Ups... Isto não correu muito bem. Por favor experimente outra vez.
CONTRATO DE HOMEBANKING
PHISHING
NEGLIGÊNCIA GROSSEIRA
Sumário
I - No contrato de homebanking recai sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema, impendendo ainda sobre o mesmo o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência. Ao utilizador do serviço de pagamento – que deve dispor de um conjunto de dispositivos de segurança, como o código de acesso, cartão matriz, entre outros, que lhe vão permitir aceder a esse serviço, dada a sua função de autenticação e identificação exige-se que tome as medidas razoáveis em ordem a preservar a eficácia desses dispositivos. II - O Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica não esclarece o que entende por negligência grosseira, tal como o anterior diploma não dispunha o que entendia por culpa grave, sendo certo que o Código Civil igualmente não apresenta uma classificação dos graus de culpa, limitando-se a referências à distinção entre dolo e mera culpa e a uma menção esporádica a culpa grave, sem indicar qualquer critério de graduação da culpabilidade, pelo que se tem de atender ao critério do bonus pater famílias, previsto no artº 487º, nº 2, do Código Civil, por referência ao tipo de homem médio ou normal, medianamente sagaz, prudente avisado e cuidadoso (fazendo reportar estas qualidades ao do utilizador do serviço em causa) que utiliza os canais digitais dos bancos. III - Actua com negligência grosseira aquele que, tendo acesso aos canais digitais há cerca de 4 anos, face a uma actuação fraudulenta de phishing, é reencaminhado para um site distinto da Ré, fornece os dados de acesso ao homebanking e, assim, permite a movimentação de produtos poupança para a conta à ordem e, posteriormente, autentica as compras, após ter recebido uma notificação push na app MBway, a solicitar autorização para a concretização das mesmas, autorização essa que foi concedida, permitindo a conclusão, com sucesso, das transacções.
Texto Integral
Proc. nº 434/23.2T8PFR.P1
Tribunal Judicial da Comarca do Porto Este
Juízo Local Cível de Paços de Ferreira
AA, NIF ...04, propôs acção declarativa de condenação em processo comum contra FILIAL DO Banco 1..., S. A. ..., Banco 1..., S.A., número de pessoa coletiva ...16.
Peticiona a condenação do Réu no pagamento ao Autor da quantia de 11.000,00 Euros acrescida dos juros moratórios que se vencerem desde 06.12.2022, que até à data da propositura pagamento.
Peticiona, ainda, a condenação do Réu no pagamento de uma indemnização por danos não patrimoniais no valor de 1.000,00 Euros.
Alega, para o efeito, que é titular de duas contas bancárias na instituição Bancária da ora Ré, a conta à ordem n.º ...27 e a conta poupança n.º ...04, abertas na filial da Ré sita em Av. ..., ... ....
Mais alega que, no dia 10 de novembro de 2022, por volta das 18,40 horas, utilizando a sua conta à ordem n.º ...27 efectuou um depósito na sua conta ..., no valor de € 10,00.
Concomitantemente a tal depósito, recebeu, no seu número de telemóvel ...18, uma mensagem de texto, do remetente “.... APP”, com a seguinte indicação “.... App: Cartao de Deb/Cred e PIN foram BLOQUEADOS, compra suspeita identificada, para desbloquear aceda em https://reativarnbapp.site/”.
Necessitando de fazer o referido pagamento e convicto da genuinidade da proveniência da mensagem, o Autor acedeu ao link disponibilizado tendo sido redireccionado para uma página web exatamente com o mesmo design gráfico que a página da Ré possui.
Acrescenta que, face à semelhança e sempre na plena convicção de que se tratava da página web da Ré, o Autor inseriu a palavra-passe de acesso à aplicação do Banco 1....
Após inserção dos seus dados de acesso, e sem nunca ter fornecido o seu número de telemóvel, recebeu de imediato uma chamada telefónica por parte de um suposto funcionário da Ré.
O alegado funcionário da Ré, após se identificar, começou a indicar-lhe Autor todos os passos que o mesmo havia de seguir para ver a sua conta desbloqueada.
Não obstante, o Autor nunca, em momento algum, ter autorizado qualquer operação, fornecido quaisquer números do cartão, PIN’s, ou CVV’s, o que é certo é que, após ter terminado a referida chamada, deparou-se com movimentos, não autorizados, de saldos bancários das suas contas.
Após aceder à NETBANCO da Ré visualizou que as quantias de €6.000,00 (seis mil euros), €1.000,00 (mil euros) e de €3.000,00 (três mil euros) depositadas na conta a prazo n.º ...04, teriam sido movimentadas internamente para a conta a ordem n.º ...27 e, posteriormente, tais quantias haviam sido utilizadas para a realização de 3 compras online na corretora de criptomoedas “A...”.
Salientou, que todas estas movimentações ocorreram sem nunca, em momento algum, ter fornecido, por qualquer meio, dados de segurança da sua conta homebanking.
Concluídas tais transações, viu-se assim, de forma totalmente alheia à sua actuação, sem a quantia global de €11.000,00 (onze mil euros).
Em face de tal actuação, de imediato o Autor apresentou a respectiva queixa-crime, processo esse que corre seus termos no DIAP de Paços de Ferreira, com o n.º de processo ..., bem como, apresentou no balcão de ... uma reclamação por escrito.
Concluiu, dizendo, que o sucedido se deveu à negligência do Réu no que toca à segurança das contas do Autor.
*
Devidamente citada, a Ré Banco 1..., S.A., deduziu contestação na qual impugnou os factos alegados pelo Autor.
Alega que o Autor, em 10.11.2022, na sequência de um “depósito na sua conta ...”, recebeu um SMS no seu telemóvel e acedeu ao link nele contido, tendo sido direcionado para um site em tudo semelhante ao do Réu, onde inseriu a palavra-passe de acesso à aplicação do Réu e seguiu os passos que lhe foram sendo dados por telefone por um suposto funcionário deste, após o que se apercebeu de movimentações não autorizadas na sua conta.
Acrescenta que a pretensão do Autor não poderá proceder, porquanto não poderá nem deverá ser o Réu a suportar os prejuízos decorrentes da actuação gravemente negligente do Autor.
Conclui pela improcedência da acção e consequente absolvição do pedido.
*
Realizou-se a audiência de discussão e julgamento, com observância do inerente formalismo legal, após o que foi proferida sentença, absolvendo o Réu do pedido.
Custas a cargo do Autor, sem prejuízo do apoio judiciário de que beneficia.
*
É desta decisão que, inconformada, o Autor, interpõe recurso, terminando as suas alegações com as seguintes
CONCLUSÕES:
a) Em face da análise global de toda a prova testemunhal e documental, entende o Recorrente que os factos dados como provados e não provados deverão ser os que infra identificam:
Factos Provados
“1. O Autor é titular de duas contas bancárias na instituição Bancária da ora Ré, a conta à ordem n.º ...27 e a conta poupança n.º ...04, abertas na filial da Ré sita em Av. ..., ... ....
2. Durante o mês de novembro de 2022, o Autor, utilizando a sua conta à ordem n.º ...27 efetuou compras debitadas no cartão ...73, cartão esse que o Autor associou à aplicação MBWay.
3. No dia 9 de Novembro de 2022, o Autor recebeu, no seu número de telemóvel ...18, uma mensagem de texto, do remetente “.... APP”, com a seguinte indicação “.... App: Cartão de Deb/Cred e PIN foram BLOQUEADOS. Compra suspeita identificada, para desbloquear aceda em https://reativarnbapp.site/”.
4. Necessitando de fazer a referida compra, e convicto da genuinidade da proveniência da mensagem, o Autor acedeu ao link disponibilizado tendo sido redirecionado para uma página web exatamente com o mesmo design gráfico que a página da Ré possui.
5. Na plena convicção de que se tratava da página web da Ré, o Autor inseriu a palavra-passe de acesso à aplicação do Banco 1....
6. Após inserção dos seus dados de acesso, e sem nunca ter fornecido o seu número de telemóvel, o Autor recebeu de imediato uma chamada telefónica por parte de um suposto funcionário da Ré.
