|
-
ACRL de 11-04-2019
Clausulas Contratuais Gerais. Homebanking. Teoria das esferas de risco.
1-A cláusula contratual geral que pretende transferir para o cliente toda a responsabilidade pelos prejuízos resultantes da utilização indevida de serviço de homebanking por parte de terceiros, independentemente de tal utilização resultar do comportamento do cliente, altera as regras de distribuição do risco previstas na lei, sendo uma cláusula geral nula, nos termos dos art°s 12°, 20°, 21° al. f) e 24° do DL 446/85, de 25/1°, por absolutamente proibida, quando inserida no âmbito de relações Banco/Consumidor final.
2- O legislador faz recair sobre o banco a prova de que as operações de pagamento não foram efectuadas por avarias técnicas ou quaisquer outras deficiências, não bastando, para o efeito, socorrer-se do registo da operação de molde a demonstrar que ela foi autorizada pelo ordenante, tendo ainda de demonstrar que o cliente agiu de forma fraudulenta, ou não cumpriu deliberadamente ou por negligência grave algumas das suas obrigações previstas no art° 67° do DL 242/2012.
3-O prestador de serviços é quem está em melhores condições, do que qualquer outro (incluindo o consumidor), para trazer a factualidade demonstrativa do modo como as coisas se passaram. Isto porque o funcionamento do sistema informático homebanking pertencente à sua esfera de risco, funcionando como critério suplementar de distribuição do ónus da prova, a denominada teoria das esferas de risco.
4- Não havendo um especial juízo de censura que recaia sobre o cliente do banco, é a instituição bancária que deve suportar os prejuízos resultantes da intromissão de um terceiro no sistema de pagamentos que criou.
Proc. 18/18.7T8TVD.L1 6ª Secção
Desembargadores: Adeodato Brotas - Gilberto Jorge - -
Sumário elaborado por Margarida Fernandes
_______ Proc. 18/18.7T8TVD.L1
Espécie: Apelação.
Apelante: CEM, SA.
Apelado: EFL....
Relator: Desembargador Adeodato Brotas.
1' Adjunto: Desembargador Gilberto Jorge.
2' Adjunta: Desembargadora Maria de Deus Correia.
Sumário (elaborado pelo relator)
1-A cláusula contratual geral que pretende transferir para o cliente toda a responsabilidade pelos prejuízos resultantes da utilização indevida de serviço de homebanking por parte de terceiros, independentemente de tal utilização resultar do comportamento do cliente, altera as regras de distribuição do risco previstas na lei, sendo uma cláusula geral nula, nos termos dos art°s 12°, 20°, 21° al. f) e 24° do DL 446/85, de 25/1°, por absolutamente proibida, quando inserida no âmbito de relações Banco/Consumidor final.
2- O legislador faz recair sobre o banco a prova de que as operações de pagamento não foram efectuadas por avarias técnicas ou quaisquer outras deficiências, não bastando, para o efeito, socorrer-se do registo da operação de molde a demonstrar que ela foi autorizada pelo ordenante, tendo ainda de demonstrar que o cliente agiu de forma fraudulenta, ou não cumpriu deliberadamente ou por negligência grave algumas das suas obrigações previstas no art° 67° do DL 242/2012.
3-O prestador de serviços é quem está em melhores condições, do que qualquer outro (incluindo o consumidor), para trazer a factualidade demonstrativa do modo como as coisas se passaram. Isto porque o funcionamento do sistema informático homebanking pertencente à sua esfera de risco, funcionando como critério suplementar de distribuição do ónus da prova, a denominada teoria das esferas de risco.
4- Não havendo um especial juízo de censura que recaia sobre o cliente do banco, é a instituição bancária que deve suportar os prejuízos resultantes da intromissão de um terceiro no sistema de pagamentos que criou.
Acordam na 6ª Secção Cível do Tribunal da Relação de Lisboa:
1-Relatório.
1-EFL… instaurou acção declarativa, com processo comum, contra CEM, S.A,
pedindo:
-A condenação da ré a reembolsar o autor da quantia de 5.000.00 €, acrescida de juros, vencidos e vincendos, devidos desde 16 de Novembro de 2015 até integral pagamento.
Alegou, em síntese, que é cliente da ré e titular da conta bancária com o n.° …; e efectuava regularmente os pagamentos das suas despesas e serviços no sistema homebanking denominado N...; no dia 12/11/15, acedeu ao site www.M....pt, através do seu computador pessoal, pelo motor de busca Internet Explorer, tendo inserido o seu username e o código PIN e verificado o saldo da sua conta à ordem e o saldo utilizado pelo seu cartão de crédito, saldos esses que se encontravam correctos naquela data; dentro da própria página da ré surgiu uma informação de que o cartão matriz estaria a expirar e que seria necessária a sua renovação, apresentando-se no ecrã um cartão em branco que o cliente teria de preencher; tendo o autor acedido à página principal da ré, através do seu username e do seu PIN, não estranhou a informação solicitada, pelo que preencheu os dados solicitados; no dia 14/11/15, quando o autor se dirigiu a uma caixa automática para efectuar o levantamento de numerário, verificou que não tinha saldo na conta à ordem e que existia o registo, não autorizado, de quatro movimentos efectuados a 13 de Novembro de 2015, a saber: pagamento de serviço através de cartão VISA, no valor de 500,00 €, pagamento de serviço através de DO no valor de 2.500,00 €, pagamento de serviço através de DO no valor de 1.800,00 €, e pagamento de serviço através de DO no valor de 200,00 €; foi lesado no valor global de 5.000,00 €,bem como dos juros de; a ré era conhecedora de que não tinha o seu site com a segurança necessária a evitar a invasão por hackers.
2- Citada, veio a ré pugnar pela improcedência da acção, por entender que a perda patrimonial de 5.000,00 € resulta de um comportamento imputável ao autor, que ignorou os constantes avisos de segurança e incumpriu com a sua obrigação de salvaguarda e zelo das credenciais de acesso ao homebanking.
3-Realizado o julgamento, foi proferida sentença, com o seguinte teor decisório:
Pelo exposto, julgo a acção totalmente procedente, por provada e, em consequência, condeno a Ré a pagar ao Autor a quantia de 5.000,00 € (cinco mil euros), acrescida de juros, calculados à taxa legal, acrescida de 10 (dez) pontos percentuais, sendo os vencidos, à data da propositura da acção, no valor de 1.493,97 € (mil quatrocentos e noventa e três euros e noventa e sete cêntimos) e os vincendos, à mesma taxa, até integral pagamento.
Custas a cargo da Ré.
4-Inconformada, a ré interpôs o presente recurso, formulando as seguintes CONCLUSÕES:
1. Os pontos 5 a 8 da matéria dada como provada, deveriam ter recebido classificação diversa, atenta a prova produzida nos autos:
a. Ponto 5 — Não ficou provado que o autor acedeu à página www,M....pt Desconhece-se a base fáctica do segmento tendo para tal digitado este endereço uma vez que tal nunca foi alegado pelo autor, nem na sua p.i., nem em sede de depoimento de parte. Pelo contrário, em nenhum momento foi explicada a forma concreta como se teria processado o alegado acesso.
b. Ponto 6 — Apesar da ambiguidade da expressão página pessoal, e entendendo-se que o tribunal pretendeu dizer acesso à página WWW. niepiapr, nenhuma evidência há que suporte este facto e muito menos que o autor visualizou o saldo da sua conta;
c. Ponto 7 — Conforme já se afirmou não há qualquer evidência que suporte que o autor se encontrava na página referida em 6.; relativamente à segunda parte deste ponto, sem prescindir de todas as reservas apresentadas relativamente à própria credibilidade do depoimento prestado pelo autor, a verdade é que este afirmou coisa significativamente diversa: o autor afirmou que quando se preparava para realizar o agendamento do pagamento à EDP [operação comprovadamente não realizada], lhe apareceu uma informação que referia que aquela operação [especificamente] não poderia ser realizada sem o prévio preenchimento de todas as posições do seu cartão matriz que se encontrava a expirar, tendo sido aquela a razão [a necessidade do agendamento] do preenchimento da totalidade do cartão matriz em branco.
d. Ponto 8 — Mais uma vez se afirma não haver suporte probatório para as afirmações Encontrando-se ainda na página e tendo visualizado o seu saldo.
2. Inversamente, os factos abaixo reproduzidos, deveriam ter sido dados como provados pelo tribunal a quo:
a. - Aquando da adesão aos serviços de homebanking foram explicados ao Autor todos os procedimentos de segurança e utilização do serviço;
b. Na data referida em 5., aquando da abertura da página de login, através da utilização de computador pelo browser internet explorer, surgia a indicação dos procedimentos de segurança descritos a fls. 36 verso, cujo teor se dá aqui por reproduzido, antes mesmo de ser colocada a password, e o alerta constante de fls. 37, cujo teor se dá aqui por reproduzido;
c. - Na data referida em 5. o documento existente no link a que se acede nas dicas de segurança tinha o conteúdo descrito a fls. 29 a 32 verso, cujo teor se dá aqui por reproduzido
d. O Autor tinha conhecimento de que a Ré nunca solicita a actualização de dados do cartão matriz através do preenchimento das coordenadas do cartão matriz em branco;
3 Assim apontava a prova gravada nos segmentos agora aqui destacados: (correspondentes às transcrições devidamente assinaladas e identificadas nas alegações supra que acompanham o presente recurso)
a. (Conjunto de ficheiros (s3409)
0180523094602 5801578 2871244.wma — Depoimento de parte do autor — desde 00:00:00 até 00:39:31) - 00:00:49 a 00:02:11; 00:02:31 a 00:06:38; 00:10:59 a 00:11:20; 00.16:47 a 00.17.08; 00:22:34 a 00:23:06; 00:24:46 a 00:29:15 e 00:31:07 a 00:35:42.
b. (Conjunto de ficheiros (s3409) 201806100844_5801578_2871244.wma, desde 00:00:00 até 01.22:07 e Conjunto de ficheiros (s3409) 20180606113642 5801578_2871244.wma, desde 00:00:00 até 0:11:12) ¬Testemunha arrolada pela Ré: D... — 00:02:27 a 00:10:35; 00:11:10 a 00:24:27; 00:25:56 a 00:36:03; 00:52:56 a 01:21:06 e 00:07:18 a 00:10:22.
c. (Conjunto de ficheiros (s3409) 201806060094421_5801578_2871244.wma —desde 00:00:00 até 00:23:34 - Depoimento da testemunha comum P...) - 00:05:30 a 00:21:44
4. Conforme decorre da motivação da matéria de facto, o tribunal teve em conta, essencialmente as declarações prestadas pelo autor;
5. Tendo considerado que o Autor, de forma segura e convicta, descreveu o modo como acedeu à página da Ré
6. Que a discrepância detectada relativa ao agendamento de um pagamento à EDP não consente, por si só, que se retire credibilidade às declarações prestadas.
