Acórdão do Tribunal da Relação de
Évora
Évora
| 11/13.6T2ASL.E1 |  |
CIBERCRIME
CLÁUSULA CONTRATUAL GERAL
BURLA INFORMÁTICA
2 – Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta da entidade bancária, por a tal conduzir o disposto no artigo 796º, nº1 do C. Civil, não se podendo imputar a culpa ao cliente/utilizador.
Sumário do Relator
ACORDAM 0S JUÍZES DA SECÇÃO CÍVEL DO TRIBUNAL DA RELAÇÃO DE ÉVORA
(…), residente em Grândola, instaurou ação declarativa de condenação, com processo sumário, contra BANCO (…), SA, sediada no Porto, peticionando a condenação desta a pagar-lhe a quantia de € 5.000,01, acrescida de juros vincendos, à taxa legal, até integral pagamento.
Como sustentáculo do peticionado, alega, em síntese:
- Indivíduos cuja identidade não foi possível apurar acederam à sua conta bancária na ré, utilizando o serviço de homebanking e, canais ou meios que desconhece, subtraíram-lhe € 3.500,00;
- A operação em causa apenas ocorreu por violação dos sistemas de segurança da ré., pelo que deve a mesma ser responsabilizada não apenas pelo valor monetário subtraído da conta bancária do autor, como também pelos juros de mora vencidos desde então, e pelos honorários devidos pelo ao mandatário que teve de contratar para propor a ação.
Citada a ré veio contestar impugnando parcialmente os factos alegados pelo autor, declinando a sua responsabilidade, imputando ao demandante a culpa por terceiros terem acedido à conta bancária através de homebanking, concluindo por pugnar pela sua absolvição do pedido.
Foi proferido despacho saneador que dispensou a seleção da matéria de facto, tendo-se realizado audiência de julgamento após o que foi proferida sentença pela qual se julgou totalmente improcedente a ação e se absolveu a ré do pedido.
*
Desta decisão foi interposto pelo autor recurso de apelação com vista à alteração da decisão, tendo apresentado as respetivas alegações e terminado por formular as seguintes conclusões que se transcrevem:“1. O presente recurso está limitado à questão da obrigação da recorrida restituir ao A. a quantia de €: 3.500,00 (três mil e quinhentos euros), que se mostrava depositada na sua conta bancária, quantia que será acrescida de juros, conforme oportunamente peticionado.
2. A questão do pagamento de indemnização ao A. pelo valor despendido em honorários ao seu advogado não é objeto do presente recurso, pois, nesta parte, o A. conforma-se com a douta sentença proferida.
3. Inexistem nos autos quaisquer elementos probatórios que possa levar a considerar provado o segundo trecho do facto considerado provado sob o n.º 09: o tribunal não poderia ter considerado provado que o ora recorrente alguma vez houvesse configurado um número de telemóvel para efeitos de confirmar operações realizadas através da internet.
4. Para além de não existir absolutamente qualquer prova que permita extrair tal conclusão, certo é que o aludido trecho do facto provado e identificado na sentença sob o n.º 09 é contraditório com os factos provados sob o n.º 15 e n.º 16: se o autor nunca realizou qualquer operação que não fosse de simples consulta e nem sequer pretendeu que lhe fosse entregue o cartão matriz para realizar outras operações, com que lógica iria o ora recorrente configurar o telemóvel para confirmar operações de maior valor?
5. Aliás, como decorre do documento n.º 1 junto à contestação, a confirmação de operações por via de SMS não fazia parte das condições constantes do contrato assinado pelo ora recorrente; outrossim, o que resulta de tal instrumento é que certas operações seriam validadas através de um cartão contendo uma matriz sob a forma de coordenadas (e do qual o A. nunca teve posse, por sua própria opção).
6. No contexto dos autos, as regras de experiência aconselhariam a concluir em sentido contrário e o recurso a presunções judicial levaria razoavelmente à conclusão de que o A. nunca teria configurado o seu telemóvel para efeito de receber códigos de confirmação de operações do SMS; outra conclusão é violadora do disposto no artigo 349.º, do Código Civil.
7. Assim, o risco de utilização de um canal eletrónico não expressamente aceite pelo recorrente só poderá ser assumido pela R., que o adotou unilateralmente.
