Acórdão do Tribunal da Relação de
Évora
Évora
| 9002/16.4T8STB.E1 |  |
HOMEBANKING
RESPONSABILIDADE CONTRATUAL
I - A responsabilidade por operações de pagamento não autorizadas, realizadas com recurso ao serviço de homebanking, incumbe, em princípio, ao prestador de serviços de pagamento, conforme estatuído no artigo 71.º do RSP, cabendo ao utilizador nas situações previstas nos n.ºs 1 a 3 do artigo 72.º daquele Regime, designadamente em caso de negligência grave do ordenante;
II – A apreciação da culpabilidade do ordenante impõe a análise da respetiva conduta, com vista a verificar se omitiu o comportamento devido e, em caso afirmativo, se o fez voluntariamente;
III – Na graduação da culpabilidade do ordenante, há que ter em conta, entre outros fatores que se mostrem relevantes, os valores ou interesses que se pretendem acautelar com o comportamento devido, bem como a intervenção da vontade na omissão de tal comportamento;
IV – O comportamento do autor que, tendo acedido a página eletrónica ilícita convencido de que se tratava da página da entidade bancária, forneceu, a solicitação do sistema, além do número de identificação e do código PIN, a totalidade das coordenadas inscritas no cartão matriz, mostra-se adequado a viabilizar a realização por terceiros de operações de pagamento não autorizadas;
V - A advertência, que fora transmitida ao autor e que constava do cartão matriz, de que a solicitação de mais de duas posições desse cartão indicia a presença de página fraudulenta, impunha cautela ao autor, permitindo-lhe prever a possibilidade de não se encontrar no sítio eletrónico correto e de estar a facultar os seus dados a terceiros;
VI - A atuação do autor, ao inserir a totalidade das coordenadas inscritas no cartão matriz em página eletrónica semelhante à do serviço de homebanking da ré, configura negligência grave, preenchendo a previsão do artigo 72.º, n.º 3, pelo que lhe cabe a responsabilidade pelas operações de pagamento não autorizadas executadas, até ao limite do saldo disponível.
Acordam na 1.ª Secção Cível do Tribunal da Relação de Évora:
1. Relatório
AA intentou a presente ação declarativa, com processo comum, contra BB, pedindo: a) a condenação da ré a pagar ao autor o montante de € 7089,22, acrescido de juros de mora vincendos até efetivo e integral pagamento e dos montantes que se apurarem em audiência de julgamento, sem prejuízo do direito à indemnização suplementar que se entenda devida, nos termos prescritos no n.º 2 do artigo 71.º. do DL n.º 317/2009, de 30-10; b) caso assim se não entenda, deve a ré ser condenada a restituir ao autor a quantia de € 5089,22, acrescida de juros de mora vincendos até efetivo e integral pagamento e dos montantes que se apurarem em audiência de julgamento, sem prejuízo do direito à indemnização suplementar que se entenda devida, nos termos prescritos no n.º 2 do artigo 71.º. do DL n.º 317/2009, de 30-10; c) caso assim se não entenda, deve a ré ser condenada a restituir ao autor a quantia de € 5089,22, acrescida de juros de mora vincendos até efetivo e integral pagamento, sem prejuízo do direito à indemnização suplementar que se entenda devida, nos termos prescritos no n.º 2 do artigo 71.º. do DL n.º 317/2009, de 30-10.
Alega, para o efeito, que é titular de uma conta bancária aberta em balcão de atendimento da ré sito em Setúbal e aderiu ao serviço de homebanking, o qual foi utilizado por terceiros para movimentar a indicada conta sem autorização do autor, tendo-lhe sido subtraídas as quantias de € 1998 e € 2000, retiradas na indicada conta e creditadas em conta bancária da titularidade de pessoa que identifica, mas que desconhece; sustenta que as operações em causa ocorreram por violação dos sistemas de segurança da ré e causaram-lhe danos patrimoniais e não patrimoniais, que pretende sejam indemnizados, como tudo melhor consta da petição inicial.
A ré contestou, impugnando parte da factualidade alegada pelo autor e imputando-lhe a responsabilidade pelo acesso de terceiros à respetiva conta bancária, pedindo a absolvição do pedido.
Dispensada a realização de audiência prévia, foi proferido despacho saneador e fixado o valor da causa, tendo igualmente sido dispensada a identificação do objeto do litígio e a enunciação dos temas da prova.
Realizada a audiência final, foi proferida sentença que julgou a ação improcedente e absolveu a ré do pedido formulado pelo autor.
Inconformado, o autor interpôs recurso desta decisão, pugnando para que seja revogada e substituída por outra que julgue a ação procedente, terminando as alegações com a formulação das conclusões que se transcrevem:
«I. O presente Recurso vem interposto de Sentença do dia (…) 28.06.2017, aquando da subsunção dos factos ao direito, conclui o Tribunal a quo, em síntese, que, não obstante o Autor tenha sido vítima de uma conduta ardilosa praticada por terceiros, criando no mesmo a convicção de estar a aceder à sua conta bancária no verdadeiro site da Ré, atuou o mesmo com negligência grosseira ao fornecer as coordenadas do seu cartão matriz.
II. Nesta senda, entende a Sentença ora em crise, tendo a Ré logrado provar a aludida negligência grosseira, por força dos avisos de segurança que dispõe no seu site, os quais merecem a atenção do utilizador diligente, conclui-se que, cabe ao mesmo utilizador, in casu, o Autor, «de acordo com o regime previsto no supra citado art. 72.º do D.L. n.º 217/2009, suportar as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível».
III. A final, e «[e]m face dos fundamentos de facto e de direito supra expostos, o Tribunal julga a ação totalmente improcedente e, consequentemente, decide absolver a ré BB do pedido formulado pelo autor». (Destaque no original)
IV. Contudo, não pode o Autor e ora Recorrente conformar-se com tal decisão.
V. Porquanto, entende o ora Recorrente que a douta Sentença encontra-se viciada na apreciação da matéria facto assente, em conformidade com o exposto infra, devendo ser aditada e alterada a matéria de facto dada por assente. Vejamos,
VI. Entende o Recorrente que resultou claro do depoimento da Testemunha Pedro …, o qual foi direto e conciso nas suas respostas enunciadas em sede de audiência de julgamento e, portanto, manifestamente credível que «[o] computador doméstico do autor estava dotado do sistema operativo Microsoft XP, e devidamente munido por programa de antivírus.»
VII. Mais disse aos autos, que ele próprio, mestrando em sistemas de informação, foi quem construiu e tomava conta do computador, tendo portanto, perfeito conhecimento das condições em que o mesmo se encontrava. E, por seu turno, não provou a Ré, nos termos do artigo 499.º do Código Civil, que o evento lesivo se havia registado por força de vírus informático no computador do Recorrente
VIII. Ora, considerando que a prova é reputada por livremente apreciada quando sujeita ao escrutínio das regras da lógica e da experiência, as quais requerem uma racional justificação e não uma intuída constatação, em conformidade com o disposto no artigo 607.º, n.º 4 e n.º 5, do CPC, e que a Sentença ora em crise não fundamenta cabalmente o motivo pelo qual considera a testemunha pouco crível, mais não será de concluir do que o facto de o computador do Recorrente estar munido de sistema de antivírus atualizado.
IX. Acresce ainda que, entende o Recorrente que, da prova produzida nos presentes autos, em concreto, em declarações de parte bem como, em depoimentos prestados pelas testemunhas da Recorrida, resultou claro que o autor não foi advertido sobre a possibilidade de os sistemas da ré virem a ser corrompidos ou foi instruído no sentido de compreender como detetar essa (tentativa de) fraude informática.
