| Decisão Texto Integral: | Acordam os Juízes do Tribunal da Relação de Lisboa.
I – RELATÓRIO.
Intentou F. IPSS, acção declarativa de condenação, sob a forma de processo ordinário, contra Caixa Geral de Depósitos.
Essencialmente alegou :
Foram ilicitamente transferidas da conta bancária que era titular na Ré montantes pecuniários que perfazem € 37.735,79, tendo sido essas transferências realizadas via internet, uma vez que a A. é subscritora do e-banking.
A Ré recusa-se a proceder à restituição dessas verbas.
Conclui pedindo a condenação da Ré no respectivo pagamento, acrescido de juros.
Citada, a Ré apresentou contestação na qual alegou que não é possível aceder-se às contas bancárias da A. e proceder-se aos movimentos em causa sem o conhecimento de elementos de carácter absolutamente confidencial e intransmissível, tais como o número de contrato, o código de acesso, bem como as 64 combinações de números de 3 algarismos cada uma que constituem o cartão matriz.
Não existiu nenhum ataque ao sistema da CGD por força da qual terceiros acedessem à conta da A. no intuito de efectuarem as movimentações que esta repudia.
Aliás, dentro da instituição CGD é impossível conhecer os códigos de autenticação dos clientes, porque estes estão cifrados.
Na presente situação, dado que todos os códigos de autenticação se encontravam correctos, as ordens de transferência não podiam ser recusadas pela Ré que, nessas circunstâncias, jamais poderia suspeitar que as ordens de movimentação das contas não provinham do seu legítimo titular.
Conclui pela improcedência do pedido e a sua consequente absolvição do mesmo.
Procedeu-se ao saneamento dos autos, tendo sido organizada base instrutória, conforme fls. 59 a 63.
Foi ordenada a realização de perícia colegial.
No âmbito desta, vieram os peritos da A. e do Tribunal solicitar que a Ré faculte vários elementos e informações, designadamente :
Certificações do sistema por entidades externas que sejam acreditadas para o efeito ; relatórios com auditorias de segurança realizadas ao sistema por entidades externas ; registo do histórico dos acessos da A. ao sistema de informação da Ré em cada uma das operações realizadas nas contas bancárias da A. ; inspecção do sistema informático ; documentação técnica de desenho do sistema de autenticação com detalhe do procedimento login e acesso às contas bancárias ; certificações de segurança do sistema com detalhe das mesmas ; relatórios internos que demonstrem qual é a informação necessária para aceder do sistema às contas bancárias.
Por despacho de fls. 35 foi determinado : “ Atento o teor do relatório apresentado pelos srs. Peritos da Autora e do Tribunal, notificar a Ré a fim de, em dez dias, facultar aos srs. Peritos os elementos e informações que os mesmos peticionam em todo o seu relatório “.
Respondeu a Ré que “ caso faculte esses elementos e informações estará a violar o seu dever de sigilo bancário ( … ) nesta conformidade, e para salvaguarda da Ré – atendendo a que a revelação das informações solicitadas contende com a segurança informática do funcionamento do banco – bem como dos superiores interesses da Justiça, desde já se sugere que seja cumprido o disposto no artigo 135º, nº 3 do CPP “.
Por despacho de fls. 136 a 139 foi requerido ao Tribunal da Relação que, ao abrigo das disposições conjugadas dos artsº 519º, nº 4 do Código de Processo Civil e 135º, nºs 2 e 3 do Código de Processo Penal, ordene à Ré que faculte aos peritos as certificações do sistema por entidades externas que sejam acreditadas para o efeito ; relatórios com auditorias de segurança realizadas ao sistema por entidades externas ; registo do histórico dos acessos da A. ao sistema de informação da Ré em cada uma das operações realizadas nas contas bancárias da A. ; inspecção do sistema informático ; documentação técnica de desenho do sistema de autenticação com detalhe do procedimento login e acesso às contas bancárias ; certificações de segurança do sistema com detalhe das mesmas ; relatórios internos que demonstrem qual é a informação necessária para aceder do sistema às contas bancárias.
II – FACTOS PROVADOS.
Os indicados no RELATÓRIO supra.
III – QUESTÕES JURÍDICAS ESSENCIAIS.
São as seguintes as questões jurídicas que importa dilucidar :
Do levantamento do sigilo bancário. Equilíbrio de interesses em ponderação.