8. Conforme se reconheceu na mais recente jurisprudência plasmada no douto e citado Acórdão do Supremo Tribunal de Justiça que tem inteira aplicação à situação vertida nos autos, o facto de um utilizador ter sido vítima de fraude por phishing ou pharming configura um risco da utilização normal do sistema de homebanking, pelo qual só a entidade bancária deverá responder.
9. Na decisão proferida, o tribunal a quo não considerou adequadamente o comportamento gravemente negligente da R. na manutenção dos seus sistemas de segurança, e, bem assim, na classificação dos seus clientes e utilizadores da sua plataforma de acesso ao homebanking: o recorrente era um cliente que não utilizava o serviço para mais do que consultas, e, como tal deveria ter sido “classificado” pela recorrida.
10. O Tribunal de primeira instância não atribuiu – como deveria ter feito – qualquer relevância ao circunstancialismo decorrente do factualidade vertida em 10, 15, 16 e 19 dos factos provados, que impunham à R. que tivesse impedido a realização da operação fraudulenta em causa nos autos, desde logo por não ser expectável que fosse ordenada pelo A.!
11. O facto do A. ter introduzido o número de telemóvel numa página fraudulenta não configura diretamente qualquer negligência, mas antes o risco normal da utilização do serviço, pois por um lado o recorrente não associava o telemóvel a qualquer forma de confirmação de operações – antes a uma simples forma de contacto – e, por outro, estava legitimamente convencido de que o local onde introduzia os dados era um local seguro.
12. Atendendo ao seu padrão de utilização e ao facto de nunca ter pretendido estar em posse do cartão matriz, o A. nunca representava a provável possibilidade da sua conta ser movimentada a débito através da internet; esta circunstância, aliada à cada vez mais perfeita técnica de fraude informática inviabilizam a classificação do comportamento do A. como negligente.
13. O pressuposto de violação de dever de cuidado que é inerente ao conceito de negligência, não se verifica em casos como o vertido, em que a sofisticação dos meios utilizados é totalmente incompatível com os conhecimentos técnicos do utilizador comum!
14. O contrato de homebanking funciona numa relação complexa que tem por base um contrato de depósito irregular através do qual o depositante transfere para o Banco a propriedade dos valores depositados (artigo 1144.º, 1185.º e 1205.º, todos do Código Civil), pelo que, por força do disposto no artigo 796.º, o perecimento da coisa (mesmo que por via do desvio fraudulenta) é um risco que apenas corre por conta da instituição bancária.
15. Ao não decidir no sentido indicado, violou o tribunal a quo os artigos 796.º, 1144.º, 1185.º e 1205.º, todos do Código Civil.
16. Por outro lado, se o tribunal de primeira instância houvesse realizado adequada interpretação e aplicação do artigo 68.º, n.º 1, alínea a), do Anexo I ao Decreto-Lei n.º 317/2009, de 30 de Outubro levaria, também, à conclusão de que seria a recorrida, detentora do Banco (…), quem teria que responsabilizar-se pela subtração fraudulenta do dinheiro em questão.
17. Em função de tal situação de risco, é indiferente a previsão contratual constante do facto provado número 26.º, pois as cláusulas contratuais gerais que alterem as regras respeitantes à distribuição do risco são nulas, por força do disposto nos artigos 12.°, 20.º e 21.°, al. g), do Decreto-Lei n.º 446/85, de 25 de Outubro; assim não se entendendo, há violação destes normativos legais.
18. A situação que está em causa no Acórdão proferido pelo Tribunal da Relação de Guimarães, no âmbito do processo n.º 2869/11.4TBGMR.G1 (em que o tribunal a quo funda, no essencial, a sua decisão), não encerra analogia com a situação vertida nos presentes autos, pois entre outros aspetos melhor identificados no texto da presente alegação, no caso sub judice o A. não tinha, sequer, o elemento essencial para confirmação das operações bancárias: o cartão matriz.
19. A normal interpretação da cláusula 4.1 do contrato assinado entre as partes, em sentido de equilibrar a posição negocial (porque estamos em face de contrato de adesão em que a parte mais fraca não tem possibilidade de alterar o clausulado), obriga a concluir que a R. deveria suspender o serviço sempre que se apercebesse que o cliente não o utilizaria ou que não se enquadraria nas necessidades do clientes/utilizador, o que sempre se impunha de acordo com as regras da boa-fé.