7. Ao contrário do que é defendido pelo tribunal a quo o depoimento do autor foi totalmente descredibilizado pelo facto de ter indicado como razão fundamental, e única, do seu alegado acesso, o agendamento de um pagamento à EDP, que afirmou ter concluído, facto este que veio a comprovar-se ser totalmente falso.
8. A factualidade apurada como falsa, não corresponde a um pequeno pormenor no cômputo geral do depoimento do autor.
9. Ela é reiteradamente referida, explicada e contextualizada.
10. Não se trata de uma mera confusão.
11. O autor quando afirma que pretendia unicamente agendar o pagamento à EDP, que visualizou o seu saldo, que acedeu ao pedido aberrante de fornecer as 216 posições o seu cartão matriz para poder prosseguir com o seu agendamento e que, no fim, o concluiu com sucesso, visava apenas criar na convicção do julgador, como conseguiu, que se encontrava no interior da página www.M....pt, de modo a poder justificar o injustificável.
12. O tribunal, fazendo fé unicamente no relato do autor, afasta a possibilidade de este ter sido vítima de phishing e aproxima o sucedido ao tipo de fraude denominada Man in the Browser, sem, no entanto, admitir (porque não alegada) a existência de malware no computador utilizado pelo autor, pressuposto necessário deste tipo de ataque informático (?!).
13. Em sentido contrário aponta a prova produzida, indicando como altamente provável a possibilidade do autor ter sido vítima de um ataque de Phishing.
14. Aliás à semelhança do email que voluntariamente junta aos autos. (doc.12, junto com a própria p.i.]
15. Não só porque mais de 90/prct. dos ataques conhecidos e registados são nesta modalidade, mas também porque o ataque proposto pelo tribunal como provável, não compreender na sua lógica intrínseca a necessidade de um pedido ao cliente de todas as posições do cartão matriz.
16. O ataque na modalidade Man in the Browser é raro, atendendo à complexidade relativa da sua preparação e, conforme o seu nome anglo-saxónico indica, a intermediação do atacante, entre a página oficial do banco e a página onde se encontra o cliente, dispensa a necessidade do roubo da totalidade das credenciais de segurança.
17. O autor era um cliente experiente na utilização do serviço de homebanking.
18. Foi informado pela ré das medidas de segurança associadas à utilização do serviço N....
19. Conhecia, nomeadamente que a ré NUNCA solicitava mais do que duas posições do seu cartão matriz e que dispunha no seu site de inúmeros avisos de exemplos de ataques informáticos.
20. Face ao que foi supra referido, ficou demonstrado que o autor, ao preencher um cartão matriz em branco com as 216 coordenadas do cartão matriz que tinha na sua posse, violou, com negligência grave, as suas obrigações de cuidado, contribuindo dessa forma para a quebra de confidencialidade dos dispositivos de segurança associados ao serviço N....
21. Assim se afastando a presunção de culpa que impendia sobre a apelante.
22. Deste modo, a decisão recorrida, viola, entre outros, os preceitos contidos nos artigos 67.° a 71.° do Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica e 487.° do Código Civil.
Nestes termos, face ao supra alegado, deve ser dado provimento ao presente recurso, devendo em consequência ser revogada a decisão recorrida.
5- O autor/apelado contra-alegou, formulando as seguintes
CONCLUSÕES:
I) Não merece qualquer censura ou reparo a douta sentença proferida pela Meritíssima Juiz;
II) A douta sentença recorrida julgou a ação totalmente procedente, por provada e, em consequência, condenou a Ré a pagar ao Autor a quantia de 5.000,00 € (cinco mil euros), acrescida de juros, calculados à taxa legal, acrescida de 10 (dez) pontos percentuais, sendo os vencidos, à data da propositura da ação, no valor de 1.493,97 € (mil quatrocentos e noventa e três euros e noventa e sete cêntimos) e os vincendos, à mesma taxa, até integral pagamento.
III) Da prova produzida considerou-se com relevância para a decisão, os seguintes factos dados como assentes:
a) O Autor é cliente da Ré, sendo titular de uma conta bancária com n.° …
b) Em 5 de Setembro de 2014, o Autor aderiu aos serviços …, com vista a manter relações à distância com a Ré utilizando formas telemáticas, tendo subscrito a proposta cuja cópia se encontra a fls. 25 verso a 26 verso, cujo teor se dá aqui por reproduzido.
c) Do ponto 4.2 da cláusula 4. da proposta mencionada em 2. consta:
O Cliente compromete-se, igualmente, a guardar sob segredo as suas Credenciais de Autenticação, bem como a prevenir adequadamente a sua utilização abusiva por parte de terceiros. O Cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço … por parte de terceiros, com exceção do estabelecido no ponto 5.3.
d) Desde a ativação dos serviços referidos ocorrida em 10 de Outubro de 2014, o Autor efetuava regularmente os pagamentos das suas despesas e serviços no sistema homebanking denominado N....
e) No dia 12 de Novembro de 2015, pelo período da manhã, o Autor, através do seu computador pessoal, acedeu à página www…..pt, tendo para tal digitado este endereço e inserido o seu username e o código PIN.
f) Após aceder à sua página pessoal, visualizou o saldo da sua conta. Surgiu, então, quando o Autor ainda se encontrava na página referida uma informação de que o cartão matriz estaria a expirar e que seria necessária a sua renovação, apresentando-se no ecrã um cartão em branco para o cliente preencher.
g) Encontrando-se ainda na página a que tinha acedido através do seu username e do seu PIN e tendo visualizado o seu saldo bancário, o Autor não estranhou a informação solicitada e preencheu a totalidade do cartão que se apresentava em branco com os números que constavam do cartão matriz fornecido pela Ré.
h) No dia 14 de Novembro de 2015, quando o Autor se dirigiu a uma caixa automática para efetuar o levantamento de numerário, verificou que não tinha saldo na conta à ordem.
i) Em 13 de Novembro de 2015, foram realizados, sem autorização do Autor, os seguintes: Pagamento de serviço através de cartão VISA no valor de 500,00 €; Pagamento de serviço através de DO no valor de 2.500,00 €; Pagamento de serviço através de DO no valor de 1.800,00 €; e Pagamento de serviço através de DO no valor de 200,00 E.
j) Os movimentos referidos foram realizados através da utilização das credenciais de acesso — username e PIN - e coordenadas do Cartão Matriz corretas.
k) Em 16 de Novembro de 2015, o Autor deslocou-se ao Balcão da Ré, sito na Lourinhã, tendo apresentado o documento de fls. 10 verso e 11, cujo teor se dá aqui por reproduzido, com a menção pedido de esclarecimento, constando da descrição anexa a informação da existência de um Pagamento de serviço fraudulento processado através do N....
1) A Ré enviou ao Autor a carta, datada de 29 de Dezembro de 2015, junta a fls. 11 verso e 12, cujo teor se dá aqui por reproduzido, da qual consta: No seguimento da comunicação de V. Exa. sobre a ocorrência, apresentada no Balcão em 2015.11.16 (....) informamos que foi vítima de uma fraude através da plataforma homebanking que visou o carregamento de cartão pré-pago da entidade … (B…), tendo sido efetuados os seguintes pagamentos de serviços (...) Para a concretização destes pagamentos através da plataforma homebanking foram utilizadas credenciais de acesso e coordenadas do Cartão Matriz, que somente são do conhecimento exclusivo do titular do Cartão, em sentido contrário aos alertas constantes da página de homebanking do M.... Esta cedência, tal como admite na reclamação apresentada junto da PSP (Auto de Denúncia), consubstancia negligência grave, à luz da legislação em vigor.
m) O Autor apresentou queixa crime.
n) Em 2016, a Ré introduziu, como mais um nível de segurança, o recurso ao envio de SMS aos seus clientes para confirmar as ordens dada através do sistema de Homebanking respeitantes a movimentos bancários que implicam redução de património.
o) Os serviços referidos dispunham, na data de 13 de Novembro de 2015 três níveis de segurança: número de utilizador, que corresponde ao número do contrato; password, que tem de ser alterada aquando da primeira utilização; e duas coordenadas do cartão matriz, que é gerado por computador, sem intervenção humana, composto por 72 posições, com três algarismos cada, que é remetido, via postal, para a morada do cliente.
p) Do cartão matriz consta o seguinte aviso: Atenção: Nunca indique mais que 2 dígitos deste Cartão Matriz.
q) Aquando da abertura de página de login surge uma mensagem, antes da introdução da password, que menciona O M... nunca lhe solicita mais de 2 posições do cartão Matriz. r) Do site da Ré consta, no separador referente ao serviço N…, dicas de segurança, na qual surge a identificação de um link para um documento onde constam exemplos de fraude. s) Em 6 de Março de 2018, constava do site da Ré, no separador M... Cartão Matriz: Recordamos e alertamos para o facto de o M... apenas solicitar a indicação de 2 posições do seu cartão matriz, pelo que, se lhe for solicitado que preencha o cartão completo ou qualquer outra combinação, deverá ser considerada como uma tentativa de fraude, devendo contactar de imediato a linha informática M....