Passemos à sua análise :
A Constituição da República Portuguesa, no seu artigo 20º, consagra o direito à prova[1], enquanto componente estruturante da protecção jurídica e do direito de acesso aos tribunais.
O direito de defesa e ao pleno exercício do contraditório traduz-se essencialmente na possibilidade de cada uma das partes invocar as suas razões de facto e de direito, oferecer provas, controlar as provas da outra parte, pronunciar-se sobre o valor e resultado dessas provas[2].
O artigo 519º do Código de Processo Civil estabelece o dever de cooperação para a descoberta da verdade que abrange “ todas as pessoas, sejam ou não partes na causa “.
Neste sentido, poderá dispensar-se a confidencialidade das informações bancárias, protegidas, em termos genéricos, pelo artº 78º do Decreto-lei nº 298/92, de 31 de Dezembro, desde que se conclua pela sua imprescindibilidade para a efectivação da actividade probatória.
O Regime Geral das Instituições de Crédito e Sociedades Financeiras ( RGIC ) prevê um complexo de regras jurídicas que disciplinam a conduta do banqueiro, mormente quanto aos seus deveres gerais de competência técnica, relacionamento com os clientes, critério de diligência e cumprimento do dever de informação ( vide artsº 73º a 76º ).
Refere João Calvão da Silva in “ Banca, Bolsa e Seguros “, Tomo I, Parte Geral, pag. 149 : “ O desenvolvimento do comércio electrónico, também como meio de contratação de serviços financeiros ( depósitos, empréstimos, valores mobiliários e seguros ), passa muito pela melhoria da segurança dos pagamentos na ou via Internet, em ordem a aumentar e reforçar a confiança dos agentes económicos e dos consumidores/investidores e sua protecção. Dito de outro modo : a equivalência ou neutralidade da comercialização tradicional com pagamentos face a face em moedas ou notas de banco e cheques e da moderna comercialização on line nacional e ( sobretudo ) transnacional implica instrumentos de pagamento electrónico fiáveis e seguros, que ofereçam uma segurança economicamente viável e não ( muito ) mais onerosa do que os pagamento em numerário, pagamentos de proximidade, de mão em mão, entre pessoas presentes no cumprimento “.
A propósito do dever de sigilo bancário e suas limitações[3],
Salienta-se no acórdão do Tribunal da Relação de Lisboa de 4 de Dezembro de 2012 ( relator Orlando do Nascimento ), publicado in www.dgsi.pt :
“ Para além do direito de reserva, comum a outras actividades societárias privadas, o segredo bancário não é, exclusiva nem principalmente, um segredo das instituições de crédito e sociedades financeiras, mas um dever estabelecido em função de uma triplicidade de interesses. É, antes de mais, um segredo estabelecido em benefício da própria actividade bancária, em que o elemento confiança assume uma relevância acrescida face a outras actividades económicas ( elementos respeitantes à vida da instituição ).
É também e em seguido estabelecido em benefício dos cidadãos, clientes directos das sociedades bancárias ( relações desta com os seus clientes ) ( … ).
E é também e por último estabelecida em benefício dos terceiros que, como clientes indirectos ( clientes da actividade embora não da instituição ), se relacionam com a instituição bancária através dos seus clientes ( outras operações bancárias ) “[4].
De salientar, contudo, que a dispensa de confidencialidade deverá ser analisada com particular ponderação e rigor de forma a evitar excessos que se verificam sempre que tal devassa não se mostre essencial e indispensável para a dilucidação dos factos em discussão em juízo[5].
Trata-se da aplicação do denominado princípio da proporcionalidade[6] que encontra tradução prática, por exemplo, no artigo 335º do Código Civil[7].
A questão sub judice prende-se basicamente com o interesse na averiguação de factos controvertidos no processo e seleccionados na respectiva base instrutória - em especial os relacionados com solução técnica que terá permitido o desvio de quantias monetárias da conta aberta na Ré em indevido benefício de terceiro, que pôs em marcha um processo ardiloso com vista à concretização do seu desígnio fraudulento -, em confronto com o sacrifício da segurança do sistema informático da instituição bancária demandada.
