Acerca de mim

A minha foto
Porto, Porto, Portugal
Rua de Santos Pousada, 441, DE Telefone: 225191703; Fax: 225191701; E-mail: cabecaisdecarvalho@gmail.com

quarta-feira, 5 de fevereiro de 2014

HOMEBANKING RESPONSABILIDADE CIVIL CONTRATUAL PRESUNÇÃO DE CULPA - Acórdão do Tribunal da Relação de Lisboa - 12.12.2013


Acórdãos TRL
Acórdão do Tribunal da Relação de Lisboa
Processo:
164/11.8TBSRT.L1-6
Relator: TOMÉ RAMIÃO
Descritores: HOMEBANKING
RESPONSABILIDADE CIVIL CONTRATUAL
PRESUNÇÃO DE CULPA

Nº do Documento: RL
Data do Acordão: 12-12-2013
Votação: UNANIMIDADE
Texto Integral: S
Texto Parcial: N

Meio Processual: APELAÇÃO
Decisão: IMPROCEDENTE

Sumário: 1. Sendo o “homebanking” um serviço prestado ao cliente pelo Banco, a este compete diligenciar pela sua segurança de modo a que o seu utilizador não fique privado dos valores nele depositados pelo abusivo acesso a terceiros, sem a sua autorização ou consentimento, ou seja, o cliente tem de poder confiar nesse sistema de acesso à sua conta bancária e respectiva movimentação.
2. Sobre o Banco impende a obrigação de prestar um serviço eficaz e seguro, tendo o ónus de ilidir a presunção de culpa, decorrente do art.º 799.º/1 do C. Civil, quanto a deficiências de funcionamento do sistema que utiliza para prestar esse serviço, correndo por sua conta o risco de acessos fraudulentos.
3.Provando a Ré que a Autora fez uma utilização imprudente, negligente e descuidada desse serviço, revelando a terceiros, na internet, os seus códigos pessoais de acesso ao serviço, bem como dos elementos necessários para a confirmação/validação da operação bancária, não lhe é exigível o pagamento das quantias por eles indevidamente movimentadas.(sumário do Relator)
Decisão Texto Parcial:

Decisão Texto Integral: Acordam no Tribunal da Relação de Lisboa:
***

I- Relatório:

MN…, residente na Rua do …, intentou a presente ação declarativa de condenação, sob a forma sumária, contra C…, S.A, com sede na Avenida …, pedindo a condenação desta no pagamento da quantia de €2.999,19, acrescida de juros de mora vencidos no valor de €356,85 e dos que se vencerem sobre aquela primeira quantia desde 1.04.2008, á taxa legal, e ainda no pagamento da indemnização por danos não patrimoniais no valor de €1.500,00.

Alegou, em resumo, que celebrou com a ré um contrato de abertura de conta de depósitos e que, como forma de movimentar e consultar a referida conta, aderiu ao serviço “caixa directa” disponibilizado pela ré. Acontece que, sem o seu consentimento ou autorização foram debitadas na sua conta quantias, através do sistema “caixa directa”, por alguém que não conhece, tendo reportado esse facto à ré mal deu conta dos movimentos. A ré restituiu uma das quantias mas não o fez quanto à outra, debitando ainda na conta da autora importâncias a título de comissões e imposto de selo. Esse facto causou à Autora danos morais que considera relevantes.

Citada, a ré contestou, referindo que a autora não respeitou os deveres de segurança que lhe assistem ao utilizar o serviço, tendo cedido – mesmo que involuntariamente – o seu código pessoal de acesso e as várias combinações possíveis do cartão matriz, permitindo assim que alguém acedesse à sua conta e procedesse a movimentos e que apenas restituiu a primeira quantia porque a conseguiu reaver do respectivo beneficiário, não podendo ser responsabilizada, por facto imputável à autora, concluindo pela improcedência da ação.

Realizado o julgamento, com observância do ritualismo legalmente prescrito, foi proferida sentença que julgando a ação totalmente improcedente absolveu a Ré do pedido.

Desta sentença veio a Autora interpor o presente recurso, formulando extensas conclusões, extraindo-se de relevante as seguintes:

Conclusões:

1 - Como resulta da sentença recorrida, entre A e R foi celebrado um contrato de abertura de conta bancária e, posteriormente, o outro contrato, conexo com o primeiro no sentido de através deste a A. ter acesso à sua conta por meio de telefone ou internet, beneficiando de um conjunto de serviços disponibilizados pelo R intitulado de “serviço

caixa directa”, denominado também de “homebanking”.

2 - As diversas opiniões sobre a natureza dos contratos em causa remetem-nos para resultados finais idênticos, quando não por via da consideração da transferência do domínio da coisa e, consequentemente, da transferência do risco, por via da obrigação de restituição no mesmo género e qualidade, que em qualquer das consideradas abordagens impende sobre o banco, por aplicação das regras do mútuo, e quando não ilida aquele a legal presunção de culpa, cfr. art.ºs 540º, 796º, n.º 1, 799º, n.º 1, 1144º, 1185º, 1205º e 1206º, e 1161º, alínea e), todos do Código Civil.

3 - Está em causa, um contrato designado por home banking, o qual é um contrato de adesão sendo, por isso, um contrato cujo clausulado é pré-elaborado e imposto à parte contratualmente mais fraca, a qual o ordenamento jurídico tem protegido através de diversos mecanismos em que avulta o controlo das condições gerais e a protecção do consumidor.