IV) No entanto, não se provou, com relevância para a causa, os seguintes
factos:
a) No final do ano de 2015, a Ré enviou aos seus clientes vários emails a dar conhecimento de que o sistema de identificação da Ré foi atualizado por segurança;
b) Aquando da adesão aos serviços de homebanking foram explicados ao Autor todos os procedimentos de segurança e utilização do serviço; c) Na data da ocorrência dos factos, aquando da abertura da página de login, através da utilização de computador pelo browser internet explorer, surgia a indicação dos procedimentos de segurança descritos a fls. 36 verso, cujo teor se dá aqui por reproduzido, antes mesmo de ser colocada a password, e o alerta constante de fls. 37, cujo teor se dá aqui por reproduzido;
d) Que nessa mesma data o documento existente no link a que se acede nas dicas de segurança tinha o conteúdo descrito a fls. 29 a 32 verso, cujo teor se dá aqui por reproduzido.
e) O Autor recebeu o email de fls. 12 verso, cujo teor se dá aqui por reproduzido;
f) O Autor tinha conhecimento de que a Ré nunca solicita a atualização de dados do cartão matriz através do preenchimento das coordenadas do cartão matriz em branco;
g) No dia 12 de Novembro de 2015 o Autor efetuou, através dos serviços homebanking um agendamento de pagamento de serviços à EDP.
V) Quanto à não autorização do Autor, considerou o douto tribunal as declarações seguras e convictas prestadas por este e bem assim a carta de fls. 11 verso, na qual a Ré reconhece tal facto, quando refere que o Autor foi vítima de uma fraude através da plataforma homebanking que visou o carregamento de cartão pré pago da Entidade ... (B...), em 2015.11.13 e que ocorreu um crime de burla informática
VI) Atendeu ainda o douto tribunal as declarações prestadas pelo Autor, conjugadas com as regras da experiência e com os depoimentos das testemunhas AF… e PPP..., respetivamente, irmão e companheira do Autor, da testemunha DC... e bem assim com os documentos de fls. 48 a 53.
VII) Com efeito, o Autor, de forma segura e convicta, descreveu o modo como acedeu à página da Ré, como foi levado a preencher o cartão matriz, que se apresentava em branco e como descobriu que não dispunha de saldo no dia 14.
VIII) Tais declarações foram confirmadas, de forma convicta, quanto ao modo como o Autor veio a descobrir, no dia 14, os movimentos de conta não autorizados (realizados no dia 13 de Novembro), pelas testemunhas AF... e PPP..., que se encontravam com o Autor no dia em causa.
IX) Também do registo de acessos efetuados através do sistema de homebanking (documento de fls. 48), consta registado o acesso alegado pelo Autor no período de manhã, corroborando, nesta parte, o por si declarado.
X) Mais, a versão que o Autor apresentou dos factos foi admitida como possível pela testemunha DC..., pois que, como este referiu, é possível o cliente ter entrado na página oficial do banco, ter, após introduzir o username e PIN, visualizado o seu saldo e aparecer um pedido como o relatado pelo Autor, sendo esta solicitação ação de terceiros, com vista a obter as credenciais.
XI) Por outro lado, não obstante o Autor tenha referido em declarações que no dia em causa (12/11/2015) agendou um pagamento e se ter verificado, pelo último dos documentos juntos aos autos por determinação do tribunal, que tal agendamento não ocorreu nesse dia, mas antes no dia 7 de Novembro, tal discrepância não consente, por si só, que se retire credibilidade às declarações prestadas pelo Autor.
XII) Na verdade, julga-se que tal ter-se-á tratado de uma confusão de datas pela circunstância da consulta de movimentos apresentar tal pagamento na data em que ocorreram os movimentos não autorizados, confusão que se considera justificável pela circunstância de já terem ocorrido mais de dois anos sobre os factos, sendo certo que o Autor em parte alguma da petição inicial refere o agendamento do pagamento de serviços, nem o refere na informação que prestou junto da Ré (fls. 11), informação que foi prestada poucos dias após os movimentos não autorizados.
XIII) Acresce que não se vê por que razão o Autor faltaria à verdade, deliberadamente, sendo conhecedor de que as ordens são registadas informaticamente, tal como resulta das informações que obteve dos movimentos não autorizado, revelando, aliás, a postura deste, quer em audiência, quer no teor da petição inicial, quer ainda na informação que prestou à Ré dias depois dos factos em causa, honestidade e correção, pois que admitiu logo o modo como foram capturadas as coordenadas do seu cartão matriz.
XIV) Deste modo, tendo o Autor prestado declarações de forma convicta e segura, com exceção da confusão mencionada quanto à data do agendamento de um pagamento, sendo as suas declarações coincidentes com a prova supra mencionada e sendo verossímil a versão dos factos por si apresentada, versão esta que coincide com uma das técnicas de fraude relatadas pela testemunha DC..., técnica pouco conhecida fora do meio dos profissionais da área, não teve o tribunal dúvida em dar como provados os referidos factos, nomeadamente que acedeu efetivamente à página oficial da Ré, pois só assim se justifica que tenha visualizado o seu saldo de conta, bem como a razão da solicitação de atualização de dados não ter gerado desconfiança.
XV) Atendeu o tribunal aos documentos de fls. 33 verso e aos depoimentos das testemunhas DC... e P..., também trabalhadora de Ré, no que concerne aos níveis de segurança de que dispõe o sistema, tendo aqueles admitido que a partir de 2016 as transações que impliquem redução do património são efetuadas também com recurso a um quarto nível de segurança, a confirmação via SMS, através do SMS code.
XVI) Por outro lado, a testemunha PA... relatou que à data dos factos já existia o alerta de segurança quanto à não solicitação de mais de duas coordenadas e as dicas de segurança, acabando o Autor por admitir tal possibilidade, quando confrontado com o documento n.° 7 junto com a contestação, resultando ainda da cópia de um cartão matriz junta com o mencionado articulado o alerta mencionado e dado como provado. Contudo, deste depoimento e bem assim do teor dos documentos de fls. 27 a 32 verso e 34 a 38 verso, não se retira, até pelas datas que constam dos mesmos, que as dicas de segurança já contivessem a informação de que dispõe hoje, cujas cópias se encontram juntas aos autos, nem que estivessem no sistema os alertas que hoje aí constam, nem que os avisos eram exatamente aqueles que constam de fls. 36 verso e 37, sendo certo que aqueles, cujos exemplos constam dos autos, já referem a existência de um SMS code, que, como se disse, só foi implementado em 2016.
XVII) Deste modo, deu-se como não provado que aquando da abertura da página de login surgia a indicação dos procedimentos de segurança nos exatos termos descritos a fls. 36 verso e todos os alertas constante de fls. 37 e que o documento para o qual remete o link a que se acede nas dicas de segurança tinha o conteúdo descrito a fls. 29 a 32 verso.
XVIII) Por outro lado, na ausência de outra prova e perante o que se deixou dito quanto à não demonstração de que os alertas de segurança/dicas de segurança mencionavam, à data que ré não solicitava a atualização de dados do cartão através do preenchimento de coordenadas do cartão matriz, deu-se como não provado o conhecimento de tal facto pelo Autor.
XIX) Nos presentes autos está em causa a responsabilidade decorrente da utilização fraudulenta por terceiro dos serviços de banca eletrónica, também designados de homebanking.
XX) Como tem sido entendido pela doutrina e jurisprudência, os serviços de banca eletrónica enquadram-se numa relação negociai complexa constituída a partir de um contrato de abertura de conta e da constituição de depósito ou de abertura de crédito.
XXI) No caso dos autos, não é posto em causa pelas partes - e resulta, de forma evidente, da factualidade provada - que o Autor celebrou com a Ré um contrato de prestação de serviços de banca eletrónica, através da adesão a uma proposta desta, tendo por base a existência de um contrato de abertura de conta, associado a um contrato de depósito, sendo que, através de tal contrato, ficaram as partes obrigadas ao cumprimento dos deveres decorrentes da lei, estabelecidos no Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, a que se fez referência supra e aplicável ao contrato em apreço e ainda aos deveres decorrentes das cláusulas que integram o mencionado contrato.
XXII) Estando em causa nos autos, como se disse, determinar quem suporta os prejuízos decorrentes da transferência fraudulenta de fundos da conta do cliente através dos serviços de banca eletrónica, importa, para o efeito, começar por analisar como se distribuem as regras do ónus da prova e bem assim o que estabelece a lei quanto à responsabilidade decorrente de transferência não autorizada de fundos. Dispõe o n.° 1 do artigo 70.° do diploma que temos vindo a citar, no que respeita ao ónus da prova, que Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência. Por sua vez, dispõe o n.° 2 do mesmo artigo que, nos casos referidos no n.° 1, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do art. 67.