Acontece que os pontos da base instrutória em causa – definidos através do despacho de fls. 27, datado de 27 de Junho de 2012 -, são os seguintes :
21º - “ A técnica de phishing pode envolver, nas suas formas mais sofisticadas, programas que se autoinstalam no computador de destino ? “ ;
34º - “ Foi pedido à Autora e esta efectuou o preenchimento de todos os dígitos ínsitos no cartão matriz ? “ ;
35º - “ Ao actuar da forma descrita em 34º, a Autora mais não fez do que divulgar na internet a piratas informáticos os elementos de segurança que permitiam o acesso às suas contas bancárias ? “ ;
36º - “ Não é possível aceder-se às contas bancárias da A. e proceder-se às transferências referidas em E) sem conhecimento de elementos tais como o nº de contrato, o código de acesso bem como as 64 combinações de números de 3 algarismos cada uma que constituem o cartão matriz ? “ ;
37º - “ Quem acedeu às contas só o pode fazer porque conhecia quer o número de contrato, quer o número de código de acesso ( sem os quais não consegue fazer login ) quer ainda os 64 números de 3 algarismos cada um que compõem o cartão matriz ? “ ;
39º - “ Para que o utente do serviço Caixa Directa on line possa efectuar operações nas suas contas após fazer o login é-lhe aleatoriamente solicitada pelo sistema uma das 64 possíveis combinações de 3 números que compõem o cartão matriz, e só com tal indicação precisa e correcta se consegue validar a operação que pretende realizar, nomeadamente transferências bancárias a débito ? “ ;
40º - “ O acesso às contas bancárias da A. foi efectuado mediante a inserção no sistema de todos os elementos de segurança que estavam afectos a este e não apenas aos dígitos respeitantes ao cartão matriz ? “ ;
41º - “ Tal acesso foi permitido e possibilitado porquanto a Autora divulgou os elementos de segurança que permitiam o acesso às suas contas bancárias ? “ ;
42º - “ Tal acesso foi permitido e possibilitado porquanto a Autora divulgou os elementos de segurança que permitiam o acesso às suas contas bancárias ? “ ;
45º - “ Dentro da CGD é impossível conhecer os códigos de autenticação dos clientes porque os nomes estão cifrados ? “.
À excepção da matéria constante do ponto 21º da base instrutória ( importada do artigo 37º da petição inicial ), todos os restantes factos foram alegados pela Ré CGD, a quem incumbirá o ónus de da respectiva prova em juízo ( artigo 342º, nº 2 do Código Civil ) – vide artsº 14º, 15º, 16º, 17º, 27º, 28º, 40º, 49º, 50º, 59º, 60º, 61º e 68º da contestação.
Ora, os peritos indicados pela A. e pelo Tribunal responderam afirmativamente, e sem qualquer dificuldade, à matéria constante do ponto 21º da base instrutória ( cfr. fls. 31 ).
Está assim apenas em causa a prova da restante factualidade.
Os elementos cuja divulgação é suscitada pelo perito da A. e pelo nomeado pelo tribunal consistem em :
Certificações do sistema por entidades externas que sejam acreditadas para o efeito ; relatórios com auditorias de segurança realizadas ao sistema por entidades externas ; registo do histórico dos acessos da A. ao sistema de informação da Ré em cada uma das operações realizadas nas contas bancárias da A. ; inspecção do sistema informático ; documentação técnica de desenho do sistema de autenticação com detalhe do procedimento login e acesso às contas bancárias ; certificações de segurança do sistema com detalhe das mesmas ; relatórios internos que demonstrem qual é a informação necessária para aceder do sistema às contas bancárias.
Vejamos :
Afigura-se-nos patente o elevado melindre da relevação das informações pretendidas, cuja natureza se prende com a forma como se encontra estruturado o sistema de protecção da instituição bancária contra possíveis ( e cada vez mais sofisticados ) ataques informáticos – do tipo tecnicamente denominado “ phishing “.
A sua divulgação pressuporia sempre a extrema importância da quebra do sigilo para a prova a efectuar em juízo, redundando a ausência desses elementos numa afectação muito grave para os valores da justiça e da aplicação do direito[8].
In casu, entendemos não se justificar o levantamento do sigilo bancário, expondo a instituição bancária visada à vulnerabilidade que resulta da divulgação – ainda que confinada ao âmbito deste processo judicial – de elementos essenciais e estruturantes do próprio sistema de segurança informática do banco.
