Processo do Juízo Local Cível de Lisboa – J8

            Sumário:

        Não basta que o prestador do serviço de pagamentos prove que o utilizador desse serviço introduziu no instrumento de pagamento os seus dados confidenciais para acesso ao mesmo, para que se conclua pela culpa do utilizador nas subsequentes operações fraudulentas de homebanking efectuadas por terceiro. Pelo que, nesse caso, continua a ser o prestador do serviço a dever ficar com o prejuízo dessas operações fraudulentas e não o utilizador (art. 71/1 do DL 317/2009).

            Acordam no Tribunal da Relação de Lisboa os juízes abaixo assinados:

            H-Lda, intentou a presente acção contra B,  pedindo  a condenação desta a pagar–lhe 10.000€, com juros de mora.

            Alega, para tanto, em síntese, que foram feitas, sem o seu conhecimento e autorização e através do serviço N24 várias transferências da sua conta e que a ré, reconhecendo que as transferências foram abusivas, não restituiu o valor integral que foi retirado das suas contas, pelo que a ré, depositária dos valores constantes na conta da autora, porque permitiu o acesso às mesmas por terceiros, é responsável pela restituição dos valores dali retirados.

            A ré contestou o pedido, excepcionando que foi a autora que, não tendo respeitado as normas de segurança relativas ao serviço, permitiu a realização daqueles movimentos por terceiros, não podendo a ré impedir a realização de operações por o sistema identificar o utilizador como o único conhecedor desses elementos, mesmo que esse conhecimento tenha sido facultado de forma involuntária; conclui ter cumprido todos os deveres que sobre si impediam, pelo que considera que a acção deve improceder.

            A autora replicou – por lhe ter sido dada oportunidade para isso -, impugnando os factos base da excepção deduzida pela ré.

            Realizada a audiência final, foi proferida sentença julgando a acção procedente e condenando a ré no pedido.

            A ré recorre desta sentença – para que seja revogada e substituída por outra que a absolva do pedido -, terminando as suas alegações com as seguintes conclusões:

a) O depoimento e declarações de parte prestados na pessoa do representante da autora foram julgados, pelo tribunal a quo, na motivação da decisão de facto, como coerentes, claros e convincentes;

b) Do depoimento da testemunha MO não resulta claro que o alegado único acesso efectuado pelo representante da autora haja sido efectuado em conjunto com esta – antes nos parecendo resultar, justamente, o inverso;

c) Do depoimento da testemunha DC, bem como do doc. 3, que foi pela ré junto com a contestação, resulta claro que ocorreram múltiplos acessos à aplicação M24E, legítimos, geolocalizados em V, não só nos dias 31/01/2014, 05/03/2014 e 11/03/2014, como em outros dias, e que nesses acessos se efectuaram operações em que foi necessário introduzir posições do cartão matriz;

d) Resultando, de todo o exposto que, se não foi o legal representante da autora quem:

               i. efectuou a alteração do pin de acesso para “xxxxxxx”;

      ii. acedeu à aplicação M24 nos dias 31/01/2014, 05/03/2014 e 11/03/2014, acessos esses que, em divergência directa com a prova produzida, se deram como não provados;

            iii. efectuou operações em que se exigiu a introdução de posições do cartão matriz;

terceiro terá sido, a quem o legal representante da autora forneceu os dados de segurança pessoais e intransmissíveis, em directo confronto com as normas de utilização e segurança veiculadas pela ré.

            A autora não contra-alegou.

                                                      *
            Questões a decidir: se a matéria de facto deve ser alterada no sentido pretendido pela ré e se, em consequência, a ré deve ser absolvida do pedido por falta de prova.

            Entretanto impõe-se um esclarecimento: nas conclusões do recurso, os recorrentes devem especificar quais os pontos de facto cuja decisão põem em causa e qual a decisão que devia ter sido tomada quanto a eles (arts. 635/4, 639/1 e 640/1-a-c, todos do CPC). As conclusões do recurso da ré não são claras quanto a isto. No entanto, como o corpo das alegações é claro e acaba por estar de acordo com a versão de factos que a ré entende estar provada a título principal (principal porque ela, como se vê, também apresenta uma versão subsidiária), entende-se que a impugnação da decisão da matéria de facto está em condições de ser conhecida.

            Por outro lado, as conclusões do recurso não estão minimamente preocupadas quanto à argumentação de direito, a aceitar-se que ela existe (como decorre da transcrição delas). E no corpo das alegações não existe uma linha que seja de argumentação de direito, como se verá a seguir, já que ele será transcrito na íntegra. Assim, só mesmo se houver alteração da matéria de facto é que se poderá entrar na apreciação da questão de direito. De outro modo não, porque as conclusões, por serem uma síntese (art. 639/1 do CPC), não podem conter matéria que não conste do corpo das alegações.

