Acórdão do Tribunal da Relação do Porto
| 2598/16.2T8VNG.P1 |  |
RESPONSABILIDADE BANCÁRIA
FRAUDE INFORMÁTICA
II - Sobre tal contrato e sua regulação, nesta se incluindo a matéria atinente à responsabilidade do utilizador do serviço e do prestador do serviço por operações de pagamento não autorizadas, regia o Dec. Lei nº 317/2009, de 30 de Outubro, que, transpondo para a ordem jurídica interna a Directiva nº2007/64/CE, do Parlamento Europeu e do Conselho, de 13/11/2007, aprovou o Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, [tal diploma foi entretanto revogado pelo Dec.Lei nº91/2018, de 12/11, em vigor a partir de 13/11/2018, que transpôs para a ordem jurídica portuguesa a Directiva 2015/2366, do Parlamento Europeu e do Conselho, de 25/11/2015 e aprovou em Anexo um novo Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, que, diga-se, veio implementar exigências adicionais ao nível da autenticação na autorização da operação de pagamento mas em que a regulação da responsabilidade do utilizador do serviço e do prestador do serviço por operações de pagamento não autorizadas é praticamente idêntica ao regime a que sucede (cfr. arts. 110º e sgs. de tal novo Regime)].
III - De tal regime decorre que, caso o utilizador do serviço negue ter autorizado uma operação, o prestador do serviço só pode exonerar-se de responsabilidade se fizer a prova: i) não só de que a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; ii) como também que ela se ficou a dever a fraude do utilizador ou a incumprimento doloso ou gravemente negligente, por parte deste, das obrigações, previstas no art. 67º, de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, tomando todas as medidas razoáveis para preservar a eficácia dos seus dispositivos de segurança personalizados, e de comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento;
(Comarca do Porto – Juízo Local Cível de Vila Nova de Gaia – Juiz 5)
Relator: António Mendes Coelho
1º Adjunto: Joaquim Moura
2º Adjunto: Ana Paula Amorim
Acordam no Tribunal da Relação do Porto:
I – Relatório
AA e esposa, BB, propuseram acção declarativa comum contra a “Banco 1...”, pedindo a condenação desta a pagar-lhes a quantia de €13.664,30, acrescida de juros contados desde 12/04/2015 sobre a quantia de €12.979,25 até efectivo e integral pagamento [faz-se notar que na petição inicial, como peça escrita autónoma que acompanha o formulário do Citius, constam identificados como autores da acção o autor e sua mulher, que ali também se identifica (a qual é também outorgante da procuração do respectivo mandatário), mas já naquele formulário Citius só vem indicado como autor da acção o A. marido; esta discrepância constante do formulário (que não se encontra esclarecida nos autos) dever-se-á com certeza a mero lapso e somos do entendimento, face ao disposto no art. 7º nº3, parte final, da Portaria nº280/2013, de 26/8 (sobre tramitação electrónica dos processos judiciais), onde se prevê a possibilidade de suscitação oficiosa de tal tipo de discrepâncias, que tal não obsta que a acção se considere interposta efectivamente pelo autor e sua mulher].
Alegaram para tal o seguinte:
- são titulares de conta bancária na Ré com o nº ..., aberta em 22/08/2007, no balcão dos ..., Vila Nova de Gaia, tendo em 11.01.2007, por sugestão da mesma, aderido ao seu serviço de homebanking, por via de esta lhes ter assegurado que o mesmo era provido de sistema de segurança que tornava as operações bancárias realizadas por esse meio;
- a adesão a tal serviço foi formalizada pela assinatura dos autores de documentos já elaborados prévia e unilateralmente pela Ré, cujo conteúdo não lhes foi lido nem explicado;
- para que pudessem realizar as operações bancárias foi-lhes disponibilizado um Código PIN e um Cartão Matriz, a fim de introduzirem as coordenadas deste que lhes fossem pedidas pela Ré aquando de tais operações;
- que nunca foram notificados, pessoalmente ou por correio ou por email, para se absterem de realizar determinadas operações bancárias por essa via, nem para cumprirem determinados requisitos de segurança ou outros, nem tão pouco lhes foi disponibilizado qualquer outro sistema de segurança adicional;
- que pelas 20,30 horas do dia 12/04/2015, domingo, o A. marido foi contactado para o telemóvel pelo Serviço de Apoio ao Cliente da Ré para a possibilidade de a sua conta estar a ser alvo de uma burla informática, na sequência do que, após deslocação imediata a um terminal multibanco para consulta dos movimentos bancários daquela conta, constataram que alguém, sem a sua autorização ou conhecimento, tinha realizado várias transferências nos anteriores 3 dias;
- regressado a casa, o A. marido, por volta das 21 h e 15 m, ligou para o Serviço de Apoio ao Cliente da Ré e transmitiu ao funcionário desta, de nome CC, que de facto na sua conta bancária supra identificada estavam a ser realizadas várias operações a débito não autorizadas por si e sem o seu conhecimento; o referido funcionário pediu então ao A. marido que confirmasse, uma a uma, todas as transferências bancárias indevidas; o A. marido confirmou a ilicitude das transferências em causa e solicitou que, de imediato, bloqueassem as transferências bancárias para que a fraude não se concretizasse e não ficasse lesado, ao que o funcionário da Ré respondeu que tal não era possível, uma vez que, tratando-se de transferências internas entre contas do Banco 1..., as mesmas concretizavam-se de imediato, restando ao A. marido apresentar queixa-crime às autoridades, o que este veio a fazer nessa própria noite;
- que entre 10/04/2015 e 12/04/2015 foram retirados ilicitamente da conta bancária dos AA. montantes no valor total de €11.977,00;
- que em 12/04/2015 foi efectuada uma outra transferência não autorizada e sem o conhecimento dos AA. da conta cartão de crédito n.º ... para a conta à ordem no valor de €1.000,00, valor que, não obstante saber que em causa estava uma transferência fraudulenta, a Ré lhes exigiu para cobrir o saldo negativo do cartão de crédito, o que os mesmos fizeram;
- a Ré debitou na sua conta bancária diversas despesas bancárias relacionadas com as referidas transferências, que soma a quantia de €2,25;
- que foram ilicitamente privados daquelas quantias, o que só foi possível acontecer por falha grave do sistema de segurança implementado pela Ré, tanto mais que sempre cumpriram escrupulosamente todas as recomendações de segurança disponíveis na página online da Ré, nunca facultaram a terceiros, ainda que inadvertidamente ou contra a sua vontade, os seus dados identificativos pessoais, códigos, pins ou coordenadas do cartão matriz, e o acesso à sua conta bancária pelo homebanking sempre foi feito pela página oficial do Netbanking da Ré.