4 - Estamos perante uma relação negocial complexa que foi iniciada através de um contrato de abertura de conta, com pelo menos um depósito ou depósitos de quantias numa conta à ordem, por parte da A., e no âmbito da qual as partes inscreveram um novo contrato destinado a permitir a movimentação da conta "por via telefónica ou internet e por outras formas de acesso remoto que venham a ser criadas...".

5 - Este tipo de contrato é uma das manifestações da revolução tecnológica no que toca às transferências electrónicas de fundos e que suscita complexos problemas de direito probatório - v.g. , de repartição do ónus da prova - bem como em matéria de distribuição do risco.

6 - No caso dos autos, ao contrário do sustentado pela douta sentença recorrida, não está provado qualquer descuido ou negligência por parte da A (prova que o banco não logrou).

7 - Ficou provado que a A. quando procedeu à actualização do cartão matriz estava no sistema da Caixa Directa do Banco R. (alínea i, j, k)

8 - Para alem disso ficou também provado que os movimentos a debito na conta da A foram feitos sem o seu conhecimento, consentimento nem autorização (n) e que tais movimentos foram efectuados por alguém que a A. não conhece sem o seu conhecimento, sem a sua autorização e contra a sua vontade ( r )

9 - Tendo acedido ao sistema Caixa Directa como muitas vezes já havia sucedido era convicção da A que, quando lhe foi pedida a actualização,

10 - Que esse pedido lhe estava a ser feito pelo sistema da R e não por um terceiro intruso,

11 - Que o Banco R. permitiu que acedesse a esse mesmo sistema com o intuito de movimentar a conta da A.

10 – No que concerne à A não estão reunidos factores que permitam configurar uma actuação de negligência relativamente à preservação das informações (códigos) como entendeu o tribunal “ a quo”.

11 - Acresce que e como resulta provado nos autos, no dia 8 de Maio de 2008 o banco repôs na conta da A. a quantia de 1997,99 ; na sequencia da queixa da A o banco contactou o beneficiário da transferência de 1997,99 o senhor NM… e este confrontado com a situação relatada pela C…, SA não deu nenhuma justificação para a ocorrência do credito na sua conta e autorizou a C…, SA a proceder ao reembolso da quantia em causa à A (vide alínea Y, SS, e TT dos factos provados)

12 - Ao seguir o destino dos montantes movimentados a débito, ao identificar os titulares das contas beneficiárias desses movimentos e ao repor na conta da A tal quantia, o banco assumiu, expressamente, a sua responsabilidade no desaparecimento do dinheiro da conta da A e que o serviço que vende aos clientes não é seguro, pois permite que estranhos acedam a tal sistema com o intuito de movimentar a débito as contas titulados pelos utilizadores do sistema caixa directa;

13 - E que o mesmo (Banco) não consegue impedir o acesso fraudulento às contas dos seus clientes por parte de terceiros não autorizados.

14 - É convicção da Recorrente que os movimentos a débito na sua conta, sem o seu conhecimento e autorização por parte de terceiros se ficou a dever à vulnerabilidade do sistema de segurança do sistema implementado pelo Banco R.

15 - Se o Banco não permitisse que terceiros intrusos acedessem ao sistema caixa directa, este sistema não lhe teria pedido qualquer actualização e, por conseguinte, a conta da A não teria sido movimentada por terceiros.

16 - Contrariamente ao que foi decidido em sede de Sentença o acesso à conta da A. decorreu da falta de segurança no sistema informático da R.

17 - Se o sistema informático da R não permitisse que terceiros entrassem no mesmo e que, aí chegados, dentro do sistema caixa directa, pedissem elementos aos seus utilizadores,

18 - Actuando como que se do próprio sistema da caixa directa se tratasse,

19 - Não existe no contrato qualquer cláusula expressa que diga as consequências do comportamento de um "cracker" - pessoa que se dedica à extorsão usando os conhecimentos informáticos – que, utilizando a técnica de "phishing", consegue, via internet, obter o código de acesso à conta bancária de terceiros, neste caso da A.

20 - Para determinação da responsabilidade das partes, teremos que atender, em primeiro lugar, à circunstância de que o banco, enquanto depositário, estava contratualmente vinculado a restituir à A. importâncias do mesmo género e quantidade das que por ela lhe haviam sido confiadas mediante depósito na conta a prazo, tornando-se assim sua credora.

21 – As vantagens do contrato de home banking são recíprocas. Porém, há um enorme desequilíbrio no que toca ao risco que cada uma das contratantes corre com a celebração do negócio, mas também no que refere aos meios que cada uma delas dispõe para fazer face ao risco do negócio.

22 - Trata-se, de um dever colateral típico no âmbito de uma relação obrigacional complexa: o dever de protecção e cuidado para com a pessoa e o património dos intervenientes, associado ao estatuído no art.º 9.º da Lei de Defesa do Consumidor (Lei n.º 24/96) que afirma no n.º 1 o direito do consumidor à protecção dos seus interesses económicos "impondo-se nas relações jurídicas de consumo a igualdade material dos intervenientes, a lealdade e a boa-fé, nos preliminares, na formação e ainda na vigência dos contratos".

23 - A prestação feita, ainda que indevidamente, a terceiros, não dispensa o devedor de uma nova prestação, agora perante o credor (artigos 476.º/2 e 770.º CC)[ como refere Antunes Varela em Das obrigações em Geral,2º volume 2º Edição pa. 35 e Ac. STJ 02-02.2009.

24 - O banco R será sempre responsável a título de risco.

25 - Dificilmente alguém poderá sustentar como razoável que o depositante individual suporte – ainda que em parte – o risco de a instituição de crédito a quem confiou os seus valores se revelar afinal incapaz de assegurar a intangibilidade daqueles por terceiros.