                                                      *

            No tribunal recorrido consideraram-se provados os seguintes factos:

a) A autora é cliente da ré, tendo celebrado um contrato de depósito bancário, com abertura, junto desta, de conta de depósitos à ordem com o n.º 000.00.000000-0, no balcão de P, em V, conta essa onde a autora procedia a depósitos e efectuava pagamentos.

b) No seguimento das relações entre autora e ré, a mesma outorgou, em 26/12/2013, um contrato de adesão a serviço disponibilizado pela ré “ME”, nos termos que constam de fls.18 verso a 20 dos autos e cujo conteúdo se dá por integralmente reproduzido, serviço que lhe permitia o acesso àquela conta bancária, designado por “serviço multicanal M24”, tendo-lhe a mesma fornecido, as chaves de acesso que lhe permitiam a respectiva utilização via internet.

c) Tal serviço disponibilizado pela ré conferia à autora a possibilidade desta, através de computador (ou telefonicamente) com acesso à internet, 24 horas por dia, 365 dias por ano, utilizar uma panóplia de operações bancárias, on line, relativamente à conta bancária que esta era titular, por meio de uma página segura da ré.

c’) Nos dias 31/01/2014, 05/03/2014 e 11/03/2014, a autora acedeu à aludida aplicação informática M24-E [este facto é introduzido por força do decidido mais à frente por este ac. do TRL].

d) O procedimento utilizado, com vista aos pagamentos que a autora efectuava através da sua conta bancária, era comunicar directamente à ré, em concreto junto do balcão onde a conta bancária se encontrava sediada, o montante pecuniário, e o número de conta para a qual deveria ocorrer a transferência pecuniária pretendida.

e) Ao final da manhã do dia 05/05/2014, a autora na pessoa do seu sócio-gerente recebeu um contacto telefónico efectuado, pelos serviços da ré, questionando-o no sentido de conhecerem se este havia efectuado movimentos a débito na identificada conta bancária, que ascendiam a cerca de 15.000€ através do serviço de internet;

f) Ao que o mesmo respondeu negativamente,

g) De imediato, a ré através do empregado que contactava telefonicamente a autora, informou-o que haviam sido efectuados movimentos a débito na sua conta bancária, através de transferências de valores pecuniários na identificada conta.

h) Acto contínuo, a autora deu imediata indicação à ré, para que esta procedesse ao bloqueio de tal conta bancária, de modo a impedir que continuassem a ser efectuados movimentos a débito em seu nome.

i) De seguida, o sócio/gerente da autora dirigiu-se a um serviço de ATM, tirou o extracto da sua conta e pôde então confirmar a informação que o empregado da ré lhe havia prestado, no sentido de terem sido efectuados vários movimentos a débito na sua conta bancária, através da utilização de serviços de internet;

j) No dia 02/05/2014, havia sido debitada da conta da autora e transferida para a conta de PA a quantia de 5000€;

k) No dia 03/05/2014, havia sido debitada da conta da autora e transferida para a conta de PA a quantia de 5000€;

l) No dia 05/05/2014 havia sido debitada da conta da autora e transferida para a conta de “a-Lda” a quantia de 4990€.

m) Tais movimentações a débito na identificada conta bancária da autora ocorreram de forma não autorizada, desconhecendo-se o modo como tais movimentos ocorreram.

n) As entidades identificadas como destinatárias das quantias pecuniárias transferidas são desconhecidas da autora.

o) A autora nunca autorizou ou de algum modo consentiu na movimentação da sua conta bancaria;

p) A autora por si, e através de advogado em sua representação, instou extrajudicialmente a ré a reembolsá-la das quantias pecuniárias debitadas da sua conta bancária.

q) Não obstante a ré ter logrado “reverter” a transferência ocorrida no referido dia 05/05/2014, conseguindo, pois que o dito montante de 4990€, fosse novamente creditado na mesma conta bancária da autora, não o fez relativamente às movimentações a débito ocorridas nos dias 02 e 03/05/2014, no valor total de 10.000€.

r) Todos os movimentos foram realizados com as credenciais exclusivas e validados com dados reservados à autora.

r’) A autora introduziu num computador estranho à ré os seus dados de segurança pessoais e intransmissíveis, que foram utilizados por terceiro para os movimentos referidos de (j) a (l) [este facto é introduzido por força do decidido mais à frente por este ac. do TRL].

s) Sendo que, para realização daquelas operações foi necessário ceder pelo menos seis posições do cartão-matriz (duas por cada transferência), pois só assim poderia ter sido possível realizar as ditas transferências.

t) O referido cartão possui uma matriz de coordenadas com 72 posições, cada uma com 3 dígitos.

u) No âmbito das medidas antifraude preconizadas pela sua direcção de auditoria e inspecção, o balcão L-L da B, em 05/05/2014, solicitou a análise do departamento de inspecção e fraudes quanto a um pedido de levantamento de 4900€ sobre uma conta DO titulada por terceiro na qual haviam sido creditados minutos antes 4990€ provenientes de transferência realizada via homebanking proveniente da conta DO n.º 000.00.000000-0 titulada pela autora;

v) No seguimento daquele pedido, foi solicitada telefonicamente a intervenção do balcão P da B para que, junto do representante da autora, fosse confirmada a legitimidade da citada transferência de 4990€ bem como de outras duas de 5000€ cada, debitadas na mesma conta, em 02/05/2014 e em 03/05/2014.

