Acórdão do Tribunal da Relação do Porto
| 11857/21.1T8PRT.P1 |  |
MEIOS DIGITAIS DE PAGAMENTO
REGRAS DE SEGURANÇA
DEVER DE CONFIDENCIALIDADE
II - Por isso o Banco só não será responsabilizado pelas perdas, sofridas pelo cliente, decorrentes de operações fraudulentas sobre a(s) conta(s) deste, se alegar e provar que ao dano resultou de actuação dolosa ou gravemente negligente (negligência grosseira) do utilizador do serviço;
III - O prestador de serviços de pagamento electrónico está obrigado a proporcionar ao utilizador do serviço de pagamento dispositivos de segurança (credenciais de acesso, cartão de coordenadas, etc.) que lhe vão permitir aceder a esse serviço. Tais dispositivos de segurança personalizados têm uma função de autenticação, permitindo identificar o utilizador e verificar se este é efetivamente o cliente que contratou o serviço de homebanking;
IV - Ao utilizador desses serviços impõe-se o dever de guarda dos dados que lhe permitem aceder ao sistema e realizar operações on line e, em especial, o dever de preservação da confidencialidade dos mesmos, por forma a evitar a sua apropriação por terceiros. Em caso algum deve facultar a terceiros os elementos de segurança que lhe são atribuídos, atendendo à sua função de autenticação das operações de pagamento;
V -Tendo havido, da parte da utilizadora do Serviço, uma quebra grave das regras de segurança que estavam definidas e que, durante anos, se revelaram eficazes, à revelia dos avisos e recomendações de segurança do Banco R. e à margem do que foi contratualmente estipulado, a autora permitiu que tivessem acesso aos códigos pessoais quem não estava, para tanto, autorizado, violando, claramente, o dever de confidencialidade que a vinculava, postura qualificável como gravemente negligente, só a esta se podendo atribuir as consequências danosas para o seu património, que, como tal, terá de suportar.
Comarca do Porto
Juízo Local Cível do Porto (Juiz 6)
Acordam na 5.ª Secção do Tribunal da Relação do Porto
I - Relatório
1. Configuração da acção
Em 15 de Julho de 2021, “A..., S.A.” intentou no Juízo Local Cível da Comarca do Porto a presente acção declarativa sob a forma de processo comum (distribuída ao Juiz 6) contra “Banco 1..., S.A.” (de ora em diante, apenas, “Banco 1...”), peticionando a sua condenação a pagar-lhe a quantia total de €13.114, 00, acrescida de juros de mora vincendos, sendo a quantia €9.400,00 a título de reembolso do montante que lhe foi subtraído da sua conta de depósitos e €3.714,00 de juros de mora vencidos.
Para tanto, alegou, em síntese, o seguinte:
É titular da conta bancária n.º ..., sediada na agência da Av.ª ..., Lisboa, do Banco 1....
Em 13 de Agosto de 2014, a ré celebrou com a autora um contrato de adesão a serviço de homebanking, designado Banco 1... Net Empresas, por via do qual lhe é permitido beneficiar do acesso a serviços bancários disponibilizados pela ré através da Internet.
Para o efeito, foi-lhe atribuído pelo Banco 1... uma chave de acesso, por este definida, através do seu registo apenas nas bases de dados centrais do Banco, as quais estariam, alegadamente, “protegidas contra acessos exteriores não autorizados, pela tecnologia mais atual”, bem como um código secreto, que a A. alterou, e ainda um cartão de coordenadas sob a forma de uma matriz, “sendo o mesmo igualmente utilizado pela aplicação informática para validar a coordenada introduzida pelo Cliente, aquando da autorização de determinada operação ordenada através do Serviço”.
Os movimentos da conta bancária a realizar via NET deveriam ser devidamente validados pela Cliente, com código de acesso, e autenticados, nomeadamente por via de mensagem sms remetida pela entidade bancária a confirmar a operação e por coordenadas do cartão matriz.
Sucede que, a 4 Dezembro de 2017, detetou, por consulta online à sua conta bancária, que, num período de tempo compreendido entre 29/11/2017 e 01/12/2017, haviam sido efetuadas catorze transações monetárias a débito (pagamentos), por si não autorizadas, naquela sua conta bancária, totalizando o montante de €9.400,00.
Tais operações foram realizadas por terceiros desconhecidos, via Internet, pelos acessos online, sem qualquer intervenção ou conhecimento da sua parte.
Eram as administradoras da autora AA e BB as únicas pessoas que tinham acesso à conta bancária via internet e Banco 1... Net Empresas, o cartão de coordenadas estava na posse, apenas, da primeira, sendo que a segunda, também, tinha o código de acesso e era o seu telemóvel que receberia as SMS de autenticação, assim tendo ocorrido durante anos e em inúmeras operações, sem incidentes.
O que sucedia normalmente, e nas operações que eram realizadas via Net pela “A...”, é que era utilizado o código de acesso pela Administradora AA, que colocava dados da matriz quando solicitados, mas apenas um ou dois números de acordo com instruções recebidas na página (e nunca, mas nunca, em circunstância alguma, colocou ou lhe foi solicitado que indicasse todos, porque aí, evidentemente, estranharia), e, aleatoriamente, a BB recebia para algumas operações, por ordem do banco, no seu telemóvel, uma sms com código, que completaria a autenticação.
Tal envio de mensagem SMS é aleatoriamente definido pelas entidades financeiras, neste caso, o Banco R.
Sucede, porém, que nenhuma mensagem sms de confirmação foi remetida pelo Banco a solicitar a confirmação dos catorze movimentos, pois de contrário logo seria dado o alerta.
No âmbito do inquérito originada pela queixa que apresentou não se apurou quem foi o autor ou autores da fraude, mas é inquestionável a responsabilidade contratual do banco, ora R., obrigado a repor as quantias indevidamente movimentadas na conta da A., mas, apesar das inúmeras interpelações nesse sentido, tem-se eximido a essa responsabilidade.
2. Oposição da ré
Citada, a ré apresentou contestação, defendendo-se por impugnação.
Aceitou o alegado pela autora quanto aos termos da relação contratual entre ambas estabelecida.
Alega que todas as 14 operações que a A. não reconhece na presente demanda foram concretizadas porque foi introduzida, em cada uma delas, a respectiva coordenada do cartão de coordenadas da utilizadora BB, solicitada aleatoriamente pelo serviço Banco 1... Net Empresas, para autenticação de cada operação e previamente à sua concretização. E as 14 coordenadas introduzidas para autenticar cada uma dessas operações estavam corretas e validaram cada uma delas logo à primeira tentativa.
Os três acessos verificados nos dias 29 e 30.11.2017 e 01.12.2017, bem como as operações de pagamentos de serviços reclamadas pela A., foram concretizados com os códigos para acesso e movimentação do serviço da cliente A..., S.A. e com a introdução de 14 (catorze) coordenadas do Cartão Pessoal de Coordenadas da utilizadora autorizada BB.
Estes códigos são pessoais e intransmissíveis.
Os aludidos acessos e as operações reclamadas pela A., foram efectuados:
- Com a introdução dos códigos para acesso e movimentação do Serviço Banco 1... Net Empresas atribuídos à A.;
- de acordo com as regras de segurança do serviço Banco 1... Net, designadamente a introdução das coordenadas solicitadas pelo serviço constantes do Cartão Pessoal de Coordenadas atribuído ao utilizador autorizado da A.
Assim, as operações de pagamentos de serviços acima descritas, cuja legitimidade e regularidade a A. questiona, apenas poderão ter ocorrido na sequência de prévia divulgação a terceiros de informação relativa aos códigos de acesso e de movimentação do Serviço Banco 1... Net Empresas, bem como ao Cartão Pessoal de Coordenadas atribuído ao utilizador autorizado da A., já que essas (catorze) operações foram autenticadas com a introdução da coordenada solicitada pelo serviço à primeira tentativa o que, por si só, demonstra que o cartão pessoal de coordenadas foi divulgado pelo seu Utilizador autorizado ou por “alguém” que tinha acesso ao mesmo dentro da A.
Apesar de a única utilizadora autorizada pela A. fosse a sua anterior administradora BB, a quem o Banco entregou as credenciais de acesso e o cartão pessoal de coordenadas, a verdade é que o serviço era utilizado indistintamente, pelo menos, pela utilizadora autorizada e por AA, com as credenciais pessoais e intransmissíveis da utilizadora BB.
Após o acesso ao Serviço Banco 1... Net, mediante a introdução das referidas chaves pessoais e intransmissíveis e, caso o Cliente pretenda efetuar alguma operação bancária (transferências, pagamentos de serviços ou outras), é solicitada, para a sua efetivação, a introdução de apenas uma coordenada inscrita no Cartão Pessoal de Coordenadas atribuído a cada Cliente e que, por óbvias razões de segurança, é pessoal e intransmissível e deve ser guardado sob segredo. Isto porque, para o serviço Banco 1... Net, as credenciais/chaves de acesso equiparam-se juridicamente às assinaturas manuscritas do Cliente nas Condições Gerais das Contas (cfr. cláusula 3.4 do contrato junto sob o doc. 3).
Os acessos e passwords do serviço Banco 1... Net são pessoais e intransmissíveis, pelo que a A., ao permitir que um Utilizador não autorizado acedesse ao serviço com as credenciais de acesso que não lhe pertenciam e utilizasse um cartão pessoal de coordenadas da Utilizadora autorizada violou, de forma grave, o dever de confidencialidade a que estava contratualmente vinculada.
Para além dessa utilização por parte de quem não estava autorizado, ocorreu também a divulgação a terceiros do cartão pessoal de coordenadas atribuído à utilizadora BB, que permitiu que terceiros não autorizados acedessem ao serviço Banco 1... Net e movimentassem a débito a sua conta bancária.
Contrariando o que deve ser considerado como elementares regras de procedimento no acesso a qualquer serviço de homebanking, incluindo o Serviço Banco 1... Net, foram fornecidas a terceiros as combinações de números do cartão de coordenadas de acesso e utilização da conta bancária da A. através daquele serviço.
Conclui que, tendo a A. violado o dever de confidencialidade e de guarda sob segredo das suas credenciais de acesso e do seu cartão de coordenadas, divulgando-os a terceiros, actuou de forma gravemente negligente e permitiu a concretização das operações que questiona, pelo que não poderá ser assacada ao Banco R. qualquer responsabilidade.
3. Saneamento e condensação
Em 04.11.2021, foi proferido o seguinte despacho:
«Ao abrigo do disposto no artigo 597.º do Código de Processo Civil:
Admito os róis de testemunhas.
Admito as requeridas declarações de parte.
Notifique a B... como requerido.
Oportunamente será designada data para julgamento.»
4. Audiência final e sentença
Em 08.02.2022, iniciou-se a audiência final, que se realizou em uma só sessão, após o que, com data de 17.03.2022, foi proferida sentença[1] que julgou a acção totalmente procedente e condenou a ré no pedido.
5. Impugnação da sentença
Inconformada com a sentença, em 13.05.2022, a ré dela interpôs recurso de apelação, com os fundamentos explanados na respectiva alegação, que “condensou” nas seguintes “conclusões”:
1. O presente recurso tem por objecto, por um lado, a decisão proferida sobre a matéria de facto, com reapreciação da mesma, mais concretamente, sobre os Factos provados sob as als. I)’ e G)’’ e os Factos não provados elencados na sentença sob os nºs. 1º, 2º, 3º, 6º, 7º e 8º, e que a seguir se identificam e ainda, noutra perspetiva, por erro de interpretação e aplicação do direito aos factos em causa nos autos.
2. Na verdade, o apelante entende que o Tribunal a quo fez incorrecta apreciação da prova produzida nos autos, designadamente em audiência de discussão e julgamento, bem como, uma inadequada interpretação e aplicação do direito aos factos que constituem a causa de pedir nos autos, violando, assim, o disposto nos arts. 110º, nº 1, al. a) e nº 2 e 111º, nº 1, al. a) e 113º, nº 1 do DL nº 91/2018, de 12.11. (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica) e as cláusulas 6ª e 7ª do contrato de adesão ao serviço Banco 1... Net Empresas celebrado entre as partes.
3. Em cumprimento da previsão do art. 640º do CPC, no que respeita aos factos dados como provados no I)’ e G)’’ e aos factos não provados acima identificados sob os nºs 1º a 3º e 6º a 8º indica-se, para além dos documentos juntos sob os docs. 3, 4 a 21, 22 e 23 da contestação, a prova testemunhal produzida nos autos, mais concretamente o depoimento prestado por CC, testemunha do Banco apelante e sua funcionária, a exercer funções de na Direção de Segurança e Fraude desde 2008 (depoimento gravado em sistema digital, início da gravação audio: 08-02-2022, 11:37:32 e fim da gravação audio: 08-02-2022, 12:50:55, com a duração total de 01:13:22).
4. O Banco recorrente apela, assim, a V. Exas. que ouçam com a atenção habitual a gravação do depoimento da identificada testemunha, analisando toda a demais prova produzida, quer documental, quer em audiência de julgamento, na firme convicção de que da análise conjugada de toda a prova V. Exas. concluirão que o Tribunal a quo fez incorrecta apreciação da mesma, tal como ora defendido pelo apelante e também uma inadequada interpretação e aplicação do direito ao caso em análise.
5. Quanto aos Factos provados sob a al I)’, o Tribunal a quo errou ao dar como provado que os 14 movimentos em causa nos autos foram realizados utilizando os dados dos cartões de débito emitidos pelo Banco, já que os movimentos que a A. não reconhece, melhor identificados nas als. J)’, L)’ e I)’’ dos Factos provados, referem-se a pagamentos de serviços efetuados através do serviço de homebanking Banco 1... Net Empresas a que A. aderiu e foram concretizados mediante a utilização do cartão de coordenadas atribuído à utilizadora autorizada e não com recurso aos dados dos cartões de débito nºs ... e ... emitidos e atribuídos pelo Banco à A.
6. Tal factualidade encontra-se ainda espelhada nos Factos provados sob as als. V)’, X)’, F)’’ e I)’’ e do doc. 23 junto com a contestação: os movimentos a débito foram realizados através da internet, tendo a conta bancária da A. sido alvo de hackers, que terão conseguido através da internet os respectivos códigos de acesso ao sistema de homebanking e, entre os dias 29 e 30.11. e 01.12.2017, foram realizados três acessos ao serviço Banco 1... Net Empresas.
7. Acresce ainda o depoimento prestado pela testemunha CC, supra identificado, do qual resulta que tais movimentos foram realizados na conta bancária da A. através do serviço Banco 1... Net Empresas.
8. Pelo que, deverá eliminar-se a al. I)’ dos Factos provados por não ter qualquer correspondência com a prova produzida nos autos, sendo até contraditória com a factualidade dada como provada nas als. V)’, X)’, F)’’ e I)’’.
9. Relativamente aos Factos provados sob a al. G)’’ e ao nº 3 dos Factos não provados, contrariamente à conclusão a que chegou a decisão recorrida, da prova testemunhal produzida resultou demonstrado que, à data da concretização dos 14 pagamentos de serviços via Banco 1... Net Empresas, os sistemas informáticos e de segurança do Banco não sofreram qualquer ataque informático, tentativa de intromissão, falha ou quebra de segurança.