26 - O depositante contrata com o banco no pressuposto absoluto de ser estranho às vicissitudes por que passe a instituição de credito em matéria de segurança e para as quais ele não contribua.

28 - A não ser assim estar-se-á a frustrar o âmago da motivação que esteve na base da celebração do contrato de abertura de conta e dos contratos “acessórios” daquele.

29 - Não tendo o Banco feito prova da culpa por parte da A, sua cliente que foi vitima de extorsão por um cracker, é ele o responsável pela reposição do dinheiro à A da quantia de que de que ficou privada, perante a desconformidade do risco para cada uma das partes e, sobretudo, porque só o banco, como instituição de credito profissional que é, pode controlar os meios que podem evitar a vulnerabilidade do sistema ao crime informático.

30 - Pelas razões invocadas supra, deveria a MM. Juiz “a quo” ter julgado procedente o primeiro e segundo pedidos formulado contra o Banco R

31 - Não tendo o Banco R feito prova da culpa por parte da A. deveria a MM. Juiz “ a quo” ter condenado aquele no pagamento das demais quantias requeridas atendendo aos factos dados como provados em cc, dd, ee, ff, gg, hh, ii e jj.

Termos em que, vem requerer a V. Exa. se digne dar provimento ao presente recurso e, consequentemente, seja o Banco R. condenado a pagar à A as quantias peticionadas, assim se fazendo a esperada e merecida, JUSTIÇA.


***

A Ré contra-alegou, pugnando pela improcedência do recurso e ampliou o seu objecto, nos termos do art.º 684.º-A do C. P. Civil, concluindo que:
1. A douta sentença sob sindicância declarou a nulidade do clausulado do contrato das cláusulas apostas nas condições gerais do contrato nas quais se prevê a presunção de que as operações bancárias realizadas por terceiro se presumem consentidas e autorizadas pelo cliente são nulas face ao disposto nos artigos 12º, 20º, e 21º alínea j) do RCGG pois alteram as regras de distribuição do risco fazendo-o cair exclusivamente sobre o aderente e implicam um ónus da prova na prática inalcançável para este, pois na grande maioria trata-se de pessoas sem conhecimentos informáticos sofisticados e específicos da actividade bancária;

2. A douta sentença não cuidou de enunciar com precisão quais são as concretas cláusulas do contrato que considerou serem nulas, limitando-se a remeter os destinatários da sua decisão para uma enunciação genérica e vaga, pouco consentânea com a necessidade de precisão e de certeza quanto à decisão ainda para mais tratando-se de declarar a nulidade de cláusulas contratuais, revelando-se assim obscura e ambígua quanto a tal decisão;

3. Ao contrário do que se assume na sentença a este respeito constitui uma impossibilidade prática para o banco poder prever/adivinhar/supor que apesar de os elementos e códigos de segurança estarem correctamente introduzidos poderá eventualmente não ser o verdadeiro titular da conta quem os introduziu no sistema;

4. Uma vez introduzidos correctamente no sistema informático da apelada os códigos e elementos de acesso ao Caixa Directa que só devem ser conhecidos do titular da conta (porque são secretos, pessoais, e intransmissíveis) o banco não pode deixar de pagar porquanto assume que a ordem provém do legítimo titular da conta porque só este tem acesso a tais elementos e códigos;

5. Ao contrário do que transparece da douta sentença recorrida é sobre o banco que incide à partida na génese do contrato de utilização do Caixa Directa o desequilíbrio

contratual atendendo a que lhe é impossível prever (e consequentemente actuar em conformidade evitando que a transferência bancária se processe) que em determinada situação concreta não obstante os elementos e códigos de acesso secretos e intransmissíveis não é efectivamente o titular da conta que está a debitá-la;

6. E daí a lógica de o banco pretender repor o equilíbrio contratual no que concerne ao risco envolvido fazendo incorrer sobre o utente do serviço Caixa Directa o ónus de ter de ser ele a demonstrar que nestes casos (casos de introdução correcta dos elementos e códigos de acesso) a sua conta foi debitada sem que ele, voluntaria ou involuntariamente, tivesse divulgado estes elementos e códigos;

7. As cláusulas do serviço Caixa Directa on-line não ofendem o princípio da boa fé nem invertem ilicitamente as regras do ónus da prova, sendo portanto perfeitamente válidas.


***

Colhidos os vistos, cumpre apreciar e decidir, sendo que nada obsta ao conhecimento do recurso.

***

II. Direito processual aplicável.
No caso concreto, estamos em presença de ação instaurada em 26/09/2011 e a decisão recorrida foi proferida em 30 de Novembro de 2012.

Aos recursos de decisões proferidas antes de 1 de setembro de 2013, em processos instaurados após 1 de janeiro de 2008, é aplicável o regime de recursos do C. P. Civil aprovado pelo Decreto-Lei n.º 303/07, de 24 de agosto, por identidade de razão às decisões proferidas antes daquela data em processos instaurados após 1 de janeiro de 2008, e não o atual regime de processo civil, nos termos do art.º 7.º/1 da Lei n.º 41/2003, de 26 de junho, posição assumida igualmente por Abrantes Geraldes, in “Recursos no Novo Código de Processo Civil”, 2013, pág. 15, onde refere “Decisões proferidas antes de 1 de setembro de 2013 em processos instaurados a partir de 1 de janeiro de 2008, os recursos seguem o regime aprovado pelo Dec-Lei n.º 303/07, de 25 de agosto, (v.g. monismo recursório, alçadas, prazos, apresentação imediata de alegações, dupla conforme, etc.).