w) Não tendo a autora reconhecido as transacções em causa, foram dadas instruções telefónicas ao balcão P para que procedesse ao cancelamento do acesso ao serviço multicanal, procedimento que foi efectuado ainda em 05/05/2014.

x) Foi possível recuperar a totalidade da verba de 4990€ transferida em 05/05/2014 no seguimento da autorização de débito subscrita pelo representante da empresa beneficiária.

y) O mesmo não sucedendo na recuperação das duas transferências de 5000€ cada realizadas em 02/05/2014 e 03/05/2014, na medida em que, com o cartão electron emitido em nome de autorizado numa conta de terceiro creditada, foi levantada a totalidade daquelas quantias mediante compras junto de agências de câmbios e de transferências de dinheiro, e levantamentos em numerário através do cartão atribuído;

z) A titular da conta beneficiária alegou desconhecer o sucedido e que o autorizado, terá sido seu antigo companheiro, com o qual residiu.

aa) No caso concreto, foram fornecidos à autora, códigos de acesso/credenciais de utilização, a três níveis:

         – Número de identificação M;

         – Código pin multicanal, composto por seis dígitos;

         – Cartão-matriz, contendo coordenadas para validação de operações passíveis de alteração, para menos, do património detido pelo cliente.

bb) O número de identificação M e o código pin multicanal, foram atribuídos e entregues à autora no momento da adesão ao serviço M24, permitindo estas duas credenciais de utilização a realização de operações e consultas que não afectem o património detido no M.

cc) A autora aquando da adesão ao serviço M24, ficou na posse do seu número de identificação M e do pin multicanal, sendo, inclusive, este último susceptível de personalização.

dd) No que concerne ao cartão-matriz foi enviado para a residência da cliente em estado de pré-activo, apenas passível de ser activado mediante validação de códigos de acesso (através do número de cliente e pin multicanal).

ee) Para validação das operações, as coordenadas são sempre solicitadas de forma aleatória pelo sistema informático e não repetidas, por forma garantir os mais elevados níveis de segurança na utilização da banca à distância

ff) O primeiro passo para aceder ao serviço M24 – N24, é a solicitação on line do número de identificação M.

gg) Após a introdução do número de identificação M e respectiva validação, é solicitada a digitação, num teclado virtual, do n.º de código pin M24.

hh) Tal teclado virtual desenvolve-se de modo aleatório, disponibilizando os números sempre em local distinto, proporcionando uma forma acrescida de segurança.

ii) Por último, para que se possa efectuar uma alteração de património (ex: transferência bancária, pagamento), após a validação do número de identificação M e do código pin M24, são sempre solicitadas, de forma aleatória, duas coordenadas e posições do cartão-matriz.

jj) No início do acesso à N24, surgem automaticamente alertas informando o modo como são utilizados os dados do próprio cartão-matriz.

kk) Sempre que o cliente acede ao sítio do M, na mesma página onde insere o código pin, encontra-se informação diversa e bastante explícita sobre medidas de segurança adoptadas pela B medidas de segurança/precauções que deverão ser tomadas pelo utilizador, bem como, exemplos de páginas fraudulentas e de e-mail de phishing, por forma a alertar os utilizadores para eventuais fraudes.

ll) Os dados do referido cartão são utilizados apenas uma única vez, para validar movimentos de valores que significam diminuição do património do cliente.

mm) Quando as coordenadas estão prestes a esgotar-se é enviado ao cliente novo cartão-matriz.

nn) O sistema que produz os cartões é automatizado, não havendo, qualquer intervenção humana, por parte da ré.

*

Da impugnação da decisão da matéria de facto

            O tribunal recorrido considerou que não se tinham provado as seguintes afirmações de facto feitas pela ré:

             vi. Pelo menos nos dias 31/01/2014, 05/03/2014 e 11/03/2014, a autora acedeu à aludida aplicação informática M24-E;

            vii. A autora terá sido vítima de “pirataria informática” no computador por si utilizado, com o objectivo, numa primeira fase, de obtenção de dados confidenciais, na exclusiva posse desta.

              viii. Fraude essa para cujo sucesso a autora contribuiu, fornecendo a terceiro(s) dados de segurança pessoais e intransmissíveis, através da utilização de um computador/sistema, estranhos à B.

            A fundamentação do tribunal, para dar como não provadas estas afirmações, resulta, a contrario, das seguintes passagens:

            (para vi): Foi ouvido, em depoimento e declarações de parte o sócio-gerente da autora, o qual […] negou ter alguma vez acedido ao serviço fora das instalações da agência bancária onde a sua conta se encontra domiciliada. […] O tribunal não pode dar como provado que todas as transferências feitas pela autora foram sempre feitas através do contacto com o balcão sem que este tenha alguma vez utilizado o serviço de internet, uma vez que o documento de fls. 20 a 22 não expõe todos os acessos mas apenas alguns, como a testemunha DC referiu, e o extracto junto pela autora é referente apenas a Maio de 2014 e não abrange o período desde 26/12/2013, pelo que embora tenha formado a convicção de que esse era o procedimento normal, não pode dar como certo que a autora nunca tenha utilizado o sistema, mesmo com ajuda de terceiros.