20. O facto provado sob o n.º 10 da matéria de facto provada leva a concluir que é impossível estabelecer um nexo causal exclusivo entre o facto do A. ter introduzido o número de telemóvel numa página de internet fraudulenta e do dinheiro ter sido movimentado da sua conta: entremeio verificaram-se quaisquer outras circunstâncias desconhecidas que levam a reforçar que a ocorrência mais não traduz do que um risco da utilização do serviço em causa.”
*
Foram apresentadas contra alegações, pelos réus, pugnando pela manutenção do julgado. **
Apreciando e decidindo
Apreciando e decidindo
O objeto do recurso encontra-se delimitado pelas conclusões das respetivas alegações, sem prejuízo das questões cujo conhecimento é oficioso.
Assim, as questões essenciais que importa apreciar são:
1ª - Do erro de julgamento da matéria de facto;
2ª - Da (in)adequada subsunção do direito aos factos dados como provados.
*
Na sentença recorrida foi considerado como provado o seguinte circunstancialismo factual:1. O A. é titular de uma conta bancária no BANCO … (doravante apenas designado como …), sedeada na Agência de (…), a qual tem o n.º (…).
2. O Serviço (…) Net a que o A. aderiu foi objeto de renovação em 18-6-2009.
3. Em determinado dia, cerca de uma semana antes de 27-6-2011, quando o A. tentou aceder ao (…) Net para efetuar uma consulta de saldos sem que o conseguisse fazer, tendo-lhe surgido uma página onde lhe era solicitada informação sobre o número de telemóvel e a morada, tendo preenchido informação sobre o número de telemóvel.
4. Em 27 de Junho de 2011 o A. tinha na conta bancária sobredita um saldo ligeiramente superior a € 3.500,00 (três mil e quinhentos euros).
5. No dia 27 de Junho de 2011, pelas 13H36, indivíduos cuja identidade não foi possível apurar, acederam através da internet à aludida conta bancária titulada pelo A., utilizando o serviço de Home Banking, e as chaves de acesso do A..
6. As Chaves de Acesso são constituídas pelo Número de Adesão e a Palavra-Chave e são atribuídas ao Cliente através do Contrato de Adesão:
a. Número de Adesão (constituído por 9 dígitos) – definido pelo Banco, através do seu registo apenas nas bases de dados centrais do Banco;
b. Palavra-Chave (constituída por 5 dígitos) – alterado obrigatoriamente pelo Cliente no primeiro acesso ao serviço, a qual não é do conhecimento do Banco nem dos seus colaboradores.
7. No mencionado acesso à Conta Bancária, foi subtraída a quantia de €: 3.500,00 (três mil e quinhentos euros), e transferida para uma conta bancária titulada por um terceiro, totalmente desconhecido do A.
8. Esta operação foi realizada sem o conhecimento ou autorização do A. e contra a sua vontade.
9. A transferência foi autorizada com código enviado por SMS para o número de telemóvel do A., anteriormente configurado pelo mesmo, no referido serviço, para esse efeito.
10. O A. nunca recebeu este código nem o disponibilizou ou reencaminhou para terceiros.
11. Por sua vez, o titular da conta creditada com os fundos subtraídos da conta bancária do A. veio a encaminhar o valor em questão para a Ucrânica, através de uma transferência Western Union, para indivíduo que identificou como (…) e que é, também, totalmente desconhecido do A..
12. Os factos descritos foram investigados no âmbito de um inquérito penal, que correu termos na Unidade de Apoio aos Serviços dos Ministérios Público de Alcácer do Sal, do Tribunal Judicial da Comarca do Alentejo Litoral, sob o n.º (…).
13. Em tal inquérito, foram apurados indícios suficientes da prática de um crime de burla informática (p. e p. pelo artigo 221.º, do CP), mas não foi possível identificar o seu autor, tendo apenas sido acusado de recetação negligente (…), que terá recebido na sua conta bancária os fundos provenientes da transferência da conta do A.