Assim, será aplicável o regime do anterior Código de Processo Civil e não o Novo C. P. Civil, aprovado pela Lei n.º41/2003.


***

III. Âmbito do recurso.
Perante o teor das conclusões formuladas pela recorrente – as quais (excetuando questões de conhecimento oficioso não obviado por ocorrido trânsito em julgado) definem o objeto e delimitam o âmbito do recurso - arts. 660º, nº2, 661º, 672º, 684º, nº3, 685º-A, nº1, todos do anterior C. P. Civil ( regime aplicável) ao que se percebe das conclusões do recurso, a questão essencial a decidir consiste em saber se a Autora tem ou não direito às quantias peticionadas.

Vejamos, pois.


***

IV. Fundamentação fáctico-jurídica.
A) Matéria de facto.

A matéria de facto assente, que não vem posta em causa, é a seguinte:

1. A Autora é titular de uma conta de depósitos à ordem com o número 0768016179200 da agência da …, da C…S.A. com sede em Avenida ….

2. Há mais de dez anos que a A. efectua depósitos e levantamentos na e da citada conta, transferências bancárias, em suma, realiza todas as operações inerentes à titularidade de uma conta bancária.

3. Em 5.07.2004, a A. aderiu ao serviço “Caixa Directa” da Ré, como resulta do contrato que se encontra junto aos autos e cujo teor se dá por integralmente reproduzido.

4. De acordo com o constante da cláusula 1., o serviço Caixa Directa consiste na faculdade conferida ao cliente, que seja pessoa singular e que ao mesmo adira, de estabelecer relações com a C…,SA consistentes, designadamente, na aquisição de serviços, realização de consultas, e de operações bancárias relativamente a contas de que seja único titular ou co-titular em regime de solidariedade, e que possa livremente movimentar, utilizando para o efeito canais telemáticos: telefone, internet (serviço on-line), WAP ( Wirless Application Protocol) TV (interactive TV) ou outras formas de acesso que venham a ser definidas pela C…SA. (vide cláusula 1.)

5. Desde que aderiu o serviço de “Caixa Directa” e até 1-4-2008, a A. efectuou as citadas operações supra referidas em 2. através do computador de que é proprietária.

6. Para esse efeito, a A. fez uso do número de contrato, que lhe foi facultado pela Ré.

7. E de um código secreto de acesso, que esta também lhe forneceu.

8. A autora memorizou esses dados e nunca os divulgou a qualquer familiar, amigo ou conhecido, nem tão pouco os teve ou tem referenciado em qualquer agenda ou bloco de notas, acessíveis a terceiros.

9. Pelo que o acesso àquela sua conta, através da Caixa Directa, com o numero de contrato e código de acesso, foi sempre exclusivo da A.

10. No passado dia 27 de Março de 2008, ao pretender efectuar o pagamento de dois serviços, a A. tentou entrar no sistema da Caixa Directa.

11. Contrariamente aquilo que era normal, o sistema solicitou-lhe a “actualização da matriz”.

12. Feita essa actualização, a A. efectuou dois pagamentos de serviços, um no valor de 189,97 € e outro no montante de 128,00 euros (Doc. 3)

13. No dia 1 de Abril de 2008 a A. entrou de novo no sistema Caixa Directa para fazer uma transferência para a sua filha J…,

14. Tendo acedido à sua conta, a A. constatou que, no dia 31-03-2008, alguém sem o seu conhecimento e sem a sua autorização, acedeu à sua referida conta “online” e movimentou-a a débito.

15. Com efeito, da conta da A., sem o seu conhecimento, consentimento nem autorização, foi retirada a quantia de 4.993,68 Euros em dois movimentos.

16. Um no valor de 2995,69 €.

17. E outro no valor de 1997,99 €.

18. No dia 31-3-2008 a conta da A. foi movimentada duas vezes a débito sob a designação de “pagamento de empréstimo”.

19. Tais movimentos a débito foram efectuados por alguém que a A. não conhece, sem o seu conhecimento, sem a sua autorização e contra a sua vontade.

20. Face ao constatado, de imediato a A. contactou o balcão da Ré onde a sua conta está domiciliado, (agência da …).

21. A A. de imediato contactou telefonicamente a Caixa Directa, tendo falado com um senhor R….

22. Por este senhor foi confirmado que os valores supra referidos foram transferidos para outras contas, sendo,

23. A quantia de 2.995,69€ para uma conta da C…SA,

24. E a quantia de 1.997,99 € para uma conta de outra instituição bancária.

25. Tendo inclusive referido os nomes dos titulares das mesmas.

26. Feita a participação do sucedido, a solicitação da autora cancelou a conta, não podendo esta ser movimentada quer através de caderneta quer através de multibanco.

27. No dia 8 de Maio de 2008, a ré repôs na conta da A. a quantia de 1997,99 Euros sob a designação de “regularização DAI”

28. Mantendo-se contudo ainda assim a A. privada da quantia de 2.995,69 Euros desde o dia 31-03-2008.

29. Acrescida dos valores de 3,37 e 0,13 €;

30. Correspondente aos débitos a titulo de comissões e imposto de selo, respectivamente.

31. A importância de 4.997,18 Euros correspondia a economias que a A. possuía, resultado de meses de trabalho.

32. Ao aperceber-se de que alguém se apoderou de parte do dinheiro que a A. tinha depositado na sua conta, a A. sofreu um enorme susto, ficando em pânico por sentir-se totalmente violentada e indefesa.

33. É com as poupanças que angaria que a A. faz face às despesas do seu agregado familiar e suporta os custos decorrentes da formação da sua filha J….