10. A testemunha CC foi ouvida a este propósito e referiu, de forma peremptória e com razão de ciência, já que tratou pessoalmente do caso dos autos e a área onde exerce funções acompanha todas as situações de movimentação fraudulenta realizada pelos canais digitais do Banco (onde se inclui o Banco 1... Net Empresas), que o sistema informático do Banco não foi alvo de nenhum ataque e de que não houve qualquer falha no serviço de homebanking (início da gravação audio: 08-02-2022, 11:37:32 e fim da gravação audio: 08-02-2022, 12:50:55).
11. Pelo que, de novo, se apela a que V. Exas. ouçam o que sobre esta matéria referiu a identificada testemunha.
12. Contrariamente ao que se conclui na decisão sob recurso, a testemunha CC não afirmou que o cartão de coordenadas está no sistema informático do Banco.
13. A aludida testemunha afirmou que o Banco “não guarda os cartões” de coordenadas dos clientes, que o “cartão é só daquela conta”, que tais “cartões são todos diferentes” e que “o cartão é único”, “o Banco não guarda esse cartão e esse cartão é só do cliente”, “ficam apenas na posse do cliente” e que “mais ninguém tem acesso a estas coordenadas.”
14. A validação das coordenadas é efectuada por uma aplicação informática do Banco, através de um cálculo informático/de um algoritmo que é gerado para cada operação, sempre após um acesso válido de cada utilizador autorizado e para cada operação que esse utilizador inicia, o que é totalmente diferente de se afirmar que o cartão de coordenadas está no sistema informático do Banco.
15. É esse algoritmo, que calcula e gera as respectivas coordenadas, que é do conhecimento exclusivo do Banco, sendo o mesmo utilizado pela aplicação informática para validar a coordenada introduzida pelo cliente/usuário, aquando da autorização de determinada operação ordenada através do serviço Banco 1... Net Empresas.
16. Aliás, o que se acaba de referir é precisamente o que consta dos Factos provados sob as als. M), N), O), P), B)’, C)’, D)’ e E)’.
17. Nos autos de inquérito não se apurou que tais terceiros não identificados conseguiram quebrar as regras de segurança do sistema informático do Banco apelante.
18. Aliás, de todas as morosas e aturadas diligências de investigação elencadas no despacho de arquivamento de fls. 23 e ss. não consta qualquer diligência que tenha sido efetuada junto do Banco, da Polícia Judiciária ou outras entidades, com vista a apurar se o Banco tinha sido alvo de algum ataque informático e/ou se tinha ocorrido alguma falha ou quebra de segurança nos seus serviços informáticos e de comunicações que, de alguma forma, tivesse permitido ou facilitado a concretização das catorze operações não reconhecidas pela A.
19. No aludido despacho de arquivamento, depois de se identificarem as diligências realizadas em sede de inquérito descrevem-se exemplos de métodos fraudulentos de captação de códigos de acesso, como o pharming ou o phising, concluindo-se que “Na situação em análise não foi possível determinar, em concreto, qual dos métodos (ou outro) foi utilizado”.
20. No entanto, nos presentes autos, o Banco fez prova de que naquelas datas não tinha sido alvo de qualquer ataque informático, nem tinha ocorrido qualquer falha ou quebra de segurança do seu sistema informático.
21. Do depoimento prestado pela já identificada testemunha CC, prestado de forma assertiva, credível e consistente, que além da análise aos logs relacionados com os três acessos ao serviço Banco 1... Net Empresas da A., ocorridos entre os dias 29 e 30.11. e 01.12.2017, a sua área fez ainda, como sempre fazem, uma análise aos sistemas de segurança, de informação e de comunicações do Banco, no sentido de apurar se tinha ocorrido algum ataque informático ou falha interna de segurança que pudesse ter permitido a concretização desta fraude, tendo apurado que não existiu qualquer ataque ou falha no sistema informático do Banco.
22. Referiu também ter pesquisado a movimentação geral do serviço Banco 1... Net Empresas, naquelas datas tendo apurado que, nos dias 29 e 30.11. tinham ocorrido 112.000 acessos ao serviço Banco 1... Net Empresas, nos quais tinham sido concretizados 8000 pagamentos de serviços, 30.000 transferências, 25.000 pagamentos de salários e que a única empresa que tinha reclamado movimentação não autorizada na sua conta bancária foi a A., acrescentando que “Se tivéssemos uma falha do sistema tínhamos que ter seguramente outros clientes a reclamar” e reiterando que “Nós não tivemos nenhuma falha no serviço”.
23. Além de que, em absoluta conformidade com o acima exposto e com a prova produzida nos autos, foi dado como provado a factualidade que consta da al. T)’’, no sentido de não ter sido detectada pelos serviços competentes do Banco qualquer falha de segurança, erro ou anomalia dos sistemas informático e de comunicações que pudessem de alguma forma viabilizar a concretização das operações questionadas pela autora.
24. Assim, deverá ser retirada a menção aos sistemas informáticos na al. G)’’, passando a constar que:
“G)’’- Facto é que os autores sobre a conta da autora conseguiram quebrar as regras de segurança e acederam à conta, o que pressupõe uma estrutura organizada e meios necessários para o efeito”,
devendo ainda ser dado como provado o facto dado como não provado no ponto 3º.
25. Relativamente aos Factos não provados sob os nºs. 1º, 2º, 6º, 7º e 8º, do depoimento prestado pela testemunha CC (início da gravação audio: 08-02-2022, 11:37:32 e fim da gravação audio: 08-02-2022, 12:50:55), designadamente da análise exaustiva feita ao doc. 23 junto com a contestação, que contém os logs relativos aos três acessos ao serviço Banco 1... Net Empresas em causa nos autos, entre os dias 28.11.2017 e 01.12.2017, resulta que os 14 pagamentos de serviços, concretizados com a introdução de coordenadas colocadas à 1ª tentativa, só foram possíveis porque, garantidamente, alguém teve de ter acesso ao cartão de coordenadas atribuído à utilizadora autorizada pela A.
26. Para que estas 14 operações se pudessem ter concretizado à 1ª tentativa, ou tinha sido a própria empresa, a sua utilizadora autorizada a realizá-las ou não teriam ocorrido se não houvesse uma divulgação prévia do cartão de coordenadas atribuído à A. e por esta activado.
27. Porque todos os cartões de coordenadas são diferentes. Porque apenas a utilizadora autorizada tem a posse do cartão. Porque apenas a utilizadora autorizada conhece os números e as coordenadas constantes do cartão (cfr. doc. 22 da contestação). Porque apenas a utilizadora autorizada recebe e activa o cartão de coordenadas que lhe foi remetido pelo Banco no estado “inactivo”. Porque o Banco não guarda o cartão de coordenadas dos utilizadores. Porque a validação, à 1ª tentativa, de 14 operações de pagamento de serviços, mediante a introdução de 14 coordenadas do cartão de coordenadas atribuído à utilizadora autorizada, apenas é possível se se tiver conhecimento do cartão de coordenadas. Não há outra forma de acontecer, nem outra explicação para o ocorrido.
28. O que, aliás, nem sequer surpreende, já que a própria A. confessa nos arts. 13º, 14º, 16º, 42º e 46º da p.i. – confissão essa expressamente aceite pelo Banco ora apelante no art. 57º da contestação – e foi igualmente confirmado, quer pelas declarações prestadas, quer pela legal representante da A. (depoimento gravado em sistema digital, início da gravação audio: 08-02-2022, 14:47:46 e fim da gravação audio: 08-02-2022, 15:31:06, com a duração total de 00:43:20), quer pela testemunha BB, utilizadora autorizada pela A. (depoimento gravado em sistema digital, início da gravação audio: 08-02-2022, 10:37:09 e fim da gravação audio: 08-02-2022, 11:34:49, com a duração total de 00:57:40), que os códigos pessoais e intransmissíveis de acesso ao serviço e o cartão de coordenadas do serviço Banco 1... Net Empresas, atribuídos pelo Banco à utilizadora autorizada pela A., BB, foram por esta partilhados com a atual legal representante da A., AA, que os utilizava regularmente…[Factos dados como provados nas als. O)’, P)’, Q)’ e R)’]
29. E, salvo melhor opinião, não olhe (colhe?) o argumento de que a partilha e divulgação no caso em análise é desculpável e não teve qualquer conexão com a fraude ocorrida. Veja-se, sobre esta questão, o acórdão proferido pelo Tribunal da Relação do Porto, de 14.07.2020, proferido no Proc. 22158/17.0T8PRT.P1, disponível em www.dgsi.pt, transcrito no corpo da presente alegação e que aqui se dá por integralmente reproduzido.
30. Reitera-se ainda e dá-se aqui por reproduzido, o que acima se alegou sobre a questão do cartão de coordenadas, no ponto I. b), relativo aos Factos provados sob a al. G)’’ e nº 3 dos Factos não provados.
31. Com efeito, da conjugação das declarações da testemunha CC acima referidas com os docs. 22 (exemplo de um cartão de coordenadas) e 23 (listagem dos logs referentes à utilização do serviço Banco 1... Net Empresas com os códigos de acesso da utilizadora autorizada pela A., entre o dia 28.11.2017, 14:18:06 e o dia 01.12.2017, 11:20:45) juntos com a contestação do Banco, bem como, dos Factos provados sob as als. M), N), O), P), B)’, C)’, D)’, E)’, O)’, P)’, Q)’, R)’, J)’’, L)’’, M)’’, O)’’, P)’’, Q)’’, R)’’, S)’’, X)’’ e Z)’’, apenas se pode concluir que os 14 pagamentos de serviços que a A. não reconhece apenas puderam ser concretizados, por terceiros, porque a utilizadora do serviço autorizada pela A., ou a pessoa com quem esta confessadamente partilhou os códigos de acesso e o cartão pessoal de coordenadas, divulgou a terceiros estes códigos de acesso ao serviço e o seu cartão de coordenadas. Já que, se assim não fosse, tais operações não teriam sido realizadas.
32. Os três acessos verificados nos dias 29 e 30.11.2017 e 01.12.2017, identificados na al. I)’’ dos Factos provados, bem como as operações de pagamentos de serviços reclamadas pela A., foram concretizados com os códigos para acesso e movimentação do serviço da cliente A..., S.A. e com a introdução de 14 (catorze) coordenadas do Cartão Pessoal de Coordenadas da utilizadora autorizada BB. Estes códigos são pessoais e intransmissíveis.
33. A própria A. confessa no art. 16º da p.i. e a testemunha BB confirmou na audiência de julgamento que o telemóvel associado ao serviço Banco 1... Net Empresas era o seu e que era ela que recebia os códigos sms do serviço Banco 1... Net Empresas e que autorizava as operações, conforme resulta do facto provado sob a al. R)’.
34. Assim, as operações de pagamentos de serviços acima descritas, cuja legitimidade e regularidade a A. questiona, apenas poderão ter ocorrido na sequência de prévia divulgação a terceiros de informação relativa aos códigos de acesso e de movimentação do Serviço Banco 1... Net Empresas, bem como ao Cartão Pessoal de Coordenadas atribuído à utilizadora autorizada da A.
35. Já que as 14 operações de pagamento de serviços em causa nos autos foram autenticadas com a introdução da coordenada solicitada pelo serviço à primeira tentativa o que – contrariamente à conclusão do Tribunal a quo -, por si só demonstra que o cartão de coordenadas, pessoal e intransmissível, foi divulgado pela sua utilizadora autorizada ou pela pessoa que tinha acesso ao mesmo dentro da A.
36. Face ao exposto, atenta a prova produzida nos autos e acima elencada, deverá ser alterada a matéria de facto dada como não provada, considerando-se provados os Factos dados como não provados nos pontos 1º, 2º, 6º, 7º, e 8º da decisão recorrida.
37. Sem prescindir, entende o apelante que, atenta a factualidade dada como provada nas als. C), D), E), F), M), N), O), S), T), U), V), X), B)’, C)’, D)’, E)’, O)’, P)’, R)’, X)’’, Z)’’ e A)’’’ e a previsão das cláusulas 6ª e 7ª do contrato de adesão, quanto aos deveres de confidencialidade e as regras de cuidado e segurança fixadas entre as partes, deveria o Tribunal a quo ter absolvido o Banco, ao abrigo da previsão dos arts. 110º, nº 1, al. a) e nº 2, 111º e 113º, nº 1 do DL nº 91/2018, de 12.11.
38. Na verdade, o Banco demonstrou a violação, por parte da A., de regras de segurança e confidencialidade absolutamente essenciais ao normal funcionamento do serviço Banco 1... Net Empresas e demonstrou, ainda, que este serviço não sofreu qualquer avaria, falha ou ataque informático.
39. Para o serviço Banco 1... Net, as credenciais/chaves de acesso, como a A. expressamente aceitou, equiparam-se juridicamente às assinaturas manuscritas do cliente nas condições gerais das contas (cfr. cláusula 3.4 do contrato junto sob o doc. 3 da contestação).
40. Aquele serviço reconhece cada “Utilizador” autorizado dos clientes através da introdução daquelas chaves de acesso, de forma encriptada.
41. Os acessos e passwords do serviço Banco 1... Net são pessoais e intransmissíveis, pelo que a A., ao permitir que um utilizador não autorizado acedesse ao serviço com as credenciais de acesso que não lhe pertenciam e utilizasse um cartão pessoal de coordenadas da Utilizadora autorizada violou, de forma grave, o dever de confidencialidade a que estava contratualmente vinculada.
42. O Tribunal a quo desvalorizou tal violação grosseira das regras de confidencialidade e de segurança contratualmente acordadas.
43. Com todo o respeito, para que o serviço Banco 1... Net possa funcionar em condições de segurança é absolutamente imprescindível o cumprimento rigoroso das regras e recomendações de segurança por parte dos utilizadores, contratualmente estabelecidas, no que respeita à confidencialidade e não divulgação a terceiros dos códigos de acesso, do cartão de coordenadas e dos códigos remetidos por SMS para autenticação de utilizadores e operações.
44. Como se decidiu no acórdão do Tribunal da Relação de Guimarães de 23.10.2012, proferido no processo 305/09.5TBCBT.G1 (disponível em www.dgsi.pt/jstj), a propósito da presunção de culpa e responsabilidade a título de risco invocada pela A., citado no corpo da presente alegação e que aqui se dá por integralmente reproduzido.
45. E, ainda, o já citado acórdão proferido pelo Tribunal da Relação do Porto, de 14.07.2020, proferido no Proc. 22158/17.0 T8PRT.P1, disponível em www.dgsi.pt.
46. Assim, se o risco da falha do sistema informático e de segurança corre por conta do Banco R. – tendo este o dever de diligenciar pela segurança do sistema e das contas dos seus clientes -, estando demonstrado nos autos que, à data em que foram efetuados os pagamentos de serviços questionados nos autos, não existiu qualquer falha ou quebra de segurança dos serviços informáticos do banco nem qualquer tentativa de intromissão ou ataque nos mesmos, por seu turno,
47. Os utilizadores do serviço de homebanking têm também o dever de o utilizar de acordo com as condições e regras de segurança acordadas, estando igualmente vinculados aos deveres de confidencialidade e salvaguarda das chaves/credenciais de acesso ao serviço e do cartão de coordenadas que lhes foram entregues, nos termos da previsão do art. 110º, nºs 1, al. a) e nº 2 do DL nº 91/2018, de 12.11. (Regime Jurídico dos Serviços de Pagamento e da Moeda Eletróncia).