7. “O alegado funcionário da Ré, após se identificar, e na posse de todos os dados pessoais e dados da transação efetuada pelo Autor, pediu a este que os confirmasse.” “Em virtude de toda a informação que o alegado funcionário da Ré possuía, e na convicta certeza de que era realmente um funcionário da Ré, o autor, após confirmar todos os dados que lhe eram transmitidos pelo alegado funcionário, forneceu o código que lhe foi enviado via sms.”
8. O Autor após ter terminado a referida chamada, deparou-se com movimentos, não autorizados, de saldos bancários das suas contas.
9. Após aceder à NETBANCO da Ré visualizou que as quantias de € 6.000,00 (seis mil euros), €1.000,00 (mil euros) e de €3.000,00 (três mil euros) depositadas na conta a prazo n.º ...04, teriam sido movimentadas internamente para a conta a ordem n.º ...27 e, posteriormente,
10. Tais quantias haviam sido utilizadas para a realização de 3 compras online na corretora de criptomoedas “A...”.
11. Concluídas tais transações, o Autor viu-se assim, sem a quantia global de €10.000,00 transferidos da sua conta poupança para a D.O. e em 10.400,00 euros o valor das compras.
12. Estão em causa, transferências bancárias entre contas do Autor efectuadas através dos canais directos disponibilizados pelo Réu, bem como pagamentos com cartão validados através da aplicação MBWay.
13. A SMS que o Autor recebeu não foi remetida pelo Réu.
14. A referida SMS refere o bloqueio de cartão de débito / crédito, e não da conta.
15. Se o Autor tivesse atentado no URL (Uniform Resource Locator) de tal site – ou seja, no respectivo endereço Web -, teria percebido que não estava na página de homebanking do Réu e que, como tal, estava a ceder os seus códigos de acesso a terceiros.
16. Em 13.08.2018, e aquando da abertura da conta DO, o Autor também aderiu aos canais directos.
17. Os termos do contrato de abertura de conta, da utilização de cartões por clientes particulares, da utilização do serviço MBWay e dos canais directos disponibilizados pelo Réu aos seus clientes, encontram-se regulados no documento que se junto como doc. 03 e se dá por integralmente reproduzido para todos os efeitos legais.
18. Ao contrato de utilização dos canais directos corresponde a adesão n.º ...05, à qual ficou associado o número de telemóvel ...18, número este pertencente ao Autor.
19. Desde 13.08.2018 que o Autor é utilizador frequente e regular dos canais directos disponibilizados pelo Réu.
20. Decorre das Condições Gerais de adesão aos canais directos que os mesmos consistem em meios de comunicação alternativos entre o Réu e o seu cliente, que permitem a realização de operações à distância, sem necessidade de aquele se deslocar fisicamente a um balcão, podendo executar tais operações por telefone ou internet.
21. Para o efeito, o Réu emite um Cartão de Acesso aos Canais Directos do qual constam dois códigos de acesso ao serviço: (i) o número de adesão (que no caso do Autor é o acima referido n.º ...05) e (ii) uma chave alfanumérica (o habitualmente denominado cartão matriz).
22. É igualmente atribuído pelo Réu um PIN composto por seis dígitos.
23. Todos estes elementos, sem excepção, são únicos, pessoais e intransmissíveis, como, aliás, o Autor, como utilizador regular do serviço, não pode ignorar.
24. Em 09.11.2022, o Autor entrou em contacto telefónico com a linha de apoio do Réu, indicando que recebeu um SMS com informação de que o cartão estava bloqueado e um link para o desbloquear,
25. Link esse ao qual acedeu, tendo inserido no site para onde foi direccionado os dados de acesso aos seus canais digitais – ou seja, o número de adesão e o PIN.
26. ”No decurso de tal telefonema, o Autor apenas confirmou os dados que lhe eram transmitidos pelo alegado funcionário do banco, não tendo autorizado qualquer tipo de operações na aplicação MBWay”..
27. Atenta a situação exposta pelo Autor, o Réu procedeu ao imediato cancelamento da sua adesão aos canais directos, assim como dos cartões de débito e de crédito por se poderem encontrar associados à app MBWay.
28. Foi o Autor aconselhado a apresentar a competente participação às autoridades e a remeter o comprovativo ao Réu, via e-mail, o que fez.
29. Em 10.11.2022, o Autor apresentou ao Réu a reclamação de transações que se junta aos autos como doc. 4 e que se dá por integralmente reproduzida para todos os efeitos legais.
30. Não obstante o Réu ter procedido ao cancelamento do acesso aos canais directos dos cartões do Autor por suspeitas de utilização fraudulenta, as quais lhe foram comunicadas por aquele, após análise da reclamação apresentada, o Réu concluiu que as operações em causa não eram elegíveis para devolução, porquanto foram correctamente efectuadas com recurso à validação de dados pessoais e intransmissíveis, conforme foi comunicado ao Autor por carta de 11.01.2023.
31. Nem o sistema do Réu, nem a operação em causa foram afectados por qualquer avaria técnica ou outra deficiência do serviço, sendo que qualquer eventual problema ocorreu do lado do utilizador.
32. No dia 09.11.2022, foram realizadas operações de duas tipologias: (i) transferências da conta poupança para a conta de depósitos à ordem e (ii) compras com cartão associado a MBWay.
33. Com efeito, em 09.11.2022, pelas 18h45, foi efectuado acesso ao Banco 1... online, por via da introdução do número de adesão e do PIN de acesso composto por 6 dígitos.
34. No âmbito da sessão iniciada nos moldes aqui expostos, foram executadas as seguintes operações: (i) Desmobilização de aplicação poupança, no valor de €6.000,00, para a conta DO; (ii) Transferência, no valor de €1.000,00, para a conta DO; (iii) Desmobilização de aplicação poupança, no valor de €3.000,00, para a conta DO,
35. Para a validação destas operações não foi solicitada autenticação forte, visto que se trata de transferências entre contas dentro do património do Autor.
36. A execução de tais operações via canal directo Banco 1... online só foi possível porque foram inseridos os respectivos dados de acesso: número de adesão e do PIN de acesso composto por 6 dígitos.
37. O acesso ao canal Banco 1... online e, consequentemente, as referidas operações só se concretizaram porque estes elementos foram correctamente introduzidos no sistema do Réu.
38. Sem tais elementos, as operações não teriam sido concretizadas com sucesso.
39. Tendo as operações sido concluídas com sucesso por via da introdução de todos os elementos supra expostos (os quais, recorde-se, são pessoais e absolutamente intransmissíveis), então, em algum momento e por alguma via, o Autor deu conhecimento a terceiros do número de adesão e do PIN de acesso de 6 dígitos, necessários ao acesso ao canal Banco 1... online por via do qual foram efectuadas as referidas transferências.
40. As referidas operações foram devidamente autenticadas, registadas e contabilizadas, não tendo existido qualquer falha de segurança dos canais directos disponibilizados pelo Réu,
41. Deste modo, quem estava a efectuar as transferências, na perspectiva do Réu, era o Autor, seu cliente e titular da adesão n.º ...05, porquanto a cabal validação do acesso ao canal Banco 1... online com todas as credenciais exigidas, de natureza pessoal e intransmissível, não lhe permitiria supor que não fosse o Autor a executar a operação.
42. “A execução destas operações ocorreu pelo facto de um terceiro ter tido acesso prévio à base de dados da Ré, e com isso, na posse da informação sobre as operações efetuadas pelo Autor, os seus montantes e a sua data, e conseguido clonar a página online da Ré, induziu o Autor em erro, fazendo com que este introduzisse na página clonada o seu número de acesso e o PIN da conta do Banco 1....”
43. Seguidamente foram efectuadas três compras no site do comerciante A..., nos valores de (i) €2.500,00 (ii) €3.900,00 (iii) €4.000,00.
44. Tais compras foram efetuadas com recurso ao cartão de débito n.º ...73.
45. Tais compras foram efetuadas diretamente no site de empresa estrangeira sem qualquer autenticação do Autor via aplicação MBWay.
46. O acesso prévio à base de dados da Ré por terceira pessoa que lhe permitiu ter um conhecimento cabal sobre todos os dados pessoais do Autor e dados sobre a transferência realizada, foi crucial para induzir o Autor em erro.
47. Em face dessa inercia da Ré e uma vez induzido em erro, o Autor acedeu ao link constante na SMS que recebeu concomitantemente à transferência por si realizada para a ....