34. Nas ocasiões em que não aufere rendimentos.

35. A A. é perita avaliadora, desempenhando tal actividade como trabalhadora por conta própria.

36. Como profissional liberal a mesmas não aufere sempre os mesmos rendimentos.

37. Sendo com o que poupa ao longo de meses e anos que a A. faz face às despesas correntes do agregado familiar e assegura a educação da sua filha.

38. Com a taxa de justiça a A. despendeu já a quantia de 153,00€.

39. “O sistema” jamais e em circunstância alguma pede a “actualização da matriz”.

40. À altura em que a A. situa o sucedido – 27-03-2008 – como hoje, o “sistema” emitia alertas de segurança aos respectivos utentes.

41. Alertas estes que surgiam no ecrã do computador antes sequer de se poder aceder ao serviço caixa directa on line, avisando o utente que a C…SA nunca pede no login (entrada no serviço) os dígitos do cartão matriz, muito menos a totalidade dos mesmos, e que, para entrar no serviço caixa directa on line, a C…SA apenas solicita a introdução dos seguintes elementos de segurança: número do contrato e o código de acesso.

42. Mesmo já após entrada (login) no serviço caixa directa on-line a C…SA jamais pede a totalidade dos dígitos do cartão matriz, mas sim apenas 3 dígitos, das 64 possíveis combinações de três dígitos que o cartão tem.

43. Nesta conformidade a A. ao ser-lhe solicitada “a actualização da matriz” transcreveu para o ecrã que lhe surgiu no computador que estava a usar que a totalidade das 64 possíveis combinações do seu cartão matriz.

44. Assim divulgando na internet todas as combinações possíveis do seu cartão matriz.

45. Relativamente à transferência no valor de 2.995,69 € a C…SA apenas sabe que a quantia foi transferida para a conta com o NIB … aberta no B….

46. Foi explicado à A. que o computador que usou para proceder aos pagamentos ocorridos em 27-03-2008 estaria “infectado” por software malicioso.

47. Na sequência da queixa da A. a C…SA contactou o beneficiário da transferência de 1.997,99 €, Sr. N….

48. Este, confrontado com a situação relatada pela C…SA não deu nenhuma justificação para a ocorrência do crédito na sua conta, e autorizou a C…SA a proceder ao reembolso da quantia em causa à aqui A.

49. Nos termos constantes dos nºs 9º e 10º das Condições Gerais de Utilização do Serviço Caixa Directa presume-se que as operações realizadas de acordo com os procedimentos estipulados nas Condições Gerais são da autoria do subscritor do serviço e, nos termos constante do nº 10 dessas mesmas Condições Gerais, caso se demonstre que as operações (transferências) realizadas foram efectuadas por terceiros presume-se que tal foi consentido ou culposamente facilitado pelo subscritor do serviço.

50. Aquando da subscrição do serviço Caixa Directa online foi fornecido à A., na activação deste serviço, um número de contrato, bem como um código de acesso (que são os elementos necessários para entrar no serviço Caixa Directa através de um computador – login ) e também um cartão matriz com um conjunto único de 64 combinações de números de 3 algarismos cada uma, que funciona como um elemento de segurança adicional para as operações realizadas no serviço Caixa Directa online.

51. A A. tomou conhecimento aquando da subscrição do serviço Caixa Directa online que deveria respeitar as Recomendações de Segurança e Alertas de Segurança que a C…SA divulga no seu site www…..pt e que estão disponíveis ao utilizador imediatamente antes do acesso ao serviço e sempre em cada utilização deste.

52. Nas sobreditas Recomendações de Segurança, acessíveis aos utilizadores do Caixa Directa online, e sob o título de “MANTENHA A CONFIDENCIALIDADE DOS SEUS DADOS PESSOAIS” consta expressamente que:

“… Mantenha sempre os seus códigos de acesso ao Caixa Directa on-line reservados. Não os divulgue nem mesmo se solicitado por pessoas que se identifiquem como colaboradores da C…SA: Não os escreva de forma a poderem ser consultados por terceiros, nem os envie por correio electrónico (nem mesmo para si próprio)…”

53. Ainda em sede das mesmas Recomendações de Segurança e sob o título de “PROTEJA E PRESERVE O SEU CARTÃO MATRIZ” a C…SA avisa os utentes deste serviço que devem: “Preservar a confidencialidade dos números contidos no cartão” e ainda que “Deve ter sempre presente que a C…SA nunca solicita dados de segurança (códigos de acesso e cartão matriz) ou outro tipo de informação confidencial através de mensagens de e-mail, telefone, ou outro tipo de contacto. Nunca se deve responder a este tipo de solicitação porque se trata de fraude. Para ter a certeza de que está a aceder ao site Caixa directa on-line, deve sempre aceder através do endereço https://....pt e nunca através de links contidos em mensagens de email mesmo que estas tenham alegadamente origem na C…SA”.

54. Para que o utente do serviço Caixa Directa on-line, - concretamente a aqui A. – possa efectuar operações na(s) sua(s) conta(s) após fazer o login (mediante a introdução do nº de contrato e do código de acesso) é-lhe solicitada aleatoriamente pelo sistema uma (e apenas uma) das 64 possíveis combinações de 3 números que compõem o cartão matriz.

55. E só com tal indicação precisa e correcta se consegue validar a operação que se pretende realizar.

56. Ao proceder conforme nos termos indicados nos n.ºs 11 e 12 a A., revelou na internet todas as possíveis combinações de três algarismos que lhe podiam ser solicitadas pelo sistema para validar as operações bancárias que pretendesse realizar.