X. Assim, esclarece o Autor que em dezembro de 2014, ao celebrar o contrato de adesão, apenas lhe foi entregue o clausulado, nada lhe tendo sido advertido quanto às regras de segurança, para mais, após o mesmo ter logrado descrever que o seu acesso tinha sido bloqueado após aceder à sua conta por um link do seu email, como sempre o fez, e depois de algumas tentativas foi o mesmo acesso bloqueado. Por seu turno, a Testemunha José …, funcionário através do qual foi celebrado o contrato de adesão, não manifestou certeza de ter cumprido com os deveres de informação impostos pelo disposto nos artigos 5.º a 7.º da Lei das Cláusulas contratuais Gerais.
XI. Ademais, Testemunha Pedro … após confrontado sobre o facto de os documentos juntos aos autos pela Recorrida, print screen´s dos avisos no seu site institucional, consubstanciarem informação atualizada com data posterior ao evento lesivo, e inquirido sobre se tinha a certeza de que aqueles eram os mesmos que se encontravam publicados site da Ré à data dos factos esclarece que não se recorda se eram os mesmos a data dos factos objeto da ação dos autos.
XII. Acresce ainda que, a Recorrida não logrou provar, nos termos do disposto no artigo 70.º do RSPME e artigo 799.º do Código Civil, que, por um lado, não foi vítima de qualquer ataque informático aos seus site, limitando-se nesta sede, ao depoimento de Daniel …, técnico informático do departamento de auditoria da Ré, não obstante o Recorrente comprovar que 85 clientes da recorrida foram alvos de ataques no período de um ano.
XIII. Entende ainda o Recorrente que dos autos não resulta qualquer prova, pela qual se encontra onerada a Recorrida, de que o Recorrente forneceu na internet todas as coordenadas que se encontram inscritas no cartão matriz, o que achou estranho porque não conseguiu concretizar a operação bancária que pretendia nem recebeu a mensagem de bloqueio de sistema.
XIV. Entende ainda o Recorrente que, da conversa a Ré detetou a situação fraudulenta, - inclusivamente, antes do Autor se conseguir aperceber de que havia sido realizada uma transferência bancária, operação essa que apenas foi detetável pelo Autor através de uma busca específica na sua conta on-line, quando instruído pela Ré, porquanto já havia tomado conhecimento do modus operandi dos agentes do crime
XV. Bem como, do depoimento das testemunhas da recorrida, que a mesma tem acesso às contas bancárias dos clientes, podendo manter cativo montantes ali creditados, bem como, reverter os mesmos e, in casu, informou o Autor que ia interditar os montantes transferidos.
XVI. Resulta ainda quer do mesmo contacto telefónico quer do depoimento da Testemunha José … que a Recorrida tinha conhecimento do modus operandi da titular da conta bancária acima identificada e que aquela conta servia de veículo (money mules) para satisfazer outros fins, que não os da própria titular.
XVII. Assim, a Recorrida, através de funcionária de cal center, comprometeu-se, desde logo, ainda que verbalmente, a não permitir a movimentação, a partir da conta da titularidade de Alexandra …, do montante que havia sido indevidamente debitado da sua conta, o que decorre quer do contacto telefónico gravado, quer das declarações do Recorrente.
XVIII. E, no referido contacto telefónico, cuja gravação se encontra nos autos, a Recorrida tomou conhecimento, expresso, portanto, foi devidamente notificada pelo cliente na manhã de 12.01.2015, que a referida operação bancária não havia sido concretizada com a autorização do seu aparente ordenante.
XIX. A qual, não logrou adotar qualquer procedimento para bloquear a conta da beneficiaria da operação bancária porque, em conformidade com o testemunho do funcionário da Recorrida Pedro …, de acordo com as regras de procedimento interno, necessitavam da cópia do auto policial da denuncia do Recorrente.
XX. Em suma, resulta claro dos autos que a Recorrida sabia que os seus clientes estavam a ser alvo de ataques informáticos e que outros dos seus clientes eram «mulas», isto é, utilizavam contas bancárias tituladas na Ré para produção dos eventos lesivos e, quando se deparou com uma transferência suspeita, o caso em apreço nos autos, nada fez.
XXI. Pretende, assim, o Recorrente que sejam aditados ao elenco da matéria de facto julgada por provada, os factos que a seguir se descrevem:
9. O computador doméstico do autor estava dotado do sistema operativo da Microsoft, e devidamente munido por programa de antivírus.
10. O Autor não foi advertido sobre a possibilidade de os sistemas da ré virem a ser corrompidos ou foi instruído no sentido de compreender como detetar essa (tentativa de) fraude informática.
11. A Ré detetou a situação fraudulenta, - inclusivamente, antes do Autor se conseguir aperceber de que havia sido realizada uma transferência bancária, operação essa que apenas foi detetável pelo Autor através de uma busca especifica na sua conta on-line, quando instruído pela Ré, porquanto já havia tomado conhecimento do modus operandi dos agentes do crime.
12. A Ré tinha conhecimento do modus operandi da titular da conta bancária acima identificada e que aquela conta servia de veículo (money mules) para satisfazer outros fins, que não os da própria titular.
13. A Ré tem acesso às contas bancárias dos clientes, podendo manter cativo montantes ali creditados, bem como, reverter os mesmos e, in casu, informou o Autor que ia interditar os montantes transferido.
14. O Autor manifestou expressamente que não havia autorizado as operações bancárias realizadas entre os dias 11 e 12 de janeiro de 2015 e, portanto, foi devidamente notificada pelo Autor na manhã de 12.01.2015.
15. A Ré comprometeu-se, desde logo, ainda que verbalmente, através de funcionário, a não permitir a movimentação, a partir da conta da titularidade de Alexandra …, do montante que havia sido indevidamente debitado da sua conta.
16. A Ré não provou, nem tão pouco alegou, que realizou diligências, ou quais as diligencias que realizou, a fim de evitar o evento lesivo criado na esfera jurídica do Autor.
XXII. Entende ainda o ora Recorrente que a douta Sentença encontra-se viciada na apreciação da matéria facto assente, em conformidade com o exposto infra (cfr. ponto B das presentes alegações de recurso), pretendendo assim, que sejam alterado o elenco da matéria de facto julgada por provada, quanto ao facto que a seguir se descrevem:
d) «Em dezembro de 2014, quando o réu subscreveu novo contrato de adesão, foram-lhe explicadas as condições de utilização do serviço e foi entregue uma cópia das cláusulas gerais e particulares de utilização», Cfr. ponto 50) do elenco da matéria de factos provados.
A alterar por:
Em dezembro de 2014, quando o Autor subscreveu novo contrato de adesão, a Ré entregou as cláusulas contratuais gerais das condições de utilização do serviço homebanking sem, contudo, lhe ser explanado quaisquer condições de segurança ou riscos de utilização.
e) «O autor forneceu na internet a totalidade das coordenadas que se encontram inscritas no cartão matriz, o que achou estranho, mas ainda assim acedeu», Cfr. ponto 48) do elenco da matéria de factos provados.
A alterar por:
O Autor forneceu na internet algumas das coordenadas que se encontram inscritas no cartão matriz, o que achou estranho porque não conseguiu concretizar a operação bancária que pretendia nem recebeu a mensagem de bloqueio de sistema.
f) «No dia seguinte, a 12 de janeiro de 2015, pelas 12h30m, a assistente da Net… informou, mediante contacto para o telemóvel do autor, que o mesmo poderia ter sido vítima de fraude informática», Cfr. ponto 31) do elenco da matéria de factos provados.
A alterar por:
No dia seguinte, a 12 de janeiro de 2015, pelas 12h30m, a assistente da Net… informou, mediante contacto para o telemóvel do autor, que o mesmo foi vítima de fraude informática.
XXIII. Por seu turno, entende o ora Recorrente que a douta Sentença encontra-se viciada na apreciação da matéria facto assente, em conformidade com o exposto infra (cfr. ponto B das presentes alegações de recurso), pretendendo assim, que sejam excluídos do elenco da matéria de facto julgada por provada, os factos que a seguir se descrevem:
3) «Os computadores da Ré não foram alvo de ataque informático nem objeto de qualquer quebra de segurança informática.