14. No próprio dia da realização da transferência bancária, o A. foi contactado telefonicamente pelo gerente do Balcão do (…) em Alcácer do Sal e foi informado que havia sido vítima de fraude, pois o Banco detetara a movimentação do montante mencionado.
15. O A. nunca realizou através do serviço Home Banking qualquer operação que não fosse a consulta de saldos bancários.
16. Nunca pretendeu, tampouco que lhe fosse entregue o cartão matriz, que era necessário para a realização de determinadas operações.
17. O Código de Autorização referido em 9 - único e específico composto por 6 dígitos enviado pelo Banco por SMS (short message service) para o número de telemóvel previamente indicado pelo Cliente para o efeito - é um código válido apenas para autorizar a operação em causa) enviada para o número do telemóvel configurado pelo Cliente.
18. O serviço de Autorização por SMS é um mecanismo de segurança implementado no (…) Net para Autorização de Operações.
19. O (…) tinha conhecimento que o A. não realizava, desde a subscrição do serviço de Home Banking, qualquer operação de transferência bancária através desse serviço.
20. No circunstancialismo descrito em 3, o A. deparou-se com uma página fraudulenta e forneceu, inadvertidamente, a informação referente às chaves de acesso e telemóvel associado à autorização por SMS.
21. Posteriormente, o telemóvel do A. utilizado para receber códigos de autorização de operações também terá sido infetado.
22. O Banco-R. tem vindo a publicar recomendações de Segurança sobre o acesso e utilização dos serviços (…) Net e (…) Net Empresas desde 13/12/2004.
23. Estas recomendações têm sido publicadas sob a forma de banners, páginas de campanha e notícias nos sites (…) Net, (…) Net Empresas e Banco (…).
24. Um dos alertas de Segurança que são apresentados na página de acesso ao Serviço (…) Net (ainda antes dos Clientes entrarem no site), consiste em «O (…) Net nunca solicita a introdução do seu nº de telemóvel.»
25. O A. contratou um advogado para propor a presente ação.
26. Nos termos da cláusula 5.3 das Condições Gerais do Contrato de Adesão ao serviço (…) Direto / (…) Net, «O cliente é responsável e suportará todos os prejuízos resultantes de uma utilização abusiva do Serviço por terceiros, sem prejuízo do estabelecido no ponto 7.2».
*
Conhecendo da 1ª questão O autor vêm pôr em causa o julgamento da matéria de facto a alteração da mesma ao abrigo do disposto no artigo 662º n.º 1 do C.P.C.
Indica em concreto, como incorretamente julgado os ponto 9 dos factos dados como assentes, relativamente ao segmento em que se alude a que o autor, anteriormente configurou o número de telemóvel no serviço homebanking, salientando “que não existe nos autos qualquer elemento probatório de onde o mesmo possa ser extraído” e do cotejo dos outros factos dados como provados e as regras da experiência comum “aconselhariam precisamente uma conclusão contrária neste contexto; ou seja, permitiriam concluir que o autor nunca teria configurado o seu número de telemóvel para o efeito em causa”.
A configuração prévia por parte do autor do seu número de telemóvel no serviço homebanking foi invocada pela ré designadamente nos artº 22º, 40º a 44º da contestação, salientando-se em concreto que “o autor configurou o mecanismo de autorização por SMS em 18/06/2009 às 11:25:32, tendo selecionado o n.º de telemóvel (…), que naquela data já constava da lista dos contactos do (…)”.
Sobre tal problemática direta ou indiretamente incidiu prova testemunhal, designadamente de quatro testemunhas, (…), (…) (estes inspetores da judiciária), (…) e (…) (estes funcionários da ré), cujos depoimentos foram considerados “credíveis, pela forma séria, clara, fundamentada e segura como foram produzidos”.
Após audição de tais depoimentos resulta claro para as testemunhas que o autor em momento anterior à operação de transferência em causa associou o seu n.º de telemóvel à sua conta bancária para efeitos de serviço de homebanking.