48. Além da violação expressa da cláusula 6.2 do contrato de adesão, que implica a violação da previsão daquele art. 110º, nº 1, al. a), a A. violou também a previsão do nº 2 da mesma norma legal, na medida em que não tomou “(…) todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.”
49. Por seu turno, o Banco apelante, fornecedor do serviço Banco 1... Net Empresas, cumpriu as obrigações decorrentes do art. 111º do DL nº 91/2018, de 12.11., como ficou demonstrado nos autos.
50. O Banco apelante demonstrou ainda nos autos que o serviço Banco 1... Net Empresas não sofreu qualquer falha de segurança ou avaria técnica, nem qualquer ataque informático, contrariamente à conclusão retirada do despacho de arquivamento pelo Tribunal a quo, em cumprimento da previsão do art. 113º, nº 1 do citado diploma legal.
51. Assim, a decisão proferida pelo Tribunal a quo violou a previsão dos arts. 110º, 111º e 113º do DL nº 91/2018, de 12.11., conjugadas com as cláusulas 6ª e 7ª do contrato de adesão que constitui o doc. 3 junto com a contestação, pelo que a mesma deverá ser revogada e substituída por outra que absolva o Banco do pedido formulado.»
Pede que, na procedência do recurso, seja revogada a sentença recorrida e substituída por outra de sentido contrário, com a sua absolvição total.
A autora contra-alegou, pugnando pela confirmação do julgado.
O recurso foi admitido (com subida imediata, nos próprios autos e efeito devolutivo) por despacho de 07.06.2022.
Colhidos os vistos, cumpre apreciar e decidir.
Objecto do recurso
São as conclusões que o recorrente extrai da sua alegação, onde sintetiza os fundamentos do pedido, que recortam o thema decidendum (cfr. artigos 635.º, n.º 4, e 639.º, n.º 1, do Código de Processo Civil) e, portanto, definem o âmbito objectivo do recurso, assim se fixando os limites do horizonte cognitivo do tribunal de recurso. Isto, naturalmente, sem prejuízo da apreciação de outras questões de conhecimento oficioso (uma vez cumprido o disposto no artigo 3.º, n.º 3 do mesmo compêndio normativo).
Como bem se vê pelas conclusões, é a decisão sobre matéria de facto que a recorrente, primordialmente, visa na motivação do recurso, pois entende que o tribunal errou no julgamento efectuado dessa matéria por ter feito incorrecta avaliação da prova produzida.
Mas, mesmo com os factos considerados provados na primeira instância, entende a recorrente que se impõe a sua absolvição, por ter havido, por parte da autora, violação dos deveres de confidencialidade e das regras de cuidado e segurança fixadas entre as partes, «absolutamente essenciais ao normal funcionamento do serviço Banco 1... Net Empresas».
São, assim, questões a apreciar e decidir:
- se há erro de julgamento em matéria de facto;
- apreciar da repercussão de uma alteração factual na decisão de direito, ou, independentemente de qualquer alteração na decisão de facto, se os factos provados devem ter outro enquadramento jurídico, que leve à absolvição.
II – Fundamentação
1. Fundamentos de facto
Delimitado o thema decidendum, atentemos na factualidade que a primeira instância deu por assente, bem como a que considerou não provada.
A) Factos provados[2]
A)- A autora é uma sociedade comercial que se dedica à atividade de importação e exportação de equipamentos diversos e outros bens e serviços; prestação de serviços de consultoria técnica em diversas áreas de especialização e fiscalização de obras no estrangeiro e mercado nacional, compra e venda de terrenos e imóveis, construção civil, reabilitação de imóveis; hotelaria e turismo, e que se constituiu cliente da ré, por meio de contrato de competente depósito bancário, logo após o seu início de atividade, ou seja, em 12/04/2014 – cfr. doc. n.º 1 (artigo 1.º da petição inicial).
B)- A autora é titular de uma conta bancária n.º ..., sediada na agência da Av. ..., Lisboa, do Banco 1... SA, tendo por aí passado, desde então, a realizar os seus movimentos bancários (artigo 2.º da petição inicial).
C)- Por escrito particular, a ré celebrou com a autora um contrato de adesão a serviço de homebanking, designado por Banco 1... Net Empresas, em 13 de agosto de 2014, por via do qual aquele permite a esta beneficiar do acesso a serviços bancários disponibilizados pela ré através da internet, tendo-lhe sido atribuídos pelo Banco uma chave de acesso, definida pelo Banco, através do seu registo apenas nas bases de dados centrais do Banco, um código secreto que a autora alterou, e um cartão de coordenadas sob a forma de uma matriz, “sendo o mesmo igualmente utilizado pela aplicação informática para validar a coordenada introduzida pelo Cliente, aquando da autorização de determinada operação ordenada através do Serviço” (artigo 3.º da petição inicial).
D)- A autora aderiu ao serviço Banco 1... Net Empresas, na opção “Perfil Global”, no seu interesse, de acordo com as condições previstas e aceites no contrato que se junta (doc. 3) (artigo 2.º da contestação).
E)- Por sua livre vontade, conhecedora das vantagens e das regras de acesso e utilização com segurança de todo esse serviço, disponibilizado pelo Banco aos seus clientes, no exercício da sua atividade e para os fins por estes entendidos como necessários (artigo 3.º da contestação).
F)- A autora designou apenas um utilizador do serviço Banco 1... Net Empresas: a sua administradora, à data, BB, no aludido “Perfil Global”, ou seja, o seu utilizador tem acesso a todas as operações disponibilizadas por esta funcionalidade (consultas e operações), definindo ainda aquela utilizadora como Administradora da aplicação, com perfil de autorização de operações e fixando o escalão de 0 a 500.000€, de acordo com a matriz de autorizações anexa à adesão (cfr. doc. 3 e artigo 4.º da contestação).
G)- O serviço Banco 1... Net Empresas é um serviço com funcionalidades adaptadas para empresas e permite efetuar, de acordo com a opção “Perfil Global” escolhida pela autora, um vasto leque de operações bancárias, tais como, transferências bancárias e pagamentos de serviços (artigo 5.º da contestação).
H)- O serviço Banco 1... Net Empresas vem divulgado no sítio do Banco, sob o endereço http://www.banco 1... (doc. 4, que se junta):
“O Banco 1... Net Empresas é o Serviço de Corporate Internet Banking do Banco 1..., que permite efetuar uma gestão integrada das contas e realizar um conjunto alargado de operações nacionais e internacionais, de forma rápida, cómoda e sempre com a máxima segurança.” (artigo 6.º da contestação).
I)- A informação referente ao Banco 1... Net Empresas é anunciada no sítio do Banco, no referido endereço http://www.banco 1...:
Vantagens
Autonomia
Acesso imediato a informação atualizada da empresa e possibilidade de realizar operações bancárias de forma rápida e cómoda.
Simplicidade e Comodidade
Serviço de fácil utilização e acessível a partir de qualquer posto de trabalho.
Aumento de Produtividade
Possibilita a otimização de processos de gestão e a redução de custos, com diminuição do tempo alocado a tarefas administrativas quotidianas.
Preçário
A adesão e a utilização são gratuitas. Existem condições muito vantajosas na realização de algumas operações, comparativamente com a rede de Balcões ou de Centros de Empresas Banco 1....
Flexibilidade no Processo de Adesão
Permite a replicação da estrutura hierárquica da empresa, através da definição de diferentes perfis de utilizador.
Segurança
Garantia de total segurança e confidencialidade nas operações efetuadas, através da utilização da tecnologia mais avançada de proteção de dados, complementada com chaves de acesso e cartão pessoal de coordenadas” (artigo 7.º da contestação).
J)- E as operações bancárias que podem ser efetuadas através do Banco 1... Net Empresas são também indicadas naquela página, no link “Demonstrações” através do qual é possível aceder a demonstrações audio e vídeo sobre todas as funcionalidades disponíveis, conhecidas da autora.
Operações Disponíveis
Este Serviço de Internet Banking do Banco 1..., o Banco 1... Net Empresas, permite realizar diversas consultas ou operações bancárias, entre as quais se destacam:
Consultas Operações e ficheiros
- Posição Integrada;
- Saldos e movimentos contas DO;
- Saldos e movimentos contas correntes;
- Personalização de movimentos;
- Documentos digitais;
- Transferências;
- Pagamentos;
- Gestão de Contas Correntes;
- Efeitos recebidos
- Transmissão de ficheiros;
Estrangeiro
Outras demonstrações
– Transferências,
- Créditos Documentários de Exportação/Importação,
- Remessas de Exportação/Importação,
- Soluções ...,
- Contas Banco 1... França e Banco 2... (Moçambique),
- Consultas,
- Operações,
- Manutenção,
- Cartões,
- Autorizações
(artigo 8.º da contestação).
L)- É ainda possível consultar as i) CONDIÇÕES GERAIS, as ii) PERGUNTAS FREQUENTES e iii) COMO ADERIR. (artigo 9.º da contestação).
M)- Para que a utilizadora BB pudesse aceder e movimentar o Serviço Banco 1... Net Empresas, o Banco atribuiu à utilizadora definida as respetivas Chaves de Acesso (Nome de Acesso e Código Secreto), bem como mecanismos de autorização de operações (artigo 10.º da contestação).
N)- As Chaves de Acesso são constituídas pelo Nome de Acesso e o Código Secreto e são atribuídas ao utilizador através do Contrato de Adesão:
i) Nome de Acesso: definido pelo Banco, através do seu registo apenas nas bases de dados centrais do Banco, as quais estão protegidas contra acessos exteriores não autorizados pela tecnologia mais atual;
ii) Código Secreto: alterado obrigatoriamente pelo utilizador no primeiro acesso ao serviço, a qual não é do conhecimento do Banco nem dos seus colaboradores, ficando apenas a informação referente à mesma registada de forma encriptada no servidor central do Banco, para que a aplicação informática que controla e gere os acessos possa validar a introdução do código correto (artigo 11.º da contestação).
O)- A identificação do utilizador para acesso ao Serviço Banco 1... Net Empresas processa-se através da indicação pelo mesmo do Nome de Acesso, bem como da Código Secreto definido pelo Banco no momento da adesão e alterado obrigatoriamente pelo Cliente após o primeiro acesso efetuado através desse serviço (artigo 12.º da contestação).
P)- Nos termos acordados no contrato de adesão ao serviço Banco 1... Net Empresas (condição 3.5 do doc. 3), o Banco pode a qualquer momento, condicionar a realização de operações através deste serviço obrigando à introdução de uma coordenada do Cartão Pessoal de Coordenadas de um Código de Autorização enviado por SMS:
i) O Cartão de Coordenadas é emitido sob a forma de uma matriz de coordenadas. O algoritmo que calcula e gera as respetivas coordenadas foi criado pelo Banco 1... e é do conhecimento exclusivo do Banco, sendo o mesmo igualmente utilizado pela aplicação informática para validar a coordenada introduzida pelo Cliente, aquando da autorização de determinada operação ordenada através do Serviço;
ii) O Código de Autorização enviado por SMS é um código único e específico composto por 6 dígitos enviado pelo Banco através de um SMS (short message service) gratuito para o número de telemóvel previamente configurado pelo utilizador para o efeito. Trata-se de uma OTP (One Time Password, ou seja, é um código válido apenas para autorizar a operação em causa) enviada para o número de telemóvel previamente configurado pelo utilizador para o efeito (artigo 13.º da contestação).
Q)- Com este mecanismo, a autorização de algumas operações que afetam o património financeiro e que cumprem determinados critérios, como por exemplo o montante da transação, passa a ser realizada através da introdução de um Código de Autorização enviado por SMS (artigo 14.º da contestação).
R)- Relativamente à questão da Segurança na utilização do serviço Banco 1... Net, o Banco sempre divulgou recomendações e informações de segurança disponíveis no sítio http://www.banco1...pt/seguranca-online , no link “Recomendações de Segurança”, (docs. 5, 6 e 7), também diretamente acessível na referida página do serviço Banco 1... Net Empresas, colocado no menu “Segurança” ou na janela colocada à direita do acesso ao serviço: “Nome de Acesso/Código Secreto” (artigo 15.º da contestação).
S)- E nas “Recomendações de Segurança” o Banco sempre disponibilizou informação atualizada sobre a “Utilização dos serviços de homebanking”, designadamente sobre as credenciais de acesso (doc. 8), o cartão pessoal de coordenadas (doc. 9) e a segurança no telemóvel (doc. 10), sobre a “Utilização do E-mail”, com as boas práticas na sua utilização (doc. 11) e falsas propostas de emprego (doc. 12), sobre as “Regras de Segurança” (doc. 13) e sobre o “Phising”, designadamente em que consistia (doc. 14), como reconhecer e-mails de phising, fornecendo exemplos no link e-mails fraudulentos (doc. 15) e como se proteger contra e-mails de phising (doc. 16) (artigo 16.º da contestação).
T)- O Banco tem vindo ainda a publicar e a divulgar recomendações sobre o acesso e a utilização dos serviços Banco 1... Net, sob a forma de banners (avisos que aparecem ao abrir a página do serviço Banco 1... Net e que têm de ser fechados para que o cliente possa prosseguir o procedimento de acesso ao serviço - cfr. doc. ...), e notícias nos sítios, quer dos próprios serviços Banco 1... Net e Banco 1... Net Empresas, quer do Banco 1..., todas elas disponíveis em http://www. Banco 1....pt /seguranca/noticias, e de que se juntam alguns exemplos (docs. 18 a 21) (artigo 17.º da contestação).
U)- No caso concreto, em novembro de 2017, o único utilizador contratualmente autorizado a aceder ao serviço Banco 1... Net Empresas, em representação da autora, bem como, a efetuar consultas e operações através deste serviço, era BB, já que a autora nunca a removeu como utilizadora nem procedeu à designação de novos utilizadores (cfr. doc. 3) (artigo 18.º da contestação).
V)- Nos termos da cláusula 3ª do contrato de adesão ao serviço celebrado, sob a epígrafe “Condições de Utilização do Serviço”, prevê-se que:
“3.1. O Cliente indicará através da subscrição deste contrato e do preenchimento dos Anexos e eventuais Adendas, que fazem parte integrante do mesmo, o número e o tipo de assinaturas necessárias para autorizar operações, bem como os escalões de montante. Define ainda para cada Utilizador o Perfil de Acesso Utilizador.
3.2 O Cliente poderá proceder à designação de novos Utilizadores, efetuando a adesão dos novos Utilizadores através do preenchimento e envio ao Banco do Anexo – Adesão de Utilizador. O Cliente poderá, também, a qualquer momento, proceder à remoção de qualquer Utilizador.
3.3 O Cliente poderá em qualquer altura alterar as Contas a que tem acesso através do Serviço ou alterar o Perfil de Acesso Cliente e/ou Perfil de Acesso Utilizador, através do preenchimento, assinatura e envio ao Banco dos formulários disponibilizados para o efeito, cujas alterações se tornarão eficazes após receção e validação pelo Banco do referido documento.
3.4 O Banco e o Cliente aceitam a equiparação jurídica das Chaves de Acesso às assinaturas manuscritas do Cliente nas Condições Gerais das Contas.