A Ré deduziu contestação.
Alegou que apenas o A. marido aderiu ao seu serviço de homebanking, na sequência do que lhe foram atribuídos códigos de acesso/credenciais de utilização, pessoais e intransmissíveis, a três níveis – um número de identificação Banco 1..., atribuído e entregue no momento da adesão, um código PIN multicanal, composto por seis dígitos, atribuído e entregue ao cliente no momento da adesão (e que é obrigatoriamente alterado pelo utilizador para um código à sua escolha aquando da primeira utilização do serviço, sem o que não logra avançar na sua utilização), e um Cartão Matriz (que consiste num cartão de coordenadas com 72 posições, cada uma com 3 dígitos, para validação de operações passíveis de alteração do património detido pelo cliente na Ré, remetido via CTT para o endereço dos clientes em estado de pré-activo, apenas passível de ser activado pelos clientes mediante validação de códigos de acesso, através do número de cliente e do PIN multicanal) –, sendo que, a partir do momento da adesão ao referido serviço de homebanking, o A. marido autorizou a Ré a realizar as operações ordenadas através daquele meio electrónico, pelo que todas as ordens que assim lhe foram transmitidas, através do serviço “Banco 1...”, gozam de plenos efeitos jurídicos.
Mais alegou que os movimentos em causa nestes autos foram efectuados através do Serviço Net 24, tendo-se realizado com as seguranças estabelecidas e validados com os dados reservados ao A., a quem, aquando da adesão a este serviço, foram prestados todos os esclarecimentos e avisos de segurança associados à adesão/activação do mesmo e por este aceites. Defende, por isso, que se as transferências dos autos foram efectuadas por terceiro, de forma fraudulenta, só ao A. podem ser imputadas as responsabilidades pela ocorrência das mesmas, tanto mais que lhe compete assegurar a integridade dos códigos de acesso fornecidos pela Ré e a sua não divulgação a terceiros.
Alegou também que os seus computadores não foram alvo de qualquer ataque informático, nem objecto de qualquer quebra de segurança informática, donde apenas duas hipóteses se colocam – ou as transferências dos autos foram, efectivamente, efectuadas pelo A., já que estava na posse da totalidade das credenciais de utilização, ou por terceiros, a quem o A forneceu tais dados ou permitiu a sua utilização.
Sem prescindir, alega que os €1.000,00 movimentados a crédito na conta do A. e sua mulher por meio de “cashadvance” não pertenciam, de facto, ao A. e sua mulher, mas sim à Ré, razão pela qual não sofreram aqueles qualquer prejuízo com a respectiva movimentação, que a quantia peticionada pelos AA. a título de despesas bancárias cobradas monta a €2,16 e não a €2,25, e que tendo em conta a data dos factos e a data da propositura da acção os juros vencidos calculados à taxa de 14% sobre o capital de €11.977,00 ascendiam a €1.617,05 e não a €1.687,30, como calculado pelos AA.
Conclui pela improcedência da acção e, consequentemente, pela sua absolvição do pedido ou, caso assim não se entenda, pela redução da quantia peticionada nos termos por si expostos.
Foi designada tentativa de conciliação, que se frustrou, e foi dispensada a realização da audiência prévia.
Os AA., por requerimento constante de fls. 99 dos autos, vieram reduzir o pedido em €1.000,00, “uma vez que, por lapso, peticionaram aquela quantia transferida da conta cartão de crédito para a conta à ordem (cfr arts. 39 a 41 da petição inicial), mas a mesma está já incluída nos montantes que foram transferidos para conta bancária pertencente a terceiro”.
Tal redução de pedido foi deferida por despacho proferido a fls. 101 dos autos.
Foi proferido despacho saneador e subsequente despacho de identificação do objecto do litígio e enunciação dos temas da prova.