XXIII) Deste modo, a lei faz recair sobre o Banco o ónus da prova de que as operações de pagamento não foram afetadas por avarias técnicas ou por quaisquer outras deficiências, não bastando, para tanto, socorrer-se do registo da operação de molde a demonstrar que a operação foi autorizada pelo ordenante, tendo ainda de demonstrar que o cliente agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, algumas das obrigações do citado artigo 67.°
XXIV) Acresce que tratando-se de valores decorrentes de um depósito irregular, cuja propriedade pertence ao banco, por força da relação contratual estabelecida, funciona ainda a presunção de culpa consagrada no artigo 799.°, n.° 1, do Código Civil, recaindo, deste modo, sobre a entidade bancária o ónus da prova de que a falta de cumprimento ou o cumprimento defeituoso da obrigação (correspondente a avarias técnicas ou outras deficiências que levaram à utilização fraudulenta daqueles meios) não procede de culpa sua. Já quanto à questão da distribuição do risco por operações de pagamento não autorizadas, importa atentar no disposto no artigo 72.° do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica.
XXV) No que diz respeito à responsabilidade contratual, o n.° 2 do artigo 799.° do Código Civil dispõe que a culpa é apreciada nos termos aplicáveis à responsabilidade civil. Por sua vez, o n.° 2 do artigo 487.° do mesmo diploma estabelece que a culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso. Importa, no entanto, considerar ainda que, no caso em apreço, para além do estabelece a lei, temos que da proposta de prestação de serviços de banca eletrónica, que mereceu a adesão do Autor, consta uma cláusula (ponto 4.2 da cláusula 4.) que estabelece que O Cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço M... por parte de terceiros, com exceção do estabelecido no ponto 5.3. Considerando o que se deixou exposto quanto ao regime consagrado na lei e a cláusula constante do contrato em apreciação nos autos, impõe-se apreciar da validade de tal cláusula, sendo certo que estamos perante uma cláusula contratual geral, sujeita ao Regime Jurídico das Cláusulas Contratuais Gerais, previsto no Decreto-Lei n.° 446/85, de 25 de Outubro.
XXVI) Prevendo a lei a distribuição do risco nos termos supra expostos e definindo as regras do ónus da prova nos termos referidos, não podemos deixar de concluir que é manifesto que a cláusula ora em apreciação transfere para o aderente toda a responsabilidade pelos prejuízos resultantes da utilização indevida do Serviço M... por parte de terceiros, independentemente de tal utilização resultar do comportamento do ordenante. Visa, pois, tal cláusula alterar a distribuição do risco, sendo, por isso, nula, por força do disposto nos artigos 12.°, 20.°, 21.°, alínea f) e 24.°, do Decreto-Lei n.° 446/85, de 25 de Outubro, por absolutamente proibida, quando inserida no âmbito de relações do banco com consumidores finais, devendo tal nulidade ser declarada oficiosamente pelo tribunal, nos termos do artigo 286.° do Código Civil (neste sentido, Acórdão da Relação de Lisboa de 5 de Novembro de 2013, in www.dgsi.pt). Em face do que fica exposto e da nulidade declarada, tendo ficado demonstrado que, no caso dos autos, foram realizadas várias operações de pagamento não autorizadas, com quebra da confidencialidade dos dispositivos de segurança personalizados, uma vez que, como resulta dos factos provados, para tais movimentos foram utilizadas as credenciais concedidas ao Autor e bem assim as coordenadas do Cartão Matriz corretas, impõe-se saber se a Ré afastou a presunção culpa que sobre si impendia e demonstrou a existência de dolo ou negligência por parte do Autor, que imponha limites à responsabilidade deste ou que exclua a responsabilidade da Ré.
XXVII) Da factualidade apurada temos que o Autor acedeu à página da Ré, tendo, para tanto digitado, no seu computador, o endereço de tal página. De seguida, o Autor digitou o seu username e pin e visualizou o seu saldo de conta. Surgiu, então, a informação de que o cartão matriz estaria a expirar e que seria necessária a sua renovação, apresentando-se no ecrã um cartão em branco para o cliente preencher, facto que o Autor não estranhou, por ter acedido na forma mencionada e em virtude de ter visualizado o seu saldo.
XXVIII) Ora, perante tal factualidade, não se tendo demonstrado o envio de qualquer e-mail ao Autor, fica desde logo afastada a possibilidade de qualificar a fraude informática subjacente como phishing. Por outro lado, embora as circunstâncias apuradas aproximem o caso dos autos da fraude denominada Man In The Browser, não resulta dos factos provados de que forma é que foi possível aparecer a informação solicitando o preenchimento do cartão matriz em branco, não realizada pela Ré, nas circunstâncias em que ocorreu, quando ficou demonstrado que o Autor digitou o endereço da Ré, o seu username e PIN e visualizou o seu saldo bancário, pois que não foi alegada a existência de instalação de um qualquer malware.
XXIX) Contudo, sabe-se, porquanto a factualidade apurada não deixa dúvidas, que existiram várias operações de pagamento não autorizadas, com quebra da confidencialidade dos dispositivos de segurança personalizados, após o Autor ter preenchido o cartão matriz que se encontrava em branco, o que fez depois de ter acedido à página da Ré e ter visualizado o seu saldo bancário.
XXX) Impõe-se, assim, perguntar se a revelação dos algarismos constantes do cartão matriz nos termos dados como provados pode qualificar-se como negligência e, na afirmativa, se esta deve qualificar-se de leve ou grave, pois que não foi alegado qualquer comportamento deliberado/doloso por parte do Autor que tenha contribuído para a quebra da confidencialidade dos dispositivos de segurança, nem resulta, de forma evidente, dos factos provados que tal tenha ocorrido.
XXXI) É verdade que a Ré tem o cuidado de informar, através de alertas que constam do cartão matriz e que surgem aquando do acesso à página, que nunca solicita mais do que duas posições do cartão matriz, tendo ainda na sua página uma série de Dicas de Segurança. Contudo, não ficou demonstrado que no separador mencionado, à data dos factos, existia a menção a fraudes como a ora em apreciação, nem que existisse um alerta quanto à não solicitação de coordenadas do cartão, com vista a não deixar expirar o cartão matriz, após o acesso à página pessoal, sendo que a esta apenas deveria ter acesso o Autor.
XXXII) Acresce que o alerta respeitante à não solicitação de mais de duas posições do cartão matriz, compreendido na lógica da utilização do próprio sistema, não obstante a palavra Nunca, não pode deixar de considerar-se como um alerta quando ao modo de confirmação de ordem que incida sobre movimentos que impliquem modificação do património, já que nada refere quanto à não solicitação por parte do banco de qualquer elementos confidencial para efeitos de atualização/renovação do cartão, sendo que, no caso do Autor, a solicitação tinha como fundamento a renovação do cartão e não o fornecimento de mais de duas coordenadas para validar um qualquer movimento bancário.
XXXIII) Poder-se-á ainda argumentar que não tem qualquer sentido considerar como normal que a entidade bancária fizesse tal pedido. Contudo, não nos podermos esquecer que o fornecimento de tais elementos ocorreu após o Autor ter introduzido o seu username e PIN e ter visualizado o seu saldo bancário, sendo certo que, depois de introduzir tais elementos de segurança e estando visualmente perante o seu saldo bancário, ao qual apenas pode ter acesso quem disponha também do username e PIN, não era expectável que outra entidade aí pudesse intervir, que não o banco, de forma a questionar a lógica e a desconfiar de tal solicitação.
XXXIV) Acresce que, como resulta da factualidade apurada, eram três os níveis de segurança e o Autor, pela via referida, apenas revelou, com o preenchimento do cartão matriz em branco, as posições matriz, mas não resulta da factualidade provada o modo como terão os terceiros acedido ao username e ao pin, elementos essenciais para que tais terceiros tivessem conseguido aceder, no dia seguinte, como acederam à página pessoal do Autor e realizar os movimentos em causa nos autos, pois que só com as coordenadas do cartão matriz não o conseguiriam fazer.
XXXV) Veja-se que a fragilidade do sistema existente à data não deixa de ser revelado pelo facto de hoje já se encontrar implementado mais um elemento de segurança, exigindo-se que os movimentos que impliquem redução do património do cliente sejam confirmados através do chamado SMS Code.
XXXVI) A verdade é que o caso em apreço, com os contornos mencionados, nomeadamente a forma como apareceu a solicitação já quando o Autor se encontrava a visualizar o seu saldo e depois de introduzir o username e pin, o facto de não se ter demonstrado de que modo os terceiros obtiveram também o acesso a estes dois elementos confidenciais, também eles essenciais para permitir o acesso aos serviços, bem como não tendo ficado demonstrado que a Ré tinha fornecido, antes dos factos em causa, ao Autor informação respeitante a este tipo de fraude, nem que tivesse alertado de que nunca procederia a qualquer pedido de atualização de dados do cartão, ainda que na área reservada do cliente, julga-se não ser de considerar a existência de culpa do Autor, ainda que leve, ao ter fornecido, nos termos dados como provados, a totalidade dos elementos do seu cartão matriz, nas circunstâncias em que o fez, atentando ainda na forma sofisticada como a solicitação se lhe apresentou.
XXXVII) Em face da conclusão a que se chegou, não tendo a Ré demonstrado a existência de culpa do Autor, nos termos do artigo 71.°, n.° 1, do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, assiste ao Autor o direito a ser reembolsado pela Ré do valor das operações de pagamento não autorizadas, direito este que deveria ter sido efetivado pela Ré logo após a comunicação efectuada pela Autor em 16 de Novembro de 2015. Não o tendo sido, nos termos do n.° 2 do preceito citado, impõe-se o pagamento de juros por parte da Ré desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada até à data do reembolso efetivo, calculados à taxa legal, fixada nos termos do Código Civil (artigo 559.°, n.° 1, do Código Civil e Portaria n.° 291/03, de 8 de Abril, acrescida de 10 pontos percentuais, que perfaz, à data da propositura da ação.