A verdade é que a colaboradora da A. forneceu a terceiros as credenciais para acesso e movimentação da sua conta através do Banco 1... Net Empresas, sem as quais seria impossível a concretização das 14 operações de “Pagamento de serviços” ora questionadas[3].
3.5 O Banco pode, ainda, a todo o tempo, condicionar a realização de operações através do Serviço à indicação, pelos Utilizadores com Poderes de Autorização, de (i) uma coordenada do Cartão de Coordenadas (ii) um Código de Autorização único e específico composto por 6 dígitos enviado pelo Banco por SMS para o número de telemóvel do Utilizador indicado para o efeito (iii) ou a outros mecanismos que possam vir a ser definidos em cada momento pelo Banco. (…)
3.6 O Cliente poderá, em qualquer momento, solicitar ao Banco que lhe disponibilize um novo Código Secreto e/ou um novo Cartão de Coordenadas. A solicitação deverá observar a forma prevista no número 3.3. obedecendo a entrega do Código Secreto e/ou do Cartão de Coordenadas solicitados ao procedimento utilizado no momento da adesão.” (sublinhados nossos) (artigo 24.º da contestação).
X)- A autora utilizou, de forma regular, o serviço em questão, usufruindo de todas as suas vantagens e utilidades e conhecendo as regras de utilização e de segurança do Banco 1... Net Empresas (artigo 25.º da contestação).
Z)- A autora utilizava o serviço em causa com frequência, pelo que estava - e está – totalmente familiarizada com as regras de acesso e os procedimentos de autorização necessários à concretização de operações através do Banco 1... Net (artigo 26.º da contestação).
A)’ As regras de acesso nunca sofreram qualquer alteração no serviço Banco 1... Net: introdução do Número/Nome de Adesão e Código Secreto. As Chaves de Acesso são definidas no momento da adesão, sendo obrigatória a alteração do Código Secreto no momento do 1º acesso (artigo 28.º da contestação).
B)’ Para autenticação do acesso aos Serviço de Homebanking Banco 1... Net, é indispensável a introdução das aludidas chaves de acesso, que permitem a identificação do Cliente e que são encriptados no momento de envio através da Internet (artigo 29.º da contestação).
C)’ A autenticação das operações é efetuada através do cartão pessoal de coordenadas atribuído a cada Utilizador autorizado e, a partir de determinado valor diário (que varia ao longo do tempo) por razões de segurança, é aplicado um duplo mecanismo de autenticação, sendo solicitada ainda a introdução de um código de seis dígitos remetido por SMS para o número de telemóvel definido por cada cliente (coordenada+código enviado por SMS) (artigo 30.º da contestação).
D)’ O Cartão Pessoal de Coordenadas é emitido independentemente do perfil de utilização do Cliente, sob a forma de uma matriz de coordenadas, sempre em nome de uma pessoa singular. O algoritmo que calcula e gera as respetivas coordenadas foi criado pelo Banco 1..., sendo igualmente utilizado pela aplicação informática para validar a coordenada introduzida pelo Cliente, aquando da autorização de determinada operação ordenada através do serviço (doc. 22) (artigo 31.º da contestação).
E)’ O cartão de coordenadas é remetido pelo Banco no estado “inactivo” e para o activar o utilizador autorizado tem de ligar para a linha de apoio Banco 1... Directo (artigo 33.º da contestação).
F)’- A 4 dezembro de 2017, a autora detetou, por consulta online à sua conta bancária num período de tempo compreendido entre 29/11/2017 e 01/12/2017, haviam sido efetuadas catorze transações monetárias - pagamentos- não autorizadas pela autora, na conta bancária que detém junto da ré, a débito (artigo 5.º da petição inicial).
G)’- Tais operações foram realizadas por terceiros desconhecidos, via internet, pelos acessos online (artigo 6.º da petição inicial).
H)’- Sem qualquer consentimento ou intervenção, ou mínimo conhecimento, da parte da titular da conta, autora (artigo 7.º da petição inicial).
I)’- Foram tais movimentos realizados utilizando os dados dos cartões de débito n.ºs ... e ..., emitidos ambos pelo Banco 1... S.A. (artigo 8.º da petição inicial).
J)’ Os catorze movimentos em apreço foram nos seguintes valores:
- Ref.: 103476920 - €: 1.000.00 em 29/11/2017 – cfr. doc. n.º 2;
- Ref.: 830884429 - €: 1.000.00 em 29/11/2017 – cfr. doc. n.º 3;
- Ref.: 830882837 - €: 1.000.00 em 29/11/2017 – cfr. doc. n.º 4;
- Ref.: 103426339 - €: 250.00 em 29/11/2017 – cfr. doc. n.º 5;
- Ref.: 103426487 - €: 250.00 em 29/11/2017 – cfr. doc. n.º 6;
- Ref.: 103426686 - €: 250.00 em 29/11/2017 – cfr. doc. n.º 7;
- Ref.: 103582773 - €: 1.000.00 em 30/11/2017 – cfr. doc. n.º 8;
- Ref.: 831108922 - €:1.000.00 em 30/11/2017 – cfr. doc. n.º 9;
- Ref.: 288750714 - €: 250.00 em 30/11/2017 – cfr. doc. n.º 10;
- Ref.: 830389280 - €: 1.000.00 em 30/11/2017 – cfr. doc. n.º 11;
- Ref.:187938864 - €: 250.00 em 30/11/2017 – cfr. doc. n.º 12;
- Ref.: 103584325 - €: 250.00 em 30/11/2017 – cfr. doc. n.º 13;
- Ref.: 830315461 - €: 1.000.00 em 01/12/2017 – cfr. doc. n.º 14;
- Ref.: 103608568 - €: 900.00 em 01/12/2017 – cfr. doc. n.º 15 (artigo 9.º da petição inicial).
L)’- Totalizando os movimentos o valor de €: 9.400.00 (nove mil e quatrocentos euros) - cfr. doc.s n.ºs 2 a 15 (artigo 10.º da petição inicial).
M)’- Foi possível apurar que os pagamentos foram realizados através de diversas entidades financeiras, a saber:
- Ref.: 103476920 – C... – cfr. doc. n.º 2;
- Ref.: 830884429 – D... LTD – cfr. doc. n.º 3;
- Ref.: 830882837 – D... LTD – cfr. doc. n.º 4;
- Ref.: 103426339 – C... – cfr. doc. n.º 5;
- Ref.: 103426487 – C... – cfr. doc. n.º 6;
- Ref.: 103426686 – C... – cfr. doc. n.º 7;
- Ref.: 103582773 – C... – cfr. doc. n.º 8;
- Ref.: 831108922 – D... LTD – cfr. doc. n.º 9;
- Ref.: 288750714 – E... – cfr. doc. n.º 10;
- Ref.: 830389280 – D... LTD – cfr. doc. n.º 11;
- Ref.: ... – F... – cfr. doc. n.º 12;
- Ref.: 103584325 – C... – cfr. doc. n.º 13;
- Ref.: 830315461 – D... LTD – cfr. doc. n.º 14;
- Ref.: 103608568 – C... – cfr. doc. n.º 15 (artigo 11.º da petição inicial).
N)’ Mas sem se lograr apurar quem foi o beneficiário de tais movimentos (cfr. 17 páginas de movimentos bancários juntas ao processo crime, incluindo doc.s n.ºs 2 a 15 ora juntos) – cfr. doc.s n.ºs 16 a 18 (artigo 12.º da petição inicial).
O)’ Quem tinha acesso, à data, à conta bancária via internet e Banco 1... Net Empresas, do lado da autora, eram, exclusivamente, AA, na qualidade de Administradora da empresa, e a sócia Administradora à época, BB (artigo 13.º da petição inicial).
P)’ O cartão de coordenadas estava unicamente na posse de AA, sendo que esta também detinha o código de acesso, e a referida BB, tinha o código de acesso e era o seu telemóvel que receberia as sms de autenticação, assim tendo ocorrido durante anos e em inúmeras operações, sem incidentes (artigo 14.º da petição inicial).
Q)’ Os cartões associados à conta estão unicamente na posse da Administradora AA, sendo que os dados pessoais da autora foram utilizados nas operações indicadas (artigo 15.º da petição inicial).
R)’ O que sucedia normalmente, e nas operações que eram realizadas via net pela A..., é que era utilizado o código de acesso pela Administradora AA, que colocava dados da matriz quando solicitados, e, aleatoriamente, a BB recebia para algumas operações, por ordem do banco, no seu telemóvel, uma sms com código, que completaria a autenticação (artigo 16.º da petição inicial).
S)’ Nenhuma mensagem sms de confirmação, foi remetida pelo Banco a solicitar a confirmação destes catorze movimentos (artigo 19.º da petição inicial).
T)’ Logo que detetada a situação, além da participação imediata junto do balcão feita pela Administradora da empresa, foi nesse mesmo dia, apresentada queixa crime na PSP, na 18.ª Esquadra de Lisboa, e requerida a instauração do o respetivo procedimento criminal contra terceiros por fraude informática, o qual, com o n.º 2224/17.2PSLSB (Inquérito), veio a correr termos pela Procuradoria da República da Comarca de Lisboa, DIAP 8.ª Secção de Lisboa - cfr. doc.s n.ºs 19 a 21 (artigo 20.º da petição inicial).
U)’ Sendo que o inquérito culminou num despacho de arquivamento – cfr. doc. n.º 21 (artigo 21.º da petição inicial).
V)’ No âmbito do inquérito criminal, foi possível confirmar e apurar que os movimentos a débito na conta da A. foram realizados através da internet, sem a presença física dos cartões (artigo 26.º da petição inicial).
X)’ Consistiram tais movimentos em pagamentos de serviços feitos através de referências multibanco (artigo 27.º da petição inicial).
Z)’ Não se logrou apurar, em processo crime, as entidades beneficiárias finais dos pagamentos, sendo que apenas se conseguiu saber serem entidades estrangeiras (artigo 28.º da petição inicial).
A)’’ Foram identificadas a “D...” de Londres, a “E...” belga, a “F...” de Malta, e a “C...” do Porto (artigo 29.º da petição inicial).
B)’’ A “D...” gerou cinco referências multibanco para uma plataforma de pagamentos online designada “G...”, de Gibraltar, no valor global de €5.000.00 (cinco mil euros) (artigo 30.º da petição inicial).
C)’’ A “C...”, gerou sete referências multibanco, sendo que seis delas receberam o valor global de €3.000.00 (três mil euros) e foram geradas em nome de uma sociedade sediada em Malta designada “I-...” (artigo 31.º da petição inicial).
D)’’ A outra recebeu €900.00 (novecentos euros), e foi gerada em nome de uma sociedade sediada em Gibraltar denominada “H...” (artigo 32.º da petição inicial).
E)’’ A “E...”, que gerou uma referência, comunicou que gerou a referência para a “I...” de Londres, que é uma Plataforma de pagamentos online, no valor de €250.00 (duzentos e cinquenta euros), sendo que a “F...” gerou uma referência para a “J...” de Malta, tendo o cliente final indicado, tal como a anterior, um tal DD, que é igual à da “E...”, no valor de €:250.00 (duzentos e cinquenta euros) (artigo 33.º da petição inicial).
F)’’ A conta bancária da autora foi alvo de “hacker’s” (piratas informáticos), que terão conseguido através da internet os respetivos códigos de acesso ao sistema “homebanking”, sistema esse, que lhes possibilitou dar as ordens de pagamento acima indicadas (artigo 34.º da petição inicial).
G)’’ Facto é que os autores sobre a conta da autora conseguiram quebrar as regras de segurança do sistema informático seja do banco, seja da autora, e acederam à conta, o que pressupõe uma estrutura organizada e meios necessários para o efeito (artigo 36.º da petição inicial).
H)’’ Tendo sido identificadas e participada a ocorrência na agência bancária logo a 04/12/2017, data em que foram detetados os movimentos cfr. doc. n.º 22 (artigo 49.º da petição inicial).
I)’’ Entre os dias 29 e 30.11. e 01.12.2017, foram realizados três acessos ao serviço Banco 1... Net Empresas, aceites pelo serviço Banco 1... Net Empresas com as chaves de acesso atribuídas à utilizadora autorizada pela autora, BB (Número / Nome de Adesão e Código Secreto) tendo sido concretizados 14 pagamentos de serviços, validados, cada um deles, através de uma coordenada do cartão pessoal de coordenadas atribuído àquela utilizadora, como resulta do ficheiro com todos os registos dos logs de acesso à aplicação informática entre os dias 28.11.2017, 14:18:06 e 01.12.2017, às 11:20:45 e respetiva movimentação (consultas, operações e inerentes pedidos de autenticação e respetivas respostas de autenticação – doc. 23) 5 pagamentos de serviços à entidade ... – D... LTD num total de €5.000,00; 7 pagamentos de serviços à entidade ... - C... num total de €3.900,00; 1 pagamento de serviços à entidade ... - E... no total de €250,00; 1 pagamento de serviços à entidade ... - F... no total de€ 250,00(artigo 35.º da contestação).
J)’’ No dia 29.11.2017, foram ainda tentadas mais 2 operações (uma transferência de €8.995,00 e um pagamento de serviços de €250,00), que não foram concretizadas pois não foram introduzidos os respetivos códigos de autorização (código de seis dígitos enviado por SMS para o nº de telemóvel que a autora indicou ao Banco e uma coordenada do cartão pessoal de coordenadas): 1 tentativa de transferência para o Banco 3... no total de €8.995,00 1 tentativa de pagamento de serviços à entidade ... - C... no total de €250,00 (artigo 36.º da contestação).
L)’’ Tais operações, por excederem o limite diário estabelecido pelo Banco, por razões de segurança, requeriam obrigatoriamente a introdução do duplo mecanismo para autorização de cada operação, a saber, uma coordenada do cartão pessoal de coordenadas entregue ao utilizador autorizado e um código SMS remetido para o telemóvel definido pela autora no contrato de adesão) (artigo 37.º da contestação).
M)’’As duas operações referidas no art. 32. não foram concretizadas porque não foram introduzidos os respetivos códigos de seis dígitos remetidos pelo serviço do Banco 1... Net Empresas, por SMS para o telemóvel definido pela ... -, como resulta dos dois logs registados em 2017-11-29, 06:41:15.540 e em 2017-11-29, 06:44:47.263 (cfr. fls. 2 do doc. 23) (artigo 38.º da contestação).
N)’’ Verificou-se ainda o carregamento de mais 8 pagamentos de serviços cuja referência se encontrava inválida, os quais não foram concretizados uma vez que os dados/referências das operações se encontravam incorretos e o sistema não avançou para as páginas seguintes (a qual deu uma informação ao utilizador de “Referência Inválida”) 4 pagamentos de serviços à entidade ... - D... LTD num total de €5.000,00 4 pagamentos de serviços à entidade ... - F... num total de €1.000,00 (artigo 39.º da contestação).
O) ’’Todas as 14 operações que a autora não reconhece foram concretizadas porque foi introduzida, em cada uma delas, a respetiva coordenada do cartão de coordenadas da utilizadora BB solicitada aleatoriamente pelo serviço Banco 1... Net Empresas, para autenticação de cada operação e previamente à sua concretização (artigo 40.º da contestação).
P)’’ E as 14 coordenadas introduzidas para autenticar cada uma dessas operações estavam corretas e validaram cada uma delas logo à primeira tentativa (artigo 41.º da contestação).