Efetivamente, (…) alude à existência de n.º de “telefone associado à mesma (conta)”. (…) alude ao envio de sms “para o telemóvel que o cliente teria anteriormente configurado para confirmação das operações” mais salientando que o código para validar a operação em causa foi enviado “para o telemóvel do cliente, telemóvel, esse que previamente teria sido configurado pelo cliente para precisamente receber estes códigos”. (…) por sua vez salienta que foi “enviado um código de autorização da operação para o telemóvel que o cliente definiu para o efeito…” e mais adiante refere que “logo após o Banco enviar o código de autorização para o telemóvel definindo pelo cliente…”.
Em face do conteúdo dos depoimentos testemunhais não podemos perfilar da opinião do recorrente de que “não existe nos autos qualquer elemento probatório” donde se possa extrair de que o autor não definiu o seu número de telemóvel para efeitos do serviço de homebanking, sendo certo que reconhece ter subscrito em 2009 o serviço de homebanking (cfr. artº 16º da petição), no qual, segundo o contrato de adesão por si assinado está previsto, para além do acesso via internet, o acesso via telefónica (cfr. contrato de Adesão … Direto / … Net, de 18/06/2009, constante a fls. 59).
Deste modo, não podemos deixar de corroborar o sentido da resposta em à matéria de facto em causa, não relevando a invocada chamada à colação de presunções judiciais mesmo que conjugadas com as regras de experiência comum, pelo que concluímos pela não existência de erro de julgamento relativamente à matéria de facto a qual se mantém imutável.
Improcede, nesta vertente, o recurso.
Conhecendo da 2ª questão
O autor entende que o seu comportamento, nomeadamente, ao introduzir elementos de segurança num sítio de internet fraudulento, por convencimento de se tratar da página oficial do Banco, não pode ser qualificado como de negligente e a simples indicação do telemóvel não é causa adequada a levar à subtração da quantia em apreço, devendo ser tal situação ser integrada como risco do próprio negócio cujas consequência caberá a ré, enquanto instituição bancária, suportar.
Na decisão impugnada o Julgador a quo, seguindo corrente jurisprudencial que se tem por pacífica, entendeu estar-se, no caso dos autos, perante “um contrato de depósito bancário em coligação com um outro pelo qual os clientes do banco aderentes têm a possibilidade de aceder às sua contas bancárias e a outros serviços por ele disponibilizados”, e que a ré cumpriu o seu dever de informação “dando a conhecer no local onde os clientes, neste caso o autor, podiam ter acesso a toda a informação sobre os perigos de fraude a que os aderentes estavam sujeitos, só pelo facto de terem celebrado este contrato” tendo tido os cuidados necessários de publicitar e informar o autor dos perigos e fraudes ligados ao sistema de homebanking, sendo o autor que revelou comportamento censurável e negligente na forma como abordou informação.
Compete à entidade bancária diligenciar pela segurança do serviço de homebanking, de modo a que o seu utilizador não fique privado dos valores depositados pelo abusivo acesso a terceiros, sem a sua autorização ou consentimento. Compete ao cliente observar as regras de segurança que lhe tenham sido comunicadas e aquelas que, segundo um padrão de normalidade, o comum utilizador sabe que devem ser observadas, designadamente a não divulgação de chaves de acesso e números de telemóveis associados à utilização por SMS[1]
Efetivamente, sobre a entidade bancária impende a obrigação de prestar um serviço eficaz e seguro, incumbindo-lhe provar que a falta de cumprimento ou o cumprimento defeituoso da obrigação não procede de culpa sua (cfr. artº 799º n.º 1 do CC), tendo por isso obrigação de ilidir a presunção de culpa quanto a deficiências de funcionamento do sistema que utiliza para prestar esse serviço, correndo por conta dela o risco de acessos fraudulentos.[2]
Será que no caso em apreço, tal elisão se tem por efetuada?
Em consonância com a posição expendida no Acórdão do STJ de 18/12/2013 in www.dgsi.pt, no processo 6479/09.8TBBRG.G1.S1, de que iremos reproduzir excertos, em alguns casos com adaptações que entendemos ajustadas ao caso em apreço, temos para nós que em face do circunstancialismo provado tal elisão não ocorreu.
“Da factualidade apurada não resulta que tenha havido por parte do autor qualquer comportamento indiciador de quebra de segurança no acesso ao site do (…) Net, que tivesse proporcionado a um terceiro as coordenadas para a realização das operações bancárias via homebanking.