            (para vii e viii): [o tribunal] não conseguiu dar como demonstrada a forma como os terceiros tiveram acesso aos dados que eram necessários para proceder à transferência, pois ninguém o pôde esclarecer, muito menos que tenha sido a autora a ceder os mesmos, voluntária ou involuntariamente.

            A ré, pelo contrário, entende que as afirmações sob (vi) e (viii) se provaram com base no seguinte:

  1. Em sede de depoimento de parte, alega o representante da autora que “(…) não acedi à aplicação informática, porque nem sei… nem sei funcionar com essa… com essa aplicação, nem com essa página… e a única vez que vi a página à minha frente aberta na minha conta foi com a… com a minha gestora de conta, a MO [referência à testemunha MO] que tentou ensinar-me como é que se fazia essas ditas transferências e esses ditos pagamentos.” (minuto 12’16’’ do depoimento de parte);
  2. O que terá ocorrido quando aderiu ao serviço (minuto 12’41’’);
  3. Nunca tendo utilizado de novo o serviço de homebanking em causa “(…) sem estar acompanhado com alguém do meu banco e do meu balcão. E essa pessoa com quem eu estou sempre acompanhado e com quem eu lido desse balcão é a MO [nova referência à testemunha MO].” (minuto 12’48’’);
  4. Certo é que, no minuto 14’17’’ do depoimento de parte, diz o representante da autora que “(…) as vezes que vi a minha página aberta foi no balcão M.” (tendo sido utilizado o plural “as vezes”, em contradição com a anterior referência à “única vez” que tinha utilizado o serviço, cfr. vertido no ponto 1., supra);
  5. Pelo que foi pedido esclarecimento, pelo tribunal a quo, sobre a clara contradição, no minuto 15’41’’, nestes termos: “Primeiro o senhor respondeu «a única vez que vi o serviço foi com a dona MO que me tentou ensinar, ou não sei quê». E depois disse «sempre que o fiz foi com a dona MO.» O Sr. Dr. quer saber se foi uma única vez, se para além da primeira vez inicial, em que a senhora mostrou como é que funcionava se…”,
  6. Ao que o representante da autora respondeu peremptoriamente que “Foi uma vez.” (minuto 16’01’’ do depoimento de parte).
  7. Acresce que, já em sede de declarações de parte da autora, afirma o seu legal representante que nunca utilizou o serviço (minuto 21’07’’ do depoimento de parte).
  8. Tendo, seguidamente, no minuto 29’22’’, mencionado o representante da autora, quando questionado sobre se efectuar operações na internet era pouco usual na sua actividade diária, que “Não era frequente (…)”, logo emendando a mão para “(…) nem nunca era utilizado.”
  9. Posteriormente, ao lhe ser perguntado se confirmava que só havia utilizado/visto a sua página do N24 uma única vez, aberta no computador do próprio banco, responde o representante da autora afirmativamente, no minuto 30’47’’ das declarações de parte.

  10/11. No minuto 27’54’’ questionado sobre se tem um computador em casa; responde “provavelmente tenho.” (minuto 27’54’’ do depoimento de parte);

  1. Sendo certo que, perante tal resposta ambígua, intervém o tribunal a quo, nestes termos: “Não! «Provavelmente», não. (…) tem assim uma casa tão grande que não sabe o que está lá dentro?” (minuto 28’01’’);
  2. Afirmando, o representante da autora, logo depois, que “tenho~ tenho~ tenho computador em casa mas não… sequer~ nem é meu.” (minuto 28’02’’);
  3. Chegados ao depoimento da testemunha MO, quando questionada se se recordava de ter “(…) efectivamente feito o primeiro acesso com o representante da H-Lda no balcão (…)” responde a mesma, peremptoriamente que “Não. De todo, mesmo.” (minuto 24’30’’) – o que contradiz, categoricamente, o alegado pelo representante da autora.
  4. Do depoimento da testemunha DC resulta, em análise aturada do documento que a ré juntou com o n.º 3, que não foi impugnado, aos minutos 22’14’’ que “Feita… ou seja, houve a recepção do cartão matriz na morada,… ao obter-se esse cartão matriz, alguém foi fazer a activação deste cartão matriz nesta data” – em referência ao dia 31/01/2014, como resulta do aludido doc. 3, como do minuto 22’11’’ do depoimento desta testemunha;
  5. Activação essa que foi efectuada via internet, como consta do minuto 22’26’’ do depoimento ora em análise;
  6. Como todas as demais operações que constam do doc. 3 – minuto 22’28’’ do depoimento (“Tudo o que está aqui foi feito via internet”);
  7. Ao minuto 22’41’’ do depoimento de DC, mais consta que “Isto é um exemplo. Houve um conjunto de operações… que há alguns exemplos de actividade que existiu no homebanking… O.K. entre 05/03 e 11/03. Só para… pronto, para mostrar que houve aqui várias actividades após esta operação.”;
  8. Mais dizendo o depoente no minuto 22’56’’ que “Neste caso, houve um logon, fundamentalmente, e uma operação… em que [?] consulta… o cartão matriz, houve [?] uma operação… que agora… não sei se um pagamento se uma transferência, que obrigou a utilização de um cartão matriz. Quando aparece ‘val’2 está a validar as posições que foram solicitadas”;
  9. Resulta ainda do depoimento, ao minuto 48’08’’, que foram alterados os dados do login, para “xxxxxxx”, nestes termos: “então em vez do login, para ser mais fácil memorizar, em vez de pôr um número pôs «xxxxxxx»”.