Procedeu-se a julgamento, tendo na sua sequência sido proferida sentença em que se decidiu nos seguintes termos:
“Pelo exposto, e com os fundamentos expostos, decide-se julgar parcialmente procedente, por parcialmente provada, a presente acção e, em consequência:
a) condenar a R “Banco 1...” a pagar ao A AA a quantia de €11.979,16, acrescida de juros de mora, vencidos e vincendos desde 12.04.2015 até efectivo e integral pagamento, à taxa de 14%, e
b) absolver a R do demais peticionado.
*
Custas por A e R, na proporção dos respectivos decaimentos, fixando-se o do primeiro em 7,70% e o da segunda em 92,30% (arts. 527.º, n.ºs 1 e 2 e 607.º, n.º 6, ambos do CPC).” De tal sentença veio a Ré interpor recurso, tendo na sequência da respectiva motivação apresentado as seguintes conclusões:
“I. Vem o presente recurso interposto da decisão do Mmo Juiz a quo que julgou parcialmente procedente a presente acção e em consequência condenou a Ré a pagar ao Autor a quantia de €11.979,16, acrescida dos juros de mora vencidos e vincendos à taxa de 14% contados desde 12/04/2015, por considerar, em síntese, que a Ré “não logrou ilidir, como lhe competia, a presunção de culpa que sobre si recaía.”
II. No desenvolvimento das respectivas actividades, A. e Réu celebraram um contrato de conta bancária, conta essa que tinha associada a disponibilização de um serviço, denominado Banco 1... 24, ao qual o A. poderia aceder através de um computador ou outro dispositivo similar com acesso à internet e efetuar determinadas operações bancárias on line, através da plataforma “Net 2”, tendo a Ré, para o efeito, fornecido ao A. as respectivas chaves de acesso. – cfr factos provados 1 a 13 e 35 a 49.
III. O A., à data das transferências em crise, estava na posse de todos os elementos que lhe permitiam movimentar as suas contas através daquele serviço Net 24, mas não sem que antes tivesse sido devidamente esclarecida pela Ré no que tange a todas as condições de utilização de tal serviço, em especial no que concerne aos avisos de segurança que lhe estão associados – ut facto provado 50.
IV. Qualquer utilizador daquele serviço Banco 1... 24 (e em consequência o A.) é consecutivamente alertado, por via de mensagem que emerge na página de entrada desse serviço e que é transmitido sob a forma de Aviso de Segurança e do qual resulta que “o Banco 1... nunca solicita mais que 2 posições aleatórias do Cartão Matriz e na ativação do mesmo não são solicitadas quaisquer coordenadas do Cartão, pelo que, na eventualidade de ocorrer uma das situações, o utilizador deverá, de imediato, suspender o acesso e contactar a linha de apoio ao cliente pois poderá estar na presença de uma página fraudulenta” – ut facto provado 51
V. Sendo ademais certo que a Ré alerta os seus clientes, fornecendo os mais diversos exemplos que caracterizam técnicas de fraude e que de forma generalizada se reconduzem a dois tipos, a saber: phishing e pharming, para além de uma panóplia de avisos de segurança. – ut facto provado 53.
VI. Sucede porém que, não obstante tais avisos e alertas, e pese embora, o Autor não ter autorizado as transferências - ut facto provado 30 - , a verdade é que foi o Autor quem, com a sua actuação, mesmo que involuntária, deu azo a que terceiros acedessem aos seus dados, não prevenindo, assim, adequadamente a utilização abusiva por terceiros dos códigos/credenciais de acesso, tal como era sua obrigação – ut facto provado 38.
Com efeito,
VII. Resulta do acervo fáctico assente que as transferências bancárias só se realizaram porque os terceiros que as consumaram constataram em tempo real no cartão matriz, as duas coordenadas que então foram perguntadas pelo dispositivo automático homebanking, como se extrai do facto provado 57, que ora se reproduz:
“57) os movimentos referidos em 29) foram efetuados através do Serviço Net 24, tendo-se realizado com as seguranças estabelecidas e validados com dados reservados ao Autor tendo em cada um deles:
• Sido introduzido o Número de identificação Banco 1...,
• Sido introduzido o número de código Pin Banco 1... 24 – em teclado virtual, escolhido de forma aleatória, aparecendo os números sempre em local distinto, não permitindo a identificação do código, e
• Por último, validado o PIN, foram introduzidas duas coordenadas e posições do Cartão Matriz, que são sempre solicitadas de forma aleatória, pelo sistema e nunca repetidas.”
VIII. Os factos provados 58 a 61 esclarecem que as ordens assim veiculadas vinculavam a Ré e que nem o seu sistema informático nem os seus computadores foram alvo de qualquer ataque informático nem objecto de qualquer quebra de segurança informática nem que o sítio institucional da Ré foi alvo de intrusão ou qualquer outra violação.
IX. O ponto 38 dos factos provados atesta que cabia ao Autor assegurar a integridade dos códigos de acesso/credenciais e a sua não divulgação a terceiros e evitar que eles possam ser objecto de furto, extravio ou apropriação ilegítima por terceiros.