4) «Quando ao serviço após a subscrição da nova proposta em dezembro de 2014, foi-lhe transmitido um Aviso de Segurança, contendo informação relativa à utilização dos códigos de acesso ao site (n.° identificação e PIN) e do Cartão Matriz, com o objetivo de alertar o utilizador quanto ao facto do BB nunca solicitar mais que duas posições aleatórias do Cartão Matriz e na ativação do mesmo não serem solicitadas quaisquer coordenadas do Cartão, pelo que, na eventualidade de ocorrer uma das situações, o utilizador deverá, de imediato, suspender o acesso e contactar a linha de apoio ao cliente pois poderá estar na presença de uma página fraudulenta», Cfr. ponto 40) do elenco da matéria de factos provados.
5) «Nas circunstâncias referidas em 21), 22) e 23), o autor forneceu na internet a totalidade das coordenadas que se encontram inscritas no cartão matriz, o que achou estranho, mas ainda assim acedeu, Cfr. ponto 46) do elenco da matéria de factos provados.
XXIV. Mais entende o Recorrente, salvo o devido respeito, que a douta Sentença interpreta e aplica erroneamente o direito aplicável aos presentes autos, na parte respeitante ao regime jurídico relativo ao à atividade das instituições de pagamento e à prestação de serviços de pagamento (anexo ao Decreto-Lei n.º 317/2009, de 30 de outubro), mais concretamente, na parte respeitante aos artigos 70.º a 72.º do aludido regime, bem como, do regime jurídico das cláusulas contratuais gerais (aprovado pelo Decreto-Lei n.º 446/85, de 25 de outubro).
XXV. Por todo o exposto, deve o presente recurso merecer provimento, alterando-se a Sentença ora em crise quanto à apreciação da matéria de facto e, em consequência, ser o pedido do Autor, ora Recorrente, julgado totalmente procedente.
XXVI. Não obstante, entende ainda o ora Recorrente que a douta Sentença encontra-se viciada na apreciação da matéria facto assente, em conformidade com o exposto infra, devendo ser aditada e alterada a matéria de facto dada por assente. Vejamos,
XXVII. Conforme acima exposto, «(…) nada tendo sido provado, também, no que respeita “bloqueamento” ou “desbloqueamento” das contas implicadas na fraude, não se pode se não concluir que existe um incumprimento do banco relativamente à sua obrigação de impedir qualquer levantamento ou transferência…», Cfr. Maria Raquel Guimarães, in «A repartição dos prejuízos decorrentes de operações fraudulentas de banca eletrónica (homebanking)», Cadernos de Direito Privado n.º 41 (p.67).
XXVIII. Pelo que, não tendo o ora Recorrente sido imediatamente reembolsado pela Recorrida, como é o caso, é devido não apenas o reembolso do montante ilegitimamente transferido, como também são devidos, e nos ternos e para efeitos do disposto no artigo 71.º; n.º 2, do RSPME, «(…) juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada, até à data do reembolso efetivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar».
XXIX. Assim sendo, deveria a douta sentença ter julgado a ação totalmente procedente, por provada, na medida que, nos termos e para efeitos do disposto no artigo 71.º do RSPME, o qual foi incorretamente aplicado pela douta Sentença, conjugado com o disposto no artigo 799.º do CPC, não tendo a Recorrida provado que encetou os meios necessários para bloquear os montantes «desviados» da conta bancária do Recorrente, é a mesma, por violação do disposto nos artigos 66.º, aliena b) do n.º 1, 67.º, n.º 1, 68.º, alíneas a) e) do n.º 1, e 74.º, n.º 2, todos do RSPME, responsável pelo reembolso dos montantes desviados acrescidos dos juros de mora à taxa de 14%, e demais danos patrimoniais e patrimoniais sofridos pelo Recorrente.
XXX. Ainda que assim não se entenda, o que se alega sem, contudo, conceber nem conceder, e se alega por mero dever de cautela a que o patrocínio forense obriga, considerando que a Recorrente provou ter encetado, tempestivamente, procedimentos no sentido de bloquear os montantes transferidos,
XXXI. Deveria a douta sentença ter julgado a ação totalmente procedente, por provada, na medida que, nos termos e para efeitos do disposto no artigo 72.º e 71.º, ambos do RSPME, conjugado com o disposto nos artigos 5.º a 7.º da Lei das Cláusulas Contratuais Gerais bem como, com o disposto no artigo 799.º do CPP, consideram-se nulas quaisquer cláusulas (que inexistem no contrato) suscetíveis de impor ao Recorrente quaisquer regras de conduta, devendo, em consequência, nos termos do disposto no artigo 72.º, n.º 1, do RSPME, restituir os montantes desviados, acrescidos dos juros de mora à taxa de 14%, e demais danos patrimoniais e patrimoniais sofridos pelo Recorrente.
XXXII. Ainda que assim não se entenda, o que se alega sem, contudo, conceber nem conceder, considerando que a Recorrente provou ter encetado, tempestivamente, procedimentos no sentido de bloquear os montantes transferidos e, ainda, considerando-se por provado o conhecimento (compreensão) pelo Recorrente das regras de segurança inerentes ao homebanking,
XXXIII. Deveria a douta sentença ter julgado a ação parcialmente procedente, por provada, na medida que, nos termos e para efeitos do disposto no artigo 72.º e 71.º, ambos do RSPME, conjugado com o disposto no artigo 799.º do CPP, o qual foi incorretamente aplicado pela douta Sentença, não provou a Recorrida que o Recorrente atuou com negligência grosseira, devendo, em consequência, restituir os montantes de 3.850,00 (três mil oitocentos e cinquenta euros), nos termos do disposto no artigo 72.º, n.º 1, do RSPME, acrescido dos juros de mora à taxa de 14%, e demais danos patrimoniais e patrimoniais sofridos pelo Recorrente.
XXXIV. POR TODO O EXPOSTO, DEVE O PRESENTE RECURSO MERECER PROVIMENTO, ALTERANDO-SE A SENTENÇA ORA EM CRISE QUANTO À APRECIAÇÃO DO DIREITO E, EM CONSEQUÊNCIA, SER O PEDIDO DO AUTOR, ORA RECORRENTE, JULGADO TOTALMENTE PROCEDENTE.»
Não foram apresentadas contra-alegações.
Face às conclusões das alegações do recorrente e sem prejuízo do que seja de conhecimento oficioso, cumpre apreciar as questões seguintes:
i) da impugnação da decisão relativa à matéria de facto;
ii) da responsabilidade pelas operações de pagamento não autorizadas executadas;
iii) da obrigação de indemnizar.
Corridos os vistos, cumpre decidir.
2. Fundamentos
2.1. Decisão de facto
2.1.1. Factos considerados provados em 1.ª instância:
1) O autor é titular, único, da conta bancária n.º …, a qual foi criada mediante a celebração de um contrato de abertura de conta junto ao balcão de atendimento da ré, sito em Setúbal, na Praça …, n.º ….
2) Em consequência, ficou a ré responsável pela monitorização e gestão de conta do autor.
3) O autor aderiu, em 09-03-2009, ao serviço de homebanking daquela, designado por NET….
4) Na sequência do referido contrato de adesão, a ré forneceu autor as credenciais de acesso ao serviço informático, bem como, um cartão, designado por cartão matriz, que indica as coordenadas para a validação de operações extrapatrimoniais bancárias nos canais à distância.
5) Com o serviço NET…, a ré assumiu perante o autor a obrigação de prestar serviços consubstanciados na disponibilidade de aceder a informações sobre produtos e serviços do BB; de obter informações e realizar operações sobre as contas de que seja titular; de realizar operações de compra, venda, subscrição ou resgate de produtos financeiros ou serviços disponibilizados pela BB, dentro ou fora do horário de atendimento convencional, e sem necessidade de deslocação ao balcão de atendimento ao público, através de meios de comunicação à distância, 24 horas por dia, 365 dias por ano - clausula 2.2 do documento n.º 1, constante de fls. 88, junto com a contestação.