II-Fundamentação.
1-Objecto do Recurso.
É sabido que o objecto do recurso é balizado pelo teor do requerimento de interposição (art° 635° n° 2 do CPC/13) pelas conclusões (art°s 635° n° 4, 639° n° 1 e 640° do CPC/13) pelas questões suscitadas pelo recorrido nas contra-alegações em oposição àquelas, ou por ampliação (art° 636° CPC/13) e sem embargo de eventual recurso subordinado (art° 633° CPC/13) e ainda pelas questões de conhecimento oficioso cuja apreciação ainda não se mostre precludida.
Assim, face das conclusões apresentadas pela recorrente são as seguintes as Questões tiue importa analisar e decidir:
a)- A Impugnação da Matéria de Facto.
b)- Se há fundamento para revogar a decisão sob recurso, absolvendo-se a ré/recorrente do pedido.
2- Matéria de Facto decidida pela 1 Instância:
O tribunal a quo decidiu a matéria de facto do seguinte modo:
Dos Factos:
Produzida a prova, consideram-se assentes, com relevância para a decisão, os seguintes factos:
I. O Autor é cliente da Ré, sendo titular de uma conta bancária com o n.° ....
2. Em 5 de Setembro de 2014, o Autor aderiu aos serviços M..., com vista a manter relações à distância com a Ré utilizando formas telemáticas, tendo subscrito a proposta cuja cópia se encontra a fls. 25 verso a 26 verso, cujo teor se dá aqui por reproduzido.
3. Do ponto 4.2 da cláusula 4. da proposta mencionada em 2. consta: O Cliente compromete-se, igualmente, a guardar sob segredo as suas Credenciais de Autenticação, bem como a prevenir adequadamente a sua utilização abusiva por parte de terceiros. O Cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço M... por parte de terceiros, com excepção do estabelecido no ponto 5.3.
4. Desde a activação dos serviços referidos em 2., ocorrida em 10 de Outubro de 2014, o Autor efectuava regularmente os pagamentos das suas despesas e serviços no sistema homebanking denominado N....
5. No dia 12 de Novembro de 2015, pelo período da manhã, o Autor, através do seu computador pessoal, acedeu à página www.M....pt, tendo para tal digitado este endereço e inserido o seu username e o código PIN.
6. Após aceder à sua página pessoal, visualizou o saldo da sua conta.
7. Surgiu, então, quando o Autor ainda se encontrava na página referida em 6., uma informação de que o cartão matriz estaria a expirar e que seria necessária a sua renovação, apresentando-se no ecrã um cartão em branco para o cliente preencher.
8. Encontrando-se ainda na página a que tinha acedido através do seu username e do seu PIN e tendo visualizado o seu saldo bancário, o Autor não estranhou a informação solicitada e preencheu a totalidade do cartão que se apresentava em branco com os números que constavam do cartão matriz fornecido pela Ré.
9. No dia 14 de Novembro de 2015, quando o Autor se dirigiu a uma caixa automática para efectuar o levantamento de numerário, verificou que não tinha saldo na conta à ordem.
10. Em 13 de Novembro de 2015, foram realizados, sem autorização do Autor, os seguintes: Pagamento de serviço através de cartão VISA no valor de 500,00 e; Pagamento de serviço através de DO no valor de 2.500,00 e; Pagamento de serviço através de DO no valor de 1.800,00 e; e Pagamento de serviço através de DO no valor de 200,00 e.
11. Os movimentos referidos em 10 foram realizados através da utilização das credenciais de acesso — username e PIN - e coordenadas do Cartão Matriz correctas.
12. Em 16 de Novembro de 2015, o Autor deslocou-se ao Balcão da Ré, sito na Lourinhã, tendo apresentado o documento de fls. 10 verso e 11, cujo teor se dá aqui por reproduzido, com a menção pedido de esclarecimento, constando da descrição anexa a informação da existência de um Pagamento de serviço fraudulento processado através do N....
13. A Ré enviou ao Autor a carta, datada de 29 de Dezembro de 2015, junta a fls. 11 verso e 12, cujo teor se dá aqui por reproduzido, da qual consta: No seguimento da comunicação de V. Exa. sobre a ocorrência, apresentada no Balcão em 2015.11.16 (....) informamos que foi vítima de uma fraude através da plataforma homebanking que visou o carregamento de cartão pré-pago da entidade ... (B...), tendo sido efectuados os seguintes pagamentos de serviços (...) Para a concretização destes pagamentos através da plataforma homebanking foram utilizadas credenciais de acesso e coordenadas do Cartão Matriz, que somente são do conhecimento exclusivo do titular do Cartão, em sentido contrário aos alertas constantes da página de homebanking do M.... Esta cedência, tal como admite na reclamação apresentada junto da PSP (Auto de Denúncia), consubstancia negligência grave, à luz da legislação em vigor.
14. O Autor apresentou queixa crime.
15. Em 2016, a Ré introduziu, como mais um nível de segurança, o recurso ao envio de SMS aos seus clientes para confirmar as ordens dada através do sistema de Homebanking respeitantes a movimentos bancários que implicam redução de património.
16. Os serviços referidos em 2 dispunham, na data referida em 5., de três níveis de segurança: número de utilizador, que corresponde ao número do contrato; password, que tem de ser alterada aquando da primeira utilização; e duas coordenadas do cartão matriz, que é gerado por computador, sem intervenção humana, composto por 72 posições, com três algarismos cada, que é remetido, via postal, para a morada do cliente.
17. Do cartão matriz consta o seguinte aviso: Atenção: Nunca indique mais que 2 dígitos deste Cartão Matriz.
18. Aquando da abertura de página de login surge uma mensagem, antes da introdução da password, que menciona O M... nunca lhe solicita mais de 2 posições do cartão Matriz.
19. Do site da Ré consta, no separador referente ao serviço N..., dicas de segurança, na qual surge a identificação de um link para um documento onde constam exemplos de fraude.
20. Em 6 de Março de 2018, contava do site da Ré, no separador M... Cartão Matriz: Recordamos e alertamos para o facto de o M... apenas solicitar a indicação de 2 posições do seu cartão matriz, pelo que, se lhe for solicitado que preencha o cartão completo ou qualquer outra combinação, deverá ser considerada como uma tentativa de fraude, devendo contactar de imediato a linha informática M....
Factos não provados:
Não se provaram, com relevância para a causa, os seguintes factos:
- No final do ano de 2015, a Ré enviou aos seus clientes vários emails a dar conhecimento de que o sistema de identificação da Ré foi actualizado por segurança;
- Aquando da adesão aos serviços de homebanking foram explicados ao Autor todos os procedimentos de segurança e utilização do serviço;
- Na data referida em 5., aquando da abertura da página de login, através da utilização de computador pelo browser internet explorer, surgia a indicação dos procedimentos de segurança descritos a fls. 36 verso, cujo teor se dá aqui por reproduzido, antes mesmo de ser colocada a password, e o alerta constante de fls. 37, cujo teor se dá aqui por reproduzido;
- Na data referida em 5. o documento existente no link a que se acede nas dicas de segurança tinha o conteúdo descrito a fls. 29 a 32 verso, cujo teor se dá qui por reproduzido.
- O Autor recebeu o email de fls. 12 verso, cujo teor se dá aqui por reproduzido;
- O Autor tinha conhecimento de que a Ré nunca solicita a actualização de dados do cartão matriz através do preenchimento das coordenadas do cartão matriz em branco; - No dia referido em 5., o Autor efectuou, através dos serviços mencionados em 2., um agendamento de pagamento de serviços à EDP.
3- Da Impugnação da Matéria de Facto.
A ré/apelante pretende se alterem os pontos 5° a 8° dos Factos provados e defende que devem ser considerados provados os pontos a) a d) dos Factos Não Provados.
3.1- Antes de entramos na análise concreta da impugnação da matéria de facto, convém lembrar no nosso ordenamento jurídico vigora o princípio da liberdade de julgamento ou da livre convicção, face ao qual o tribunal aprecia livremente as provas, sem qualquer grau de hierarquização e fixa a matéria de facto em sintonia com a convicção firmada acerca de cada facto controvertido, tendo porém presente o princípio a observar em casos de dúvida, consagrado no artigo 414° do C.P.C., de que a dúvida sobre a realidade de um facto e sobre a repartição do ónus da prova resolve-se contra a parte a quem o facto aproveita. Conforme é realçado por Ana Luísa Geraldes (Impugnação e reapreciação da decisão da matéria de facto, Estudos em Homenagem ao Prof. Doutor José Lebre de Freitas, AAVV, Vol. I. Coimbra, 2013, pág. 609 e 610), ...em caso de dúvida, face a depoimentos contraditórios entre si e à fragilidade da prova produzida, deverá prevalecer a decisão proferida pela 1 a instância, em observância dos princípios da imediação, da oralidade e da livre apreciação da prova, com a consequente improcedência do recurso nesta parte. E mais à frente remata: O que o controlo de
facto em sede de recurso não pode fazer é, sem mais, e infundadamente, aniquilar a livre apreciação da prova do julgador construída dialecticamente na base dos referidos princípios da imediação e da oralidade.
Assim, apesar de se garantir um duplo grau de jurisdição, tal deve ser enquadrado com o princípio da livre apreciação da prova pelo julgador, previsto no art° 607 n° 5 do C. P. Civil, sendo certo que decorrendo a produção de prova perante o juiz de 1a instância, este beneficia dos princípios da oralidade e da mediação, a que o tribunal de recurso não pode já recorrer.