57. Quem acedeu à conta bancária da A. só o pôde fazer porque conhecia quer o número de contrato, quer o número do código de acesso (sem os quais não consegue sequer fazer o login) quer ainda ou todos ou parte das 64 combinações de 3 algarismos cada uma que compõem o cartão matriz, tudo códigos de autenticação que apenas devem ser do conhecimento do titular e de rigorosamente mais ninguém.

58. Não é possível ter conhecimento de todos estes códigos por outra forma que não seja a da sua inserção pela própria A., ou por alguém a quem tenha voluntária ou involuntariamente divulgado tais códigos.

59. Dentro da instituição C…SA é impossível conhecer os códigos de autenticação dos clientes aderentes a este serviço, porque estes estão cifrados.

60. Dado que todos os códigos de autenticação se encontravam correctos as ordens de transferência não podiam ser recusadas pela C…SA.

61. O sistema informático da C…SA e, concretamente o serviço Caixa Directa online, que é o que aqui importa, encontra-se devidamente salvaguardado e protegido e é considerado pelos especialistas da matéria um sistema seguro.

62. A C…SA é, entre todas as instituições bancárias a operarem em território nacional, aquela que tem o melhor site de banca on-line, o que significa entre outras realidades que é o Banco que maior nível de segurança oferece ao nível da prestação de serviços na área da Net e dos produtos fornecidos por este meio de comunicação, conforme foi reconhecido pela revista PC GUIA - Junho de 2009.


***

B) O direito.
1. Responsabilidade da Ré pelos movimentos bancários efectuados online.

Entende a apelante, no essencial, não existir no contrato qualquer cláusula expressa que diga as consequências do comportamento de um "cracker" - pessoa que se dedica à extorsão usando os conhecimentos informáticos – que, utilizando a técnica de "phishing", consegue, via internet, obter o código de acesso à conta bancária de terceiros, neste caso da A, sendo o banco R sempre responsável a título de risco e não tendo o Banco feito prova da culpa por parte da A, sua cliente, que foi vitima de extorsão por um cracker, é ele o responsável pela reposição do dinheiro à A da quantia de que de que ficou privada, perante a desconformidade do risco para cada uma das partes e, sobretudo, porque só o banco, como instituição de credito profissional que é, pode controlar os meios que podem evitar a vulnerabilidade do sistema ao crime informático.

Na decisão recorrida entendeu-se:

“ Trata-se de um serviço denominado de “homebanking” que tem com o contrato inicial uma ligação de especial conexão e interdependência e que foi celebrado por recurso ao que se pode qualificar de um contrato de adesão, apresentando a ré à autora um conjunto de cláusulas contratuais gerais predefinidas por si às quais a autora se limita a subscrever, aderindo assim ao serviço. Há que considerar, por isso, que é aplicável o regime previsto no Decreto-lei nº445/85 de 25 de Outubro.

Por aplicação deste regime, diremos à partida que as cláusulas que constam das Condições Gerais mediante as quais se consigna uma presunção de que as operações bancárias realizadas por terceiro se presumem consentidas e autorizadas pelo cliente são nulas face ao disposto nos art.12º, 20.º, 21.º, al.j) do RCCG, pois alteram as regras de distribuição do risco, fazendo-o recair exclusivamente sobre o aderente e implicam um ónus de prova na prática inalcançável para este, pois na grande maioria trata-se de pessoas sem conhecimentos informáticos sofisticados e específicos da actividade bancária.

Esta posição tem sido defendida pela Jurisprudência, o que se pode constatar pela leitura dos Acórdãos da Relação de Lisboa de 26.10.2010 e de 24.05.2012, para a qual remetemos.

Assim, considerando as mesmas cláusulas nulas, afastamos a sua aplicação ao caso concreto, pelo que há que aferir perante os factos que foram provados e tendo em conta as normas aplicáveis ao contrato de depósito bancário (Ac. Do STJ de 12.02.2009) e a gerais, se a operação realizada por terceiro decorre de culpa da ré, sendo certo que estamos em sede de responsabilidade contratual e, nos termos do disposto no art.799º do CC, esta culpa se presume.

Cabe, assim, à ré afastar essa presunção, pois impendendo sobre o banco a obrigação de restituição da quantia em dinheiro igual à depositada na conta, sobre o mesmo impende o ónus de provar que a circunstância de a restituição ser de quantia inferior não provem de culpa sua.

Ora, a ré logrou provar que no âmbito do acordo celebrado, assumiram ambas as partes várias obrigações, sendo que o acesso ao serviço processar-se-ia através de elementos de identificação estritamente pessoais e intransmissíveis, que a autora se obrigou a não revelar a terceiro, não permitir a sua utilização por terceiro e a manter em segurança, tal como consta das Condições Gerais do referido contrato. E a ré também provou que não foi o que aconteceu: A autora, se bem que sem ter noção de estar a ser enganada, facultou, em resposta a uma solicitação que apareceu no site respectivo, o seu código pessoal de acesso e todos os algarismos que constavam do cartão matriz e cuja combinação permitia proceder a transferências e pagamentos através da conta e do serviço. Um terceiro, na posse destes elementos e com conhecimentos informáticos adequados, pôde assim ter acesso à conta da autora e proceder aos movimentos que nela foram detectados. Esse acesso, de acordo com o que foi provado, não decorreu de qualquer falha de segurança no sistema informático da ré e que a esta cumpre garantir, mas de conduta da autora que cedeu por via informática todas as combinações possíveis que constavam de um cartão físico e que esta, e só esta, tinha em seu poder.