Como resulta das cláusulas contratuais gerais havidas entre o autor e a ré no que a este serviço concerne, no âmbito da confidencialidade (clª 5ª) aquele obrigou-se a guardar sob segredo o seu código secreto e o seu cartão e bem assim, a prevenir o seu uso abusivo por parte de terceiros, não tendo a ré provado que o autor tivesse tido qualquer comportamento que pudesse por em causa a segurança do sistema, nomeadamente que tivesse quebrado o seu dever de segredo sobre as chaves de acesso e que por algum modo, voluntário, grosseiro, negligente ou outro as tivesse cedido a terceiro, de forma a poder ser responsabilizado pela ocorrência fraudulenta.
O que aconteceu foi que o autor no que pensou ser a página do ré, para efetuar consulta de saldos, foi-lhe solicitada informação sobre o número de telemóvel e a morada, ao que aquele acedeu, tendo preenchido a informação sobre o número de telemóvel, sem se dar conta que estava afinal numa página clonada e a ser alvo de pharming.[3]
Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta da ré, por a tal conduzir o disposto no artigo 796º, nº1 do C. Civil, não se tendo provado, como não se provou, que tivesse havido culpa do autor” não obstante a publicitação pela ré das recomendações sobre os procedimentos a adotar em cumprimento das regras de segurança inerentes ao sistema (cfr. factos provados n.º 22 a 24).
“A esse resultado se chega com a aplicação do DL 317/2009, de 30 de Outubro, que transpôs para a nossa ordem jurídica o novo enquadramento comunitário em matéria de serviços de pagamentos, maxime a Directiva 2007/64/CE do Parlamento Europeu e do Conselho de 13 de Novembro, no qual se predispõe que o regime constante do presente diploma regime jurídico não prejudica a validade dos contratos em vigor relativos aos serviços de pagamento nele regulados, sendo-lhes desde logo aplicáveis as disposições do presente regime jurídico que se mostrem mais favoráveis aos utilizadores de serviços de pagamentos.
Deflui desde logo do artigo do artigo 68º, nº1, alínea a) do Anexo I de tal Regime o seguinte: «O prestador de serviços de pagamento que emite um instrumento de pagamento tem as seguintes obrigações: a) Assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior.».
Daqui decorre que os riscos pela utilização normal do sistema correm por conta do prestador de serviços, isto é sobre a entidade bancária, o que não deixa de ser uma obrigação perfeitamente normal já que é a entidade bancária que vai retirar os maiores benefícios económicos do seu bom funcionamento.
É óbvio que sobre o cliente, enquanto utilizador daqueles meios que são postos à sua disposição recai a especial obrigação de os utilizar de acordo com as condições que regem a sua emissão e utilização, além do mais, cfr artigo 67º, nº1, alínea a), do mencionado diploma.
Como já demos conta, no caso sujeito, provou-se que o autor não violou nenhuma das suas obrigações contratuais e que foi estranho à transferência de € 3 500,00 ocorrida, não tendo sido aquele a dar a ordem de pagamento da aludida importância, não havendo utilização negligente das prerrogativas operacionais cometidas pelo contrato de homebanking.
Nestas circunstâncias e ainda segundo as regras que decorrem do DL 317/2009, de 30 de Outubro, porque a transferência não autorizada, incumbia à ré o ónus de alegar e provar que a operação de pagamento fora autorizada pelo autor, ou que este agira de forma fraudulenta ou que não cumprira, deliberada ou por forma gravemente negligente as suas obrigações contratuais, cfr artigo 70º, nº3 e 72º, nº1. (continuamos no âmbito das presunções, as quais decorriam já do disposto no artigo 796º, nº1 do C. Civil).
A responsabilidade pelo reembolso das quantias objeto de transferências não autorizadas, posto que se não venha a apurar que o ordenante tenha tido qualquer culpa na sua efetivação, impende sobre o prestador de serviços, por força do artigo 72º, nº1 do supra aludido DL (responsabilidade essa que, repetimos, provinha já da responsabilidade contratual geral, por via do disposto no artigo 796º, nº1 do C. Civil).”