X. O Autor incumpriu tal dever, estando esse incumprimento atestado pela própria consumação das transferências, as quais implicaram necessariamente a constatação em tempo real das duas coordenadas que tinham acabado de ser (instantaneamente) geradas e perguntadas pelo sistema automático homebanking, uma vez que, sabendo-se que nunca ocorre pergunta em que se repitam coordenadas que alguma vez tenham sido pedidas, não existe memória possível, ao nível do domínio informático do titular da conta bancária, das coordenadas que habilitaram as transferências sub judice, sendo assim impossível que um terceiro adivinhe as duas coordenadas.
XI. As transferências bancárias foram, assim, corretamente cumpridas por terem sido validadas com dados reservados ao Autor.
XII. De tudo resultando que o A. fez uma utilização negligente do serviço de homebanking, o que, por si só, afasta a responsabilidade da Ré, ora Recorrente, pelos movimentos efectuados por terceiros.
XIII. A douta sentença recorrida violou assim o disposto nos artigos 570º e 799º do C.C. e ainda os artigos art.67º nº1 alínea a) e 72º do DL 317/2009, de 30 de Outubro.”
Os Autores apresentaram contra-alegações, pugnando pela improcedência do recuso e manutenção da sentença recorrida.
Foram dispensados os vistos ao abrigo do art. 657º nº4 do CPC.
Considerando que o objecto do recurso – sem prejuízo de eventuais questões de conhecimento oficioso – é delimitado pelas suas conclusões (arts. 635º nº4 e 639º nº1 do CPC), há apenas uma questão a tratar: apurar se é de responsabilizar a Ré pelo reembolso das quantias retiradas da conta bancária dos autores.
**
II – Fundamentação
É a seguinte a matéria de facto a ter em conta (a da sentença recorrida, pois no recurso não se põe a mesma em causa):
Factos provados:
1) A Ré é uma instituição de crédito que exerce a atividade própria destas instituições financeiras, praticando as operações e prestando aos seus clientes os serviços típicos da sua natureza e de acordo com a legislação em vigor;
2) Os AA. são titulares da conta bancária à ordem nº ..., aberta na R em 22.08.2007, no balcão dos ..., Vila Nova de Gaia;
3) Por sugestão da Ré, em 11.01.2007, o A celebrou com a Ré o acordo denominado “Banco 1 ... 24 - Particulares” cuja cópia se mostra junta de fls. 93 a 95 dos autos, cujo teor se dá por integralmente reproduzido, vulgarmente designado por homebanking, através da plataforma “Net 24” da Ré;
4) O teor do documento ora referido, que a Ré apresentou ao A., foi prévia e unilateralmente elaborado por aquela;
5) tendo-se o A limitado a apor a sua assinatura no mesmo;
6) Aquando do referido em 3), a Ré, através dos seus funcionários, transmitiram ao A. as vantagens que decorriam para este da adesão ao referido serviço, designadamente a particularidade de fazer determinadas operações bancárias online como por exemplo consultas de saldos, pagamentos ou transferências, desde o local onde estivessem aquando da realização dessas mesmas operações;
7) evitando assim deslocações aos balcões da R ou às máquinas ATM;
8) A Ré assegurou ao A. que esse serviço de homebanking era provido de um sistema de segurança por si assegurado, o que tornava as operações bancárias realizadas por este meio seguras, no sentido de que o capital depositado pelo mesmo à aguarda da R não era colocado em risco por eventual intervenção de terceiros não autorizada;
9) Em face destes argumentos e informações prestados pela R, o A acedeu em subscrever tal serviço;
10) Para que o A pudesse realizar as operações acima descritas bastaria ter acesso à internet através de um computador ou outro dispositivo similar e dessa forma acederiam à página online da R, designada por NET24;
11) Uma vez acedida à referida página online da R e para consultar o seu património depositado o A necessitaria de introduzir os seus dados de identificação e bem como um código PIN;
12) Para a realização de operações suscetíveis de alteração de património (transferências, e pagamentos), o A deveria recorrer a um Cartão Matriz e introduzir, na página online, as coordenadas que lhes fossem pedidas nessa mesma página e que fazem parte do conjunto de coordenadas que estão inseridas naquele cartão matriz;
13) O pedido de introdução dos dados de identificação do A na própria página online da R é feito por esta;
14) Nunca a Ré disponibilizou ao A qualquer outro sistema de segurança adicional para a realização de determinadas operações bancárias via homebanking, designadamente através do envio de um código para o telemóvel do A, vulgarmente designado por “token”;
15) A Ré sabe o número desse telemóvel, uma vez que lhe disponibilizado pelo A;
16) Em 12.04.2015, domingo, por volta das 20,30 horas, o A foi contatado para o telemóvel pelo Serviço de Apoio ao Cliente da R;
17) Nesse telefonema, o funcionário da R solicitou ao A que confirmasse os dados da sua conta bancária, uma vez que a Ré suspeitou que essa conta bancária estivesse a ser alvo de “burla informática”;
18) O mesmo funcionário da Ré perguntou ao A. se, naquele momento, podia consultar, via internet, a sua conta bancária, ao que este respondeu que não, uma vez que teve o receio de estar a ser alvo de uma tentativa de fraude por via telefónica;