Pode perguntar-se: Mas a autora apenas assim procedeu porque lhe apareceu no ecrã uma mensagem que pedia para o fazer quando acedeu ao site? Há que considerar nesta apreciação da conduta da autora que esta utiliza desde 2004 o serviço “on line”, que o serviço nunca pede “actualização da matriz”, que para validar cada operação o sistema apenas lhe pede que insira uma combinação de três algarismos, que o cartão matriz tem nele inscrito 64 combinações de três algarismos cada, o que quer dizer que a autora teve de inserir 192 algarismos. Há que considerar também que estamos a falar de uma pessoa instruída, lúcida e habituada a utilizar o serviço “caixa directa”, pelo que não podemos deixar de questionar como é que esta não estranhou que aquele mesmo sistema lhe solicitasse uma actualização que nunca antes tinha solicitado e que essa actualização importasse a revelação de uma quantidade enorme de algarismos, sendo que estes constavam de um cartão que a autora sabia que só ela possuía e que representavam uma garantia de segurança de que as operações que efectuava eram por si só realizadas. Temos, por isso, necessariamente, de concluir que a autora agiu de forma negligente, descurando de uma forma manifesta os deveres de cuidado que sobre si também impendiam.

Esta actuação da autora não pode deixar de se considerar como tendo sido a causa dos danos que sofreu, no sentido de ter sido determinante para a ocorrência dos mesmos, sem a qual estes não teriam existido. Bastaria a autora não ter revelado ao algarismos do seu cartão para o terceiro não ter conseguido proceder às operações em causa, sendo certo ficou demonstrado que a ré cumpriu os seus deveres de alertar a autora para não o fazer e nada mais poderia ter feito para o evitar.

Concluímos, assim, que a ré não só conseguiu afastar a presunção de culpa que decorria do disposto no art.799º do CC, como conseguiu demonstrar a culpa da autora, excluindo assim o seu dever de indemnizar – art.570º, nº2 do CC”.

Ora, a verdade é que, perante a bem elaborada fundamentação da decisão recorrida, que acompanhamos, pouco mais nos resta acrescentar.
Na verdade, o contrato de depósito bancário é um contrato de depósito irregular, através do qual o depositante (proprietário) de recursos monetários transfere para uma instituição bancária a propriedade dos valores depositados para que a segunda, podendo usá-los e dispor deles, lhos restitua quando para tal lhe for solicitado ou exigido (neste sentido, Ac do STJ de 10/11/2011 - Proc. 1182/09.1TVLSB.S1.L1 – in www.dgsi.pt e Ac do STJ de 8/5/2012, CJ XX, 2º, pág. 78).

E sendo o “homebanking” um serviço prestado ao cliente pelo Banco, no caso a Ré, a esta compete diligenciar pela sua segurança de modo a que o seu utilizador, no caso a Autora, não fique privado dos valores nele depositados pelo abusivo acesso a terceiros, sem a sua autorização ou consentimento, ou seja, o cliente tem de poder confiar nesse sistema de acesso à sua conta bancária e respectiva movimentação.
Mas, em contrapartida, o cliente deverá utilizar esse serviço seguindo as regras de segurança que lhe tenham sido comunicadas pelo Banco e aquelas que, segundo um padrão de normalidade, o comum utilizador da Internet sabe que devem ser observadas, nomeadamente, a não divulgação dos códigos e passwords de acesso.

Ora, está provado que a Autora, no dia 27 de Março de 2008, ao pretender efectuar o pagamento de dois serviços, tentou entrar no sistema da Caixa Directa e, contrariamente aquilo que era normal, o sistema solicitou-lhe a “actualização da matriz”. Feita essa actualização, a A. efectuou dois pagamentos de serviços, um no valor de 189,97 € e outro no montante de 128,00 euros. Assim, ao ser-lhe solicitada “a actualização da matriz”, a Autora transcreveu para o ecrã que lhe surgiu no computador que estava a usar a totalidade das 64 possíveis combinações do seu cartão matriz, divulgando na internet todas as combinações possíveis do seu cartão matriz.

E mais se provou que o sistema “homebanking” jamais, e em circunstância alguma, pede a “actualização da matriz”.

Mais, o próprio “sistema”, nessa altura, como hoje, emitia alertas de segurança aos respectivos utentes e que surgiam no ecrã do computador antes sequer de se poder aceder ao serviço caixa directa on line, avisando o utente que a C…SA nunca pede no login (entrada no serviço) os dígitos do cartão matriz, muito menos a totalidade dos mesmos, e que, para entrar no serviço caixa directa on line, a C…SA apenas solicita a introdução dos seguintes elementos de segurança: número do contrato e o código de acesso.

E mesmo após a entrada (login) no serviço “caixa directa” on-line, a C…SA jamais pede a totalidade dos dígitos do cartão matriz, mas sim apenas 3 dígitos, das 64 possíveis combinações de três dígitos que o cartão tem. E, diremos nós, a exigência desses 3 dígitos, das 64 possíveis combinações inscritas no cartão matriz, a que só o cliente tem acesso, visa confirmar a operação pretendida pelo cliente, pois sem a sua introdução a operação bancária é recusada.

Dito de outro modo, o sistema de acesso à sua conta bancária através do serviço “caixa direta on line”, só é possível através da introdução do número do contrato e de uma password e, efectuada qualquer operação, a sua validação depende da introdução 3 dígitos, das 64 possíveis, aleatoriamente pedidos, elementos a que só a Autora tem acesso e que os não deveria divulgar em qualquer circunstância.

Mas a Autora tinha o seu computador, utilizado nessas operações bancárias, “infectado” por software malicioso, e ao divulgar esses elementos secretos, pessoais e intransmissíveis na internet, deu azo a que terceiros acedessem ao “sistema” e procedessem ao desvio dessas quantias.