48. E imbuído da certeza que acedeu ao sítio online da Ré introduziu apenas os dados de acesso à sua conta bancária, sem nunca ter divulgado os seus dados pessoais como códigos PIN do cartão, CVV’s, ou dados do cartão matriz.
49. Todas as 3 operações realizadas foram-no sem qualquer autorização ou autenticação pelo Autor por qualquer via e, muito menos, através da aplicação MBWay”.Seguidamente, foram efectuadas três compras no site do comerciante A..., nos valores de (i) 2.500,00, (ii) €3.900,00 e (iii) €4.000,00.
Factos Não Provados
1. “Em violação do legalmente previsto a Ré não divulgava, na data da prática dos factos, avisos e alertas informativos para os seus clientes sensibilizando-os do risco das burlas informáticas”.
2. Viu-se assim o Autor obrigado a recorrer a ajuda dos seus familiares mais próximos de forma que estes lhe pudessem mutuar algum dinheiro.
3. Tudo isto causou e causa no Autor uma profunda vergonha, uma vez que, o mesmo, apesar da sua jovem idade, sempre foi uma pessoa muito independente e capaz de, sozinho, fazer face aos seus encargos.”
b) De acordo com o art.º 113º do Dec. Lei nº 91/2018 quando um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no art.º 110º do mesmo diploma [nº 3].
c) Nestas situações, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento [nº 4].
d) Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou do linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a 50 euros – cfr. art. 115º, nº 4.
e) Ora, a negligência grosseira corresponderá a um “erro imperdoável, desatenção inexplicável, incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”.
f) Não se pode “qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’,‘pharming’,‘keylogging’) como gravemente negligente”, porquanto “essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder [ser] qualificada como grosseiramente negligente ela não pode ser suscetível de ser levada a cabo por um número significativo dos homens médios”.
g) Entende o Recorrente que só uma pessoa muito experiente e muito conhecedora do meio de navegação em ambiente eletrónico para que pudesse desconfiar do isco que lhe foi lançado nas circunstâncias provadas.
h) A negligência grosseira ocorre quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, quando seja alcançado um mais alto grau de desleixo e incúria – decorre da inobservância das mais elementares regras de prudência e da não adoção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes.
i) A negligência grosseira será de afirmar relativamente ao comportamento que nunca por nunca seria adotado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias do agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adotar e/ou prosseguir.
j) O comum dos utilizadores dos serviços de homebanking prestados pelas entidades bancárias, mesmo os mais diligentes, teriam inserido numa página de internet igual à do Banco Recorrido os seus dados de acesso, até porque, tais dados apenas permitem a entrada nessa página e não a realização de quaisquer operações.
k) Quer nas situações de pharming quer nas de phishing ou, pelo menos, o lesado quando fornece os elementos pessoais de segurança encontra-se num site que pela sua configuração gráfica lhe fornece a convicção de se estar no site do Banco.
E não nos parece decisivo, na análise da negligência, que a circunstância de se ter acedido a esse site (que não é o do Banco mas parece ser) porque foram digitados os números da conta de utilizador e do pin (e posteriormente os do cartão matriz para realizar operações) ou se venha a aceder a ele porque se recebeu uma “sms” com a identificação do banco a alertar para uma situação que importa resolver no aceso ao homebanking, seja estruturalmente diferente. Em ambos os casos é quando se está no site que tem toda a configuração do domínio do Banco que se realizam as operações através das quais são fornecidos os elementos.”.
l) Tendo facultado os elementos que facultou, só porque estava convicto de que os estava a revelar para acesso ao próprio banco recorrente, não se afigura que tal atitude possa ser qualificada como negligência grave, concluindo-se que nas circunstâncias do caso, qualquer pessoa, medianamente sagaz e cuidadosa, poderia ser induzida em erro e ser levada a ter exatamente o mesmo comportamento. A situação concreta que a sms recebida tendo em vista o desbloqueio do seu cartão de débito e que em momento anterior tinha utilizado, tal a diligência de desbloqueio por parte do Recorrente não a iria conduzir a qualquer operação ativa de movimento da conta a prazo e à ordem e muito menos poderia prever que o seu comportamento autorizasse a utilização por terceiros porque, do que realizava.
m) Não tem quaisquer dúvidas o Recorrente que, qualquer pessoa, medianamente sagaz e cuidadosa, colocada na sua posição poderia ser induzida em erro e ser levada a ter exatamente o mesmo comportamento que teve o Recorrente, acrescido do facto de temporalmente quer o envio da sms quer a receção da chamada telefónica ocorrerem após a utilização do cartão de débito na plataforma MBWay e após aceder ao link enviado por sms.
n) O contrato de “homebanking” celebrado entre o Recorrente e o banco Recorrido é o acordo mediante qual o cliente adere a um serviço prestado pelo banco, que consiste na possibilidade de manter relações via internet, de forma a aceder a informações sobre produtos e serviços do banco; obter informações e realizar operações bancárias sobre contas de que a autora fosse titular e, realizar pagamentos, cobranças e operações de compra, venda, subscrição ou resgate sobre produtos ou serviços disponibilizados pelo banco.
o) A entidade bancária (Recorrida) só não será responsabilizada pelas perdas, sofridas pelo cliente (Recorrente), decorrentes de operações fraudulentas sobre a conta deste, no âmbito do homebanking, se alegar e provar que o dano resultou de atuação dolosa ou grosseiramente negligente do utilizador do serviço;
p) Não age de forma grosseiramente negligente o utilizador de conta bancária que, no âmbito do homebanking, fornece os seus dados confidenciais na sequência do recebimento de um SMS, que tudo indicava ser proveniente da respetiva entidade bancária, pelo mesmo canal emissor através do qual já tinha recebido outros SMS´s todos fidedignos, a que acresce o facto de a página web a que depois acede aparentar ser a dessa entidade bancária, por se mostrar idêntica à sua página oficial.
Conclui pela revogação da sentença e, em consequência, condenando-se a Recorrida no pagamento ao Recorrente da quantia de 11.000,00€ (onze mil euros) acrescido de juros à taxa legal que vigorar desde a citação até efetivo e integral pagamento nos termos do peticionado.
*
Contra-alegou a A., apresentando as seguintes
CONCLUSÕES:
1. A decisão recorrida não merece qualquer censura, fazendo cuidada apreciação da matéria de facto, e correcta aplicação da matéria de direito.
2. Na sua impugnação da matéria de facto, o Recorrente ignora completamente os depoimentos das testemunhas arroladas pelo Réu, valoradas pelo Tribunal recorrido, pois foram objectivos e isentos, bem como toda a documentação junta aos autos.
3. Deve manter-se a redacção dos factos provados e não provados da decisão recorrida, não tendo o Recorrente sustentado a sua pretensão.
4. É o próprio Recorrente quem, quer nas declarações prestadas na queixa-crime apresentada, quer na carta dirigida em sua representação pelo seu Ilustre Mandatário, ao Recorrido, refere que, neste telefonema, o alegado funcionário do Recorrido lhe indicou passos a seguir, o que ele emesmo confessa ter feito.
5. O Recorrente confessa, até nas suas alegações, ter fornecido, pasme-se, “tão só e simplesmente os dados de acesso ao homebanking do Banco 1....”!!!
6. É evidente que, com os dados de acesso ao homebanking, qualquer terceiro consegue ter acesso a toda a informação da conta, ao nome completo do titular, aos seus dados pessoais, e a toda a informação dos movimentos efectuados, informação que o Recorrente diz ter sido suficiente para acreditar que estava a falar com um funcionário do Recorrido.
7. Não houve qualquer acesso prévio à base de dados do Recorrido, como alega o Recorrente, mas apenas o acesso ao homebanking do Recorrente, com os dados que ele próprio confessa ter fornecido a terceiro.
8. O Recorrente continua a confundir transferências com pagamentos, e operações realizadas na aplicação Mbway, com operações validadas na aplicação Mbway, sendo que o que aconteceu no caso em apreço foi a realização de uma operação (compra) num site de empresa estrangeira (A... – comerciante de criptomoedas), com recurso aos dados do cartão do Recorrente, operação essa que foi depois validada na aplicação MbWay, informação que é prestada pela SIBS e confirmada pelo depoimento da testemunha BB.