19) Finda a chamada, o A. deslocou-se de imediato a um terminal multibanco e, após consultar os últimos movimentos bancários, constatou que alguém, sem a sua autorização ou conhecimento, tinha realizado várias transferências fraudulentas nos anteriores 3 dias, deixando, a sua conta bancária, praticamente, a “descoberto”;
20) Regressado a casa, cerca das 21,15 horas, o A. ligou para o Serviço de Apoio ao Cliente da Ré e transmitiu ao funcionário desta, de nome CC, que, de facto, na sua conta bancária supra identificada estavam a ser realizadas várias operações a débito não autorizadas por si e sem o seu conhecimento;
21) O referido operador pediu ao A. que confirmasse, uma a uma, todas as transferências bancárias indevidas;
22) O que este fez, após o que solicitou que, de imediato, a Ré bloqueasse as transferências bancárias, para que a fraude não se concretizasse e não ficasse lesado;
23) O funcionário da Ré respondeu que tal não era possível, uma vez que, tratando-se de transferências internas entre contas do Banco 1..., as mesmas se concretizavam de imediato;
24) A conta beneficiária dessas transferências era da própria Ré e titulada por DD;
25) Por isso, e ainda face ao alerta efetuado pela própria Ré e à confirmação por parte do A de que se estava perante a realização de transferências bancárias a débito não autorizadas pelos titulares da conta em causa, ao que o A. solicitou que a Ré de imediato tomasse as devidas providências para que a burla não se concretizasse e o dinheiro depositado na conta referida em 3) não desaparecesse;
26) Ao que o funcionário da Ré disse que nada poderia fazer e que restava ao A apresentar queixa-crime às autoridades;
27) o que o A fez nessa própria noite;
28) Essa queixa-crime deu origem a um processo-crime no qual ainda não se apurou quem foi o autor da burla;
29) Da conta bancária referida em 2) foram retirados, através de transferências bancárias para a conta referida em 25):
· em 2015.04.10, a quantia de €1.997,00;
· em 2015.04.10, a quantia de €1.996,00;
· em 2015.04.11, a quantia de €1.994,00;
· em 2015.04.11, a quantia de €1.996,00;
· em 2015.04.12, a quantia de €1.997,00;
· em 2015.04.12, a quantia de €1.997,00;
30) As transferências supra identificadas não foram autorizadas pelo A. e foram efectuadas sem o conhecimento deste;
31) Com referência às transferências referidas em 29), a Ré debitou na conta à ordem identificada em 2) despesas bancárias no valor de €2,16 [(€0,35 x 6) + €0,01 x 6)];
32) Em 13.04.20215, o A. interpelou a Ré para que os reembolsasse das quantias referidas em 29);
33) Interpelação que reiterou junto da Ré por cartas datadas de 03.06.2015 e de 05.10.2015, cujas cópias se mostram juntas de fls. 13 verso/14 e de fls. 15 respetivamente dos autos, e cujos teores se dão por integralmente reproduzidos;
34) Só o A é que utilizava o homebanking;
35) A partir da data referida em 3), o A. autorizou a Ré a realizar as operações ordenadas através do serviço “Banco 1...”;
36) Desde que tais instruções fossem validadas pelos elementos número de cliente, PIN e, adicionalmente e para algumas operações, dois números da chave do Cartão Matriz (à data da adesão do A., os elementos da chave alfanumérica);
37) Os códigos de acesso / credenciais de utilização fornecidos pela Ré ao A. são pessoais e intransmissíveis;
38) Cabendo-lhe assegurar a sua integridade e a sua não divulgação a terceiros e evitar que eles possam ser objeto de furto, extravio ou apropriação ilegítima por terceiros;
39) A Ré forneceu ao A. códigos de acesso /credenciais de utilização a três níveis:
· Número de identificação Banco 1...;
· Código PIN multicanal, composto por seis dígitos e suscetível de personalização;
· Cartão Matriz – um cartão de coordenadas com 72 posições, cada uma com 3 dígitos, para validação de operações passíveis de alteração do património detido pelo A na R;
40) O Número de identificação Banco 1... e o Código PIN Multicanal, são atribuídos e entregues ao cliente no momento da adesão ao “Banco 1... 24”, permitindo estas duas credenciais de utilização a realização de operações e consultas que não afetem o património detido no Banco 1...;
41) Aquando da adesão ao serviço “Banco 1... 24”, a A. ficou na posse do seu Número de identificação Banco 1... e do PIN multicanal;
42) O Cartão Matriz foi enviado para a residência do A. em estado de pré-activo, sendo apenas passível de ser ativado mediante validação de códigos de acesso (através do número de cliente e PIN multicanal);
43) O sistema que produz estes cartões é automatizado, não havendo, qualquer intervenção humana, por parte da R;
44) Para validação das operações, as coordenadas são sempre solicitadas de forma aleatória pelo sistema informático e não repetidas, por forma garantir os mais elevados níveis de segurança na utilização da banca à distância;
45) O primeiro passo para aceder ao serviço “Banco 1... 24 - Net 24”, é a solicitação online do Número de identificação Banco 1...;
46) Após a introdução deste Número e respetiva validação, é solicitada a digitação, num teclado virtual, do número de Código PIN Banco 1... 24;