Q) ’’Para acesso ao Serviço Banco 1... Net (Particulares ou Empresas) apenas é solicitada a introdução do Número /Nome Acesso e Código Secreto, conforme desde sempre informado pelo Banco e no contrato assinado com a autora e como, desde sempre, foi efetuado pela autora (artigo 42.º da contestação).
R)’’ Os três acessos verificados nos dias 29 e 30.11.2017 e 01.12.2017, identificados supra, bem como as operações de pagamentos de serviços reclamadas pela autora foram concretizados com os códigos para acesso e movimentação do serviço da cliente A..., S.A. e com a introdução de 14 (catorze) coordenadas do Cartão Pessoal de Coordenadas da utilizadora autorizada BB. Estes códigos são pessoais e intransmissíveis (artigo 43.º da contestação).
S)’’ As 14 operações de pagamento de serviços em causa nos autos foram autenticadas com a introdução da coordenada solicitada pelo serviço à primeira tentativa (artigo 46.º da contestação).
T)’’ Os serviços competentes do Banco para a área da segurança informática, encetaram Diligências, não tendo detetado qualquer falha de segurança, erro ou anomalia dos sistemas informático e de comunicações que pudessem de alguma forma viabilizar a concretização das operações questionadas pela autora (artigo 50.º da contestação).
U)’’ De acordo com a cláusula 6ª do contrato, sob a epígrafe “Confidencialidade”, o Banco assume o compromisso de “manter sob rigorosa confidencialidade os Códigos Secretos e a informação constante do Cartão de Coordenadas” (6.1.), enquanto sobre o Cliente recai a obrigação de “guardar sob segredo e a assegurar que os Utilizadores guardam sob segredo as Chaves de Acesso e o Cartão de Coordenadas e, bem assim, a assegurar que a sua utilização é feita exclusivamente pelos Utilizadores e a prevenir o seu uso abusivo por parte de terceiros.” (6.2). (sublinhados nossos) (artigo 54.º da contestação).
V)’’ Por outro lado, nos termos previstos pela cláusula 7ª do contrato de adesão ao serviço Banco 1... Net Empresas, sob a epígrafe “Responsabilidade”:
(…) 7.2 O Cliente e os Utilizadores assumem inteira responsabilidade pela utilização negligente, indevida e fraudulenta das Chaves de Acesso e Cartão de Coordenadas.
7.3 O Cliente é responsável e suportará todos os prejuízos resultantes de uma utilização abusiva do Serviço por intermédio de pessoas diferentes dos Utilizadores, quer estes sejam membros do órgão de administração ou colaboradores do Cliente ou outras pessoas, sem prejuízo do estabelecido no nº 8.2.” (artigo 56.º da contestação).
X)’’ Sendo ainda certo que, para além dessa utilização por parte de quem não estava autorizado (artigo 62.º da contestação).
Z)’’ E que permitiu que terceiros não autorizados acedessem ao serviço Banco 1... Net e movimentassem a débito a sua conta bancária (artigo 63.º da contestação).
A)’’’ A autora foi vítima de um ataque informático, (artigo 64.º da contestação).
B)’’’ Após o 1º acesso ocorrido no dia 29.11.2017, às 06:29:59.340, no qual foram concretizados 6 pagamentos de serviços, no montante total de € 3.750,00, a autora acedeu nesse mesmo dia ao serviço Banco 1... net Empresas, efetuou duas transferências bancárias para pagamento de vencimentos - “PAG VENC. AA” e “PAG VENC. EE” - e fez diversas consultas da “Posição Integrada”, “Consultas de Movimentos” da conta bancária e “Consultas a Histórico de Pagamentos” (cfr. fls. 2, 3 e 4 do doc. 23, assinalados a verde) (artigo 72.º da contestação).
C)’’’ De igual forma, após o 2º acesso ocorrido no dia 30.11.2017, às 19:20:51.650, no qual foram concretizados mais 6 pagamentos de serviços, no montante total de €3.750,00, a autora acedeu nesse dia ao serviço Banco 1... net Empresas e fez diversas consultas da “Posição Integrada”, “Consultas de Movimentos” da conta bancária, consultas a “Lista de ficheiros de movimentos” e “Consulta a saldo de todas as contas” (cfr. fls. 6 do doc. 23, assinalados a verde) (artigo 73.º da contestação).
D)’’’ Por fim, após o 3º acesso ocorrido no dia 01.12.2017, às 03:51:56.663, no qual foram concretizados mais 2 pagamentos de serviços, no montante total de €1.900,00, a autora nesse mesmo dia acedeu ao serviço Banco 1... net Empresas e fez diversas consultas da “Posição Integrada”, “Consultas de Movimentos” e “Consulta de saldos” da conta bancária (cfr. fls. 7 do doc. 23) (artigo 74.º da contestação).
Factos não provados
1.º- As operações de pagamentos de serviços descritas, apenas poderão ter ocorrido na sequência de prévia divulgação a terceiros de informação relativa aos códigos de acesso e de movimentação do Serviço Banco 1... Net Empresas, bem como ao Cartão Pessoal de Coordenadas atribuído ao utilizador autorizado da autora (artigo 45.º da contestação).
2.º- O que, por si só demonstra que o cartão pessoal de coordenadas foi divulgado pelo seu Utilizador autorizado ou por “alguém” que tinha acesso ao mesmo dentro da autora (artigo 46.º da contestação).
3.º- Por outro lado, naquela data, os sistemas informáticos e de segurança do Banco não sofreram qualquer ataque informático nem tentativa de intromissão (artigo 49.º da contestação).
4.º- O serviço Banco 1... Net é seguro, sendo os níveis de segurança da sua utilização permanentemente monitorizados e idênticos, independentemente da gratuidade ou onerosidade dos serviços, em concreto, prestados (artigo 52.º da contestação).
5.º- Este serviço assegura a total segurança, integridade e inviolabilidade dos acessos e operações realizados por seu intermédio, sendo supervisionado e avaliado de forma permanente pelos Serviços de Segurança e de Informação do Banco (artigo 53.º da contestação).
6.º- Ocorreu também a divulgação a terceiros do cartão pessoal de coordenadas atribuído à utilizadora BB (artigo 63.º da contestação).
7.º- em que terá ocorrido a instalação de programas maliciosos no computador utilizado para acesso ao serviço Banco 1... Net Empresas (artigo 64.º da contestação).
8.º- A verdade é que a colaboradora da autora forneceu a terceiros as credenciais para acesso e movimentação da sua conta através do Banco 1... Net Empresas, sem as quais seria impossível a concretização das 14 operações de “Pagamento de serviços” (artigo 82.º da contestação).
*
O recorrente que pretenda impugnar, com sucesso, a decisão sobre matéria de facto com fundamento em erro de julgamento, tem de cumprir (“sob pena de rejeição”)[4] vários ónus de especificação, previstos no artigo 640.º, n.º 1, do Código de Processo Civil.O ónus fundamental[5] consiste na especificação dos concretos pontos de facto que considera terem sido incorrectamente julgados pelo tribunal recorrido, obrigação que só se satisfaz com a indicação do facto individualizado que consta da sentença recorrida[6].
A delimitação precisa dos pontos de facto controvertidos constitui um elemento determinante na definição do objecto do recurso em matéria de facto e para a consequente possibilidade de intervenção do tribunal de recurso.
O reexame da matéria de facto é, necessariamente, segmentado, tem em vista a correcção de pontuais erros de julgamento.
Estes ónus de especificação, que a lei processual civil (em especial o citado artigo 640.º, n.º 1, do CPC) põe a cargo do recorrente, decorrem dos princípios, considerados estruturantes do processo civil, da cooperação e da lealdade e boa-fé processuais.
Como é patente face ao teor das conclusões que atrás reproduzimos, a recorrente cumpriu o ónus primário ou fundamental de delimitação do objecto de recurso quanto à impugnação da matéria de facto.
Os concretos pontos de facto que, na sua perspectiva, devem ser reexaminados são os descritos nas alíneas I)’ e G)’’ (factos provados) e os enunciados (como factos não provados) sob os n.os 1 a 3 e 6 a 8.
As provas que, também na sua óptica, impõem decisão diversa da recorrida são os documentos que juntou com a contestação (concretamente, os numerados de 3 a 23) e, essencialmente, o depoimento da testemunha que arrolou, CC, sua funcionária que, desde 2008, exerce funções no serviço denominado “Direção de Segurança e Fraude”.
A reapreciação (parcelar) da matéria de facto requer (sempre nos limites traçados pelo objecto do recurso) a reponderação especificada, um juízo autónomo da força e compatibilidade probatória das provas que serviram de suporte à convicção, formada na primeira instância, relativamente aos factos impugnados e por isso é fundamental que o recorrente especifique as concretas provas (constantes do processo ou que nele tenham sido registadas) que impõem decisão diversa da recorrida, ónus que se cumpre com a indicação do conteúdo específico do meio de prova ou de obtenção de prova que impõe outra decisão[7].
É nesse sentido que se pronunciam A.S. Abrantes Geraldes, P. Pimenta e L. F. Pires de Sousa (in Código de Processo Civil Anotado, Vol. I, Almedina, pág. 796) quando escrevem, em anotação ao artigo 662.º, que «nas situações mais frequentes e mais complexas em que a modificação da decisão da matéria de facto esteja dependente da reapreciação de meios de prova sujeitos a livre apreciação, a Relação apenas intervém quando o recorrente tiver cumprido o triplo ónus de impugnação, nos termos definidos pelo art. 640.º» e que «em tais circunstâncias e dentro dos limites definidos pelo recorrente, a Relação goza de autonomia decisória, competindo-lhe formar e formular a sua própria convicção sobre os meios de prova sujeitos e livre apreciação, sem exclusão do uso de presunções judiciais».
Sendo na apreciação da prova que se decide a concreta aplicação do direito, é imperioso que o juiz desempenhe essa tarefa com especiais cuidados.
Esse exame corresponde, no fundo, à indicação dos motivos que levaram a que o tribunal formasse a convicção probatória num determinado sentido, aceitando um e afastando outro, porque é que certas provas são mais credíveis do que outras, servindo de substrato lógico-racional da decisão e, portanto, deve permitir alcançar que a opção tomada não é fruto do arbítrio do julgador, de uma sua qualquer tendenciosa inclinação, mas sim de um processo sério assente em razões lógicas e nas regras da experiência.
Na concretização dessa delicada e difícil tarefa, o juiz orienta-se pelo princípio básico da livre apreciação, que tem consagração no artigo 607.º, n.º 5, do CPC.
Em termos simples e sintéticos, o princípio da livre apreciação da prova pretende exprimir a ideia de que no ordenamento jurídico que o acolhe não existe prova tarifada (portanto, não há regras de valoração probatória que vinculem o julgador, como acontecia no sistema da prova legal), pelo que, por regra[8], qualquer meio de prova deve ser analisado e valorado de acordo com a livre convicção do julgador.
Por isso que o juiz é livre de relevar, ou não, elementos de prova que sejam submetidos à sua apreciação e valoração: pode dar crédito às declarações das partes, mesmo em detrimento dos depoimentos de uma ou várias testemunhas; pode desvalorizar os depoimentos de várias testemunhas e considerar decisivo na formação da sua convicção o depoimento de uma só[9]; não está obrigado a aceitar ou a rejeitar, acriticamente e em bloco, as declarações do autor ou do réu ou os depoimentos testemunhais, podendo respigar desses meios de prova aquilo que se lhe afigure credível.
O que sempre se impõe é que explique e fundamente a sua decisão, pois só assim é possível saber se fez a apreciação da prova segundo as regras do entendimento correcto e normal, isto é, de harmonia com as regras comuns da lógica, da razão e da experiência acumulada (se se quiser, segundo as legis artis adequadas).
A convicção do julgador é, sempre e necessariamente, uma convicção pessoal, mas também “uma convicção objectivável e motivável, portanto, capaz de impor-se aos outros” (J. Figueiredo Dias, “Direito Processual Penal, I, 1974, pág. 203)[10] .
Vejamos, pois, como motivou a Sra. Juiz a sua decisão quanto aos pontos de facto impugnados, que importa pôr aqui em destaque:
Dos provados:
I)’- Foram tais movimentos[11] realizados utilizando os dados dos cartões de débito n.ºs ... e ..., emitidos ambos pelo Banco 1... S.A. (artigo 8.º da petição inicial).
G)’’ Facto é que os autores sobre a conta da autora conseguiram quebrar as regras de segurança do sistema informático seja do banco, seja da autora, e acederam à conta, o que pressupõe uma estrutura organizada e meios necessários para o efeito (artigo 36.º da petição inicial).
Dos não provados:
1.º- As operações de pagamentos de serviços descritas, apenas poderão ter ocorrido na sequência de prévia divulgação a terceiros de informação relativa aos códigos de acesso e de movimentação do Serviço Banco 1... Net Empresas, bem como ao Cartão Pessoal de Coordenadas atribuído ao utilizador autorizado da autora (artigo 45.º da contestação).
2.º- O que, por si só demonstra que o cartão pessoal de coordenadas foi divulgado pelo seu Utilizador autorizado ou por “alguém” que tinha acesso ao mesmo dentro da autora (artigo 46.º da contestação).
3.º- Por outro lado, naquela data, os sistemas informáticos e de segurança do Banco não sofreram qualquer ataque informático nem tentativa de intromissão (artigo 49.º da contestação).
6.º- Ocorreu também a divulgação a terceiros do cartão pessoal de coordenadas atribuído à utilizadora BB (artigo 63.º da contestação).
7.º- em que terá ocorrido a instalação de programas maliciosos no computador utilizado para acesso ao serviço Banco 1... Net Empresas (artigo 64.º da contestação).
8.º- A verdade é que a colaboradora da autora forneceu a terceiros as credenciais para acesso e movimentação da sua conta através do Banco 1... Net Empresas, sem as quais seria impossível a concretização das 14 operações de “Pagamento de serviços” (artigo 82.º da contestação).
Na motivação probatória da sentença recorrida está assim justificada a decisão quanto à matéria de facto (reprodução integral):
«O tribunal formou a sua convicção a partir da prova testemunhal produzida em sede de audiência final e dos documentos juntos aos autos.
Foi ouvido em declarações de parte o legal representante do autor que explicitou
Foi ouvida BB, que disse ser empresária em Angola, e ser sócia da autora, desde o início da empresa, em 2014. Esclareceu o procedimento de abertura da conta, em 2014; bem como o procedimento de acesso à mesma. Mais tarde, a depoente passou a estar mais fora do país, pelo que foi ao banco e avisou que AA, sua prima. Era a administradora da empresa e passou a movimentar a conta; alteraram as assinaturas no banco. Esclareceu como em 2017 detetaram movimentos irregulares, em dezembro. O cartão matriz ficava sempre no escritório. Só a AA tinha o cartão matriz. Logo que detetaram os movimentos foram ao Banco 1..., expuseram a situação; de seguida, foram à polícia e à B....
Não conhecem essas empresas que debitaram a conta. Foi um prejuízo de 9400 euros.
Inicialmente era a depoente quem podia movimentar a conta. Deram o cartão de coordenadas. alterar o acesso ao Banco 1... net.