Ao contrário do entendimento do Julgador a quo temos para nós que o comportamento do autor ao introduzir alguns elementos se segurança numa página Web (clonada) no convencimento que se tratava da página oficial da ré não pode ser classificado como negligente e violador do contratualizado, sendo que a simples indicação do número de telemóvel não se apresenta como, por si só, como causa adequada de possibilitar a subtração da quantia em apreço.
Não podemos olvidar que tal como salienta o recorrente e é comummente reconhecido, “os ataques de phishing e o malware usados são cada vez mais sofisticados e difíceis de detetar, mesmo para utilizadores alertados para a temática da segurança”[4] pelo que o comportamento do autor não foi menos cuidadoso do que qualquer utilizador com baixos conhecimentos informáticos, que só usava o serviço para verificação de saldos sendo natural e normal não conseguir discernir se no acesso que tentou fazer em 27/06/2011 estava em face do site oficial do Banco ou se pelo contrário estava a aceder a uma página web “clonada”.
Acresce que a ré, atendendo ao perfil de utilizador do autor ao longo dos anos, no que se refere ao serviço de homebankig, que resulta dos factos provados em 15 e 19, denota não ter tido a diligência que se impunha relativamente à transação em causa.
Como salienta o autor em face do teor das cláusulas contratuais 4.1 e 3.5 al. c)[5] a ré assumiu que alguns clientes, atendendo ao seu perfil de utilizador, deveriam estar restritos à realização de determinadas operações, salvaguardando, também para si a possibilidade de não executar ordens quando existam dúvidas razoáveis sobre a identidade da pessoa que está a transmitir a ordem, leva a concluir que a entidade bancária tem consciência de que existe um padrão de utilização que pode fazer suspeitar sobre a identidade da pessoa que a transmite, pelo que no caso concreto impunham as regras de segurança que pusesse reservas à operação recolhendo elementos adicionais com vista à autorização, já que estava em causa uma transferência da quase totalidade dos fundos da conta bancária, por parte de um cliente, que ao longo de vários anos nunca tinha realizado qualquer operação, através do serviço (…) Net, que não fosse de simples consulta de saldos bancários.
Concluímos assim que ao autor não pode ser assacada culpa na efetivação da transferência (desvio fraudulento de fundos), mas, não obstante tal, deve ser o mesmo responsabilizado e suportar o prejuízo decorrente em face do que consta do facto provado n.º 26?
Em nossa opinião tal responsabilidade é de declinar.
Estabelece-se na cláusula 5.3 das Condições Gerais do Contrato de Adesão ao serviço BPI Direto / BPI Net, que “o cliente é responsável e suportará todos os prejuízos resultantes de uma utilização abusiva do Serviço por terceiros, sem prejuízo do estabelecido no ponto 7.2”
Ou seja, Relativamente a apuramento de factos e circunstâncias do evento consigna-se uma “verdadeira presunção de culpa do utilizador/cliente desse serviço, modificando-se, assim, o critério legal de repartição do ónus da prova consagrado no art. 799º nº 1 do C. Civil, retirando à ré o ónus da prova de que as operações realizadas através do serviço de homebanking não resultaram de falta de cumprimento ou de cumprimento defeituoso culposo da sua obrigação de prestar um serviço seguro.”[6]
O contrato em causa eferente ao serviço (…) Direto / (…) Net, tal como expressamente nele é mencionado e decorre do seu clausulado, é um contrato de adesão, que contém cláusulas contratuais gerais elaboradas sem prévia negociação individual, limitando-se o autor a subscrever e aceitar, as mesmas, regendo-se pelo DL 446/85 de 25/10, que no seu art.º art. 21º [alíneas g) e e)] estabelece serem absolutamente proibidas as cláusulas contratuais gerais que modifiquem os critérios de repartição do ónus da prova,[7] ou que alterem as regras respeitantes à distribuição do risco, o que conduz à nulidade das mesmas, por força do disposto no artº 12º do mesmo diploma, no qual se consigna que “as cláusulas contratuais gerais proibidas por disposição deste diploma são nulas nos termos nele previstos”.