6) A partir do momento da adesão, o autor autorizou a BB a realizar as operações ordenadas através daquele meio eletrónico – cláusula 3.4 do mesmo documento.
7) Quando o autor aderiu ao serviço de homebanking da ré, não foi exigido pela mesma qualquer tipo aptidão de navegação em ambiente eletrónico.
8) No caso concreto, foram fornecidos ao A. códigos de acesso/credenciais de utilização a três níveis: a) Número de identificação BB; b) Código PIN multicanal, composto por seis dígitos, suscetível de personalização; e c) Cartão Matriz (que consiste num cartão de coordenadas para validação de operações passíveis de alteração do património detido pelo cliente no BB).
9) O Número de identificação BB e o Código PIN Multicanal são atribuídos e entregues ao cliente no momento da adesão ao BB… permitindo estas duas credenciais de utilização a realização de operações e consultas que não afetem o património detido no BB.
10) No que concerne ao Cartão Matriz, é enviado para a residência do cliente em estado de pré-ativo, apenas passível de ser ativado mediante validação de códigos de acesso (através do número de cliente e PIN multicanal).
11) O cartão referido no artigo anterior possui uma matriz de coordenadas com 72 posições, cada uma com 3 dígitos.
12) O autor ficou obrigado a assegurar a integridade dos códigos fornecidos e a sua não divulgação a terceiros, evitando que eles possam ser objeto de furto, extravio ou apropriação ilegítima por terceiros – cláusula 4.2 do mesmo documento.
13) Para validação das operações, as coordenadas são sempre solicitadas de forma aleatória pelo sistema informático e não repetidas, por forma garantir os mais elevados níveis de segurança na utilização da banca à distância.
14) O primeiro passo para aceder ao serviço BB…/Net…, é a solicitação on-line do número de identificação BB.
15) Após a introdução do número de identificação BB e respetiva validação, é solicitada a digitação, num teclado virtual, do número de código PIN BB….
16) Nas situações em que se pretenda efetuar uma alteração de património (transferências bancárias, pagamentos), e apenas nestas, após a validação do número de identificação BB e do código PIN BB…, são sempre solicitadas, de forma aleatória, duas coordenadas e posições do Cartão Matriz.
17) O autor, cujos conhecimentos informáticos se limitam à ótica do utilizador, utilizava o referido serviço de homebanking com alguma regularidade.
18) No final do ano de 2014, ao tentar realizar uma operação bancária mediante o recurso a este serviço, o autor deparou-se com uma mensagem de bloqueio do sistema.
19) Em consequência, não foi possível ao autor realizar a referida operação on-line e viu-se forçado a solicitar à ré um novo cartão matriz, o que lhe foi facultado, mediante a subscrição de uma nova proposta de adesão.
20) Já com o novo cartão matriz fornecido pela ré, 11 de janeiro de 2015, o autor recorreu ao referido meio informático, utilizando os procedimentos normais de acesso ao serviço de homebanking da ré, através do seu computador doméstico.
21) Acedeu a uma página que aparentava ser a página eletrónica da ré, como já havia acedido, não se lhe afigurando qualquer diferença ou anormalidade que o fizesse descrer de estar no sítio eletrónico correto.
22) De seguida, foi solicitado ao autor que introduzisse vários dígitos do cartão matriz.
23) Após introduzir os dados solicitados do cartão matriz, o mesmo não conseguiu finalizar a operação bancária que pretendia realizar.
24) Em 11 de janeiro de 2015, por meios eletrónicos fraudulentos não concretamente apurados, foi realizada uma transferência da sua conta a prazo para a sua conta à ordem no valor de € 4.000,00.
25) E que, nesse mesmo dia de 11 de janeiro, com a mesma data-valor, foi debitada da sua conta à ordem a quantia de € 1.998,00, quantia creditada a favor de Alexandra ….
26) E a quantia de € 2.000,00, creditada novamente a favor de Alexandra …, com a data-valor de 12 de janeiro de 2015.
27) Foram debitados, ainda, da conta do autor, a título de comissão de operação de transferência e imposto de selo, € 0,72 por ambas as transferências.
28) O autor não ordenou as referidas transferências nem por si nem por interposta pessoa.
29) O autor desconhece quem seja Alexandra …, seus representantes ou efetivos titulares da conta bancária onde foi creditada a quantia que saiu, sem o seu conhecimento e autorização, da sua conta.
30) Os movimentos em causa no presente processo através do Serviço Net…, tendo-se realizado com as seguranças estabelecidas e validados com dados reservados ao autor.
31) No dia seguinte, a 12 de janeiro de 2015, pelas 12h30m, a assistente da Net… informou, mediante contacto para o telemóvel do autor, que o mesmo poderia ter sido vítima de fraude informática.
32) O autor, desde logo, indicou que não tinha feito as referidas movimentações bancárias.
33) No dia 12 de janeiro de 2015, a mulher do autor deslocou-se ao balcão de atendimento acima mencionado, para participar a ocorrência destas operações estranhas à sua vontade, visando o seu cancelamento e imediato retorno da quantia em causa.
34) No local referido, foi informado pelo ali representante da ré, que deveria deslocar-se a um órgão policial e apresentar a correspondente denúncia, dado que, apenas cumprido este requisito, poderia a ré esclarecer devidamente o que ocorrera.
35) Na mesma data, o autor apresentou, junto da ré, a reclamação que constitui o documento n.º 2 junto a fls. 22vs, com a p.i. e cujo teor se dá por integralmente reproduzido.
36) Seguidamente, apresentou a necessária denúncia na 2.ª Esquadra da Polícia de Segurança Pública de Setúbal, da Divisão Policial de Setúbal, do Comando Distrital de Setúbal.
37) O referido auto deu origem ao correspondente processo de inquérito, por fortes indícios da prática de crime de burla informática, que veio a ser apenso ao processo de inquérito n.º 819/15.3JDLSB, e no qual consta como parte lesada a ora ré.
38) No âmbito do referido processo, foi proferido Despacho de Acusação pelo Ministério Público, no âmbito do qual, são os ali arguidos acusados, entre outros, da prática dos crimes de falsidade informática (p.p. pelo artigo 3.º da Lei n.º 109/2009, de 15.09), acesso ilegítimo (p.p. pelo artigo 6.º da Lei n.º 109/2009, de 15.09) e burla informática (p.p. pelo 221.º do Código Penal), encontrando-se Alexandra … acusada, em co-autoria com os restantes arguidos, da prática do crime de branqueamento de capitais (p.p. pelo artigo 368.º-A do Código Penal).
39) Todo este circunstancialismo, tem provocado um verdadeiro desconforto ao autor.
40) Quando ao serviço após a subscrição da nova proposta em dezembro de 2014, foi-lhe transmitido um Aviso de Segurança, contendo informação relativa à utilização dos códigos de acesso ao site (n.º identificação e PIN) e do Cartão Matriz, com o objetivo de alertar o utilizador quanto ao facto do BB nunca solicitar mais que duas posições aleatórias do Cartão Matriz e na ativação do mesmo não serem solicitadas quaisquer coordenadas do Cartão, pelo que, na eventualidade de ocorrer uma das situações, o utilizador deverá, de imediato, suspender o acesso e contactar a linha de apoio ao cliente pois poderá estar na presença de uma página fraudulenta.
41) Sempre que se acede ao site do BB, na mesma página onde é inserido o código PIN (ou seja, não apenas na parte pública e generalista do site), encontra-se permanentemente informação diversa e bastante explícita sobre medidas de segurança adotadas pela ré, medidas de segurança/precauções que deverão ser tomadas pelo utilizador, bem como, exemplos de páginas fraudulentas e de email de phishing, por forma a alertar os utilizadores para eventuais fraudes.