            Decidindo:

            As respostas dadas pelo sócio-gerente da autora, tal como transcritas acima, dos pontos 1 a 13 das alegações da ré, principalmente a dos pontos 10/11, são inaceitáveis e revelam um depoimento despudoradamente em desacordo com a verdade. Só seriam aceitáveis se este sócio-gerente tivesse, a seguir, dado alguma justificação para as respostas, o que não fez. Assim sendo, só o facto de elas terem sido dadas, apontariam inevitavelmente para a prova dos elementos objectivos das afirmações (vi) e (viii): é evidente que ele utilizou o homebanking fora do banco, sem a ajuda da sua gestora de conta na ré, tendo para o efeito introduzido no sistema os seus dados de segurança pessoais e intransmissíveis de acesso ao mesmo. O facto de ele ter negado o acesso não tem, assim, qualquer valor. E aquilo que o tribunal recorrido diz não justifica, de modo algum, porque razão entendeu que os movimentos de (vi) não foram da autora.

            No mesmo sentido, apontam também os pontos de facto dados como provados, e não impugnados, em r, s, t, aa, bb, cc, dd, ee, ff, gg, hh, ll, mm e nn; com o sistema de segurança (a que acresce a alteração do pin feita pelo sócio-gerente, tal como documentado a fl. 20v, como explicado pela testemunha da ré) implicado por esses pontos é inconcebível a hipótese de alguém que não o sócio-gerente da autora ter introduzido, por exemplo, o código pin multicanal ou as coordenadas do cartão-matriz em qualquer outro computador, pois que só o sócio-gerente da autora podia ter acesso a esses dados. 

            Por fim, é um facto notório que todas as visitas de um computador a um dado sistema informático deixam rasto no mesmo, pelo que não há razão nenhuma para duvidar do depoimento do responsável pela segurança de informação da ré de que os dados de registo de fls. 20v/21 do documento 3 são os dados da utilização do serviço M24 por parte da autora. Aliás, o documento em causa não foi impugnado pela autora. Ora, esses dados de registo são inequívocos no sentido de que a autora fez três acessos no serviço M24, fazendo o login com o seu cartão de acesso e o pin do mesmo que tinha sido alterado pelo sócio-gerente da autora e fez a activação do cartão-matriz e utilizou coordenadas deste. O facto de o tribunal não saber como é que os terceiros tiveram acesso aos dados, não impede que haja a certeza de que eles foram introduzidos pelo sócio-gerente, o único que podia ter acesso a eles.

            Ou seja, deve ser dado como provado que:

          vi. Nos dias 31/01/2014, 05/03/2014 e 11/03/2014, a autora acedeu à aludida aplicação informática M24–E.

            viii. A autora introduziu num computador estranho à ré dados de segurança pessoais e intransmissíveis, que foram utilizados por terceiro para os movimentos referidos de (j) a (l).

            Já não se aceita, por não haver prova disso, que tenha havido outros acessos pela autora à aplicação informática em causa e que a autora tenha fornecido esses dados a terceiro (aqui vale também a fundamentação do tribunal recorrido); já a afirmação de que a autora contribuiu para o sucesso da fraude é uma conclusão que se extrai (ou não) dos factos (seja qual for o relevo que isto tenha a nível do direito), sendo estes que devem, ou não, ficar provados.

*

Do recurso sobre matéria de direito

            A sentença tem a seguinte fundamentação de direito (com alguma síntese deste TRL):

         Entre as partes foi celebrado, primeiro, um contrato de abertura de conta bancária [associado a um contrato de depósito], e, mais tarde, um outro contrato, conexo com o primeiro, no sentido de através deste a autora ter acesso à sua conta por meio de telefone e internet, beneficiando de um conjunto de serviços disponibilizados pela ré intitulado de serviço M24, ou seja, de homebanking, que foi celebrado por recurso ao que se pode qualificar de um contrato de adesão, apresentando a ré à autora um conjunto de cláusulas contratuais gerais predefinidas por si às quais a autora se limita a subscrever, aderindo assim ao serviço.

         Sendo o contrato de depósito o contrato mediante o qual uma das partes entrega à outra uma determinada coisa, para que esta a guarde e a restitua quando for exigida – art.1185 do CC e ac. do TRL de 03/03/2015 [1727/13.2TJLSB.L1-1] -, cabia à ré o ónus de provar que a circunstância de a restituição ser de quantia inferior não provem de culpa sua (art. 799 do CC).

         A ré logrou provar que no âmbito do contrato de homebanking, assumiram as partes várias obrigações, sendo que o acesso ao serviço processar-se-ia através de elementos de identificação estritamente pessoais e intransmissíveis, que a autora se obrigou a não revelar a terceiro, não permitir a sua utilização por terceiro e a manter em segurança, tal como consta das condições gerais do contrato.