47) O teclado virtual desenvolve-se de modo aleatório, disponibilizando os números sempre em local distinto, proporcionando uma forma acrescida de segurança;
48) Por último, para que se possa efetuar uma alteração de património (ex: transferência bancária, pagamento), e só para estas situações, após a validação do Número de identificação Banco 1... e do Código PIN Banco 1... 24, são sempre solicitadas, de forma aleatória, duas – e apenas duas – coordenadas e posições do Cartão Matriz;
49) Os dados deste cartão são utilizados apenas uma única vez, para validar movimentos de valores;
50) Os avisos de segurança associados à adesão/ativação do serviço “Banco 1... 24” foram devidamente prestados ao A marido e por este aceites;
51) Quando acede ao serviço de homebanking da R, é transmitido o Aviso de Segurança cuja cópia se mostra junta a fls. 27 dos autos, e cujo teor se dá por integralmente reproduzido, contendo informação relativa à utilização dos códigos de acesso ao site (Número de identificação e PIN) e do Cartão Matriz, com o objetivo de alertar o utilizador quanto ao facto do Banco 1... nunca solicitar mais que 2 posições aleatórias do Cartão Matriz e na ativação do mesmo não serem solicitadas quaisquer coordenadas do Cartão, pelo que, na eventualidade de ocorrer uma das situações, o utilizador deverá, de imediato, suspender o acesso e contactar a linha de apoio ao cliente pois poderá estar na presença de uma página fraudulenta;
52) O que já sucedia à data dos factos dos autos;
53) Após inserção do código de utilizador e após confirmação de leitura da mensagem referida em 51), e antes da introdução do código PIN, tem o utilizador do serviço de homebanking da R acesso a uma panóplia de avisos de segurança, exemplos de fraude, etc, como os constantes de fls. 31 a 46 dos autos, cujo teor se dá por integralmente produzido;
54) Sempre que se acede ao site da Ré, na mesma página onde insere o código PIN, encontra-se informação diversa e bastante explícita sobre medidas de segurança adotadas pela Ré, medidas de segurança/precauções que deverão ser tomadas pelo utilizador, bem como, exemplos de páginas fraudulentas e de e-mail de Phishing, por forma a alertar os utilizadores para eventuais fraudes;
55) A Ré não envia e-mails aos clientes;
56) No seu sítio institucional, a R aconselha e ensina ainda os seus clientes a:
· manter o seu computador seguro,
· conservar o e-mail seguro,
· preservar os dados de Identificação e
· garantir a segurança da sessão de utilização do Net24,
57) os movimentos referidos em 29) foram efetuados através do Serviço Net 24, tendo-se realizado com as seguranças estabelecidas e validados com dados reservados ao A., tendo em cada um deles:
· sido introduzido o Número de identificação Banco 1...,
· sido introduzido o número de código Pin Banco 1... 24 - em teclado virtual, escolhido de forma aleatória, aparecendo os números sempre em local distinto, não permitindo a identificação do código, e
· por último, validado o PIN, foram introduzidas duas coordenadas e posições do Cartão Matriz, que são sempre solicitadas de forma aleatória, pelo sistema e nunca repetidas,
58) Por isso, as ordens veiculadas vinculavam a Ré;
59) Nem o sistema informático da R nem os seus computadores foram alvo de qualquer ataque informático;
60) nem objeto de qualquer quebra de segurança informática;
61) O sítio institucional da Ré não foi alvo de intrusão, ou qualquer outra violação;
*
Factos não provados:a) aquando do referido em 3), o conteúdo do acordo aí identificado foi lido e explicado ao A;
b) aquando do referido em 3), a Ré, através dos seus funcionários, limitou-se a transmitir ao A. o referido em 7);
c) no computador pelo qual o A. acedeu ao homebanking estão instalados sistemas antivírus fiáveis e atualizados;
d) a movimentação da conta do A. nos termos descritos em 29) ocorreu devido a falha grave do sistema de segurança implementado pela R.
*
Vamos então ao tratamento da questão enunciada.Está em causa apurar se, no âmbito do chamado homebanking, ocorre responsabilização da Ré pela restituição das quantias saídas da conta bancária dos autores por via de operações de transferência não autorizadas pelo cliente/utilizador do respectivo serviço.
Como se sabe, o homebanking integra-se no complexo negocial constituído pela relação jurídica bancária (que começa com o contrato de conta bancária e com o depósito bancário a ela associado – sobre o tema vide Engrácia Antunes, “Direito dos Contratos Comerciais”, págs. 483 e 484) e traduz-se num contrato de prestação de serviços por meios electrónicos celebrado entre um banco e um seu cliente, caracterizando-se, como se refere no Acórdão do STJ de 18/12/2013 (proc. nº 6479/09.8TBBRG.G1.S1, rel. Ana Paula Boularot) “pela possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, on line, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o que se reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet.”, podendo os clientes “efectuar, além do mais, consultas de saldos, pagamentos de serviços/compras, carregamentos de telemóveis, transferências de valores depositados para contas próprias ou de terceiros, para a mesma ou para diversa instituição de crédito.”