Na cláusula em causa consignou-se a irrelevância dos critérios de distribuição do ónus da prova, passando até a ser indiferente o modo de ação (omissão) ou o grau de culpa do cliente/aderente, passando a assumir o risco do negócio e a consequente responsabilidade por todos os prejuízos resultantes de uma utilização abusiva do serviço por terceiros, mesmo que pudesse provar que a sua atuação foi cuidadosa ou pelo menos se integra dentro dos parâmetros exigidos ao utilizador médio do serviço em causa, pelo que não pode deixar de ser nula.[8]
A nulidade é invocável a todo o tempo por qualquer interessado e pode ser declarada oficiosamente pelo tribunal (cfr. disposições combinadas dos artº 24º do Dec. Lei 446/85 de 25/10 e 286º do CC).
Assim, reconhece-se a nulidade da aludida cláusula n.º 5.3 das Condições Gerais do Contrato de Adesão ao serviço (…) Direto / (…) Net e como tal nada impede que subsista a presunção de culpa que onera a ré nos termos supra explicitados.
Nestes termos impõem-se concluir pela procedência do recurso, sendo de revogar a decisão recorrida e de julgar parcialmente procedente a ação.
Em conclusão, para efeitos do disposto no artº 663º n.º 7 do CPC:
1 – O homebanking sendo um serviço prestado ao cliente, compete à entidade bancária diligenciar pela segurança desse serviço, de modo a que o seu utilizador não fique privado dos valores depositados pelo abusivo acesso a terceiros, sem a sua autorização ou consentimento, competindo ao cliente observar as regras de segurança que lhe tenham sido comunicadas e aquelas que, segundo um padrão de normalidade, o comum utilizador sabe que devem ser observadas, designadamente a não divulgação de chaves de acesso e números de telemóveis associados à utilização por SMS.
2 – Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta da entidade bancária, por a tal conduzir o disposto no artigo 796º, nº1 do C. Civil, não se podendo imputar a culpa ao cliente/utilizador.
3 – As cláusulas do contrato de homebanking (contrato de adesão) que presumem expressamente a culpa ou consentimento do aderente na realização, por terceiro, de operação de homebanking mediante a inserção dos elementos de segurança pessoais e intransmissíveis do subscritor do serviço, implicam a modificação dos critérios legais de repartição do ónus da prova e de distribuição do risco.
4 – Como tal essas cláusulas, são proibidas, e sancionadas com a nulidade.
*
DECISÂOPelo exposto, decide-se julgar procedente a apelação e, consequentemente, revogar a sentença recorrida na parte impugnada, condenando-se a ré a pagar ao autor a quantia de € 3 500,00 acrescida de juros de mora taxa legal, desde 28/07/2011 e até integral pagamento.
Custas pela Apelada.
Évora, 22 de Maio de 2014
Mata Ribeiro
Sílvio Teixeira de Sousa
Rui Machado e Moura
__________________________________________________
[1] - v. Ac. do TRL de 12/12/2013 in Col. Jur. Tomo 5º, 107.
[2] - Os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta dos bancos, por a tal conduzir o disposto no artigo 796º, nº1 do CCivil, no caso de não se provar culpa do cliente – v. Ac. do STJ de 18/12/2013 in www.dgsi.pt, no processo 6479/09.8TBBRG.G1.S1.
[3] - O pharming consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma página Web falsa, clonada da página real.
[4] - v. Francisco Luís in artigo publicado na Inforbanca 88 – abril – Junho de 2011 referido no Ac. do TRL de 24/05/2012 in www.dgsi.pt, no processo 192119/11.8YIPRT.L1-2
[5] - O Banco reserva-se o direito de condicionar, suspender ou fazer cessar o acesso ao serviço global ou parcialmente ou condicionar ou suspender a realização de determinadas operações através do mesmo sempre que … razões de segurança o justifiquem. O Banco poderá ainda, não executar ordens…”
[6] - v. Ac. do TRL de 12/12/2013 in Col. Jur. Tomo 5º, 107.
[7] - Como salienta Ana Prata in Contratos de Adesão e Cláusulas Contratuais Gerais, 2010, 511 “Proíbe-se aqui qualquer alteração convencional dos critérios de distribuição do ónus da prova, independentemente dos respetivos efeitos na dificultação que ela acarrete para o aderente/consumidor na respetiva produção.”
[8] - v. Ac. do TRL de 24/05/2012 in www.dgsi.pt, no processo 192119/11.8YIPRT.L1-2