42) Quando o cliente acede ao serviço Net…, já depois de ter introduzido o nome de utilizador e antes de introduzir o código pin, onde, em local destacado e visível, se alerta para o seguinte:
O BB apenas lhe solicita a indicação de 2 posições do seu Cartão Matriz nas operações em que o seu património é alterado, por exemplo na realização de uma transferência Interbancária ou Pagamento de Serviços, entre outros.
Na activação do Cartão Matriz não são solicitadas posições do mesmo.
O BB nunca lhe solicitará a realização de qualquer actualização de segurança de códigos de identificação via email, nem procede ao envio de emails com links directos para o site oficial.
43) Na mesma página, na parte onde se lê “Conheça os últimos Alertas de Segurança recebidos” e “Consulte as nossas informações e conselhos adicionais sobre Segurança”, ao clicar nas ligações, imediatamente o utilizador é redirecionado para diversos avisos referentes a situações fraudulentas.
44) No seu sítio institucional, o autor aconselha e ensina ainda os seus clientes a: a) manter o seu computador seguro; b) conservar o e-mail seguro, c) preservar os dados de Identificação; e d) garantir a segurança da sessão de utilização do Net….
45) Os movimentos descritos em 24), 25) e 26), foram possíveis porque, na sua concretização:
a) foi introduzido o número de identificação BB,
b) foi introduzido o número de código Pin BB…, o qual é introduzido num teclado virtual, desenvolvido de modo aleatório, disponibilizando os números sempre em local distinto, não permitindo a identificação do código, proporcionando uma forma acrescida de segurança;
c) foi validado o PIN, foram introduzidas duas coordenadas e posições do cartão matriz.
46) Nas circunstâncias referidas em 21), 22) e 23), o autor forneceu na internet a totalidade das coordenadas que se encontram inscritas no cartão matriz, o que achou estranho, mas ainda assim acedeu.
47) No cartão encontra-se inscrito o seguinte: “Atenção: Nunca indique mais do que 2 dígitos deste Cartão Matriz.”
48) O autor acedia à página através de um link do seu email e não digitando o endereço na barra de endereços.
49) Os computadores da ré não foram alvo de qualquer ataque informático, nem objeto de qualquer quebra de segurança informática.
50) Em dezembro de 2014, quando o réu subscreveu novo contrato de adesão, foram-lhe explicadas as condições de utilização do serviço e foi entregue uma cópia das cláusulas gerais e particulares de utilização.
2.1.2. Factos considerados não provados em 1.ª instância:
a) O computador doméstico do autor estava dotado do sistema operativo Microsoft XP, e devidamente munido por programa de antivírus.
b) O autor acedeu ao site da ré digitando o endereço eletrónico da mesma.
c) A ré comprometeu-se, desde logo, ainda que verbalmente, através de funcionário, a não permitir a movimentação, a partir da conta da titularidade de Alexandra …, do montante que havia sido indevidamente debitado da sua conta.
d) O autor não disponibilizou as suas credenciais, chaves de acesso ou cartão matriz a terceiros, fosse a que título fosse.
e) O ora autor, ao introduzir, a 11 de janeiro de 2015, os dígitos do cartão matriz, reitere-se, fê-lo dentro da respetiva separata na página eletrónica da ré, para onde foi encaminhado após digitar, como sempre lhe foi indicado pela mesma, quer na diversa correspondência, quer no balcão de atendimento, o correto endereço eletrónico desta instituição.
f) Os crackers apenas conseguiram penetrar no computador do ora autor, devidamente munido por programa antivírus, porque conseguiram corromper os sistemas da ré, clonando o seu endereço eletrónico.
g) A ré tinha conhecimento do modus operandi da titular da conta bancária acima identificada e que aquela conta servia de veículo (money mules) para satisfazer outros fins, que não os da própria titular.
h) O autor não foi advertido sobre a possibilidade de os sistemas da ré virem a ser corrompidos ou foi instruído no sentido de compreender como detetar essa (tentativa de) fraude informática.
2.2. Apreciação do objeto do recurso
2.2.1. Impugnação da decisão sobre a matéria de facto
(…).
Nesta conformidade, na parcial procedência da impugnação da decisão sobre a matéria de facto e face à existência de lapsos de escrita a retificar, decide-se:
a) acrescentar à matéria provada o facto seguinte: O computador doméstico do autor estava dotado do sistema operativo Microsoft XP, e devidamente munido por programa de antivírus;
b) excluir da matéria provada e considerar não provado o facto seguinte: Os computadores da ré não foram alvo de qualquer ataque informático, nem objeto de qualquer quebra de segurança informática;
c) retificar a redação dada aos pontos 44 e 50 de 2.1.1., nos termos seguintes: no ponto 44, onde se lê “o autor”, deverá ler-se “a ré”; no ponto 50, onde se lê “o réu”, deverá ler-se ”o autor”.
2.2.2. Responsabilidade pelas operações de pagamento não autorizadas
Está em causa, nos presentes autos, uma relação jurídica, estabelecida entre o autor e a entidade bancária ré, qualificada na decisão recorrida como um contrato de conta bancária, também denominado contrato de abertura de conta, coligado com um contrato através do qual o autor aderiu ao serviço de homebanking da ré, o que não vem questionado no presente recurso, encontrando-se as partes de acordo a tal respeito.
Na apelação, vem suscitada a questão da responsabilidade por operações de pagamento não autorizadas, ordenadas com recurso ao serviço de homebanking da ré, em resultado das quais foram transferidos fundos depositados em conta bancária da titularidade do autor, não tendo a entidade bancária procedido ao respetivo reembolso.
A decisão recorrida responsabilizou o autor pelas operações de pagamento não autorizadas executadas, por ter considerado que o mesmo atuou com negligência grave, ao facultar os números do seu cartão matriz perante uma solicitação de página idêntica à da entidade bancária ré, e que tal permitiu a utilização dos seus dados nas ordens de transferência dadas por terceiro, tendo concluído que lhe cabe suportar as perdas resultantes de tais operações até ao limite do saldo disponível.
Discorda o recorrente da decisão da 1.ª instância, na parte em que se considerou que lhe cabe a responsabilidade pelas operações não autorizadas executadas, sustentando que tal responsabilidade incumbe à entidade bancária ré e que a mesma deveria tê-lo reembolsado imediatamente dos montantes das operações realizadas.
Verifica-se, porém, que a solução que o recorrente defende para o litígio assenta, essencialmente, na rejeitada alteração da matéria de facto provada, designadamente na exclusão dos pontos 40 e 46, bem como no aditamento à matéria assente dos factos supra indicados. A parcial improcedência da impugnação da decisão relativa à matéria de facto importa se considere prejudicada a apreciação da solução jurídica baseada na modificação preconizada. No entanto, considerando que a recorrente manifesta, subsidiariamente, a sua discordância da qualificação que a decisão recorrida efetuou da atuação do autor, decorrente da matéria de facto provada, sustentando que não integra negligência grave, apreciar-se-á o objeto do recurso, na parte não prejudicada pela decisão proferida em 2.2.1..
Com o serviço de homebanking, a ré assumiu perante o autor, além do mais, a obrigação de, através de meios de comunicação à distância, designadamente via internet, disponibilizar o acesso a informações sobre contas das quais seja titular e facultar a realização de operações sobre tais contas, bem como operações de compra, venda, subscrição ou resgate de produtos financeiros ou serviços disponibilizados pela BB, sem necessidade de deslocação ao balcão de atendimento ao público, 24 horas por dia, 365 dias por ano, conforme decorre da cláusula 2.2 do contrato ao qual aderiu o autor.
O contrato de homebanking encontra-se previsto no artigo 2.º, al. o), do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RSP) – aprovado em anexo ao DL n.º 317/2009, de 30-10 (alterado pelo DL n.º 242/2012, de 07-11, e pelo DL n.º 157/2014, de 24-10), que transpôs para a ordem jurídica interna a Directiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro –, que o qualifica como «Contrato quadro» e o define como «um contrato de prestação de serviços de pagamento que rege a execução futura de operações de pagamento individuais e sucessivas e que pode enunciar as obrigações e condições para a abertura de uma conta de pagamento».