CC, disse ser bancária, no Banco 1..., desde 2000; desde 2008 trabalha na direção de segurança e fraude; analisa todas as situações reportadas, através dos canais digitais; esta empresa contactou a linha no dia 4-12-2017, a linha de apoio ao cliente; disse que não reconhecia esta movimentação. Do que apurou, a empresa deslocou-se ao balcão e pediu códigos de acesso, e definiu como única utilizadora BB; pode aceder ao site, solicita o nome de acesso e código secreto; a 1.ª vez pede logo que altere o código; há dois tipos de acesso, só para consultas e global; este perfil global tem um limite de 500 mil euros; o banco começou a efetuar diligências para verificar o que se tinha passado; cancela-se de imediato o acesso ao Banco 1... Net; houve muitos movimentos no dia 29, 30 e 31; mas ainda no dia 29, após esse movimentos, fez outros movimentos posteriores; as coordenadas foram introduzidas corretamente, foi tudo sempre a primeira tentativa; estes movimentos foram todos através ref.ª de serviços; e foi tudo só com coordenadas; não houve autorização por sms; tudo o que era superior a 4 mil euros, foi enviado sms, mas não foi concretizado o movimento, pois não foi introduzido o código; as coordenadas foram sempre introduzidas à primeira; foi a única empresa que reclamou nestes dias, eram dias de grande numero de movimentos, por ser fim do mês; não houve falha do sistema; esta chave de coordenadas está no sistema informático do banco; a utilizadora disse que partilhou os dados de acesso; quando há hackers a própria área informática comunica e é visível e não houve.
FF, disse ser bancária, no Banco 1...; gerente no balcão em Lisboa; onde a autora tinha a conta; recorda-se de uma reclamação de transações; mas não faz o acompanhamento direto deste cliente. Já pouco se recordava. Apenas afirma que as informações que transmitiu, foi por ter sido instruída pelo banco para dar essas informações. Deixou de estar naquele balcão no início de 2018, pelo que nada sabe sobre o que se passou após dezembro de 2017.
Foi ouvida em declarações de parte, a legal represente da autora, AA, administradora da autora. Disse ter sido trabalhadora da autora desde 2-02-2015; passou a administradora em agosto de 2016. No dia 29 de novembro fez transferências bancárias; no dia 30, a sua prima tinha vindo de Angola; acharam estranho os valores da conta estarem mais baixos do que seria normal; a prima disse que não tinha feito pagamentos; depois deixaram de ter acesso à conta; e foram na segunda feira ao banco, pediram o extrato de conta; e foi negado; sem motivo. Quando passou a administradora da autora foi ao banco comunicar e assinar todos os documentos que fossem necessários; informou que ia passar a usar o Banco 1... net, não lhe deram novos códigos. Fazia transferências e pagamentos; a maior parte das vezes recebiam sms; pensa que era aleatório. A declarante disse que como tinha a responsabilidade maior, não ia divulgar a ninguém; o cartão estava guardado no cofre da autora; no dia 29, não viu os movimentos, quando fez as transferências de vencimento; caso os tivesse visto, teria logo alertado a prima, como fez no dia seguinte. As coordenadas estão num cofre, com um código digital; só a declarante e a prima é que têm.
A matéria apurada ficou a dever-se a não ter sido impugnada e/ou estar provada por documentos, mormente a abertura da conta, acesso ao sistema de home banking, procedimentos de acesso ao mesmo, contratos celebrados entre as partes e respetivas cláusulas, avisos do banco no que concerne aos riscos e procedimentos de segurança; data, valor e movimentos indevidos verificados na conta da autora.
Especial destaque, na análise da prova, foi atribuído ao despacho de arquivamento junto aos autos a fls. 23 e ss, no qual são explicitados os movimentos efetuados na conta, através da internet, bem como todas as morosas e aturadas diligências de investigação de molde a apurar os autores, a origem e meios utilizados. Foi apurado que se trataram de pagamentos através de referências multibanco. Aí se concluiu que a conta da autora foi alvo de hackers (piratas informáticos) que terão conseguido através da internet os respetivos códigos de acesso ao sistema home baking, o que lhes possibilitou dar as ordens de pagamento em questão. Mais se apurou que existiram terceiros não identificados que conseguiram quebrar as regras de segurança do sistema informático seja do banco seja da autora e acederam à conta, o que pressupõe a existência de uma estrutura organizada e complexa. O que é certo da leitura desse despacho e da prova produzida é que não ficou demonstrado o meio utilizado por esses terceiros, posto que nenhuma relação, conhecimento ou consentimento foi dado pela autora, não se mostrando indiciado o contrário. É que não basta afirmar que esses códigos e coordenadas foram inseridos à primeira tentativa, para concluir que foi a autora ou pessoa por si autorizada a inserir tais dados ou que estas tenham inadvertidamente fornecidos tais dados a terceiros. Ora, o réu não demonstrou como é que tais piratas informáticos lograram obter tais dados, nem o meio utilizado, e se quebraram as regras de segurança do sistema informático do réu ou da autora. De igual modo, não ficou demonstrado que a autora tenha posto em causa a segurança e o sigilo desse sistema de molde a que tenha sido possível a terceiros proceder a tais movimentos. É que não ficou demonstrado que o uso do cartão por parte da administradora da sociedade, AA, tenha qualquer conexão com tais movimentos indevidos. O facto do banco, alegadamente, não ter detetado qualquer ataque informático nesses dias, ou outras pessoas não se terem queixado, também não pode ser considerado decisivo. Na verdade, existem meios cada vez mais sofisticados de intromissão nos sistemas informáticos, não foi efetuada qualquer perícia ao sistema informático do banco, e a própria testemunha indicada pelo banco, CC, referiu que a chave de coordenadas está no sistema informático. Do exposto, resultaram os factos não provados. O elenco dos factos provados e não provados desconsiderou a matéria alegada de cariz conclusivo, jurídico, repetido, vago ou irrelevante para o objeto do processo, tendo-se, ainda, em conta as regras de distribuição do ónus da prova.»
A posição da recorrente pode resumir-se assim:
O sistema informático do Banco 1... e, em particular, o serviço Banco 1... Net Empresas, é muito seguro (“muito robusto”, na expressão da testemunha CC) e os acessos verificados nos dias 29 e 30 de Novembro e 1 de Dezembro de 2017, que permitiram que alguém, não identificado, tivesse dado ordens de pagamento sobre a conta de depósitos de que a autora é titular (sedeada na agência do Banco 1... sita na Av.ª ..., em Lisboa) e tivesse sido bem sucedido, só foram possíveis porque alguém, colaborador(a) da “A..., S.A.” divulgou/forneceu a terceiros os códigos de acesso a esse serviço e do cartão de coordenadas, imprescindível para dar ordens de pagamento e fazer transferências bem sucedidas, sendo absolutamente certo que, nesse período, o sistema informático do banco não foi alvo de qualquer ataque.
O facto descrito em I)’ é a transcrição, ipsis verbis, do alegado pela autora no artigo 8.º do articulado inicial (tal como o descrito em G)’’ o é do alegado em 36.º da mesma p.i., sem a preocupação de tornar a sua formulação inteligível) e, com todo o respeito devido, só pode resultar de um equívoco, para o qual o tribunal se deixou levar.
Como é do conhecimento do cidadão comum, com a abertura de uma conta de depósitos, a instituição bancária emite um cartão de débito, com o qual o titular da conta pode efectuar várias operações, sendo as mais comuns os pagamentos de bens e serviços em terminais de pagamento automático, as transferências bancárias e o levantamento de numerário.
Ora, do que aqui se trata é de operações (pagamentos e transferências) on line, através da Internet, e isso não se faz com o vulgar cartão de débito, mas, como já veremos, com chaves de acesso (nome de acesso e código secreto) ao serviço Banco 1... Net Empresas.
Por isso, o facto descrito em I)’ tem de passar a integrar o elenco dos não provados.
Na alínea G)’’ está descrito um facto essencial para a decisão de mérito.
Apesar da sua formulação obscura, percebe-se que “os autores” aí referidos são os indivíduos não identificados que lograram aceder à conta bancária da autora e deram 14 (quatorze) ordens de pagamento sobre essa conta, no que foram bem sucedidos.
Para tanto, terão conseguido quebrar as regras de segurança do sistema informático do Banco 1....
O tribunal acolheu, assim, a versão apresentada pela autora, que a ré rebateu, e, como se vê pela motivação probatória que reproduzimos, a decisão assenta em dois pilares:
- o despacho de arquivamento produzido pelo Ministério Público (que mereceu do tribunal «especial destaque na análise da prova») no inquérito originado por uma queixa apresentada pela “A..., S.A.”;
- o depoimento de CC, a já referida testemunha que é funcionária da ré, onde exerce funções na Direcção de Segurança e Fraude;
O conteúdo da referida alínea é a reprodução do artigo 36.º da p.i., que, por seu turno, reproduz, quase na íntegra, um parágrafo do referido despacho[12].
No entanto, tal afirmação não está alicerçada em qualquer meio de prova, designadamente perícia ou qualquer diligência para apurar se, no período temporal em causa, o Banco 1... foi, efectivamente, alvo de algum ataque ao seu sistema informático e/ou se houve falha ou quebra de regras de segurança que tenha permitido a “piratas informáticos” aceder à conta da autora.
Assim, aquela afirmação é, apenas, uma opinião do autor do despacho e não um meio de prova com a virtualidade de provar que os tais “piratas” lograram quebrar as regras de segurança do sistema informático do banco.
Aliás, no mesmo despacho são mencionados possíveis métodos fraudulentos de captação de códigos de acesso, que não passam, necessariamente, pela quebra das regras de segurança do sistema informático do banco.
Quanto à testemunha CC, na súmula do seu depoimento feita na motivação probatória da decisão diz-se que ela afirmou que a chave de coordenadas está no sistema informático do banco.
Ora, aquilo que podia ser um mero lapso de escrita, na realidade, é um erro de avaliação do depoimento da testemunha, pois que, mais adiante, na análise crítica da prova, escreveu-se: «Na verdade, existem meios cada vez mais sofisticados de intromissão nos sistemas informáticos, não foi efetuada qualquer perícia ao sistema informático do banco, e a própria testemunha indicada pelo banco, CC, referiu que a chave de coordenadas está no sistema informático.»
Estarem, ou não, os dados da chave ou cartão de coordenadas alojados no sistema informático do banco é importante na medida em que, se não estiverem, mesmo em caso de quebra de regras de segurança do sistema informático do banco, só poderia concluir-se que foi por outra via que os indivíduos desconhecidos obtiveram os dados do cartão e foram bem sucedidos com as ordens de pagamento sobre a conta da autora.
Ouvida, na íntegra, a gravação do depoimento da testemunha CC, constatamos que o que ela afirmou a este propósito foi algo bem diferente do que consta da motivação probatória da decisão recorrida.
Na verdade, a testemunha, cuja idoneidade e credibilidade não são questionadas (tal como não é posto em causa o seu profundo conhecimento dos factos sobre que depôs), foi muito clara a afirmar que o cartão de coordenadas é enviado inactivo para o cliente e não fica no banco. Por isso só o utilizador único do cartão (que é indicado ao banco pelo cliente e que no caso era a, então, administradora da autora BB) poderia, consciente ou inconscientemente, proporcionar a terceiros os dados desse cartão, pois só este conhece os números e coordenadas do cartão.
O que pode ter gerado o equívoco do tribunal foi a afirmação da testemunha de que o que tem origem no sistema informático do banco é o algoritmo que vai validar a coordenada introduzida pelo cliente/usuário aquando da autorização de determinada operação ordenada através do serviço de homebanking Banco 1... Net Empresas.
As afirmações de facto das partes nos respectivos articulados, os documentos apresentados e o depoimento da referida testemunha permitiram ter como certo que o acesso a esse serviço para efectuar operações (on line) sobre a conta bancária processava-se nos seguintes termos (vd. os factos descritos sob as alíneas M) a Q) do elenco de factos provados):
Com a abertura da conta e a assinatura do contrato de adesão ao serviço Banco 1... Net Empresas, para poder aceder a esse serviço, o banco atribui ao utilizador que lhe é indicado pelo cliente as credenciais ou chaves de acesso, constituídas por nome de acesso (definido pelo banco) e um código secreto (que o utilizador tem que alterar logo no primeiro acesso ao serviço), que não é do conhecimento do banco nem dos seus colaboradores.
Para efectuar operações sobre a conta (pagamentos, transferências, etc.) através desse serviço, é, ainda, emitido e entregue ao utilizador o tal cartão pessoal de coordenadas, sob a forma de uma matriz de coordenadas, que fica na disponibilidade exclusiva do utilizador autorizado.
Quando o cliente pretende efectuar uma dessas operações, tem de introduzir uma coordenada desse cartão, accionando o tal algoritmo, criado pelo Banco 1... e do conhecimento exclusivo deste, que validará a coordenada introduzida pelo cliente (e não o fará se a coordenada não for verdadeira).
Quando é atingido ou ultrapassado determinado montante (que a testemunha CC referiu ser de €4.000,00 por cada dia), ocorre a chamada dupla validação ou duplo mecanismo de autenticação; além da validação da coordenada, o banco emite um código único, composto por 6 dígitos, que envia, através de um SMS, para o número de telemóvel previamente configurado pelo utilizador para o efeito.
Por tudo isto, o facto descrito na G)’’, não só não tem qualquer suporte probatório como está em dessintonia com os demais factos provados.
É a formulação propugnada pela recorrente que se revela consonante com prova produzida e por isso impõe-se a sua alteração, passando a ter o seguinte conteúdo:
«G)’’ Os terceiros desconhecidos que efectuaram as operações monetárias (pagamentos) referidas em F)’, G)’ e J)’ acederam à conta da autora, o que pressupõe uma estrutura organizada e meios necessários para o efeito».
*
Vejamos se tem razão a recorrente na impugnação da decisão de facto quanto aos pontos elencados como não provados sob os n.os 1 a 3 e 6 a 8.Da leitura desses pontos, com excepção do ponto 7 em que se refere que terá ocorrido a instalação de programas maliciosos no computador utilizado para acesso ao serviço Banco 1... Net Empresas, facilmente se conclui que neles se repete a mesma ideia fundamental: as quatorze operações de pagamento não autorizadas pela autora só podem ter ocorrido porque alguém divulgou a terceiros as credenciais de acesso ao Serviço Banco 1... Net Empresas e os dados do cartão pessoal de coordenadas atribuído à utilizadora BB.
Está provado (alínea U) do elenco de factos provados) que, em novembro de 2017 (ou seja, quando foram efectuadas as operações sobre a conta da autora), «o único utilizador contratualmente autorizado a aceder ao serviço Banco 1... Net Empresas, em representação da autora, bem como, a efetuar consultas e operações através deste serviço, era BB, já que a autora nunca a removeu como utilizadora nem procedeu à designação de novos utilizadores».
No entanto, nas declarações que prestou, a referida BB admitiu que o cartão de coordenadas «ficava sempre no escritório» e que a sua prima AA (que, entretanto, passou a ser administradora da autora) tinha esse cartão.
Certo é, porém, que nada permite afirmar que a autora tenha cumprido o estipulado na cláusula 3.ª do contrato de adesão ao Serviço Banco 1... Net Empresas, onde se prevê que o cliente pode proceder à designação de novos Utilizadores, efetuando a adesão dos novos Utilizadores através do preenchimento e envio ao Banco do Anexo – Adesão de Utilizador.