Sobre tal contrato e sua regulação, nesta se incluindo a matéria atinente à responsabilidade do utilizador do serviço e do prestador do serviço por operações de pagamento não autorizadas, regia à data dos factos (Abril de 2015, como decorre do ponto 29 dos factos provados) o Dec. Lei nº317/2009, de 30 de Outubro (com alterações entretanto introduzidas pelo Dec. Lei 242/2012 de 7/11 e Dec. Lei 157/14 de 24/10), que, transpondo para a ordem jurídica interna a Directiva nº2007/64/CE, do Parlamento Europeu e do Conselho, de 13/11/2007, aprovou o Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, constante como Anexo I ao mesmo [aquele diploma foi entretanto revogado pelo Dec.Lei nº91/2018, de 12/11, em vigor a partir de 13/11/2018, que transpôs para a ordem jurídica portuguesa a Directiva 2015/2366, do Parlamento Europeu e do Conselho, de 25/11/2015 e aprovou em Anexo um novo Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, que, diga-se, veio implementar exigências adicionais ao nível da autenticação na autorização da operação de pagamento mas em que a regulação da responsabilidade do utilizador do serviço e do prestador do serviço por operações de pagamento não autorizadas é praticamente idêntica ao regime a que sucede (cfr. arts. 110º e sgs. de tal novo Regime)].
No pressuposto de que, nos termos da alínea g) do seu art. 2º, se entende por “operação de pagamento” o acto, praticado pelo ordenante ou pelo beneficiário, de depositar, transferir ou levantar fundos, independentemente de quaisquer obrigações subjacentes entre o ordenante e o beneficiário, resulta daquele Regime Jurídico vigente ao tempo dos factos, quanto a obrigações do utilizador e do prestador de serviços de pagamento e respectivas responsabilidades, o seguinte quadro legal [seguimos aqui, praticamente transcrevendo e apenas com uma ou outra alteração, devido à análise e síntese clara que dele resulta, o Acórdão da Relação de Coimbra de 15/1/2019 (proc. 5600/11.0TBLRA.C1; rel. Moreira do Carmo), disponível em www.dgsi.pt]:
- é obrigação do utilizador de serviços de pagamento utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, tomando todas as medidas razoáveis para preservar a eficácia dos seus dispositivos de segurança personalizados, e comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento - art. 67º, nº 1, a) e b), e nº2;
- a aferição da diligência devida pelo utilizador do serviço de pagamentos no cumprimento das condições de utilização desse serviço deve ser feita segundo critérios de razoabilidade – art. 67º, nº 2;
- o prestador de serviços de pagamento está obrigado a assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior, e está obrigado a impedir qualquer utilização do instrumento de pagamento logo que a notificação prevista na alínea b) do n.º1 do artigo 67º tenha sido efectuada – art 68º, nº 1, a) e e);
- caso o utilizador do serviço negue ter autorizado uma operação, o prestador do serviço só pode exonerar-se de responsabilidade se fizer a prova: i) não só de que a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada; ii) como também que ela se ficou a dever a fraude do utilizador ou a incumprimento doloso ou gravemente negligente por parte deste das obrigações referidas no art. 67º – arts. 70º e 72º, nº2;
- caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67.º – art. 70º, nº 2;.
- não logrando fazer essa prova o prestador do serviço fica obrigado a reembolsar imediatamente o montante do pagamento não autorizado, repondo a conta debitada na situação em que se encontraria se a operação não autorizada não tivesse sido executada – art. 71º;
- provando-se que a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada mas que esta resultou de perda ou roubo do instrumento de pagamento ou sua apropriação abusiva por o utilizador não ter assegurado a confidencialidade dos dispositivos de segurança, cabe ao utilizador arcar com as perdas relativas a essa operação dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao montante máximo de 150€ – art. 72º, nº 1.
- no caso de incumprimento gravemente negligente por parte do utilizador das obrigações referidas no art. 67º, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a 150 euros, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva – art. 72º, nº 3.
Como decorre do regime que se descreveu, a “pedra de toque” (a expressão é do acórdão da Relação de Coimbra que se referiu) de atribuição de responsabilidade ao utilizador de serviços de pagamento reside na sua actuação fraudulenta ou no seu não cumprimento deliberado ou com negligência grave das obrigações para si previstas no art. 67º, sendo que caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67º (art. 70º, nº 2).
Resulta ainda claro de tal regime que, para se eximir da sua obrigação de reembolso imediato do montante do pagamento não autorizado (prevista no art. 71º), sobre o banco/prestador do serviço recai o ónus de provar que as operações de pagamento não autorizadas não decorreram de qualquer avaria técnica ou de qualquer outra deficiência e ainda que houve culpa do cliente/utilizador do serviço nos termos sobreditos.
Como nos diz Calvão da Silva (in “Conta corrente bancária: operação não autorizada e responsabilidade civil”, RLJ 144, 315), na linha do que se vem de analisar e concluir, “O risco de funcionamento deficiente ou inseguro do sistema de prestação de serviços de pagamento ou transferência localiza-se, portanto, na esfera do seu prestador, a quem incumbe a responsabilidade por operações não autorizadas pelo cliente nem devidas a causa imputável ao cliente”.
No caso vertente, estão em causa transferências de dinheiro através do serviço de homebanking “Net 24” disponibilizado pela Ré ao A. marido e não autorizadas por este, efectuadas em 10/4/2015, 11/4/2015 e 12/4/2015, duas em cada um destes dias (nºs 29, 30 e 34 dos factos provados), sendo que a conta destino das mesmas era uma outra conta existente na própria Ré (nº24 dos factos provados).