O RSP prevê um conjunto de obrigações recíprocas que incumbem ao prestador de serviços de pagamento e ao utilizador de tais serviços e regula, além do mais, a responsabilidade por operações de pagamento não autorizadas, conforme decorre dos artigos 67.º a 72.º.
Com relevo para a questão em análise, incumbe ao utilizador do serviço, além do mais, a obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, devendo, para o efeito, tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados – artigo 67.º, n.ºs 1, al. a), e 2); por outro lado, incumbe ao prestador de serviços de pagamento, entre outras obrigações, a de assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior – artigo 68.º, n.º 1, al. a). Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, incumbe ao prestador do serviço fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência – artigo 70.º, n.º 1.
Estando em causa operações de pagamento não autorizadas pelo utilizador de serviços de pagamento, e sem prejuízo do direito do utilizador obter retificação nos termos previstos no artigo 69.º, n.º 1, a responsabilidade incumbe ao prestador de serviços, o qual deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada e, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada; caso não seja cumprida imediatamente tal obrigação de reembolso, serão devidos juros moratórios, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar – artigo 71.º.
A responsabilidade por operações de pagamento não autorizadas caberá, porém, ao ordenante, nas situações seguintes: i) no caso de operações resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de € 150; ii) no caso de operações devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67.º, o ordenante suporta todas as perdas resultantes de operações; iii) havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva – artigo 72.º, n.ºs 1 a 3.
Decorre deste regime, conforme se explica no acórdão do Supremo Tribunal de Justiça de 18-12-2013 (relatora: Ana Paula Boularot), proferido no processo n.º 6479/09.8TBRG.G1.S1 – 6.ª Secção (publicado em www.dgsi.pt), que “os riscos pela utilização normal do sistema correm por conta do prestador de serviços, isto é sobre o banco, o que não deixa de ser uma obrigação perfeitamente normal já que é o banco que vai retirar os maiores benefícios económicos do seu bom funcionamento”.
Esclarecendo o aludido regime, considerou o acórdão do Supremo Tribunal de Justiça de 14-12-2016 (relator: Pinto de Almeida), proferido no processo n.º 1063/12.1TVLSB.L1.S1 (publicado em www.dgsi.pt), o seguinte: “Compreende-se este regime: por um lado, só o prestador do serviço de pagamentos, também fornecedor deste serviço, pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo também a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento. Daí que recaiam sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema (como decorreria também do disposto no art. 796º do CC), impendendo ainda sobre este o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência (…). Por outro lado, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe vão permitir aceder a esse serviço. Esses dispositivos de segurança personalizados têm uma função de autenticação – art. 2º, al. t) do RSP – permitindo identificar o utilizador e verificar se este é efectivamente o cliente que contratou o serviço de homebanking. Exige-se, por isso, ao utilizador que tome todas as medidas razoáveis em ordem a preservar a eficácia desses dispositivos de segurança personalizados. Esses dispositivos de segurança personalizados visam evitar que terceiros consigam aceder, fraudulentamente, através do sistema, à conta do cliente utilizador do serviço de homebanking, logrando apropriar-se de fundos aí existentes”.
Como tal, a responsabilidade por operações de pagamento não autorizadas incumbe, em princípio, ao prestador de serviços de pagamento, conforme regra estatuída no artigo 71.º, cabendo ao ordenante nas concretas situações previstas nos n.ºs 1 a 3 do artigo 72.º, designadamente em caso de negligência grave do ordenante.
No caso presente, na sequência da adesão pelo autor, titular único da conta bancária em causa, ao serviço de homebanking da ré, esta forneceu-lhe os códigos/credenciais de acesso ao serviço informático seguintes: a) número de identificação BB; b) código PIN multicanal, composto por seis dígitos, suscetível de personalização; c) cartão matriz, o qual possui uma matriz de coordenadas com 72 posições, cada uma com 3 dígitos.
No final do ano de 2014, ao tentar realizar uma operação bancária mediante o recurso a este serviço, o autor deparou-se com uma mensagem de bloqueio do sistema, na sequência do que solicitou à ré um novo cartão matriz, o qual lhe foi facultado, mediante a subscrição de uma nova proposta de adesão em dezembro do indicado ano. Aquando da subscrição pelo autor do novo contrato de adesão, foram-lhe explicadas as condições de utilização do serviço e foi-lhe entregue uma cópia das cláusulas gerais e particulares de utilização; na ocasião, igualmente lhe foi transmitido um aviso de segurança, contendo informação relativa à utilização dos códigos de acesso ao site (número de identificação e PIN) e do cartão matriz, com o objetivo de alertar o utilizador quanto ao facto de o BB nunca solicitar mais que duas posições aleatórias do cartão matriz e na ativação do mesmo não serem solicitadas quaisquer coordenadas do cartão, pelo que, na eventualidade de ocorrer uma das situações, o utilizador deverá, de imediato, suspender o acesso e contactar a linha de apoio ao cliente pois poderá estar na presença de uma página fraudulenta. Acresce que, quando o cliente acede ao serviço, após a introdução do nome de utilizador e antes da introdução do código PIN, em local destacado e visível, encontra-se o aviso seguinte: O BB apenas lhe solicita a indicação de 2 posições do seu Cartão Matriz nas operações em que o seu património é alterado, por exemplo na realização de uma transferência Interbancária ou Pagamento de Serviços, entre outros. Na activação do Cartão Matriz não são solicitadas posições do mesmo. O BB nunca lhe solicitará a realização de qualquer actualização de segurança de códigos de identificação via email, nem procede ao envio de emails com links directos para o site oficial.
Provou-se que, a 11-01-2015, na sequência da aludida mensagem de bloqueio do sistema e do subsequente recebimento de um novo cartão matriz, o autor, pretendendo recorrer ao serviço de homebanking da ré, fez uso dos procedimentos normais de acesso ao referido serviço via internet, através do seu computador doméstico, e acedeu a uma página que aparentava ser a página eletrónica da ré, não se lhe afigurando qualquer diferença ou anormalidade que o fizesse descrer de estar no sítio eletrónico correto. De seguida, foi-lhe solicitado que introduzisse vários dígitos do cartão matriz, o que o autor fez, tendo fornecido a totalidade das coordenadas que se encontram inscritas no cartão matriz, não obstante ter estranhado tal solicitação e apesar de se encontrar inscrito no cartão o aviso seguinte: Atenção: Nunca indique mais do que 2 dígitos deste Cartão Matriz. Após introduzir os dados solicitados do cartão matriz, o autor não conseguiu finalizar a operação bancária que pretendia realizar.
Encontra-se assente que, a 11-01-2015, por meios eletrónicos fraudulentos não concretamente apurados, foi realizada uma transferência da conta a prazo do autor para a sua conta à ordem no valor de € 4000; de seguida, nos dias 11-01-2015 e 12-01-2015, foram debitadas da sua conta à ordem, respetivamente, as quantias de € 1998 e de € 2000, as quais foram creditadas a favor de Alexandra …, tendo sido debitado, ainda, da conta do autor, a título de comissão de operação de transferência e imposto de selo, € 0,72 por ambas as transferências.
Dúvidas não subsistem de que estas operações não foram autorizadas pelo autor e que foram ordenadas através do serviço de homebanking da ré, com utilização dos dados reservados ao recorrente, tendo sido introduzidos os respetivos número de identificação e código PIN, bem como duas posições do cartão matriz que lhe havia sido facultado. Daqui decorre que terceiros, fazendo uso dos códigos/credenciais de acesso ao serviço de homebanking fornecidos pela ré ao autor, sem autorização do mesmo, transferiram fundos que se encontravam depositados em conta bancária da titularidade daquele, dos quais se apoderaram.