E é também sabido que, por razões de segurança, o utilizador desse sistema deve ter um programa de antivírus actualizado, de modo a proteger o seu computador contra o denominado “software malicioso”.

A Ré repôs um desses movimentos internos, isto é, entre contas bancárias da própria Ré, creditando o respectivo valor, porque o poderia fazer, não no que respeita à transferência para outra entidade bancária.

Decorrentemente, ficou provado que a apelante divulgado a terceiros os elementos necessários para o acesso à referida conta bancária através do homebanking, o que permite concluir ter feito uma utilização imprudente do serviço que lhe foi disponibilizado pela Ré.
Sobre a Ré impende a obrigação de prestar um serviço eficaz e seguro, e o art.º 799.º/1 do C. Civil prescreve que “Incumbe ao devedor provar que a falta de cumprimento ou o cumprimento defeituoso da obrigação não procede de culpa sua”, o mesmo é dizer que a Ré tinha o ónus de ilidir a presunção de culpa quanto a deficiências de funcionamento do sistema que utiliza para prestar esse serviço, correndo por conta dela o risco de acessos fraudulentos.
E esta provou que a apelante fez uma utilização imprudente, negligente e descuidada desse serviço, o que afasta a sua responsabilidade pelos movimentos bancários efectuados por terceiros (neste sentido, cfr Ac da RL de 26/10/2010 – Proc. 1943/09.1TJLSB.L1-7, Ac da RL de 24/5/2012 – Proc. 19110/11.8YIPRT.L1-2 e Ac da RG de 23/10/2012 – Proc. 305/09.5TBCBT.G19).
Provada a ausência de culpa da Ré e a actuação culposa pela apelante, torna-se irrelevante a questão da validade/invalidade do n.º 10º das Condições Gerais de Utilização do Serviço Caixa Directa, em que se estabelece “ caso se demonstre que as operações (transferências) realizadas foram efectuadas por terceiros presume-se que tal foi consentido ou culposamente facilitado pelo subscritor do serviço”, ou seja, uma verdadeira presunção de culpa do utilizador/cliente desse serviço, modificando-se, assim, o critério legal de repartição do ónus da prova consagrado no art. 799º nº 1 do C. Civil, retirando à Ré o ónus da prova de que as operações realizadas através do serviço de “homebanking” não resultaram de falta de cumprimento ou de cumprimento defeituoso culposo da sua obrigação de prestar um serviço seguro.
Todavia, sempre se dirá que quanto à questão da invalidade dessa cláusula se pronunciou o Acórdão desta Relação, proferido em 18/06/2013, no Proc. n.º 147708/12.8YIPRT.L1, no qual o ora relator interveio como adjunto, cuja orientação mantemos, ou seja, decorre das «Condições Gerais de Utilização do Serviço Caixa directa» que os contratos de Serviço Caixa directa, são contratos de adesão, por conterem cláusulas contratuais gerais elaboradas sem prévia negociação individual, que a apelante se limitou a subscrever e aceitar, regendo-se pelo DL 446/85 de 25/10, em particular o seu art.º art. 21º, alínea g), que estabelece serem absolutamente proibidas as cláusulas contratuais gerais que modifiquem os critérios de repartição do ónus da prova. E, nos termos do seu art. 12º : «As cláusulas contratuais gerais proibidas por disposição deste diploma são nulas nos termos nele previstos».
Nulidade que é invocável nos termos gerais ( seu art.º 24.º), o que nos remete para o art. 286.º do C. Civil, o qual prescreve que “ a nulidade é invocável a todo o tempo por qualquer interessado e pode ser declarada oficiosamente pelo tribunal”.
Donde, ser nula a referida cláusula 10, subsistindo a presunção legal de culpa que onera a Ré, nos termos do art. 799.º/1 do C. Civil.

Resumindo, improcede a apelação.

As custas serão suportadas pela apelante – art.º 446.º/1 do C. P. Civil.


***

IV. Sumariando, nos termos do art.º 713.º/7 do C. P. C.
1. Sendo o “homebanking” um serviço prestado ao cliente pelo Banco, a este compete diligenciar pela sua segurança de modo a que o seu utilizador não fique privado dos valores nele depositados pelo abusivo acesso a terceiros, sem a sua autorização ou consentimento, ou seja, o cliente tem de poder confiar nesse sistema de acesso à sua conta bancária e respectiva movimentação.
2. Sobre o Banco impende a obrigação de prestar um serviço eficaz e seguro, tendo o ónus de ilidir a presunção de culpa, decorrente do art.º 799.º/1 do C. Civil, quanto a deficiências de funcionamento do sistema que utiliza para prestar esse serviço, correndo por sua conta o risco de acessos fraudulentos.

3.Provando a Ré que a Autora fez uma utilização imprudente, negligente e descuidada desse serviço, revelando a terceiros, na internet, os seus códigos pessoais de acesso ao serviço, bem como dos elementos necessários para a confirmação/validação da operação bancária, não lhe é exigível o pagamento das quantias por eles indevidamente movimentadas.


***

V. Decisão.
Nestes termos, acordam os juízes desta Relação em julgar improcedente a apelação e manter a decisão recorrida.

Custas da apelação a cargo da apelante.



Lisboa 2013/12/12

Tomé Ramião

Vítor Amaral

Fernanda Isabel Pereira

http://www.dgsi.pt/jtrl.nsf/33182fc732316039802565fa00497eec/cf0fedfa0421918080257c610030da8b?OpenDocument

Pesquisar neste blogue