Como decorre da factualidade provada sob os nºs 16 a 26, o A. foi alertado para tais transferências fraudulentas de dinheiro da sua conta pelos próprios serviços da Ré no dia 12/4/2015, um domingo, dia em que ainda se consumaram duas delas, e logo que consultou tal conta para por si as constatar ligou de imediato e ainda nesse mesmo dia àqueles serviços da Ré a pedir que esta as bloqueasse, tendo-lhe sido respondido que tal não era possível por se tratar de transferências internas entre contas da Ré, pois as mesmas concretizavam-se de imediato.
Portanto, o A. cumpriu a sua obrigação de comunicação prevista no art. 67º nº1 b) (comunicou, sem atraso e logo que dela teve conhecimento, a utilização não autorizada do instrumento de pagamento), mas quanto à Ré, relativamente à sua obrigação de impedir qualquer utilização do instrumento de pagamento logo que aquela comunicação tivesse sido efectuada [art. 68º nº1 e)], já não se pode dizer o mesmo, pois teve notícia (no caso, confirmação pelo autor na sequência de contacto prévio dos seus próprios serviços) das transferências fraudulentas ainda no dia em que se efectuaram duas delas, dia esse imediatamente a seguir aos dois dias em que se efectuaram as outras, e deixou que um seu modo de proceder interno relativo a transferências efectuadas entre contas do mesmo banco se sobrepusesse à evidente necessidade de, por si, que é quem tem o domínio do sistema que as acciona, bloquear tais transferências. Note-se, sobre este ponto, que a Ré nada alegou no sentido de uma qualquer impossibilidade efectiva e/ou técnica de tal poder fazer.
Por outro lado, não obstante tais operações, como provado sob o nº57, terem sido registadas como regulares junto da Ré (pois foram efectuadas através do Serviço Net 24, tendo-se realizado com as seguranças estabelecidas e validados com dados reservados ao A., tendo em cada uma delas sido introduzido o número de identificação Banco 1..., o número de código PIN e as coordenadas do cartão matriz solicitadas pelo sistema), tal, por si só, como preceitua a lei (art. 70º nº2 do Regime Jurídico supra referido), não prova que tais operações foram autorizadas pelo ordenante, sendo que, por isso, como já acima referido, para ocorrer a responsabilização do autor/utilizador do serviço, tinha a Ré, para além da prova, que fez (nºs 59 e 60 dos factos provados), de que aquelas operações não decorreram de qualquer avaria técnica ou de qualquer outra deficiência, lograr fazer prova de que houve culpa do autor, quer por o mesmo ter agido de forma fraudulenta ou por não ter cumprido, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67º (arts. 70º nº2 e 72º, nº 2).
Aliás, quanto a esta negligência grave ou grosseira – que Inocêncio Galvão Telles (no seu “Direito das Obrigações”, 6ª edição, Coimbra Editora, 1989, págs. 349/350) qualifica como culpa grave e que distingue da culpa leve na medida em que “só por uma pessoa particularmente negligente se mostra susceptível de ser cometida” e que Ana Prata (in “Cláusulas de Exclusão e Limitação da Responsabilidade Contratual”, Reimpressão, págs. 306 a 308) também qualifica no mesmo sentido, a par com os conceitos de erro imperdoável, desatenção inexplicável, incúria indesculpável, “vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes” – podemos até dizer, perfilhando o entendimento veiculado naquele acórdão da Relação de Coimbra de 15/1/2019 que supra se referiu, que “pela própria natureza das coisas”, não se pode “qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (…) como gravemente negligente”, porquanto “essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas” e “para uma conduta poder ser qualificada como grosseiramente negligente ela não pode, obviamente, ser susceptível de ser levada a cabo por um número significativo dos homens médios” [neste mesmo sentido, vide ainda o acórdão da Relação de Lisboa de 15/3/2016 (proc. nº 1063/12.1TVLSB.L1-1; rel. Rijo Ferreira) e o acórdão da Relação de Guimarães de 10/7/2019 (proc. nº2406/17.7T8BCL.G1; rel. Margarida Sousa), ambos disponíveis em www.dgsi.pt].
Ora, além de não se ter apurado o modo concreto pelo qual terá ocorrido a apropriação das credenciais de segurança do autor de modo a possibilitar a efectivação daquelas transferências, dos factos provados nada resulta de onde se possa concluir por um qualquer comportamento daquele no sentido de uma qualquer sua actuação fraudulenta ou de um seu incumprimento deliberado ou por negligência grave de qualquer das obrigações decorrentes do art. 67º, já supra aludidas.
Assim, é de concluir pela obrigação da Ré de reembolsar imediatamente o montante do pagamento não autorizado nos termos previstos no art. 71º do Regime Jurídico supra referido e vigente à data dos factos.
Deste modo, há que julgar improcedente o recurso e confirmar a sentença recorrida.
As custas do recurso são da responsabilidade da recorrente, que decaiu (artigo 527º, nºs 1 e 2, do Código de Processo Civil).
*
Sumário (da exclusiva responsabilidade do relator – art. 663 º nº7 do CPC):……………...
……………...
……………..
**
III – DecisãoPor tudo o exposto, acorda-se em julgar improcedente o recurso, mantendo-se a sentença recorrida.
Custas pela recorrente.
***
Porto, 27/06/2022Mendes Coelho
Joaquim Moura
Ana Paula Amorim