Mas o que importa pôr aqui em relevo é que sem as credenciais de acesso à conta através do Banco 1... Net Empresas e sem o cartão de coordenadas não era possível a realização das 14 operações de “pagamento de serviços” postas em causa pela autora, uma vez que cada uma dessas operações obrigou à introdução de uma coordenada desse cartão.
Todas essas 14 operações que a autora não reconhece foram concretizadas porque foi introduzida, em cada uma delas, a respetiva coordenada do cartão de coordenadas da utilizadora BB (alínea O) dos factos provados) e, uma vez que as coordenadas estavam correctas, foram validadas à primeira tentativa (alínea P)).
Por outro lado, é um dado certo e inquestionável que o cartão de coordenadas é um cartão único, pessoal e intransmissível, de que só o utilizador autorizado dispõe e só ele conhece os números e coordenadas nele inseridos, não estando os respectivos dados alojados no sistema informático do Banco 1....
Por isso é inelutável concluir que as referidas operações foram bem sucedidas porque a informação sobre os dados do cartão de coordenadas foi, previamente, divulgada a terceiros, ou pelo utilizador autorizado da autora, ou por pessoa que, no interior da autora, a ela (informação) tinha acesso.
No âmbito do exercício crítico substitutivo que a este tribunal de recurso cabe efectuar, a sua função é aferir se os juízos de racionalidade, de lógica e de experiência confirmam ou não o raciocínio e a avaliação feita em primeira instância sobre o material probatório disponibilizado e os factos cuja veracidade cumpria demonstrar. Se o juízo recorrido for compatível com os critérios de apreciação devidos, então significará que não merece censura o julgamento da matéria de facto fixada. Se o não for, então a decisão recorrida merece alteração.
Ora, ressalvado, naturalmente, o devido respeito, não se afigura correcta a avaliação efectuada na primeira instância.
Assim, também quanto a estes pontos, se impõe a alteração da decisão sobre matéria de facto, eliminando-os do elenco dos factos não provados e passando a estar inseridos no aglomerado de factos provados sob as alíneas E)’’’, F)’’’ e G)’’’ e com o seguinte conteúdo:
E)’’’ As referidas 14 (quatorze) operações de pagamento de serviços ocorreram na sequência de prévia divulgação a terceiros de informação relativa às credenciais de acesso ao Serviço Banco 1... Net Empresas, bem como do cartão pessoal de coordenadas atribuído ao utilizador autorizado da autora;
F)’’’ Os dados do cartão pessoal de coordenadas foram divulgados pelo seu utilizador autorizado ou por pessoa que, no interior da autora, a eles tinha acesso;
G)’’’ A colaboradora da autora forneceu a terceiros as credenciais para acesso e movimentação da conta através do Banco 1... Net Empresas, sem as quais não seria possível a concretização das 14 operações de “pagamento de serviços”;
Foquemo-nos, por último, no ponto 3 do elenco de factos não provados.
Em questão está um facto negativo: se, naquele espaço de tempo (29 e 30 de Novembro e 1 de Dezembro de 2017) «os sistemas informáticos e de segurança do Banco não sofreram qualquer ataque informático nem tentativa de intromissão».
Está assente que «Os serviços competentes do Banco para a área da segurança informática, encetaram diligências, não tendo detetado qualquer falha de segurança, erro ou anomalia dos sistemas informático e de comunicações que pudessem de alguma forma viabilizar a concretização das operações questionadas pela autora» (alínea T)’’).
A prova desse facto decorre do depoimento da testemunha CC, que garantiu não ter havido, nesse período, qualquer ataque ao sistema informático do Banco 1... nem qualquer falha de segurança no serviço de homebanking que o banco presta(va), pois foi ela própria quem tratou do caso na sequência da reclamação/denúncia feita por representante da autora.
Em reforço dessa afirmação, referiu que, naqueles dias, tinha havido cerca de 112.000 acessos ao serviço Banco 1... Net Empresas e foram concretizadas dezenas de milhar de operações de pagamento (de serviços e de salários), mas só a autora apresentou reclamação. Se tivesse ocorrido uma falha de segurança do sistema, certamente outros clientes teriam sido afectados e teriam, também, reclamado.
O depoimento desta testemunha é muito consistente, objectivo e bem sustentado. O problema está em saber se um depoimento testemunhal é, no caso, prova bastante para impor decisão diversa da recorrida. Não está em causa a credibilidade da testemunha, mas não é possível ignorar a sua ligação a uma das partes. Neste ponto, estamos com a decisão da primeira instância quando nela se refere que se justificava uma perícia ao sistema informático do Banco, efectuada por entidade que lhe fosse alheia.
Por isso é de manter como facto não provado o ponto 3 do respectivo elenco.
Em suma, julga-se parcialmente procedente a impugnação da decisão quanto à matéria de facto e, em consequência, decide-se nela introduzir as seguintes alterações:
Quanto aos factos provados:
- é eliminada a alínea I)’, cujo conteúdo passa a integrar o elenco de factos não provados;
- é alterado o conteúdo da alínea G)’’, que passará a ter a seguinte formulação:
«G)’’ Os terceiros desconhecidos que efectuaram as operações monetárias (pagamentos) referidas em F)’, G)’ e J)’ acederam à conta da autora, o que pressupõe uma estrutura organizada e meios necessários para o efeito».
- passam a integrar o elenco dos provados os seguintes factos:
E)’’’ As referidas 14 (quatorze) operações de pagamento de serviços ocorreram na sequência de prévia divulgação a terceiros de informação relativa às credenciais de acesso ao Serviço Banco 1... Net Empresas, bem como do cartão pessoal de coordenadas atribuído ao utilizador autorizado da autora;
F)’’’ Os dados do cartão pessoal de coordenadas foram divulgados pelo seu utilizador autorizado ou por pessoa que, no interior da autora, a eles tinha acesso;
G)’’’ A colaboradora da autora forneceu a terceiros as credenciais para acesso e movimentação da conta através do Banco 1... Net Empresas, sem as quais não seria possível a concretização das 14 operações de “pagamento de serviços”;
O elenco de factos não provados passa a ser o seguinte:
1) Foram tais movimentos (operações sobre a conta de depósitos da autora identificados na alínea J)) realizados utilizando os dados dos cartões de débito n.ºs ... e ..., emitidos ambos pelo Banco 1... S.A.;
2) Os terceiros desconhecidos referidos na alínea G)’’ conseguiram quebrar as regras de segurança do sistema informático do Banco 1...;
3) Nos dias 29 e 30 de Novembro e 1 de Dezembro de 2017, os sistemas informáticos e de segurança do Banco não sofreram qualquer ataque informático nem tentativa de intromissão;
4) Por essa altura, ocorreu a instalação de programas maliciosos no computador utilizado para acesso ao serviço Banco 1... Net Empresas.
1. Fundamentos de direito
Um dano, via de regra, é suportado pela esfera jurídica da pessoa onde ocorra.
Mas há eventos que justificam a imputação dos danos a uma esfera diferente.
Na primeira instância entendeu-se que, no caso, o Banco réu, enquanto depositário dos valores pecuniários que lhe foram entregues no âmbito da relação contratual estabelecida, não demonstrou que não cabe a si, mas à autora, a responsabilidade por terem sido efectuadas sobre a conta de depósitos de que esta é titular determinadas operações que a desfalcaram em €9.400,00, em proveito de terceiros desconhecidos, e por isso é a ré que deve suportar o respectivo dano, conclusão que está assim fundamentada:
«Através deste serviço[13] que os bancos põem à disposição dos seus clientes, estes podem efetuar, além do mais, consultas de saldos, pagamentos de serviços/compras, carregamentos de telemóveis, transferências de valores depositados para contas próprias ou de terceiros, para a mesma ou para diversa instituição de crédito.” Forma de interação bancária que comporta vantagens para o banco e para o cliente, uma vez que permite a este realizar operações bancárias sem necessidade de se deslocar aos balcões do banco e de se sujeitar aos estreitos horários de atendimento ao público e permite ao banco otimizar a gestão dos seus recursos humanos agora desonerados da prática de atos anteriormente cometidos aos seus funcionários.
Vejamos das regras de segurança e confidencialidade que esta interação pressupõe e exige.
Em primeiro lugar as reportadas ao banco, que se encontra legalmente obrigado a “assegurar, em todas as atividades que exerce, elevados níveis de competência técnica, garantindo que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência (artigo 73.º do RGICSF) e enquanto prestador de serviços de pagamento que emite um instrumento de pagamento designadamente a obrigação de “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento (…)” (artigo 68.º, n.º 1, alínea a) do DL n.º 317/2009, de 30 de Outubro). Bem como particulares cautelas que a movimentação de uma conta bancária mediante a simples aposição no teclado de um qualquer computador (ou telefone) de códigos de acessos implica para o cliente/depositante. Numa imagem menos virtual pode-se dizer em suma que o banco depositário deve zelar pela segurança do cofre e dos meios ao seu respetivo acesso e o cliente depositante deve manter o código de acesso ao cofre sobre rigoroso sigilo.
No caso dos autos, o réu não logrou demonstrar a razão, meio ou procedimento, pelo qual foram efetuados movimentos na conta da autora sem o seu conhecimento e consentimento. Apenas se sabe que foram efetuados por terceiros desconhecidos, via internet, “piratas informáticos” que através da internet terão conseguido os códigos de acesso ao sistema home banking, o que lhes possibilitou dar as ordens de pagamento em questão.
Como vem explicado no despacho de arquivamento junto aos autos, existem diversos métodos fraudulentos de obtenção de códigos de acesso cada vez mais sofisticados e difíceis de detetar pelo mais experientes, e que não situam apenas na perspetiva da plataforma informática do utilizador, mas também dos próprios bancos. Na situação em apreço, não foi possível determinar, em concreto qual o método utilizado. Do que se concluiu é que existiu a intervenção de terceiros não identificados, que conseguiram quebrar as regras de segurança do sistema informático, seja do banco, seja da autora e acederam à conta.
Determinante para a presente situação é que o réu não só não demonstrou como é que terceiros tiveram conhecimento dos códigos de acesso e combinações do cartão de coordenadas, como também não ficou demonstrado que os movimentos indevidos na conta da autora, efetuados por terceiros, se ficaram a dever à violação dos deveres de sigilo e segurança a que a autora se encontrava obrigada. Ou seja, mesmo a utilização do sistema home banking por AA, administradora da sociedade, não revelou qualquer conexão com os referidos movimentos indevidos. De resto, o facto de tais movimentos terem ocorrido em três dias diferentes, não permite concluir em sentido diverso, uma vez que não ficou demonstrado que a autora tivesse notado previamente tais ocorrências e nessa sequência tivesse omitido, por desleixo ou incúria, qualquer dever de informação ao banco.
Considero, assim, que o réu não logrou ilidir a presunção de culpa que, enquanto depositário, lhe advém do perecimento de coisas cujo domínio lhe foram transferidas por via contratual.»
Por isso condenou a ré a reembolsar a autora do referido montante (€9.400,00), acrescido de juros de mora.
A recorrente contra-argumenta alegando que, sendo certo que sobre o Banco recai o dever de diligenciar pela segurança do sistema e das contas dos seus clientes e que o risco da falha do sistema informático e de segurança corre por conta do Banco R., não é menos certo que, para o funcionamento seguro do serviço Banco 1... Net, «é absolutamente imprescindível o cumprimento rigoroso das regras e recomendações de segurança por parte dos utilizadores, contratualmente estabelecidas, no que respeita à confidencialidade e não divulgação a terceiros dos códigos de acesso, do cartão de coordenadas e dos códigos remetidos por SMS para autenticação de utilizadores e operações», mas o tribunal recorrido teria desvalorizado a «violação grosseira» dessas regras de confidencialidade e de segurança, que imputa à autora.
A quaestio decidendi situa-se no campo da responsabilidade civil contratual, em que se presume a culpa do devedor[14] (artigo 799.º, n.º 1, do CC), pelo que é sobre o Banco que recai o ónus de elidir essa presunção.
Mais, não basta que o Banco alegue e prove que a actuação fraudulenta de terceiro não decorre de culpa sua, por ter cumprido todos os deveres de diligência a que está adstrito.
É, ainda, ponto pacífico que os riscos associados à utilização de meios digitais de pagamento e, em particular, os riscos das falhas e do deficiente funcionamento do sistema que disponibiliza os serviços de homebanking, recaem sobre a entidade bancária[15].
Isto porque é o Banco que pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento.
O artigo 73.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras (RGICSF), aprovado pelo Dec. Lei n.º 298/92, de 31 de Dezembro (com as numerosas alterações que lhe foram introduzidas), consagra a obrigação genérica de as instituições bancárias assegurarem «em todas as actividades que exerçam, elevados níveis de competência técnica, garantindo que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e segurança».
A este respeito, o Professor João Calvão da Silva (Direito Bancário, pág. 335) expendeu que essa exigência imposta à entidade bancária resulta, também, da “relação de clientela”, isto é, da “especial relação obrigacional complexa de confiança mútua e dominada pelo intuitus personae que se estabelece entre as partes. Logo, o banco ao oferecer o serviço de cartão de débito tem o dever de manter operacional o sistema informático que o sustenta e de garantir que não ocorrem falhas técnicas durante as operações. Mais do que isso, a instituição bancária deve criar um sistema de acesso à conta bancária e respectiva movimentação no qual o utilizador possa confiar. Este dever do banco é compreensível uma vez que o cliente não tem qualquer controlo sobre os sofisticados meios informáticos da entidade bancária, nem dispõe da assessoria técnica que esta tem à disposição».
Por isso o Banco só não será responsabilizado pelas perdas, sofridas pelo cliente, decorrentes de operações fraudulentas sobre a(s) conta(s) deste, se alegar e provar que ao dano resultou de actuação dolosa ou gravemente negligente (negligência grosseira) do utilizador do serviço.
Importa, pois, que nos detenhamos sobre os deveres acessórios que vinculam as partes nesta relação contratual complexa e duradoura.
Plasmadas nos artigos 110.º e 111.º[16] do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME), aprovado pelo Decreto-Lei n.º 91/2018, de 12 de Novembro [que transpôs para a ordem jurídica interna a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015][17] estão as obrigações impostas ao utilizador e ao prestador destes serviços de pagamento:
Artigo 110.º
Obrigações do utilizador de serviços de pagamento associadas aos instrumentos de pagamento1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objetivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas
Artigo 111.º
Obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento1 - O prestador de serviços de pagamento que emite um instrumento de pagamento deve:
a) Assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior;
b) Abster-se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído;
c) Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à comunicação prevista na alínea b) do n.º 1 do artigo 110.º ou solicitar o desbloqueio nos termos do n.º 4 do artigo 108.º;
d) Facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a comunicação prevista na alínea b) do n.º 1 do artigo 110.º, de que efetuou essa comunicação ou solicitou o desbloqueio nos termos do n.º 4 do artigo 108.º;
e) Impedir qualquer utilização do instrumento de pagamento logo que a comunicação prevista na alínea b) do n.º 1 do artigo 110.º tenha sido efetuada.
2 - O prestador de serviços de pagamento assegura que a comunicação a que se refere a alínea c) do n.º 1 é efetuada a título gratuito, cobrando apenas, e se for caso disso, os custos diretamente imputáveis à substituição do instrumento de pagamento.