De acordo com Miguel Teixeira de Sousa (Estudos Sobre o Novo Processo Civil, pág. 347) Algumas das provas que permitem o julgamento da matéria de facto controvertida e a generalidade daquelas que são produzidas na audiência final (...) estão sujeitas à livre apreciação do Tribunal (...) Esta apreciação baseia-se na prudente convicção do Tribunal sobre a prova produzida (art.° 655.0, n.01), ou seja, as regras da ciência e do raciocínio e em máximas da experiência.
Assim, para que a decisão da 1a instância seja alterada haverá que averiguar se algo de anormal se passou na formação dessa apontada convicção, ou seja, ter-se-á que demonstrar que na formação da convicção do julgador de 1a instância, retratada nas respostas que se deram aos factos, foram violadas regras que lhe deviam ter estado subjacentes, nomeadamente face às regras da experiência, da ciência e da lógica, da sua conformidade com os meios probatórios produzidos, ou com outros factos que deu como assentes.
Porém, e apesar da apreciação em primeira instância construída com recurso à imediação e oralidade, tal não impede a Relação de formar a sua própria convicção, no gozo pleno do princípio da livre apreciação das provas, tal como a la instância, sem estar de modo algum limitada pela convicção que serviu de base à decisão recorrida (...) Dito de outra forma, impõe-se à Relação que analise criticamente as provas indicadas em fundamento da impugnação, de modo a apreciar a sua convicção autónoma, que deve ser devidamente fundamentada. (Luís Filipe Sousa, Prova Testemunhal, Almedina, 2013, pág. 389).
Dito isto vejamos o caso dos autos.
3.2- Ouanto à pretensão de modificação dos pontos 50 a 80.
A 1' Instância deu por provada a seguinte factualidade:
5. No dia 12 de Novembro de 2015, pelo período da manhã, o Autor, através do seu computador pessoal, acedeu à página www.M....pt, tendo para tal digitado este endereço e inserido o seu username e o código PIN.
6. Após aceder à sua página pessoal, visualizou o saldo da sua conta.
7. Surgiu, então, quando o Autor ainda se encontrava na página referida em 6., uma informação de que o cartão matriz estaria a expirar e que seria necessária a sua renovação, apresentando-se no ecrã um cartão em branco para o cliente preencher.
8. Encontrando-se ainda na página a que tinha acedido através do seu username e do seu PIN e tendo visualizado o seu saldo bancário, o Autor não estranhou a informação solicitada e preencheu a totalidade do cartão que se apresentava em branco com os números que constavam do cartão matriz fornecido pela Ré.
A juiza á quo fundamentou a sua decisão sobre essa matéria de facto do seguinte modo: Relativamente à matéria descrita em 5 a 9, atendeu o tribunal às declarações prestadas pelo Autor, conjugadas com as regras da experiência e com os depoimentos das testemunhas AF... e PPP..., respectivamente, irmão e companheira do Autor, da testemunha DC... e bem assim com os documentos de fls. 48 a 53.
Com efeito, o Autor, de forma segura e convicta, descreveu o modo como acedeu à página da Ré, como foi levado a preencher o cartão matriz, que se apresentava em branco e como descobriu que não dispunha de saldo no dia 14. Tais declarações foram confirmadas, de forma convicta, quanto ao modo como o Autor veio a descobrir, no dia 14, os movimentos de conta não autorizados (realizados no dia 13 de Novembro), pelas testemunhas AF... e PPP..., que se encontravam com o Autor no dia em causa. Também do registo de acessos efectuados através do sistema de homebanking (documento de fls. 48), consta registado o acesso alegado pelo Autor no período de manhã, corroborando, nesta parte, o por si declarado.
Mais, a versão que o Autor apresentou dos factos foi admitida como possível pela testemunha DC..., pois que, como este referiu, é possível o cliente ter entrado na página oficial do banco, ter, após introduzir o username e PIN, visualizado o seu saldo e aparecer um pedido como o relatado pelo Autor, sendo esta solicitação acção de terceiros, com vista a obter as credenciais.
Por outro lado, não obstante o Autor tenha referido em declarações que no dia em causa (12/11/2015) agendou um pagamento e se ter verificado, pelo último dos documentos juntos aos autos por determinação do tribunal, que tal agendamento não ocorreu nesse dia, mas antes no dia 7 de Novembro, tal discrepância não consente, por si só, que se retire credibilidade às declarações prestadas pelo Autor. Na verdade, julga-se que tal ter-se-á tratado de uma confusão de datas pela circunstância da consulta de movimentos apresentar tal pagamento na data em que ocorreram os movimentos não autorizados, confusão que se considera justificável pela circunstância de já terem ocorrido mais de dois anos sobre os factos, sendo certo que o Autor em parte alguma da petição inicial refere o agendamento do pagamento de serviços, nem o refere na informação que prestou junto da Ré (fls. 11), informação que foi prestada poucos dias após os movimentos não autorizados. Acresce que não se vê por que razão o Autor faltaria à verdade, deliberadamente, sendo conhecedor de que as ordens são registadas informaticamente, tal como resulta das informações que obteve dos movimentos não autorizado, revelando, aliás, a postura deste, quer em audiência, quer no teor da petição inicial, quer ainda na informação que prestou à Ré dias depois dos factos em causa, honestidade e correcção, pois que admitiu logo o modo como foram capturadas as coordenadas do seu cartão matriz.
Deste modo, tendo o Autor prestado declarações de forma convicta e segura, com excepção da confusão mencionada quanto à data do agendamento de um pagamento, sendo as suas declarações coincidentes com a prova supra mencionada e sendo verosímil a versão dos factos por si apresentada, versão esta que coincide com uma das técnicas de fraude relatadas pela testemunha DC..., técnica pouco conhecida fora do meio dos profissionais da área, não teve o tribunal dúvida em dar como provados os referidos factos, nomeadamente que acedeu efectivamente à página oficial da Ré, pois só assim se justifica que tenha visualizado o seu saldo de conta, bem como a razão da solicitação de actualizações de dados não ter gerado desconfiança.
Haverá fundamento para alterar os pontos 50 a 8° da matéria de facto?
No ponto 5°, a ré/apelante pretende se elimine o trecho ...tendo para tal digitado este endereço... por se tratar de facto não alegado pelo autor nem referido em declarações de parte e, não foi explicado o modo concreto como foi processado esse alegado acesso. Pois bem, na petição inicial, no ponto 3, o autor alegou que no dia 12 de Novembro de 2015, pela manhã, o ...autor acedeu ao site www.M....pt... e, nas declarações de parte que prestou, foi incisivo e peremptório em afirmar que não acedeu a qualquer link e que entrou na página da ré - disse-o, insistentemente, a propósito do seu relato acerca da queixa que apresentou junto da ré e da tentativa de uma funcionária da ré o ter pressionado a admitir que
havia entrado na página da ré através de um link e, posteriormente, um outro funcionário da ré ter tentando levá-lo a admitir que acedeu através de num link — carregando o respectivo endereço.
É curial que perante a negação da tentativa de acesso através de link e face á afirmação, convicta e convincente, de que acedeu a saldos da conta que estavam correctos, se possa inferir que o autor tenha digitado o site que alegou: www.M....pt. Note-se que a testemunha DC..., perito de segurança informática da ré, disse haver possibilidade de o cliente aceder a página do banco e existir malware que captura todo o tráfico realizado, pensando o cliente que está na página do banco e está numa página paralela que leva à captura de dados do cliente; tendo referido também as diferenças entre os diferentes tipos de interferência (pirataria) informática, fishing, pharming ,men in the browser e men in the midle .
Tudo isto para considerar como verosímil o facto dado como provado: o autor acedeu ao site www.M....pt, sem que esse trecho constitua um facto novo ou diverso do que foi alegado. Recorde-se que o art° 5° n° 2, al. c) faculta ao juiz a possibilidade/dever de considerar factos concretizadores ou complementares dos que foram alegados.
Não se vislumbra que tenha ocorrido qualquer erro de apreciação da prova quanto a este ponto 50.
Quanto ao ponto 6°.
Defende o réu/apelante se elimine que o autor ...visualizou o saldo da sua conta..., por não inexistir suporte (probatório) quanto a esse facto.
Ora, mais uma vez, atendendo á prova produzida, somos a entender não haver razão para modificar este ponto da matéria de facto.
Na verdade, verifica-se que o autor, nas suas declarações de parte afirmou — e nisso não foi infirmado por qualquer outro depoimento ou prova documental — que acedeu à página da sua conta na ré/apelante, digitando o endereço da ré (isto por ter negado, sem infirmação, tê-lo feito através de link) introduziu o username e pin e viu o seu saldo de conta. Note-se que do documento de fis 48 (documento junto pela ré na sessão de julgamento) consistindo na cópia de e-mail da testemunha DC... para o Ilustre Mandatário da ré, resulta que houve diversos acessos á página da ré através das credenciais do autor, nos dias 11 e 12 de Novembro de 2015, concretamente, no dia 12/11/2015: às 00.45.43 horas, às 09.25.16 horas e às 11.42.40 horas. Nenhum meio de prova produzido infirmou que o autor tenha visualizado o seu saldo.
Por conseguinte, entendemos não haver razão para alterar o ponto 6° da matéria de facto.
Quanto ao ponto 7°.
O réu/apelante defende que não há evidência que o autor se encontrava na página referida em 6 - quando lhe surgiu a informação de que o seu cartão matriz estaria a caducar.
Mais uma vez, cremos não existir razão para alterar a decisão sobre este facto.