9. Quer por via legal, quer por via contratual, o Recorrente encontrava-se obrigado a manter a confidencialidade e a preservar a segurança das suas credenciais de acesso aos canais directos disponibilizados pelo Recorrido, bem como das credenciais necessárias à validação das operações a efectuar por aquela via.
10. O Recorrente cedeu tais elementos a terceiros – pois, como confessou, “inseriu a palavra-passe de acesso à aplicação do Banco 1...” -, sendo manifesto que tal comportamento consubstancia uma violação grave das obrigações legais e contratuais assumidas aquando da adesão.
11. É especialmente censurável que o Recorrente não tenha atentado minimamente no teor nas notificações push que recebeu na app MBWay e que permitiu a realização das 3 compras com o cartão.
12. O art.º 113.º do D.L. 91/2018, regula a prova de autenticação e execução da operação de pagamento, dispondo no respectivo n.º 1 que “Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respectivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.”
13. O Recorrido, na qualidade de prestador do serviço de pagamento, provou cabalmente que as operações em causa (quer as transferências, quer as compras com cartão) foram autenticadas, devidamente registadas e contabilizadas, não tendo sido afetadas por qualquer espécie de avaria técnica ou qualquer outra deficiência do serviço por si prestado, o que resultou corroborado pelos depoimentos das testemunhas CC e BB.
14. Tomando como bitola a diligência exigida ao homem médio minimamente zeloso, é manifesto que o Recorrente, com o comportamento supra descrito, infringiu os mais elementares deveres de cuidado que lhe eram exigidos, enquanto utilizador dos canais digitais disponibilizados pelo Recorrido.
15. A realização das operações apreço ficou a dever-se à actuação culposa e gravemente negligente do Recorrente, incumprindo o dever de segurança e confidencialidade que lhe incumbia e, como tal, é responsável pela totalidade das perdas que sofreu.
16. O comportamento do Recorrente configura uma situação de negligência grosseira que, nos termos conjugados do disposto nos artigos 113.º, n.º 4 e 115.º, n.ºs 3 e 4 do D.L. 91/2018, afasta a responsabilidade do Recorrido, fazendo recair sobre o Recorrente o encargo decorrente das operações em causa, como bem decidiu a sentença recorrida
Conclui, assim, pela improcedência da apelação.
*
O recurso foi admitido como de apelação, a subir de imediato, nos próprios autos e com efeito meramente devolutivo.
No exame preliminar considerou-se nada obstar ao conhecimento do objecto do recurso.
Colhidos os vistos legais, cumpre decidir.
***
II - OBJECTO DO RECURSO
O objecto do recurso é delimitado pelas conclusões da alegação dos recorrentes, não podendo este tribunal conhecer de questões nelas não incluídas, salvo se forem de conhecimento oficioso (cf. artigos 635.º, n.º 4, 637.º, n.º 2, 1.ª parte, e 639.º, nºs 1 e 2, todos do Código de Processo Civil (C. P. Civil).
Assim, partindo das conclusões das alegações apresentadas pelos Apelantes, as questões a decidir no presente recurso, são as seguintes:
a) Erro notório na apreciação da prova.
b) Se se justifica a alteração da solução jurídica dada ao caso pela 1.ª instância.
***
III - FUNDAMENTAÇÃO
1. OS FACTOS
1.1. Factos provados
O tribunal de que vem o recurso julgou provados os seguintes factos;
1. O Autor é titular de duas contas bancárias na instituição Bancária da ora Ré, a conta à ordem n.º ...27 e a conta poupança n.º ...04, abertas na filial da Ré sita em Av. ..., ... ....
2. Durante o mês de novembro de 2022, o Autor, utilizando a sua conta à ordem n.º ...27 efetuou compras debitadas no cartão ...73, cartão esse que o Autor associou à aplicação MBWay.
3. No dia 9 de Novembro de 2022, o Autor recebeu, no seu número de telemóvel ...18, uma mensagem de texto, do remetente “.... APP”, com a seguinte indicação “.... App: Cartão de Deb/Cred e PIN foram BLOQUEADOS. Compra suspeita identificada, para desbloquear aceda em https://reativarnbapp.site/”.
4. Necessitando de fazer a referida compra, e convicto da genuinidade da proveniência da mensagem, o Autor acedeu ao link disponibilizado tendo sido redirecionado para uma página web exatamente com o mesmo design gráfico que a página da Ré possui.
5. Na plena convicção de que se tratava da página web da Ré, o Autor inseriu a palavra-passe de acesso à aplicação do Banco 1....
6. Após inserção dos seus dados de acesso, e sem nunca ter fornecido o seu número de telemóvel, o Autor recebeu de imediato uma chamada telefónica por parte de um suposto funcionário da Ré.
7. O alegado funcionário da Ré, após se identificar, começou a indicar ao Autor todos os passos que o mesmo havia de seguir para ver a sua conta desbloqueada.
8. O Autor após ter terminado a referida chamada, deparou-se com movimentos, não autorizados, de saldos bancários das suas contas.
9. Após aceder à NETBANCO da Ré visualizou que as quantias de €6.000,00 (seis mil euros), €1.000,00 (mil euros) e de €3.000,00 (três mil euros) depositadas na conta a prazo n.º ...04, teriam sido movimentadas internamente para a conta a ordem n.º ...27 e, posteriormente,
10. Tais quantias haviam sido utilizadas para a realização de 3 compras online na corretora de criptomoedas “A...”.
11. Concluídas tais transações, o Autor viu-se assim, sem a quantia global de €10.000,00 transferidos da sua conta poupança para a D.O. e em 10.400,00 euros o valor das compras.
12. Estão em causa, transferências bancárias entre contas do Autor efectuadas através dos canais directos disponibilizados pelo Réu, bem como pagamentos com cartão validados através da aplicação MBWay.
13. A SMS que o Autor recebeu não foi remetida pelo Réu.
14. A referida SMS refere o bloqueio de cartão de débito / crédito, e não da conta.
15. Em clara violação de todos os avisos e alertas divulgados pelo Réu, o Autor não só acedeu ao link fornecido em SMS cujo remetente não podia confirmar ser o Réu, como também introduziu, no site para onde foi direccionado – portanto, fraudulento –, os códigos de acesso aos canais digitais disponibilizados pelo Réu.
16. Se o Autor tivesse atentado no URL (Uniform Resource Locator) de tal site – ou seja, no respectivo endereço Web -, teria percebido que não estava na página de homebanking do Réu e que, como tal, estava a ceder os seus códigos de acesso a terceiros.
17. Em 13.08.2018, e aquando da abertura da conta DO, o Autor também aderiu aos canais directos.
18. Os termos do contrato de abertura de conta, da utilização de cartões por clientes particulares, da utilização do serviço MBWay e dos canais directos disponibilizados pelo Réu aos seus clientes, encontram-se regulados no documento que se junto como doc. 03 e se dá por integralmente reproduzido para todos os efeitos legais.
19. Ao contrato de utilização dos canais directos corresponde a adesão n.º ...05, à qual ficou associado o número de telemóvel ...18, número este pertencente ao Autor.
20. Desde 13.08.2018 que o Autor é utilizador frequente e regular dos canais directos
disponibilizados pelo Réu.
21. Decorre das Condições Gerais de adesão aos canais directos que os mesmos consistem em meios de comunicação alternativos entre o Réu e o seu cliente, que permitem a realização de operações à distância, sem necessidade de aquele se deslocar fisicamente a um balcão, podendo executar tais operações por telefone ou internet.
22. Para o efeito, o Réu emite um Cartão de Acesso aos Canais Directos do qual constam dois códigos de acesso ao serviço: (i) o número de adesão (que no caso do Autor é o acima referido n.º ...05) e (ii) uma chave alfanumérica (o habitualmente denominado cartão matriz).
23. É igualmente atribuído pelo Réu um PIN composto por seis dígitos.
24. Todos estes elementos, sem excepção, são únicos, pessoais e intransmissíveis, como, aliás, o Autor, como utilizador regular do serviço, não pode ignorar.
25. Em 09.11.2022, o Autor entrou em contacto telefónico com a linha de apoio do Réu, indicando que recebeu um SMS com informação de que o cartão estava bloqueado e um link para o desbloquear.
26. Link esse ao qual acedeu, tendo inserido no site para onde foi direccionado os dados de acesso aos seus canais digitais – ou seja, o número de adesão e o PIN.
