmissível. O que, outrossim, não logrou efetivar.
Improcede o recurso.
6. Sumariando – artº 663º nº7 do CPC. I - A não indicação das passagens da gravação nem nas conclusões nem no corpo das alegações, acarreta, por via de regra, e ponderados critérios de proporcionalidade, a liminar rejeição do recurso da decisão da matéria de facto na parte afetada. II - A censura da convicção do julgador da matéria de facto apenas pode emergir quando a prova apresentada pelo recorrente e a exegese conclusiva dela operada não apenas sugira, como inequivocamente convença, imponha, tal censura. III - No REGIME JURÍDICO QUE REGULA O ACESSO À ACTIVIDADE DAS INSTITUIÇÕES DE PAGAMENTO E A PRESTAÇÃO DE SERVIÇOS DE PAGAMENTO aprovado pelo DL nº 317/2009 de 30.10, relativo aos serviços de pagamento no mercado interno, o regime da Prova de autenticação e execução das operações de pagamento – artº 70º - e o regime da Responsabilidade do ordenante por operações de pagamento não autorizadas – artº 72º - é, para as microempresas e os consumidores, de cariz imperativo, tornando nulas clausulas convencionais padronizadas, mesmo aceites pelas partes, que o contrariem. IV - De tal regime decorre, nuclearmente, que caso o utilizador do serviço negue ter autorizado uma operação, o prestador do serviço só pode exonerar-se de responsabilidade se, cumulativamente, fizer a prova: i) que a operação foi, sem afetação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; ii) que ela se ficou a dever a fraude ou a incumprimento doloso ou gravemente negligente por parte do utilizador das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes referentes à segurança ou fiabilidade do instrumento de pagamento. V - A cedência pelo utilizador, no quadro de uma solicitação de pharming, dos elementos de acesso e movimento do homebanking, não o coloca, por via de regra, e salvo se o prestador provar dolo ou negligência grave daquele, numa situação responsabilizante.
7. Deliberação. Termos em que se acorda negar provimento ao recurso e, consequentemente, confirmar a sentença.
Custas pela recorrente.
Coimbra, 2020.03.31.
Carlos Moreira ( Relator) Moreira do Carmo Fonte Ramos
|