Atente-se em que está aqui em causa, exclusivamente, a prova de factos alegados pela Ré, sobre si impendendo o respectivo ónus probatório. Recusando-se a Ré a juntar aos autos tais elementos e não manifestando a A.[9], em momento algum, qualquer interesse nessa revelação, não é logicamente possível sustentar-se que a quebra do sigilo bancário neste caso prejudica gravemente as finalidades da actividade probatória.
Ou seja, funcionarão aqui as regras inerentes à repartição do ónus de prova relativamente à obrigação de protecção do sistema de levantamentos/transferência por e-banking contra acções fraudulentas e maliciosas de terceiros, competindo à entidade bancária Ré convencer o tribunal quanto à veracidade das alegações de facto por si produzidas e sobre que incidia a perícia[10].
Não se determina, portanto, a solicitada quebra do sigilo bancário.
IV - DECISÃO :
Pelo exposto, acordam os Juízes desta Relação em negar o levantamento do sigilo bancário a que se encontra vinculada a Ré. Sem custas.
Lisboa, 25 de Junho de 2013.
(Luís Espírito Santo).
(Gouveia Barros).
(Conceição Saavedra).
------------------------------
[1] Sobre esta temática, vide Miguel Teixeira de Sousa in “ Estudos sobre o Novo Processo Civil “, pags. 55 a 58.
[2] Sobre esta temática, vide Gomes Canotilho e Vital Moreira, in “ Constituição da República Anotada “, Volume I, pags. 408 a 410.
[3] Elencando um extenso número de arestos que equacionaram os limites ao segredo bancário ( bem demonstrativo do tratamento jurisprudencial conferido ao tema ), vide António Menezes Cordeiro in “ Manual de Direito Bancário “, pags. 358 a 361.
[4] Vide ainda, acórdão do Tribunal da Relação de Lisboa de 1 de Março de 2011 ( relator Tomé Gomes ), publicado in www.dgsi.pt. ; acórdão do Tribunal da Relação de Lisboa de 13 de Setembro de 2012 ( relatora Teresa Prazeres Pais ), publicado in www.dgsi.pt .
[5] Vide, sobre este ponto, o acórdão do Tribunal da Relação de Lisboa de 28 de Fevereiro de 2012 ( relator Pimental Marcos ), publicitado in www.dgsi.pt.
[6] Neste tocante vide o acórdão do Tribunal da Relação de Lisboa de 23 de Fevereiro de 2006 ( relatora Ana Luísa Geraldes ), publicado in www.dgsi.pt. ; acórdão do Tribunal da Relação de Évora de 28 de Outubro de 2009 ( relator Mário Serrano ), publicado in “ Contratos Comerciais, Direito Bancário e CIRE “, Colectânea de Jurisprudência Edições, pags. 554 a 556.
[7] Conforme se pode ler no acórdão do Tribunal da Relação de Lisboa de 3 de Julho de 2012 ( relatora Graça Amaral ), publicitado in www.jusnet.pt : “ Verificando-se uma colisão destes deveres a solução a encontrar terá que resultar de um juízo de ponderação e coordenação entre os mesmos, tendo em conta a situação em concreto, de forma a encontrar e justificar a solução mais conforme com as finalidades que, nessa situação, se pretende atingir, encarando eventuais limitações de cada um deles tão só enquanto necessárias para a salvaguarda dos interesses ou direitos preponderantes em jogo, com respeito aos princípios da proporcionalidade, da adequação e da necessidade – princípio da ponderação de bens e interesses relevantes no caso concreto de modo a poder-se encontrar um sentido unívoco na ordem jurídica “.
[8] A este propósito, vide acórdão do Tribunal da Relação do Porto de 19 de Setembro de 2006 ( relator Mário Cruz ), publicado in “ Contratos Comerciais, Direito Bancário e CIRE “, Colectânea de Jurisprudência Edições, pags. 572 a 576.
[9] Que não se confunde com a pessoa dos peritos nomeados no processo.
[10] Com muito interesse nesta matéria, vide acórdão do Tribunal da Relação de Lisboa de 24 de Maio de 2012 ( relator Ezaguy Martins ), publicitado in www.jusnet.pt, onde se aborda precisamente uma situação de acesso on line fraudulento a depósitos bancários, concluindo-se pelo ónus de prova a cargo da respectiva instituição bancária, com alusão ainda à presunção legal constantes do artigo 799º do Código Civil.
|