27. No decurso de tal telefonema, o Autor também confessou que autorizou operações na aplicação MBWay.
28. Atenta a situação exposta pelo Autor, o Réu procedeu ao imediato cancelamento da sua adesão aos canais directos, assim como dos cartões de débito e de crédito por se poderem encontrar associados à app MBWay.
27. Foi o Autor aconselhado a apresentar a competente participação às autoridades e a remeter o comprovativo ao Réu, via e-mail, o que fez.
28. Em 10.11.2022, o Autor apresentou ao Réu a reclamação de transações que se junta aos autos como doc. 4 e que se dá por integralmente reproduzida para todos os efeitos legais.
29º. Não obstante o Réu ter procedido ao cancelamento do acesso aos canais directos dos cartões do Autor por suspeitas de utilização fraudulenta, as quais lhe foram comunicadas por aquele, após análise da reclamação apresentada, o Réu concluiu que as operações em causa não eram elegíveis para devolução, porquanto foram correctamente efectuadas com recurso à validação de dados pessoais e intransmissíveis, conforme foi comunicado ao Autor por carta de 11.01.2023.
30. Nem o sistema do Réu, nem a operação em causa foram afectados por qualquer avaria técnica ou outra deficiência do serviço, sendo que qualquer eventual problema ocorreu do lado do utilizador.
31. No dia 09.11.2022, foram realizadas operações de duas tipologias:
(i) transferências da conta poupança para a conta de depósitos à ordem e (ii) compras com cartão associado a MBWay.
32. Com efeito, em 09.11.2022, pelas 18h45, foi efectuado acesso ao Banco 1... online, por via da introdução do número de adesão e do PIN de acesso composto por 6 dígitos.
33. No âmbito da sessão iniciada nos moldes aqui expostos, foram executadas as seguintes operações:
(i) Desmobilização de aplicação poupança, no valor de €6.000,00, para a conta DO;
(ii) Transferência, no valor de €1.000,00, para a conta DO;
(iii) Desmobilização de aplicação poupança, no valor de €3.000,00, para a conta DO,
34. Para a validação destas operações não foi solicitada autenticação forte, visto que se trata de transferências entre contas dentro do património do Autor.
35. A execução de tais operações via canal directo Banco 1... online só foi possível porque foram inseridos os respectivos dados de acesso: número de adesão e do PIN de acesso composto por 6 dígitos.
36º. O acesso ao canal Banco 1... online e, consequentemente, as referidas operações só se concretizaram porque estes elementos foram correctamente introduzidos no sistema do Réu.
37º. Sem tais elementos, as operações não teriam sido concretizadas com sucesso.
38º. Tendo as operações sido concluídas com sucesso por via da introdução de todos os elementos supra expostos (os quais, recorde-se, são pessoais e absolutamente intransmissíveis), então, em algum momento e por alguma via, o Autor deu conhecimento a terceiros do número de adesão e do PIN de acesso de 6 dígitos, necessários ao acesso ao canal Banco 1... online por via do qual foram efectuadas as referidas transferências.
39º. As referidas operações foram devidamente autenticadas, registadas e contabilizadas, não tendo existido qualquer falha de segurança dos canais directos disponibilizados pelo Réu,
40º. Deste modo, quem estava a efectuar as transferências, na perspectiva do Réu, era o Autor, seu cliente e titular da adesão n.º ...05, porquanto a cabal validação do acesso ao canal Banco 1... online com todas as credenciais exigidas, de natureza pessoal e intransmissível, não lhe permitiria supor que não fosse o Autor a executar a operação.
41º. A execução destas operações não decorreu de qualquer ataque ou falha do sistema operativo do Réu, tendo sido devidamente autenticadas pelo utilizador do serviço – que se presume, por isso, ser o Autor -, através da introdução de todas as credenciais exigidas para o efeito.
42º. Seguidamente, foram efectuadas três compras no site do comerciante A..., nos valores de (i) 2.500,00, (ii) € 3.900,00 e (iii) €4.000,00.
43º. Tais compras foram efectuadas com recurso ao cartão de débito n.º ...73 e autenticadas na aplicação MBWay,
44º. Para autenticar tais compras, o titular do cartão – ou seja, o Autor – recebeu uma notificação push na app MBway solicitando autorização para a concretização das mesmas.
45º. Autorização essa que foi concedida, permitindo a conclusão, com sucesso, das transações, tudo conforme decorre da informação prestada pela SIBS quanto aos movimentos do aludido cartão.
46º. Tais compras foram autorizados após a realização, com sucesso, de todo o fluxo de validação 3DSecure1 e autenticadas através da app MBWay.
47º. Acresce que o contacto utilizado para autenticar as transações na app MBWay foi o n.º. ...18 – ou seja, o número do Autor que também se encontra associado à adesão aos canais directos.
48º. Donde, também as compras efectuadas ao comerciante A... foram devidamente autenticadas, registadas e contabilizadas, não tendo existido qualquer falha de segurança dos serviços disponibilizados pelo Réu.
49º. Foi o Autor, ao aceder ao link que lhe chegou por via de SMS, negligentemente e à revelia de todas as recomendações de segurança e alertas de fraude divulgados pelo Réu junto dos seus clientes, que permitiu o acesso ao canal Banco 1... online e a consequente realização das 3 operações de transferências bancárias, assim como permitiu a autenticação das três compras efectuadas com recurso ao cartão de débito associado à app MBWay,
*
Factos não provados:
1. No presente caso, por inatividade da Ré, foi permitido a terceiros entrar no sistema informático desta tendo acesso, em tempo real, aos dados pessoais do Autor e aos dados de transferências realizadas por este.
2. Passos esses que nunca passaram por divulgação de quaisquer dados pessoais ou quaisquer códigos PIN ou CVV’s.
3. O Autor sem que desse qualquer autorização ou divulgação de dados de segurança da sua conta, foi movimentado dinheiro da sua conta a prazo para a sua conta a ordem e, posteriormente, foram realizadas três compras online no comerciante “A...”.
4. A atuação dos terceiros foi possibilitada pela inércia da Ré na supervisão e controlo dos seus sistemas de segurança.
5. Viu-se assim o Autor obrigado a recorrer a ajuda dos seus familiares mais próximos de forma que estes lhe pudessem mutuar algum dinheiro.
6. Tudo isto causou e causa no Autor uma profunda vergonha, uma vez que, o mesmo, apesar da sua jovem idade, sempre foi uma pessoa muito independente e capaz de, sozinho, fazer face aos seus encargos
***
1.3. O Apelante pretendem que este Tribunal reaprecie a decisão em relação a certos pontos da factualidade julgada provada e não provada, tendo por base meios de prova que indica.
Dispõe o art. 662.º, n.º 1 do C. P. Civil, “a Relação deve alterar a decisão proferida sobre a matéria de facto, se os factos dados como assentes, a prova produzida ou um documento superveniente impuserem decisão diversa”.
À luz deste preceito, “fica claro que a Relação tem autonomia decisória, competindo-lhe formar e formular a sua própria convicção, mediante a reapreciação dos meios de prova indicados pelas partes ou daqueles que se mostrem acessíveis e com observância do princípio do dispositivo no que concerne à identificação dos pontos de discórdia”.
O Tribunal da Relação usa do princípio da livre apreciação da prova com a mesma amplitude de poderes da 1.ª instância, nos termos consagrados pelo art. 607.º, n.º 5, do C. P. Civil, sem olvidar, porém, os princípios da oralidade e da imediação.
A modificabilidade da decisão de facto é ainda susceptível de operar nas situações previstas nas diversas alíneas do n.º 2 do art. 662.º do C. P. Civil.
A prova é “a actividade realizada em processo tendente à formação da convicção do tribunal sobre a realidade dos factos controvertidos”, tendo “por função a demonstração da realidade dos factos” (art. 341.º do C. Civil) – a demonstração da correspondência entre o facto alegado e o facto ocorrido, vide Miguel Teixeira de Sousa, As partes, o objeto e a prova na ação declarativa, Lex, 1995, p. 195.
Sendo desejável, em prol da realização máxima da ideia de justiça, que a verdade processual corresponda à realidade material dos acontecimentos (verdade ontológica), certo e sabido é que nem sempre é possível alcançar semelhante patamar ideal de criação da convicção do juiz no processo de formação do seu juízo probatório.