Da análise da factualidade provada decorre que o autor, ao pretender aceder ao serviço de homebanking da ré, acedeu a uma página ilícita, a qual aparentava ser a página eletrónica daquela entidade bancária, onde forneceu, além do número de identificação e do código PIN, a totalidade das coordenadas inscritas no cartão matriz que lhe foi atribuído. A descrita conduta do autor mostra-se adequada a viabilizar a realização por terceiros de operações de pagamento não autorizadas[1], o que veio a concretizar-se. Efetivamente, o fornecimento pelo autor das chaves de acesso ao serviço de homebanking da ré, no contexto indicado, permitiu a terceiros ordenar as operações executadas, através das quais foram transferidos fundos depositados em conta bancária da titularidade do autor, dos quais se apoderaram.
Está em causa a qualificação desta conduta, na parte relativa à inserção da totalidade das coordenadas que se encontram inscritas no cartão matriz, de forma a averiguar se configura negligência grave, para efeitos do disposto no citado artigo 72.º, n.º 3.
Constituindo a culpabilidade do ordenante um pressuposto da responsabilidade por operações de pagamento não autorizadas, há que apreciar a respetiva conduta na sua relação com o comportamento devido, isto é, na perspetiva da violação de um dever jurídico ou da omissão do dever de diligência que lhe é imposto, bem como da intervenção da vontade nessa atuação[2].
Consagra o Código Civil, no n.º 2 do artigo 487.º, um critério de apreciação da culpa em abstrato, ao dispor: A culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso[3].
A culpa deve, assim, ser analisada segundo o critério de um bonus pater familias, colocado nas concretas circunstâncias em causa, e não segundo o critério do próprio agente. Tal impõe se determine previamente “a conduta exigível dos homens de boa formação e de são procedimento”[4] colocados naquelas circunstâncias, isto é, tendo em conta a concreta situação do agente. De seguida, há que analisar a conduta adotada pelo agente, a concreta ação ou omissão em causa, por comparação com a conduta exigível nas concretas circunstâncias em causa, com vista a verificar se omitiu o comportamento devido e, em caso afirmativo, se o fez voluntariamente.
Não obstante erigir a culpabilidade do ordenante em pressuposto da responsabilidade por operações de pagamento não autorizadas, o RSP não esclarece o que entende por negligência grave, sendo certo que o Código Civil igualmente não apresenta uma classificação dos graus de culpa, limitando-se a referências à distinção entre dolo e mera culpa[5] e a uma menção esporádica a culpa grave[6], sem indicar qualquer critério de graduação da culpabilidade.
Considerando que a culpa em sentido amplo[7] pressupõe que a conduta do agente, ao omitir o comportamento devido, seja voluntária, diversos fatores poderão contribuir para uma graduação da culpabilidade, tais como: os valores ou os interesses que se pretendem acautelar com o comportamento devido, a intensidade da intervenção da vontade na ação ou a concorrência da conduta de outros agentes[8].
A análise dos valores ou interesses que se pretendem acautelar com o comportamento devido permitirá apreciar a gravidade da conduta do agente, ao omitir voluntariamente tal comportamento. Considerando que determinados deveres de conduta visam tutelar valores ou interesses superiores a outros, essa desigualdade contribuirá para a determinação da gravidade do comportamento do agente. Porém, essa superioridade só em concreto se poderá aferir, apreciando a matéria de facto integradora da situação.
A consideração da intervenção da vontade permitirá, igualmente, graduar a culpabilidade do agente. Relevam, nesta sede, as duas modalidades da culpa em sentido amplo a que se refere o artigo 483.º, n.º 1, ao impor que o agente tenha “agido com dolo ou mera culpa”. No dolo, a imputação do ato ilícito ao agente assume maior gravidade, por ser mais intensa a intervenção da vontade, dado que o agente prevê sempre e aceita o resultado ilícito, o que não sucede na negligência, em que o agente não prevê ou, caso preveja, não aceita tal resultado[9].
Alguma doutrina[10] tem distinguido entre culpa grave, leve e levíssima, classificação que se reporta a graus de culpabilidade[11].
Com a adesão ao serviço de homebanking da ré, o autor ficou obrigado a cumprir certas condições de segurança na respetiva utilização, designadamente a evitar que os códigos fornecidos sejam objeto apropriação ilegítima por terceiros, conforme cláusula 4.2 do contrato e artigo 67.º, n.ºs 1, al. a), e 2), do RSP.
Relativamente ao cartão matriz, destinado à validação de operações que alterem o património do cliente, considerando que o sistema informático solicita unicamente 2 posições aleatórias da matriz de coordenadas com 72 posições, cada uma com 3 dígitos, constantes do cartão, foi o autor advertido de que o sistema informático nunca solicita mais de 2 posições aleatórias do cartão matriz e que na ativação do mesmo não são solicitadas quaisquer coordenadas do cartão, pelo que, na eventualidade de ocorrer tal situação, pode estar na presença de uma página fraudulenta, devendo de imediato suspender o acesso e contactar a linha de apoio ao cliente. Por outro lado, além de outros avisos nesse sentido existentes aquando do acesso ao serviço, encontra-se inscrito no próprio cartão matriz o aviso seguinte: Atenção: Nunca indique mais do que 2 dígitos deste Cartão Matriz.
Incumbindo-lhe a obrigação de evitar que os seus dados pessoais de acesso ao serviço informático sejam objeto de apropriação ilegítima por terceiros e sabendo que o sistema nunca solicita mais de 2 posições do cartão matriz, não deveria o autor ter indicado a totalidade das coordenadas inscritas no cartão matriz, assim omitindo o comportamento devido. Por outro lado, não obstante a semelhança entre a página à qual acedeu e a do serviço de homebanking da ré, a advertência que lhe fora transmitida, no sentido de que a solicitação de mais de 2 posições do cartão matriz indiciar a presença de uma página fraudulenta, conjugada com o aviso constante do próprio cartão, impunham cautela ao autor, permitindo-lhe prever a possibilidade de não se encontrar no sítio eletrónico correto e de estar a facultar os seus dados a terceiros. É certo que não decorre da factualidade assente a aceitação pelo autor de tal resultado, mas a sua conduta mostra-se negligente, resultando a apropriação ilegítima dos seus dados por terceiros da sua falta de cuidado, não dando atenção às advertências efetuadas no sentido de o evitar.
Visando o comportamento devido garantir a segurança do sistema de homebanking e, assim, evitar a realização ilícita por terceiros de operações de pagamento não autorizadas e considerando que o cartão matriz se destina à validação de operações que alterem o património detido pelo cliente, a conduta do autor, ao indicar a totalidade das coordenadas inscritas nesse cartão, mostra-se grave, atenta a importância dos interesses que a obrigação incumprida visava acautelar. Acresce que decorre da atuação do autor a omissão dos mais basilares deveres de diligência impostos ao utilizador do serviço de homebanking, considerando a possibilidade de utilização ilícita facultada pela disponibilização da totalidade dos códigos e credenciais de acesso numa página eletrónica cujo funcionamento, conforme indicação previamente fornecida ao autor e escrita no próprio cartão que utilizou, indiciava ser fraudulenta.
Conclui-se, assim, que a atuação do autor, ao inserir a totalidade das coordenadas inscritas no cartão matriz em página eletrónica semelhante à do serviço de homebanking da ré, configura negligência grave, preenchendo a previsão estatuída no artigo 72.º, n.º 3, pelo que lhe cabe a responsabilidade pelas operações de pagamento não autorizadas executadas, até ao limite do saldo disponível[12].
2.2.3. Obrigação de indemnizar
Tendo-se concluído que a responsabilidade pelas operações de pagamento não autorizadas executadas incumbe ao autor, não lhe assiste o direito ao reembolso das quantias transferidas da respetiva conta bancária, nem à peticionada indemnização, conforme concluiu a decisão recorrida.