Com efeito, o autor, nas suas declarações de parte, como vimos, disse que acedeu ao site www.M....pt.. e, de modo peremptório, afirmou ter visto o seu saldo - da conta à ordem e do cartão de crédito - e, sem sair da página que havia digitado, lhe surgiu a referida informação relativa à caducidade do seu cartão matriz. Não houve depoimentos ou documentos que infirmassem o teor destas declarações. Aliás, a testemunha DC... admitiu ser possível ter acontecido este facto — através de malware - embora não soubesse o que realmente aconteceu. Não foi criada uma dúvida razoável sobre o facto e, não há razão para não aceitar as declarações de parte do autor.
Deste modo, indefere-se a pretendida alteração do ponto 7° dos Factos Provados.
No que toca ao ponto 8.
O réu apelante entende que não existe suporte probatório para os trechos da matéria de facto ...Encontrava-se ainda na página... e ...tendo visualizado o seu saldo.... Pois bem, já se verificou, nos pontos anteriores, relativos à decisão sobre a matéria de facto, que existe suporte probatório suficiente para a decisão do tribunal da 1a instância relativamente aos pontos 5° a 7°. Este ponto de impugnação, o 8°, mais não é que repetição da impugnação dos pontos anteriores.
Nada mais há a acrescentar ao que já se disse, indeferindo-se também esta impugnação do ponto 8° da matéria de facto.
3.3- Quanto às alíneas indicadas como de a) a d) dos Factos Não Provados.
Pretende o réu/apelante que sejam considerados provados quatro pontos de facto (não provados), invocando certas passagem de depoimentos testemunhais e das declarações de parte.
Recordemos essa factualidade considerada Não Provada e a fundamentação respectiva
dada pela I a instância.
Assim, o tribunal a quo considerou não provados, entre outros, os seguintes factos:
- Aquando da adesão aos serviços de homebanking foram explicados ao Autor todos os procedimentos de segurança e utilização do serviço;
- Na data referida em 5., aquando da abertura da página de login, através da utilização de computador pelo browser internet explorer, surgia a indicação dos procedimentos de segurança descritos a fls. 36 verso, cujo teor se dá aqui por reproduzido, antes mesmo de ser colocada a password, e o alerta constante de fls. 37, cujo teor se dá aqui por reproduzido;
- Na data referida em 5, o documento existente no link a que se acede nas dicas de segurança tinha o conteúdo descrito a fls. 29 a 32 verso, cujo teor se dá qui por reproduzido,.
- O Autor tinha conhecimento de que a Ré nunca solicita a actualização de dados do cartão matriz através do preenchimento das coordenadas do cartão matriz em branco;
O tribunal recorrido motivou a decisão de não considerar provada essa factualidade, do seguinte modo:
Já no que concerne aos restantes factos não provados, nenhuma prova foi feita quanto à recepção pelo Autor do email de fls. 12 verso, tendo este justificado o acesso ao mail e a razão da sua junção, nem foi feita prova de que a Ré tenha enviado emails aos clientes, em finais de 2015, a dar conhecimento de que o sistema de identificação da Ré foi actualizado por segurança, pois que não resulta que o email junto como exemplo tenha sido enviado pela Ré ou que ao Autor, aquando da adesão aos serviços de homebanking, foram explicados todos os procedimentos de segurança para utilização do serviço.
Por outro lado, na ausência de outra prova e perante o que se deixou dito quanto à não demonstração de que os alertas de segurança/dicas de segurança mencionavam, na data referida em 5., que ré não solicitava a actualização de dados do cartão através do preenchimento de coordenadas do cartão matriz, deu-se como não provado o conhecimento de tal facto pelo Autor.
Pois bem, vejamos se há motivo para alterar essa decisão relativa a esses quatro factos (Não Provados).
Assim, quanto a esse primeiro ponto (-Aquando da adesão aos serviços de homebanking foram explicados ao Autor todos os procedimentos de segurança e utilização do serviço;)
Entendemos que a juíza a quo não decidiu mal sobre este facto.
Na verdade, o autor, nas suas declarações de parte negou que lhe tenham sido
explicadas todos os procedimentos de segurança na utilização do serviço e que só posteriormente à ocorrência é que verificou que surgia uma mensagem, semelhante à consta a fls 36 verso, mas que ele nunca tinha lido antes. A testemunha PA... não mencionou o que terá ou não sido dito/explicado ao autor, quando aderiu ao sistema de homebanking do réu. DC... também não se referiu a esse facto.
Quanto ao ponto mencionado em segundo lugar e que o réu identifica como ponto b)
(Na data referida em 5., aquando da abertura da página de login, através da utilização de computador pelo browser internet explorer, surgia a indicação dos procedimentos de segurança descritos a fls. 36 verso, cujo teor se dá aqui por reproduzido, antes mesmo de ser colocada a password, e o alerta constante de fls. 37, cujo teor se dá aqui por reproduzido).
Já quanto a este ponto, entendemos que o facto mencionado deve ser dado como provado face ao teor do depoimento da testemunha PA... que, à pergunta específica da Ilustre Mandatária do autor sobre se os alertas de segurança, de fls 36 verso, já existiam e surgiam no ecrã à data em que ocorreram os factos, afirmou-o expressamente, negando a afirmação/pergunta daquela Mandatária (gravação entre 17,56 e 18,20).
Por conseguinte, há que dar esse ponto como provado.
Quanto aos pontos mencionados como c) e d) (- Na data referida em 5, o documento existente no link a que se acede nas dicas de segurança tinha o conteúdo descrito a fls. 29 a 32 verso, cujo
teor se dá qui por reproduzido;
- O Autor tinha conhecimento de que a Ré nunca solicita a actualização de dados do cartão matriz através do preenchimento das coordenadas do cartão matriz em branco) entendemos não haver fundamento para os alterar.
Na verdade as testemunhas não afirmaram esses factos e o autor não os reconheceu.
Assim, resta considerar a impugnação da matéria de facto parcialmente procedente e, em consequência, adita-se aos Factos Provados que:
Na data referida em 5., aquando da abertura da página de login, através da utilização de computador pelo browser internet explorer, surgia a indicação dos procedimentos de segurança descritos a fls. 36 verso, cujo teor se dá aqui por reproduzido, antes mesmo de ser colocada a password, e o alerta constante de fls. 37, cujo teor se dá aqui por reproduzido.
4- Vejamos agora Se há fundamento para revogar a decisão sob recurso, absolvendo-se a ré/recorrente do pedido.
Como bem realça a sentença recorrida está em causa nos autos determinar quem suporta os prejuízos resultantes da transferência fraudulenta de fundos da conta do autor cliente da ré.
4.1- A Nulidade da Cláusula 4a, ponto 4.2, 2 parte, da Proposta de Adesão ao M... 24 — Cláusulas Gerais de Utilização.
O réu/apelante não atacou a bem fundamentada e correctamente decidida questão da nulidade da cláusula 4a, ponto 4.2, 2a parte, da Proposta de Adesão ao M... 24 —Cláusulas Gerais de Utilização.
Com efeito, essa cláusula estabelece que O Cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço M... por parte de terceiros, com excepção do estabelecido no ponto 5.3.
Ora, tratando-se cláusula contratual geral (o próprio réu/recorrente trata o conjunto desse clausulado como Proposta de Adesão), importa proceder ao confronto do seu teor com o da disposição ínsita no art° 72° do DL 242/2012, de 07/11 (que transpôs a Directiva n° 2009/110/CE, do Parlamento Europeu e do Conselho, de 16 de Setembro, relativa ao acesso à actividade das instituições de moeda electrónica, ao seu exercício e à sua supervisão prudencial), que estabelece:
1-No caso de operações de pagamento não autorizadas resultantes de perda,
de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 150;
2-O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a actuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67.° caso em que não são aplicáveis os limites referidos no n. ° 1;
3- Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva;
4- Após ter procedido à notificação a que se refere a alínea b) do n.° 1 do artigo 67.0, o ordenante não suporta quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, roubado ou abusivamente apropriado, salvo em caso de actuação fraudulenta.
Importa ainda ter presente o art° 70° do DL 242/2012, de 07/11, com epígrafe Prova de autenticação e execução das operações de pagamento, determina: 1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência. 2 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67°.
Ora bem, destas duas disposições, como bem se refere na sentença, Prevê, assim, a lei a limitação da responsabilidade patrimonial do utilizador do serviço de banca electrónica ao valor de 150,00 € sempre que se verifiquem operações de pagamento não autorizadas, com quebra da confidencialidade dos dispositivos de segurança personalizados, não imputáveis ao titular do instrumento de pagamento a título de negligência grave ou dolo, mas a título de negligência leve. Contudo, se as operações de pagamento não autorizadas resultarem de negligência grave do titular do instrumento de pagamento, este terá de suportar as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva. Caso o ordenante tenha agido com dolo, responderá pelas perdas, sem que lhe seja aplicável o limite referido no n.° 1.
Ora, pela cláusula 4', ponto 4.2, 2a parte, da Proposta de Adesão O cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço M... 24 por parte de terceiros.
Manifestamente, pretende transferir para o cliente toda a responsabilidade pelos prejuízos resultantes da utilização indevida do Serviço M... 24 por parte de terceiros, independentemente de tal utilização resultar do comportamento do cliente.
É evidente que com essa cláusula pretende o réu alterar as regras de distribuição do risco previstas na lei e, por isso, trata-se de uma cláusula geral nula, nos termos dos art°s 12°, 20°, 21° ai. f) e 24° do DL 446/85, de 25/1°, por ser absolutamente proibida quando
inserida no âmbito de relações Banco/Consumidor final. (Aliás, neste sentido, para além do Ac. TRL, 05/11/2013, veja-se ainda, na doutrina, Hugo Luz dos Santos, Plaidoyer por uma distribuição dinâmica do ónus de prova e pela teoria das esferas de risco à luz do recente acórdão do Supremo Tribunal de Justiça, de 18/12/2013: o (admirável mundo novo no homebanking (in Revista Electrónica de Direito), pág. 18; Maria Raquel Guimarães, A Repartição dos prejuízos decorrentes de operações fraudulentas na banca electrónica (home banking) Cadernos de Direito Privado, n° 41 Jan./Mar. 2013, pág. 60 e seg.).