3 - O risco do envio ao utilizador de serviços de pagamento de um instrumento de pagamento ou das respetivas credenciais de segurança personalizadas corre por conta do prestador do serviço de pagamento
Ainda com interesse para o caso, os n.os 3 e 4 do artigo 113.º[18] do RJSPME dispõem que, caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º e nessas situações o prestador de serviços de pagamento deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.
Por outro lado, há que ter na devida conta as cláusulas 3.ª e 7.ª do contrato de adesão ao serviço Banco 1... Net Empresas:
«3.1. O Cliente indicará através da subscrição deste contrato e do preenchimento dos Anexos e eventuais Adendas, que fazem parte integrante do mesmo, o número e o tipo de assinaturas necessárias para autorizar operações, bem como os escalões de montante. Define ainda para cada Utilizador o Perfil de Acesso Utilizador.
3.2 O Cliente poderá proceder à designação de novos Utilizadores, efetuando a adesão dos novos Utilizadores através do preenchimento e envio ao Banco do Anexo – Adesão de Utilizador. O Cliente poderá, também, a qualquer momento, proceder à remoção de qualquer Utilizador.
3.3 O Cliente poderá em qualquer altura alterar as Contas a que tem acesso através do Serviço ou alterar o Perfil de Acesso Cliente e/ou Perfil de Acesso Utilizador, através do preenchimento, assinatura e envio ao Banco dos formulários disponibilizados para o efeito, cujas alterações se tornarão eficazes após receção e validação pelo Banco do referido documento.
3.4 O Banco e o Cliente aceitam a equiparação jurídica das Chaves de Acesso às assinaturas manuscritas do Cliente nas Condições Gerais das Contas.
3.5 O Banco pode, ainda, a todo o tempo, condicionar a realização de operações através do Serviço à indicação, pelos Utilizadores com Poderes de Autorização, de (i) uma coordenada do Cartão de Coordenadas (ii) um Código de Autorização único e específico composto por 6 dígitos enviado pelo Banco por SMS para o número de telemóvel do Utilizador indicado para o efeito (iii) ou a outros mecanismos que possam vir a ser definidos em cada momento pelo Banco. (…)
3.6 O Cliente poderá, em qualquer momento, solicitar ao Banco que lhe disponibilize um novo Código Secreto e/ou um novo Cartão de Coordenadas. A solicitação deverá observar a forma prevista no número 3.3. obedecendo a entrega do Código Secreto e/ou do Cartão de Coordenadas solicitados ao procedimento utilizado no momento da adesão.»
«(…)
7.2 O Cliente e os Utilizadores assumem inteira responsabilidade pela utilização negligente, indevida e fraudulenta das Chaves de Acesso e Cartão de Coordenadas.
7.3 O Cliente é responsável e suportará todos os prejuízos resultantes de uma utilização abusiva do Serviço por intermédio de pessoas diferentes dos Utilizadores, quer estes sejam membros do órgão de administração ou colaboradores do Cliente ou outras pessoas, sem prejuízo do estabelecido no n.º 8.2.”.
Deste conjunto normativo, o que importa destacar é que o prestador de serviços de pagamento está obrigado a assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, devendo proporcionar ao utilizador um sistema de segurança eficaz, impeditivo (em princípio) de uma utilização abusiva por terceiros.
Por outras palavras, ao utilizador do serviço de pagamento devem ser proporcionados dispositivos de segurança (credenciais de acesso, cartão de coordenadas, etc.) que lhe vão permitir aceder a esse serviço. Tais dispositivos de segurança personalizados têm uma função de autenticação, permitindo identificar o utilizador e verificar se este é efetivamente o cliente que contratou o serviço de homebanking.
Ao utilizador desses serviços impõe-se dever de guarda dos dados que lhe permitem aceder ao sistema e realizar operações on line e, em especial, o dever de preservação da confidencialidade dos mesmos, por forma a evitar a sua apropriação por terceiros. Em caso algum deve facultar a terceiros os elementos de segurança que lhe são atribuídos, atendendo à sua função de autenticação das operações de pagamento.
Como, em adequada síntese, se refere no acórdão desta Relação de 14.07.2020 (processo n.º 22158/17.0T8PRT.P1), «as entidades bancárias têm (ou deverão ter) os meios para controlar a segurança da parte do sistema que se encontra do seu lado, ou seja, de fazer tudo o que está ao seu alcance para proteger os interesses dos seus clientes, dotando a sua organização empresarial com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência. Mas não têm qualquer possibilidade de controlar a parte do sistema que se encontra do lado do cliente, a utilização que os clientes fazem dos seus computadores – isto é, não se vislumbra seja possível estender essa protecção à parte do sistema que está do lado do utilizador.»
Está provado que, com a adesão ao serviço de homebanking (designado por Banco 1... Net Empresas) em 13 de agosto de 2014, a autora recebeu do Banco R. um código secreto (que tinha que alterar e, efectivamente, alterou com o primeiro acesso) e um cartão de coordenadas sob a forma de matriz (enviado inactivo para o cliente, que era instruído para o activar). Para cada operação, o utilizador autorizado introduzia uma coordenada desse cartão que, sendo correcta, era validada pela aplicação informática através de um algoritmo. Para a realização de transacções a partir de determinado montante, era enviado pelo Banco, através de SMS, um código único e específico composto por 6 dígitos (one time password), válido apenas para autorizar a operação em causa, para o número de telemóvel previamente configurado pelo utilizador para o efeito. Nesta situação, ocorria assim uma dupla validação ou duplo mecanismo de autenticação.
A autora indicou como única utilizadora autorizada para aceder ao serviço Banco 1... Net Empresas a, então, sua administradora BB, à qual disponibilizou as credencias de acesso (nome de acesso e código secreto), sendo, também, o número telemóvel desta que estava configurado para receber a OTP.
Podemos, seguramente, concluir que o Banco 1..., prestador de serviços de pagamento, cumpriu a sua obrigação de assegurar dispositivos de segurança personalizados do instrumento de pagamento, que proporcionavam ao utilizador um sistema de segurança eficaz. Tanto assim que, durante anos, o sistema revelou-se perfeitamente seguro, pois não houve notícia de (tentativa de) utilização abusiva por terceiros e a autora utilizou, regular e frequentemente, o serviço Banco 1... Net Empresas.
Porém, em 2017, as credenciais de acesso da única utilizadora autorizada (nunca removida) BB, bem como o cartão de coordenadas (pessoal e intransmissível), passaram a estar na posse de AA e a ser por esta utilizadas para acesso a esse serviço.
É perfeitamente claro que, da parte da utilizadora do Serviço, houve uma quebra grave das regras de segurança que estavam definidas e que, durante anos, se revelaram eficazes.
Com efeito, está provado que as quatorze (14) operações de pagamento de serviços em causa ocorreram na sequência de prévia divulgação a terceiros de informação relativa às credenciais de acesso ao Serviço Banco 1... Net Empresas, bem como do cartão pessoal de coordenadas, que a colaboradora da autora forneceu a terceiros as credenciais para acesso e movimentação da conta através desse serviço, sem as quais não seria possível a concretização dessas operações.
À revelia dos avisos e recomendações de segurança do Banco R. e à margem do que foi contratualmente estipulado, a autora permitiu que tivessem acesso aos códigos pessoais quem não estava, para tanto, autorizado, violando, claramente, o dever de confidencialidade que a vinculava.
Só a essa sua postura gravemente negligente se podem atribuir as consequências danosas para o seu património, que, como tal, terá de suportar.
Aliás, não pode deixar de estranhar-se que só em 4 dezembro de 2017, a autora tenha detectado as quatorze transações (pagamentos de serviços), por ela não autorizadas, sobre a sua conta bancária.
Isto porque, no mesmo dia em que ocorreu o primeiro acesso fraudulento (29.11.2017), no qual foram concretizados seis (6) pagamentos de serviços no montante total de € 3 750,00, a autora acedeu ao serviço Banco 1... Net Empresas, efetuou duas transferências bancárias para pagamento de vencimentos - “PAG VENC. AA” e “PAG VENC. EE” - e fez diversas consultas da “Posição Integrada”, “Consultas de Movimentos” da conta bancária e “Consultas a Histórico de Pagamentos”. E o mesmo aconteceu nos acessos registados nos dias seguintes (30 de Novembro e 1 de Dezembro de 2017).
Por último, cabe referir que, tendo-se dado como provado que a autora foi vítima de um ataque informático (alínea A)’’’), não pode afirmar-se que esse ataque tenha tido por alvo o sistema informático do Banco R. e, especificamente, o que suporta o Serviço Banco 1... Net Empresas.
Embora não se tenha dado como provado que, naquele espaço temporal, os sistemas informáticos e de segurança do Banco não sofreram qualquer ataque informático nem tentativa de intromissão, daí não pode inferir-se o facto contrário.
De resto, como já se assinalou, vem provado que os serviços competentes do Banco para a área da segurança informática encetaram diligências, não tendo detetado qualquer falha de segurança, erro ou anomalia dos sistemas informático e de comunicações que pudessem de alguma forma viabilizar a concretização das operações questionadas pela autora.
Concluindo, tendo o Banco R. elidido a presunção de culpa que sobre ele recaía e demonstrado uma postura gravemente negligente da autora que divulgou dados pessoais, intransmissíveis e secretos relativos ao acesso ao Serviço Banco 1... Net Empresas, divulgação que permitiu os acessos fraudulentos e as referidas ordens de “pagamentos de serviços” dadas sobre a sua conta bancária, não pode manter-se a sentença recorrida.
III - Dispositivo
Por tudo o exposto, acordam os juízes desta 5.ª Secção Judicial (3.ª Secção Cível) do Tribunal da Relação do Porto em julgar procedente a apelação de “Banco 1..., S.A.” e, em consequência, revogar a decisão recorrida, absolvendo a ré do pedido.
As custas do recurso ficam a cargo da recorrida (artigo 527.º, n.os 1 e 2, do Cód. Processo Civil).
(Processado e revisto pelo primeiro signatário).
Porto, 23.01.2023
Joaquim Moura
Ana Paula Amorim
Manuel Domingos Fernandes
____________________________
[1] Notificada às partes mediante expediente electrónico elaborado em 21.03.2022.
[2] Não se eliminam as referências probatórias porque, pelo menos pontualmente, comprometeria a inteligibilidade do facto descrito.
[3] Este parágrafo parece-nos que está a mais (tratar-se-á de um lapso), mas é o que consta da sentença recorrida e por isso entendemos que era de mantê-lo.
[4] Como se decidiu no Ac. STJ de 30.06.2020 (processo n.º 1008/08.3 TBSI.E1.S1), «III - A cominação para a falta de especificações constantes das als. a), b) e c) do n.º 1 do art. 640.º do CPC é a rejeição da impugnação da decisão de facto, não havendo lugar a qualquer despacho de aperfeiçoamento nos termos do n.º 3 do art. 639.º do CPC».
[5] No Ac. STJ de 16.12.2020 (processo n.º 8640/18.5 YIPRT.C1.S1) fala-se em dois ónus que recaem sobre o recorrente que impugna a decisão sobre matéria de facto: «Um ónus principal, consistente na delimitação do objecto da impugnação (indicação dos pontos de facto que considera incorrectamente julgados) e na fundamentação desse erro (com indicação dos meios probatórios, constantes do processo ou do registo ou gravação que impunham decisão diversa e o sentido dessa decisão) – Art.º 640º nº 1 do CPC; e
Um ónus secundário, consistente na indicação exacta das passagens relevantes dos depoimentos gravados – art.º 640º nº 2 al. a) do CPC.».
[6] Sendo certo que, em casos-limite, a impugnação pode implicar toda a matéria de facto, nem por isso o recorrente está desobrigado de especificar os concretos pontos de facto por cuja alteração se bate (cfr. A.S. Abrantes Geraldes, “Recursos no Novo Código de Processo Civil”, Almedina, 5.ª edição, pág. 163, em nota de pé de página).
Esta especificação serve para delimitar o objecto do recurso e por isso tem de constar das conclusões.
[7] O Sr. Conselheiro Abrantes Geraldes (ob. cit., pág. 170, nota de pé de página) afirma ser «infundada a rejeição do recurso da matéria de facto com fundamento na falta de indicação, nas conclusões, dos meios probatórios ou dos segmentos da gravação em que o recorrente se funda. O cumprimento desses ónus no segmento da motivação parece suficiente para que a impugnação da decisão da matéria de facto ultrapasse a fase liminar, passando para a apreciação do respectivo mérito», citando jurisprudência do STJ nesse sentido.
No Código de Processo Civil Anotado, Vol. I, Almedina, pág. 771, de que é autor em conjunto com Paulo Pimenta e Luís Filipe Pires de Sousa, precisa-se que «é objecto de debate saber se os requisitos do ónus impugnatório devem figurar apenas no corpo das alegações ou se também devem ser levados às conclusões, sob pena de rejeição do recurso» e anota-se que «o Supremo tem vindo a sedimentar como predominante o entendimento de que as conclusões não têm de reproduzir (obviamente) todos os elementos do corpo das alegações e, mais concretamente, que a especificação dos meios de prova, a indicação das passagens das gravações e mesmo as respostas pretendidas não têm de constar das conclusões, diversamente do que sucede, por razões de objectividade e de certeza, com os concretos pontos de facto sobre que incide a impugnação».
[8] As principais excepções são, como é sabido, a prova por confissão (na qual, em sentido amplo, podemos englobar o acordo expresso ou tácito das partes), por documentos (autênticos, autenticados ou, em certos casos, mesmo os particulares), que têm força probatória plena, devendo ter-se, ainda, em atenção que para se declarar provados determinados factos a lei determina formalidade especial ou documento (nascimento, casamento, morte, etc.).
[9] Como se fez notar no acórdão do STJ de 11.07.2007 (www.dgsi.pt/jstj), a prova produzida avalia-se pela sua qualidade, pelo seu peso na formação da convicção, e não pelo seu número.
[10] A asserção, embora reportada ao processo penal, é inteiramente válida para o processo civil.
[11] As operações sobre a conta de depósitos da autora, realizadas por terceiros desconhecidos, via internet, sem consentimento, intervenção ou conhecimento da titular da conta.
[12] Textualmente: «Acresce que é manifesto ter existido a intervenção de terceiros não identificados, que conseguiram quebrar as regras de segurança do sistema informático seja do banco seja da queixosa e acederam à conta, o que pressupõe, aliás, uma estrutura organizada, atendendo à complexidade dos meios necessários».
[13] Referindo-se ao serviço de “homebanking” posto à disposição dos seus clientes pelo Banco 1....
[14] Na relação contratual estabelecida com a celebração do contrato de (abertura de) conta e do contrato de depósito bancário que lhe está associado, devedor é, está bem de ver, a instituição bancária.
[15] Cfr. o Ac. do STJ de 14/12/2016, acessível em www.dgsi.pt
[16] Que correspondem aos artigos 67.º e 68.º do anterior RJSPME.
[17] Este “Regime” veio substituir o Decreto-Lei n.º 317/2009, de 30 de outubro, subsequentemente alterado e republicado com a denominação “regime jurídico dos serviços de pagamento e da moeda eletrónica” pelo Decreto-Lei n.º 242/2012, de 7 de novembro, mas, no geral, manteve a disciplina anterior, que estava em vigor à data dos factos que constituem o objecto deste processo.
[18] Que corresponde ao artigo 70.º do anterior Regime.