         As operações de transferência electrónica de fundos realizadas através de um sistema de banca ao domicílio mostram-se actualmente reguladas no DL 317/2009, de 30/10 [alterado e republicado pelo DL 242/2012, de 07/11]. De acordo com o aí estabelecido, as transferências bancárias são tidas como serviços de pagamento (arts 2-e e 51). E nos arts. 67 e 68 do DL 317/2009 estabelecem-se as obrigações do utilizador e do prestador do serviço.

         Os factos ocorreram depois da entrada em vigor deste diploma que veio a consagrar um regime (transpondo para a ordem jurídica interna a Directiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13/11) que é claro em fazer recair sobre o banco o ónus de provar que as operações de pagamento (como as transferências bancárias) não autorizadas não decorreram de qualquer avaria técnica da operação, o ónus de provar que houve culpa do seu cliente e o grau de contribuição para os prejuízos sofridos, fazendo incidir sobre este o risco e a responsabilidade pelos danos potenciados pela fragilidade do sistema que comercializa. Esta responsabilização justifica-se na medida em que a disponibilização de serviços de movimentação da conta – o serviço caixa directa – vem de encontro não só às necessidades do cliente, mas também do próprio banco que vê transferida para os seus clientes a execução de actos que antes eram os seus próprios funcionários que executavam, dispensando assim a intervenção destes, diminuindo custos.

         Se, para o utilizador, assume especial importância a obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; e comunicar, atempadamente, a perda, roubo ou apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento; e impondo-se-lhe que tome todas as medidas razoáveis, para preservar a eficácia dos dispositivos de segurança personalizados do instrumento de pagamento, conforme o seu artigo 68, ao prestador de serviços impõe-se que assegure que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador.

         O art. 70 é claro e dispõe que:

         “1 – Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência.

         2 – Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do art. 67.”

         Quanto à responsabilidade decorrente de operações de pagamento não autorizadas, a mesma, nos termos do disposto nos arts 71 e 72, é de imputar ao prestador do serviço, se vier a comprovar-se que a mesma não foi autorizada e não se verificar o incumprimento de nenhuma das obrigações que são impostas ao utilizador, em caso de perda, roubo, apropriação abusiva de instrumento de pagamento ou quebra da confidencialidade dos dispositivos de segurança personalizados, respectivamente.

         A lei faz assim recair sobre o banco o ónus de prova de que as operações de pagamento não foram afectadas por avarias técnicas ou por quaisquer outras deficiências, não bastando o registo da operação para, por si só, provar que a operação foi autorizada pelo ordenante que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67. E compreende-se, pois seria muito complicado para o utilizador ter que fazer prova sobre o funcionamento de um sistema informático complexo da entidade bancária.

         Consequentemente, o art. 71 estabelece a obrigação do prestador de serviços de pagamento do ordenante reembolsar imediatamente o montante da operação de pagamento não autorizada.

         Não tendo a ré demonstrado que se tratou de operações não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumentos de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, não se coloca sequer em causa a situação prevista no art.72, que procede à repartição dos prejuízos pelas partes em caso de negligência.

         E é certo que ficou demonstrado que terceiro teve acesso a esses elementos confidenciais, pois que as transferências foram realizadas e foram efectuadas com utilização do número de contrato, correspondente código de segurança e inserção de algarismo de coordenadas do cartão matriz e foram validadas pelo sistema por os elementos introduzidos serem os correctos. Só que não ficou demonstrado que esse acesso foi facultado quer voluntaria quer involuntariamente pela autora. Ou seja, não conseguiu a ré demonstrar que houve da parte da autora qualquer incumprimento das regras de segurança que esta se obrigou a observar para utilizar o serviço.

         Foi defendido pela ré que se tratava de um caso de phishing – caracterizado pelo envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), para que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, proporcione o furto de informações bancárias e a sua utilização subsequente” – ac. do STJ de 18/12/2013 [6479/09.8TBBRG.G1.S1] – mas nem sequer se demonstrou que a autora, ou o seu legal representante, tenha caído em qualquer tentativa do género.

         Assim, não podendo ser formulado qualquer juízo de censura sobre a autora, será o banco réu que deverá suportar os prejuízos resultantes da intromissão de terceiros no sistema por facto imputável àquele, incumbindo ao banco suportar o risco do seu sistema de home banking não ser seguro e permitir a intromissão de terceiros.

            Decidindo:

            Considera-se que esta fundamentação – que segue aquilo que a jurisprudência tem decidido e a doutrina tem defendido – está correcta e resolve o problema dos autos.