Improcede, assim, a apelação.
Em conclusão:
I - A responsabilidade por operações de pagamento não autorizadas, realizadas com recurso ao serviço de homebanking, incumbe, em princípio, ao prestador de serviços de pagamento, conforme estatuído no artigo 71.º do RSP, cabendo ao utilizador nas situações previstas nos n.ºs 1 a 3 do artigo 72.º daquele Regime, designadamente em caso de negligência grave do ordenante;
II – A apreciação da culpabilidade do ordenante impõe a análise da respetiva conduta, com vista a verificar se omitiu o comportamento devido e, em caso afirmativo, se o fez voluntariamente;
III – Na graduação da culpabilidade do ordenante, há que ter em conta, entre outros fatores que se mostrem relevantes, os valores ou interesses que se pretendem acautelar com o comportamento devido, bem como a intervenção da vontade na omissão de tal comportamento;
IV – O comportamento do autor que, tendo acedido a página eletrónica ilícita convencido de que se tratava da página da entidade bancária, forneceu, a solicitação do sistema, além do número de identificação e do código PIN, a totalidade das coordenadas inscritas no cartão matriz, mostra-se adequado a viabilizar a realização por terceiros de operações de pagamento não autorizadas;
V - A advertência, que fora transmitida ao autor e que constava do cartão matriz, de que a solicitação de mais de duas posições desse cartão indicia a presença de página fraudulenta, impunha cautela ao autor, permitindo-lhe prever a possibilidade de não se encontrar no sítio eletrónico correto e de estar a facultar os seus dados a terceiros;
VI - A atuação do autor, ao inserir a totalidade das coordenadas inscritas no cartão matriz em página eletrónica semelhante à do serviço de homebanking da ré, configura negligência grave, preenchendo a previsão do artigo 72.º, n.º 3, pelo que lhe cabe a responsabilidade pelas operações de pagamento não autorizadas executadas, até ao limite do saldo disponível.
3. Decisão
Nestes termos, acorda-se em julgar a apelação improcedente e, em consequência, confirmar a decisão recorrida.
Custas pelo recorrente.
Notifique.
Évora, 12-04-2018
Ana Margarida Leite
Silva Rato
Mata Ribeiro
__________________________________________________
[1] Em situação fática de contornos diversos, considerou-se no acórdão desta Relação de 22-05-2014 (relatado pelo ora 2.º Adjunto), proferido no processo n.º 11/13.6T2ASL.E1 (publicado em www.dgsi.pt), que o comportamento do autor que, ao pretender efetuar uma consulta de saldos numa página eletrónica clonada no convencimento de que se tratava da página da entidade bancária, inseriu o número de telemóvel, conforme solicitado, não pode ser classificado como negligente e violador do contratualizado, sendo que a simples indicação do número de telemóvel não se apresenta, por si só, como causa adequada a possibilitar a subtração de quantias depositadas.
[2] Cf., sobre a culpa, em direito civil, Ana Prata, “Responsabilidade delitual nos Códigos Civis português de 1966 e brasileiro de 2002”, Estudos em homenagem ao Prof. Doutor José Lebre de Freitas, vol. I, Coimbra, Coimbra Editora, 2013, pp. 94-97 e, sobre a interdependência entre a culpabilidade e a omissão do comportamento devido, Fernando Pessoa Jorge, Ensaio sobre os pressupostos da responsabilidade civil, 1968, 3.ª reimpressão, Coimbra, Almedina, 1999, pp. 316-317.
[3] Nos Princípios de Direito Europeu da Responsabilidade Civil (disponível em: http://civil.udg.edu/php//index.php?id=295), sob a epígrafe “Culpa”, dispõe o artigo 4:101: “A pessoa que, intencionalmente ou por negligência, violar o padrão de conduta exigível responde por culpa”. Quanto ao “padrão de conduta exigível”, esclarece o artigo 4:102 o seguinte: ”(1) O padrão de conduta exigível corresponde ao de uma pessoa razoável colocada nas mesmas circunstâncias e depende, especialmente, da natureza e valor do interesse protegido em questão, da periculosidade da actividade, da perícia que é de esperar da pessoa que a exerce, da previsibilidade do dano, da relação de proximidade ou da particular confiança entre as partes envolvidas, bem como da disponibilidade e custos de métodos preventivos ou alternativos. (2) O padrão de conduta pode ser ajustado em função da idade, de deficiência psíquica ou física, ou quando, devido a circunstâncias extraordinárias, não se possa legitimamente esperar que a pessoa em causa actue em conformidade com o mesmo. (3) As disposições que prescrevem ou proíbem uma determinada conduta devem ser tomadas em consideração a fim de se estabelecer o padrão de conduta exigível”.
[4] Cf. Pires de Lima/ Antunes Varela, Código Civil Anotado, vol. I, 4.ª ed. revista e atualizada, com a colaboração de Henrique Mesquita, Coimbra, Coimbra Editora, 1987, p. 489.
[5] V. os artigos seguintes: 483.º, n.º 1, que impõe, como pressuposto da responsabilidade civil, que o agente tenha “agido com dolo ou mera culpa”; 494.º, ao admitir a limitação da indemnização no caso de “mera culpa”; 899.º, relativo à obrigação de indemnização por parte do vendedor, “não havendo dolo nem culpa”; 1945.º, relativo à responsabilidade do tutor pelo prejuízo que por “dolo ou culpa” causar ao pupilo.
[6] O artigo 1323.º, n.º 6, que se refere à “culpa grave” do achador de animais e coisas móveis perdidas, na perda ou deterioração da coisa achada.
[7] Sobre o conceito de culpa em sentido amplo, v. Mário Júlio de Almeida Costa, Direito das Obrigações, 12.ª edição revista e atualizada, 2.ª reimpressão, Coimbra, Almedina, 2013, p. 555; Inocêncio Galvão Telles, Direito das Obrigações, 6.ª edição revista e atualizada, Coimbra, Coimbra Editora, 1989, pp. 340-341; Pessoa Jorge, ob. cit., p. 321.
[8] Quanto aos fatores que influem na graduação da culpabilidade, seguir-se-á Pessoa Jorge, ob. cit., pp. 355-367.
[9] Cf. Almeida Costa, ob. cit., pp. 582-583; Galvão Telles, ob. cit., pp. 341-345.
[10] Cf. Galvão Telles, ob. cit., pp. 349-354; Almeida Costa, ob. cit., p. 555; Pessoa Jorge, ob. cit., pp. 356-359.
[11] Afirma Pessoa Jorge (ob. cit., p. 359) o seguinte: “Os termos da classificação não correspondem, a nosso ver, a modalidades autónomas de culpa em sentido estrito. Trata-se, no fundo, de graus da própria culpabilidade, na apreciação da qual não entra apenas o estado psicológico do agente: pode este actuar com dolo e o juízo de reprovação ser menos severo do que se actuasse com mera culpa. É mais grave a negligência daquele que não apagou a fogueira que acendeu na floresta, do que o dolo de quem causou propositadamente um dano ligeiro em bem alheio; como é mais censurável a atitude do médico que se esqueceu de visitar um doente grave, que estava a seu cuidado, e cujo tratamento exigia essa vigilância, do que aquele que conscientemente faltou à visita prometida, quando sabia que o estado do enfermo não reclamava a sua presença”.
[12] No mesmo sentido, cf. o acórdão da Relação de Guimarães de 25-11-2013 (relator: Espinheira Baltar), proferido no processo n.º 2869/11.4TBGMR.G1, o acórdão da Relação de Lisboa de 12-12-2013 (relator: Tomé Ramião), proferido no processo n.º 164/11.8TBSRT.L1-6, e o acórdão desta Relação de Évora de 25-06-2015 (relatora: Cristina Cerdeira), proferido no processo n.º 3052/11.4TBSTR.E1 (publicados em www.dgsi.pt).