Daí que a jurisprudência que temos por mais representativa acentue que a “verdade processual, na reconstrução possível, não é nem pode ser uma verdade ontológica”, não podendo sequer ser distinta ou diversa “da reconstituição possível do passado, na base da avaliação e do julgamento sobre factos, de acordo com procedimentos e princípios e regras estabelecidos”, os quais são muitas vezes encontrados nas chamadas “regras da experiência”, vide Ac. do STJ de 06.10.2010, relatado por Henriques Gaspar no processo 936/08.JAPRT, acessível em www.dgsi.pt.
Movemo-nos no domínio do que a doutrina considera como standard de prova ou critério da suficiência da prova, que se traduz numa regra de decisão indicadora do nível mínimo de corroboração de uma hipótese para que esta possa considerar-se provada, ou seja, possa ser aceite como verdadeira, vide Luís Filipe Pires de Sousa, O Standard de Prova no Processo Civil e no Processo Penal, janeiro de 2017, acessível em http://www.trl.mj.pt/PDF/O%20standard%20de%20prova%202017.pdf.
Para o citado autor “pese embora a existência de algumas flutuações terminológicas, o standard que opera no processo civil é, assim, o da probabilidade prevalecente ou “mais provável que não”. Este standard consubstancia-se em duas regras fundamentais:
(i) Entre as várias hipóteses de facto deve preferir-se e considerar-se como verdadeira aquela que conte com um grau de confirmação relativamente maior face às demais;
(ii) Deve preferir-se aquela hipótese que seja “mais provável que não”, ou seja, aquela hipótese que é mais provável que seja verdadeira do que seja falsa.
Em primeiro lugar, este critério da probabilidade lógica prevalecente – insiste-se – não se reporta à probabilidade como frequência estatística mas sim como grau de confirmação lógica que um enunciado obtém a partir das provas disponíveis.
Em segundo lugar, o que o standard preconiza é que, quando sobre um facto existam provas contraditórias, o julgador deve sopesar as probabilidades das diferentes versões para eleger o enunciado que pareça ser relativamente “mais provável”, tendo em conta os meios de prova disponíveis. Dito de outra forma, deve escolher-se a hipótese que receba apoio relativamente maior dos elementos de prova conjuntamente disponíveis”
Os meios de prova, enquanto “modos por que se revelam os factos que servem de fonte das relações jurídicas”, encontram no Código Civil os seguintes tipos:
- a confissão (arts. 352.º a 361.º); a prova documental (arts. 362.º a 387.º);
- a prova pericial (arts. 388.º e 389.º);
- a prova por inspecção (arts. 390.º e 391.º);
- e a prova testemunhal (arts. 392.º a 396.º).
Nos termos do preceituado no art. 607.º, n.º 5, do C. P. Civil, “o juiz aprecia livremente as provas segundo a sua prudente convicção acerca de cada facto; a livre apreciação não abrange os factos para cuja prova a lei exija formalidade especial, nem aqueles que só possam ser provados por documentos ou que estejam plenamente provados, quer por documentos, quer por acordo ou confissão das partes”.
O citado normativo consagra o chamado princípio da livre apreciação da prova, que assume carácter eclético entre o sistema de prova livre e o sistema de prova legal.
Assim, o tribunal aprecia livremente a prova testemunhal (art. 396.º do C. Civil e arts. 495.º a 526.º do C. P. Civil), bem como os depoimentos e declarações de parte (arts. 452.º a 466.º do C. P. Civil, excepto na parte em que constituam confissão; a prova por inspecção (art. 391.º do C. Civil e arts. 490.º a 494.º do C.P. Civil); a prova pericial (art. 389.º do C. Civil e arts. 467.º a 489.º do C. P. Civil); e ainda no caso dos arts. 358.º, nºs 3 e 4, 361.º, 366.º, 371.º, n.ºs 1, 2ª parte e 2, e 376.º, n.º 3, todos do C. Civil.
Por sua vez, estão subtraídos à livre apreciação os factos cuja prova a lei exija formalidade especial: é o que acontece com documentos ad substantiam ou ad probationem; também a confissão quando feita nos termos do art. 358.º, nºs 1 e 2 do C. Civil; e os factos que resultam provados por via da não observância do ónus de impugnação (art. 574.º, n.º 2, do C. P. Civil).
O sistema de prova legal manifesta-se na prova por confissão, prova documental e prova por presunções legais, podendo distinguir-se entre prova pleníssima, prova plena e prova bastante”, vide Castro Mendes, Do conceito de prova em processo civil, Ática, 1961, Tese de Doutoramento apresentada à Faculdade de Direito da Universidade de Lisboa, p. 413.
A prova pleníssima não admite contraprova nem prova em contrário. Nesta categoria integram-se as presunções iuris et de iure (art. 350.º, n.º 2, in fine do C. Civil).
Por sua vez, a prova plena é aquela que, para impugnação, é necessária prova em contrário (arts. 347.º e 350.º, n.º 2, ambos do C. Civil). Assim será com os documentos autênticos que fazem prova plena do conteúdo que nele consta (art. 371.º, n.º 1, do C. Civil), sem prejuízo de ser arguida a sua falsidade (art. 372.º, n.º 1, do C. Civil), e também com as presunções iuris tantum (art. 350.º, n.º 2, do C. Civil).
Por último, a prova bastante carateriza-se por bastar a mera contraprova para a sua impugnação, ou seja, a colocação do julgador num estado de dúvida quanto à verdade do facto (art. 346.º do C. Civil). Assim se distingue prova em contrário de contraprova – aquela, mais do que criar um estado de dúvida, tem de demonstrar a não realidade do facto, vide Pais de Amaral, Direito Processual Civil, 12.ª edição, Almedina, 2015, p. 293.
*
1.4 Do invocado erro de julgamento.
Invoca:
Com o presente recurso a Recorrente pretende, em primeiro lugar, ver como não provados os factos 7), 15, 27, 41, 42, 43, 44, 45, 46, 47, 48 e 49, pugnando ainda pela eliminação dos factos não provados de 1 a 4.
Apreciando:
Ouvida a prova testemunhal e apreciada toda a restante prova no seu conjunto, cabe dizer o seguinte:
*
Compaginada toda a prova produzida:
Ponto 7 dos factos provados:
“O alegado funcionário da Ré, após se identificar, começou a indicar ao Autor todos os passos que o mesmo havia de seguir para ver a sua conta desbloqueada.”
Pretende o Autor dever ser substituído pelo seguinte texto:
“O alegado funcionário da Ré, após se identificar, e na posse de todos os dados pessoais e dados da transação efetuada pelo Autor, pediu a este que os confirmasse.
Em virtude de toda a informação que o alegado funcionário da Ré possuía, e na convicta certeza de que era realmente um funcionário da Ré, o autor, após confirmar todos os dados que lhe eram transmitidos pelo alegado funcionário, forneceu o código que lhe foi enviado via sms.”
Constata-se que existe uma carta dirigida pelo Recorrente à Recorrida em 30.11.2022, junta como documento nº 2 da p.i. onde é referido “Como forma de desbloquear tais cartões foi-lhe indicado, na referida mensagem, um endereço electrónico que o reencaminhou para um sítio de Internet, absolutamente idêntico à vossa página, onde lhe foi requerida a senha de acesso à App do Banco 1..., o que o exponente fez, sempre na convicção de que se trataria da vossa página oficial e do vosso número de contacto.
Acresce que, posteriormente a tal preenchimento, o exponente recebeu uma chamada telefónica, de um intitulado vosso funcionário, indicando os passos que o exponente teria de seguir de forma a desbloquear as suas contas.”
E na denúncia que apresentou junto do Posto Territorial ... da Guarda Nacional Republicana, no dia 10.11.2022, junto por requerimento do Réu em 13.10.2023, relatou, relativamente ao telefonema recebido:
“Recebeu uma chamada não identificada, para o seu telemóvel da parte do banco supostamente, era um homem com sotaque do Brasil, que lhe disse para desbloquear a última transacção que tinha feito á uns minutos tinha que seguir os seus paços e no fim disse-lhe que os seus cartões já estavam activos e estaria tudo desbloqueado.”