            Neste acórdão, em que não se discute, por não ter interesse, a qualificação do depósito bancário como contrato de depósito irregular a que se aplicariam as regras do mútuo (arts. 1205, 1206, 1142 e 1144 do CC), apenas não se seguiria a sentença recorrida na referência que faz às condições contratuais gerais constantes do contrato de adesão ao serviço M24 (contrato homebanking), pois que a ré não alegou – e por isso não ficou provado – que tenha comunicado as CCG (art. 5 da LCCG = DL 446/85, de 25/10, com as subsequentes alterações) e por isso elas consideram-se excluídas do contrato (art. 8-a da LCCG). A questão da inexistência jurídica destas CCG não comunicadas é de conhecimento oficioso (ac. do TRL de 14/09/2017, 9065/15.0T8LSB.L1). Assim, o que elas dispõem não tem interesse para a decisão. Como a sentença recorrida não retirou quaisquer consequências das CCG (que nem sequer transcreveu, apesar de ter dado o contrato por transcrito), servindo-se apenas do regime legal dos sistemas de pagamento (DL 317/2009) e a ré não invoca nenhuma delas no recurso, a questão não tem relevo. De qualquer modo, note-se que várias das CCG que em geral são invocadas pelos bancos, entre elas aquelas que têm presunções de culpa do utilizador dos serviços ou as que têm por fim limitar ou excluir a responsabilidade do prestador de serviços, têm sido declaradas abusivas pelas decisões referidas abaixo ou nas que são referidas pela doutrina mencionada também aí.

            A ré não tentou minimamente argumentar, de direito, contra a decisão recorrida e baseou todo o seu recurso na possibilidade de alterar a decisão da matéria de facto, imputando à autora a culpa da utilização por terceiro de dados pessoais e intransmissíveis da autora nos movimentos de débito feitas na conta desta pela ré, em cumprimento dos mandatos emitidos em execução do contrato-quadro de prestação de serviços de pagamento (o contrato de homebanking), através do instrumento de pagamento posto à disposição da autora pela ré.

            Face à alteração da matéria de facto feita neste acórdão tem que se concluir que o terceiro utilizou aqueles dados da autora por que ela os introduziu no sistema, ao contrário do que a autora alegava. E disto resulta que a autora contribuiu para essa utilização por terceiro daqueles dados.

            Mas isto em nada altera a correcção da fundamentação da sentença recorrida.

            A distinção que tem sido feita entre o phishing e o pharming torna claro o que se acabou de dizer.

            Estando o phishing já explicado na sentença transcrita, o ac. do STJ, por sua vez, explica o pharming assim:

         “A outra modalidade de fraude online é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina web falsa, clonada da página real, baseando-se o processo, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem […]”

            Maria Raquel Guimarães, na anotação ao ac. do STJ invocado pela decisão recorrida e transcrito agora parcialmente, explica o seguinte (as operações fraudulentas na jurisprudência recente, nos Cadernos de direito privado, Jan/Março 2015, págs. 26-27):

         “[…N]ão podemos acompanhar o mesmo tribunal supremo quan­do, afastando a hipótese de phishing sustentada pelo tri­bunal a quo em beneficio do pharming, afirma que, “quer fosse uma das técnicas ou a outra, qualquer delas consubstancia fraudes informáticas, conduzindo aos mesmos resultados em termos de responsabilidade). Entendemos que o comportamento do utilizador de um serviço de homebanking que acede a uma página falsa, “pirateada”, para a qual foi direccionado quando es­creveu a morada do seu banco com recurso ao teclado de um computador, e aí introduz os códigos que lhe são so­licitados, dificilmente será passível de um juízo de censura, a menos que o procedimento que tenha que levar a cabo seja muito distinto do habitual e o seu banco o tenha alertado para este tipo de fraudes.

         […] Se um utilizador se limita a inserir os códigos que habitualmente lhe são soli­citados e a página web onde o faz é absolutamente idên­tica à página a que costuma aceder, não se vê como tal comportamento possa ser considerado culposo. O utilizador do serviço electrónico estará a actuar nos termos previstos no contrato, fornecendo informações confidenciais apenas àquele que ele julga ser o seu banco. E este terceiro que se faz passar fraudulentamente pelo seu banco só o consegue fazer em virtude da vulnerabilidade da página do prestador do serviço de homebanking. Já será censu­rável o seu comportamento se fornece mais informação do que aquela que habitualmente lhe é pedida – se, nomeada­mente, faculta todas as coordenadas do seu cartão-matriz, quando o banco anuncia que estas nunca são pedidas para uma mesma operação – ou se lhe são pedidos dados inu­suais, como o número de telefone. No caso em apreço, pro­vou-se também que “o pedido de coordenadas no acesso ao BX net é uma situação anormal e irregular”, facto que o STJ parece ter desvalorizado. Haveria que averiguar se este pedido “anormal e irregular” era passível de chamar a atenção da autora no sentido de a levar a desconfiar da regularidade da operação ou se, ainda assim, apesar de inabitual, era plausível, não sendo censurável à autora a introdução dos dados solicitados. Por outro lado, o banco fornecedor do serviço de homebanking parece não ter provado que teria dado conhecimento aos seus clientes do carácter inusual da solicitação das coordenadas do cartão-matriz no acesso ao serviço. Apenas provou que esta solicitação era anormal, mas já não terá provado que os seus clientes estariam cientes desse facto.

         No caso do phishing, o utilizador fornece dados con­fidenciais num contexto distinto do das operações de ho­mebanking, em resposta a uma mensagem de correio electrónico ou a uma chamada telefónica, acreditando ter por interlocutor o seu banco. Nestas situações, o com­portamento do utilizador poderá já ser considerado mais ou menos negligente, consoante o grau de sofisticação da solicitação fraudulenta e a prova que seja feita sobre se o fornecedor do serviço cumpriu ou não os seus deveres de informação quanto à existência deste tipo de perigos.”