4.2- A distribuição das regras do ónus de prova.
Estabelece o art° 70° do DL 242/2012, de 07/1, com epígrafe Prova de autenticação e execução das operações de pagamento.
1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi correctamente efectuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência.
2 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67° .
Deste normativo resulta que o legislador faz recair sobre o banco a prova de que as operações de pagamento não foram efectuadas por avarias técnicas ou quaisquer outras deficiênciass não bastando, para o efeito, socorrer-se do registo da operação de molde a demonstrar que ela foi autorizada pelo ordenante, tendo ainda de demonstrar que o cliente agiu de forma fraudulenta, u não cumpriu deliberadamente ou por negligência grave algumas das suas obrigações previstas no art° 67° do DL 242/2012.
A opção pelo afastamento do ónus da prova a cargo do consumidor quanto ao mau funcionamento do sistema informático de homebanking, resulta da circunstância de ser o prestador de serviços de homebanking quem tem maior facilidade em demonstrar a versão factual que lhe aproveita, ou seja, a de que a utilização fraudulenta do serviço de homebanking por parte de terceiros não se deveu ao mau funcionamento do sistema informático.
No fundo, o legislador entendeu que o prestador de serviços é quem está em melhores condições, do que qualquer outro (incluindo o consumidor), para trazer a factualidade demonstrativa do modo como as coisas se passaram. E é assim, porque o funcionamento do sistema informático homebanking pertencente à sua esfera de risco, funcionando como critério suplementar de distribuição do ónus da prova, ou, melhor dizendo, ao círculo de vida em que o facto se produz: é a consagração da denominada teoria das esferas de risco, que preconiza uma ligação umbilical entre o ónus da prova e a
dicotomia obrigações de meios/obrigações de resultado. (Cf. Hugo Luz dos Santos, Plaidoyer por uma distribuição dinâmica do ónus de prova—/prct. cit., pág. 21 e segs.).
4.3- A Repartição, pelas partes dos prejuízos causados por operações não autorizadas.
Já tivemos oportunidade de transcrever acima o art° 72° do DL 242/2012, de 07/11.
Pois bem, deste normativo decorre que a lei limita a responsabilidade patrimonial do utilizador do serviço de homebanking ao valor de 150€ sempre que se verificarem operações de pagamento não autorizadas com quebra de confidencialidade dos dispositivos de segurança personalizados não imputáveis ao titular do instrumento de pagamento a titulo de negligência grave ou dolo, mas a título de negligência leve.
A sentença sob recurso, transcrevendo o acórdão da Relação do Porto, de 07/10/2014 refere Ora, não contendo tal regime qualquer definição sobre o conceito de negligência grave, impõe-se recorrer ao direito civil. Como é sabido, a negligência consiste na violação de uma norma por inobservância de deveres de cuidado. Como se refere no Acórdão da Relação de Porto de 7 de Outubro de 2014 (in www.dgsi.pt), a respeito do normativo em apreciação, Na negligência podem abarcar-se as situações em que há a omissão de um dever de cuidado que uma atenta avaliação do caso poderia e deveria ter prevenido e as situações de imprudência ou imperícia, sendo que a primeira ocorrerá quando o agente age por precipitação, por falta de previdência, de atenção no cumprimento de determinado acto, e a imperícia quando o agente acredita estar apto e possuir conhecimentos suficientes pratica acto para o qual não está preparado por falta de conhecimento aptidão capacidade e competência. Na mera culpa ou negligência é comum distinguirem-se os casos em que o agente prevê a produção do resultado lesivo como possível, mas, por leviandade, precipitação, desleixo ou incúria, crê na sua não verificação (representa um puro vício de vontade), daqueles em que, por inconsideração, descuido, imperícia ou ineptidão, o agente não concebe a possibilidade do resultado lesivo se verificar, podendo e devendo prevê-lo e evitar a sua verificação (representa um vício de representação e de vontade). No primeiro caso fala-se de negligência consciente, no segundo de negligência inconsciente. A par das apontadas modalidades de negligência, é tradicional a distinção entre negligência grave, leve e levíssima, em função da intensidade ou grau da ilicitude (a violação do cuidado objectivamente devido) e da culpa (a violação do cuidado que o agente é capaz de prestar segundo os seus conhecimentos e capacidades pessoa). Partindo destas premissas parece-nos que a norma do n.° 1 do artigo em causa prevê a negligência ou culpa leve ou levíssima, a do n° 2 prevê o dolo, a intencionalidade e a do n° 3 prevê a negligência consciente ou culpa grave.
Não havendo um especial juízo de censura que recaia sobre o cliente do banco, será este que deverá suportar os prejuízos resultantes da intromissão de um terceiro no sistema. Em última análise, é o prestador de serviços de pagamento electrónicos que deve arcar com os danos potenciados pelas fragilidades do sistema de pagamentos que comercializa (Cf. Maria Raquel Guimarães, A repartição dos prejuizos...cit., pág. 65).
4.4- O Caso dos Autos.
O réu/apelante funda a sua pretensão de modificação da decisão, na alteração da matéria de facto, especialmente pretendendo que ficou provado que o autor sabia que o réu nunca solicita mais do que duas posições do seu cartão matriz e, por isso. Ao preencher um cartão matriz em branco violou, gravemente, as suas obrigações de cuidado, afastando assim a presunção de culpa que impendia sobre o réu/apelante.
Ora, conforme se analisou supra, não ficou provado que o autor tivesse conhecimento desse facto.
Além disso é necessário distinguir entre a indicação de duas posições do cartão matriz no âmbito de operações de pagamento e a indicação de posições do cartão matriz com vista a não deixar caducar o cartão, mormente após o acesso à página pessoal do cliente no serviço homebanking do banco.
Como se refere na sentença É verdade que a Ré tem o cuidado de informar, através de alertas que constam do cartão matriz e que surgem aquando do acesso à página, que nunca solicita mais do que duas posições do cartão matriz, tendo ainda na sua página uma série de Dicas de Segurança. Contudo, não ficou demonstrado que no separador mencionado, à data dos factos, existia a menção a fraudes como a ora em apreciação, nem que existisse um alerta quanto à não solicitação de coordenadas do cartão, com vista a não deixar expirar o cartão matriz, após o acesso à página pessoal, sendo que a esta apenas deveria ter acesso o Autor. Acresce que o alerta respeitante à não solicitação de mais de duas posições do cartão matriz, compreendido na lógica da utilização do próprio sistema, não obstante a palavra Nunca, não pode deixar de considerar-se como um alerta quando ao modo de confirmação de ordem que incida sobre movimentos que impliquem modificação do património, já que nada refere quanto à não solicitação por parte do banco de qualquer elementos confidencial para efeitos de actualização/renovação do cartão, sendo que, no caso do Autor, a solicitação tinha como fundamento a renovação do cartão e não o fornecimento de mais de duas coordenadas para validar um qualquer movimento bancário. Poder-se-á ainda argumentar que não tem qualquer sentido considerar como normal que a entidade bancária fizesse tal pedido. Contudo, não nos podermos esquecer que o fornecimento de tais elementos ocorreu após o Autor ter introduzido o seu username e PIN e ter visualizado o seu saldo bancário, sendo certo que, depois de introduzir tais elementos de segurança e estando visualmente perante o seu saldo bancário, ao qual apenas pode ter acesso quem disponha também do username e PIN, não era expectável que outra entidade aí pudesse intervir, que não o banco, de forma a questionar a lógica e a desconfiar de tal solicitação. Acresce que, como resulta da factualidade apurada, eram três os níveis de segurança e o Autor, pela via referida, apenas revelou, com o preenchimento do cartão matriz em branco, as posições matriz, mas não resulta da factualidade provada o modo como terão os terceiros acedido ao username e ao pin, elementos essenciais para que tais terceiros tivessem conseguido aceder, no dia seguinte, como acederam à página pessoal do Autor e realizar os movimentos em causa nos autos, pois que só com as coordenadas do cartão matriz não o conseguiriam fazer. Veja-se que a fragilidade do sistema existente à data não deixa de ser revelado pelo facto de hoje já se encontrar implementado mais um elemento de segurança, exigindo-se que os movimentos que impliquem redução do património do cliente sejam confirmados através do chamado SMS Code.
Assim, sem necessidade de outros considerandos resta concluir nos termos da sentença recorrida. Pelo que o recurso improcede.
III-Decisão.
Em face do exposto, acordam na 6a Secção Cível do Tribunal da Relação de lisboa em:
a)- Julgar parcialmente procedente o recurso apenas na parte relativa à impugnação da matéria de facto e, em consequência acrescentam o seguinte facto:
Na data referida em 5., aquando da abertura da página de login, através da utilização de computador pelo browser internet explorer, surgia a indicação dos procedimentos de segurança descritos a fls. 36 verso, cujo teor se dá aqui por reproduzido, antes mesmo de ser colocada a password, e o alerta constante de fls. 37, cujo teor se dá aqui por reproduzido..
b)- No mais, julga-se improcedente o recurso, mantendo-se a decisão recorrida.
Custas: pelo apelante.
Lisboa, 11/04/2019
Adeodato Brotas
Gilberto Jorge
Maria de Deus Correia
|