Assim, face aos documentos em causa, atente-se que a data da queixa no posto da GNR é logo no dia a seguir aos factos, o Apelante descreve de forma clara o que tinha ocorrido, sendo pouco credível o depoimento da testemunha DD, atenta a forma titubeante/insegura, como depôs.
Assim sendo, indefere-se a reclamação nesta parte.
*
Ponto 15.º provado:
“Em clara violação de todos os avisos e alertas divulgados pelo Réu, o Autor não só acedeu ao link fornecido em SMS cujo remetente não podia confirmar ser o Réu, como também introduziu, no site para onde foi direccionado – portanto, fraudulento –, os códigos de acesso aos canais digitais disponibilizados pelo Réu.”
Deve ser substituído pelo seguinte texto:
“Em violação do legalmente previsto a Ré não divulgava, na data da prática dos factos, avisos e alertas informativos para os seus clientes sensibilizando-os do (SIC) risco das burlas informáticas”
A reclamação aqui também tem de improceder, porquanto o Autor não identifica qual a legislação violada, sendo certo, até por conhecimento geral e público, que que as entidades bancárias estão constantemente a alertar os clientes sobre este tipo de fraudes (conforme artº 412º, nº 1, do CPC), como, aliás, foi dado por provado em 49.
Acresce termos os documentos acima citados que demonstram o facto sindicado e dado por provado.
Assim sendo, indefere-se a reclamação nesta parte.
*
Ponto 27.º
“No decurso de tal telefonema, o Autor também confessou que autorizou operações na aplicação MBWay.”
Deverá passar a ser:
“No decurso de tal telefonema, o Autor apenas confirmou os dados que lhe eram transmitidos pelo alegado funcionário do banco, não tendo autorizado qualquer tipo de operações na aplicação MBWay”.
e
Ponto 41
“A execução destas operações não decorreu de qualquer ataque ou falha do sistema operativo do Réu, tendo sido devidamente autenticadas pelo utilizador do serviço – que se presume, por isso, ser o Autor -, através da introdução de todas as credenciais exigidas para o efeito.”
Pretendendo que a redacção passe a ser:
“A execução destas operações ocorreu pelo facto de um terceiro ter tido acesso prévio à base de dados da Ré, e com isso, na posse da informação sobre as operações efetuadas pelo Autor, os seus montantes e a sua data, e conseguido clonar a página online da Ré, induziu o Autor em erro, fazendo com que este introduzisse na página clonada o seu numero de acesso e o PIN da conta do Banco 1....”
A reclamação aqui também é de improceder.
Relativamente ao ponto 27 é o próprio Autor que reconhece nunca mais ter utilizado a plataforma MbWay a partir do momento que fez o pagamento, sendo certo que forneceu os dados para acesso ao Homebanking, acrescendo que o link enviado por SMS é de outro site que não o do R., não se tendo o Autor inibido de autenticar as compras, ou seja, o Autor – recebeu uma notificação push na app MBway solicitando autorização para a concretização das mesmas, o que concedeu.
Relativamente ao ponto 41 apelando à petição inicial não se vislumbra que tal matéria que o Autor pretende dar por provado tenha sido alegada pelo mesmo, pelo que estando o Autor sujeito ao ónus de alegação previsto no artº 5º, nº 1, do CPC. e não tendo alegado tal matéria tem de improceder a reclamação.
Em todo o caso, sempre se diga que o facto dado por provado está de acordo com a prova produzida em sede de audiência de julgamento, vide os depoimentos das testemunhas Testemunha CC e BB, bem como os documentos já acima citados em que é o próprio Autor a relatar o que sucedeu para que tivessem permitido o cesso à conta.
Assim sendo, improcede a reclamação nestes pontos 27 e 41.
*
Pontos 42, 43, 44, 45, 46, 47, 48, 49
A actual redação destes pontos é a seguinte:
42º. Seguidamente, foram efectuadas três compras no site do comerciante A..., nos valores de (i) 2.500,00, (ii) € 3.900,00 e (iii) €4.000,00.
43º. Tais compras foram efectuadas com recurso ao cartão de débito n.º ...73 e autenticadas na aplicação MBWay,
44º. Para autenticar tais compras, o titular do cartão – ou seja, o Autor – recebeu uma notificação push na app MBway solicitando autorização para a concretização das mesmas.
45º. Autorização essa que foi concedida, permitindo a conclusão, com sucesso, das transações, tudo conforme decorre da informação prestada pela SIBS quanto aos movimentos do aludido cartão.
46º. Tais compras foram autorizados após a realização, com sucesso, de todo o fluxo de validação 3DSecure1 e autenticadas através da app MBWay.
47º. Acresce que o contacto utilizado para autenticar as transações na app MBWay foi o n.º. ...18 – ou seja, o número do Autor que também se encontra associado à adesão aos canais directos.
48º. Donde, também as compras efectuadas ao comerciante A... foram devidamente autenticadas, registadas e contabilizadas, não tendo existido qualquer falha de segurança dos serviços disponibilizados pelo Réu.
49º Foi o Autor, ao aceder ao link que lhe chegou por via de SMS, negligentemente e à revelia de todas as recomendações de segurança e alertas de fraude divulgados pelo Réu junto dos seus clientes, que permitiu o acesso ao canal Banco 1... online e a consequente realização das 3 operações de transferências bancárias, assim como permitiu a autenticação das três compras efectuadas com recurso ao cartão de débito associado à app MBWay,
Pretende o Recorrido que a redação passe a ser a seguinte:
“42. Seguidamente foram efectudas três compras no site do comerciante A..., nos valores de (i) €2.500,00 (ii) € 3.900,00 (iii) €4.000,00.
43. Tais compras foram efetuadas com recurso ao cartão de débito n.º ...73.
44. Tais compras foram efetuadas diretamente no site de empresa estrangeira sem qualquer autenticação do Autor via aplicação MBWay.
45. O acesso prévio à base de dados da Ré por terceira pessoa que lhe permitiu ter um conhecimento cabal sobre todos os dados pessoais do Autor e dados sobre a transferência realizada, foi crucial para induzir o Autor em erro.
46. Em face dessa inercia da Ré e uma vez induzido em erro, o Autor acedeu ao link constante na SMS que recebeu concomitantemente à transferência por si realizada para a ....
47. E imbuído da certeza que acedeu ao sítio online da Ré introduziu apenas os dados de acesso à sua conta bancária, sem nunca ter divulgado os seus dados pessoais como códigos PIN do cartão, CVV’s, ou dados do cartão matriz.
48. Todas as 3 operações realizadas foram-no sem qualquer autorização ou autenticação pelo Autor por qualquer via e, muito menos, através da aplicação MBWay”.
Compulsada a petição inicial constata-se que a mesma nunca foi alegada pelo A..
Em todo o caso, sempre se diga que tal matéria de facto dada por provada decorre essencialmente da prova documental, concretamente da informação prestada pela SIBS, bem como documentos já acima citados em que o Autor reclama junto do Réu e faz queixa junto da autoridade policial.
Atente-se que é o próprio Autor a reconhecer ter fornecido os dados de acesso ao homebanking da Ré, o que leva a que qualquer pessoa, na posse de tais dados tenha acesso a toda a informação da conta, ou seja, ficando com uma autoestrada livre para actuar e fazer crer ser funcionário da Ré.
Acresce que o link facultado no SMS remete para outro site bem distinto da Ré (...).
Temos ainda os depoimentos das testemunhas CC e BB, as quais relataram os procedimentos que se verificam nestes casos, o que não foi minimamente infirmado por qualquer outra prova credível.
Como foi explicado de forma esclarecedora pela testemunha BB, exibindo até um exemplo, foi que houve uma compra num site da A... mediante a utilização dos dados do cartão do Apelante, a qual depois foi validada na aplicação Mbway.
Assim sendo, indefere-se a reclamação também nesta parte.
*
Relativamente aos pontos 1 a 4 dos factos não provados, nenhuma prova foi feita que permitam dar tais factos como provados, porquanto foi evidente da prova produzida, já acima explanadas, que os factos ocorreram não por inércia da Ré, mas por actuação do Autor em ter fornecido os dados de acesso ao homebanking.
*
1.5 Síntese conclusiva:
Indefere-se a reclamação na totalidade sobre a matéria de facto.
***
2 - OS FACTOS E O DIREITO.