            Esta discussão revela, assim, no caso dos autos, em que nem sequer é possível dizer que a autora actuou na sequência de um phishing ou de um pharming, que não é possível fazer um juízo de censura da conduta da autora que apenas se sabe ter introduzido os seus dados pessoais para utilização do sistema de pagamento, não se sabe em que circunstâncias. Embora a autora tenha negado esta introdução de dados e o anterior acesso ao sistema e se tenha vindo a provar o contrário, o que de algum modo põe em causa a sua boa fé, a verdade é que tal não é suficiente para provar que, ao introduzir os dados, tenha actuado de modo diferente do que lhe seria exigível nas circunstâncias. E os factos que permitiram a formulação desse juízo de censura teriam que ser alegados e provados pela ré, pelas razões invocadas na sentença recorrida.

          É isto que, como se disse acima, tem sido decidido pela jurisprudência (a já vasta referida pela anotação citada), como, por exemplo, se pode ver no ac. do STJ de 14/12/2016, 1063/12.1TVLSB.L1.S1; do TRP de 13/10/2016, 2513/14.8TBVFR.P1; do TRL de 15/03/2016, 1063/12.1TVLSB.L1-1; do TRC de 02/02/2016, 902/13.4TBCNT.C1, e tem sido defendido pela doutrina: assim, Maria Raquel Guimarães, para além da anotação já referida, ainda no estudo sobre as cláusulas contratuais gerais na jurisprudência recente dos tribunais superiores, II Congresso do direito bancário, Almedina, 2017, págs. 214 a 217, e no estudo sobre os contratos-quadro de prestação de serviços de Pagamento, I CD de Consumo, Almedina, 2016, págs. 177 a 188, e na sua anotação contrária ao ac. do TRG de 23/10/2012, proc. 305/09, publicada nos CDP 41, Jan/Março de 2013, págs. 57 a 69, onde também faz a explicação das fraudes phishing e pharming [esta é uma técnica mais sofisticada na medida “em que é ‘corrompido’ o próprio nome de domínio (domain name) de uma instituição financeira, redireccionando o utilizador para um site falso – em tudo similar ao verdadeiro – sempre que este digita no teclado a morada correcta do seu banco. Uma vez na página falsa, o utilizador indica as suas chaves secretas de acesso que depois são utilizadas na página verdadeira para transferências fraudulentas” – pág. 63] – chamando já a atenção para o menor grau de censurabilidade da conduta que aquelas técnicas poderão originar, embora também refira que “mesmo em relação às técnicas de phishing, haverá que ter em conta o grau de sofisticação das mensagens enviadas (e o grau de ingenuidade da vítima), e o cumprimento pelo banco dos seus deveres de informação e de esclarecimento dos clientes utilizadores dos serviços on-line, a fim de averiguar se, perante a situação concreta, o utilizador devia e podia ter agido de outra forma.”; M. Januário da Costa Gomes, Contratos Comerciais, 2013, Almedina, págs. 220 a 252, especialmente págs. 239-248; Maria Carolina dos Santos Gomes França Barreira, Homebanking a repartição dos prejuízos decorrentes de fraude informática, FDUNL, Fevereiro de 2015, https://run.unl.pt/bitstream/10362/15191/1/Barreira_2015.pdf; Raquel Sofia Ribeiro de Lima, A responsabilidade pela utilização abusiva on-line de instrumentos de pagamento electrónico na jurisprudência portuguesa, FDU do Porto, Julho de 2015, https://repositorio-aberto.up.pt/bitstream/10216/83561/2/36809.pdf, onde se faz uma resenha exaustiva da jurisprudência e doutrina sobre a questão até à data do estudo; Hugo Luz dos Santos, Plaidoyer por uma “distribuição dinâmica do ónus da prova” e pela “teoria das esferas de risco” à luz do recente acórdão do STJ de 18/12/2013: o (admirável) “mundo novo” no homebanking?, Abril de 2014, publicado na Revista Electrónica de Direito, n.º 1, Fev2015, do CIJE/FDUP => file:///C:/Users/Pedro%20Martins/Downloads/Artigo%20Hugo%20Luz%20dos%20Santos.pdf; e João Calvão da Silva, anotação ao ac. do STJ de 18/12/2013, Conta corrente bancária; operação não autorizada e responsabilidade civil”, Revista de Legislação e de Jurisprudência, Ano 144, n.º 3991, Março/Abril de 2015, págs. 305-326.

            Esclareça-se que não foi invocada, quer na acção, quer no recurso, a “franquia” de 150€ de que a ré beneficiaria, ao abrigo do art. 72/1 do RSP, e já se viu, também, que a ré não discute o direito. De qualquer modo, os factos provados sobre a conduta da autora não chegam para consubstanciar, sequer, a culpa leve que essa norma pressupõe (neste sentido, por exemplo, o ac. do TRL de 03/03/2015 e Calvão da Silva, anotação citada).

                                                      *

            Pelo exposto, julga-se o recurso improcedente.

            Custas pela ré.

            Lisboa, 12/10/2017

            Pedro Martins

            1º Adjunto

            2º Adjunto