O contrato homebanking é um serviço gratuito online disponibilizado pela generalidade dos bancos que permite efectuar qualquer tipo de operação financeira sobre as suas contas/cartões bancários, através da internet, vide Fernando Baptista Oliveira, in Contratos Privados, Vol. II, pág. 41.
O chamado home banking (Banco internético, e-banking, banco online, online banking, às vezes também banco virtual, banco eletrónico), concretizado pela possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, on line, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, que se reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet, vide Ac do STJ de 23.01.2024, processo 379/21.0T8FAR.E1.S1, Relator Nelson Borges Carneiro, in www.dgsi.pt.
Dispõe o artº 110.º do REGIME JURÍDICO DOS SERVIÇOS DE PAGAMENTO E DA MOEDA ELETRÓNICA, DL n.º 91/2018, de 12 de Novembro
(Obrigações do utilizador de serviços de pagamento associadas aos instrumentos de pagamento)
1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objetivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.
Por sua vez o artº 111º do mesmo diploma (Obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento) estatui:
1 - O prestador de serviços de pagamento que emite um instrumento de pagamento deve:
a) Assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior;
b) Abster-se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído;
c) Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à comunicação prevista na alínea b) do n.º 1 do artigo 110.º ou solicitar o desbloqueio nos termos do n.º 4 do artigo 108.º;
d) Facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a comunicação prevista na alínea b) do n.º 1 do artigo 110.º, de que efetuou essa comunicação ou solicitou o desbloqueio nos termos do n.º 4 do artigo 108.º;
e) Impedir qualquer utilização do instrumento de pagamento logo que a comunicação prevista na alínea b) do n.º 1 do artigo 110.º tenha sido efetuada.
2 - O prestador de serviços de pagamento assegura que a comunicação a que se refere a alínea c) do n.º 1 é efetuada a título gratuito, cobrando apenas, e se for caso disso, os custos diretamente imputáveis à substituição do instrumento de pagamento.
3 - O risco do envio ao utilizador de serviços de pagamento de um instrumento de pagamento ou das respetivas credenciais de segurança personalizadas corre por conta do prestador do serviço de pagamento.
Decorre dos aludidos preceitos recair sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema, impendendo ainda sobre o mesmo o ónus da prova de que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência.
Ao utilizador do serviço de pagamento – que deve dispor de um conjunto de dispositivos de segurança, como o código de acesso, cartão matriz, entre outros, que lhe vão permitir aceder a esse serviço, dada a sua função de autenticação e identificação – exige-se que tome as medidas razoáveis em ordem a preservar a eficácia desses dispositivos, vide Ac. Supremo Tribunal de Justiça de 2016-12-14, Relator: Pinto de Almeida, in www.dgsi.pt/jstj.
Por sua vez decorre das Condições Gerais de adesão aos canais directos que os mesmos consistem em meios de comunicação alternativos entre o Réu e o seu cliente, que permitem a realização de operações à distância, sem necessidade de aquele se deslocar fisicamente a um balcão, podendo executar tais operações por telefone ou internet.
Para o efeito, o Réu emite um Cartão de Acesso aos Canais Directos do qual constam dois códigos de acesso ao serviço: (i) o número de adesão (que no caso do Autor é o acima refe-rido n.º ...05) e (ii) uma chave alfanumérica (o habitualmente denominado cartão matriz).
É igualmente atribuído pelo Réu um PIN composto por seis dígitos.
Todos estes elementos, sem excepção, são únicos, pessoais e intransmissíveis, como, aliás, o Autor, como utilizador regular do serviço, não pode ignorar.
Sobre a prova de autenticação e execução da operação de pagamento dispõe o Artigo 113.º do citado diploma:
1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efectuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
2 - Se a operação de pagamento tiver sido iniciada através de um prestador do serviço de iniciação do pagamento, recai sobre este último o ónus de provar que, no âmbito da sua esfera de competências, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º
4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento..
Analisada a matéria de facto provada resulta:
- No dia 9 de Novembro de 2022, o Autor recebeu, no seu número de telemóvel ...18, uma mensagem de texto, do remetente “.... APP”, com a seguinte indicação “.... App: Cartão de Deb/Cred e PIN foram BLOQUEADOS. Compra suspeita identificada, para desblo-quear aceda em https://reativarnbapp.site/”.
- Necessitando de fazer a referida compra, e convicto da genuinidade da proveniência da mensagem, o Autor acedeu ao link disponibilizado tendo sido redirecionado para uma página web exatamente com o mesmo design gráfico que a página da Ré possui.
- Na plena convicção de que se tratava da página web da Ré, o Autor inseriu a palavra-passe de acesso à aplicação do Banco 1....
- Após inserção dos seus dados de acesso, e sem nunca ter fornecido o seu número de telemóvel, o Autor recebeu de imediato uma chamada telefónica por parte de um suposto funcionário da Ré.
- O alegado funcionário da Ré, após se identificar, começou a indicar ao Autor todos os passos que o mesmo havia de seguir para ver a sua conta desbloqueada.
- O Autor após ter terminado a referida chamada, deparou-se com movimentos, não autorizados, de saldos bancários das suas contas.
O acima retratado reconduz-se numa operação fraudulenta designada de phishing (do inglês fishing «pesca»), o qual pressupõe uma fraude eletrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails/SMS com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente (phishing e pharming) à obtenção fraudulenta de fundos – Ac. Supremo Tribunal de Justiça de 2013-12-18, Relatora: Ana Paula Boularot, http://www.dgsi.pt/jstj.
Assim, o Autor ao fornecer os dados de acesso ao homebanking permitiu que a movimentação da sua conta e a transferência dos valores em que ficou lesado, actuando com negligência e violando as normas contratuais e legais sobre a utilização dos canais digitais, atente-se que quando recebeu o sms foi reencaminhado para outro site bem distinto do da Ré (...).
Negligência ainda mais grave quando está provado que para autenticar as compras, o Autor recebeu uma notificação push na app MBway solicitando autorização para a concretização das mesmas, autorização essa que foi concedida, permitindo a conclusão, com sucesso, das transações.
Assim sendo, é inelutável ter o Autor violado as regras contratuais e legais.
Na vertente da Ré constata-se que esta provou que a operação de pagamento foi autenticada e devidamente registada, e não foi afectada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
Pelo contrário, foi o Autor, ao aceder ao link que lhe chegou por via de SMS, negligentemente e à revelia de todas as recomendações de segurança e alertas de fraude divulgados pelo Réu junto dos seus clientes, que permitiu o acesso ao canal Banco 1... online e a consequente realização das 3 operações de transferências bancárias, assim como permitiu a autenticação das três compras efectuadas com recurso ao cartão de débito associado à app MBWay.
O Autor invoca que mesmo se provando a negligência esta não se pode considerar grosseira por parte do Autor, logo, não se pode desresponsabilizar a Ré.
O já acima citado, o artº 113º, nº 4, do D: L. 91/2018, de 12 de Novembro estabelece que nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.
Por sua vez o artº Artigo 115.º, nº 4, do mesmo diploma estatui:
Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50.
A culpabilidade do ordenante constitui um pressuposto da responsabilidade por operações de pagamento não autorizadas, há que apreciar a respetiva conduta na sua relação com o comportamento devido, isto é, na perspectiva da violação de um dever jurídico ou da omissão do dever de diligência que lhe é imposto, bem como da intervenção da vontade nessa actuação.
O Código Civil, no n.º 2 do artigo 487.º, estatui um critério de apreciação da culpa em abstracto, ao dispor: A culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso.
A culpa deve, assim, ser analisada segundo o critério de um bonus pater familias, colocado nas concretas circunstâncias em causa, e não segundo o critério do próprio agente, o que impõe que se determine previamente a conduta, tendo em conta a concreta situação do agente.
De seguida, há que analisar a conduta adoptada pelo agente, a concreta ação ou omissão em causa, por comparação com a conduta exigível nas concretas circunstâncias em causa, com vista a verificar se omitiu o comportamento devido e, em caso afirmativo, se o fez voluntariamente.
Não obstante erigir a culpabilidade do ordenante em pressuposto da responsabilidade por operações de pagamento não autorizadas, o Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica não esclarece o que entende por negligência grosseira, tal como anterior diploma não dispunha o que entendia por culpa grave, sendo certo que o Código Civil igualmente não apresenta uma classificação dos graus de culpa, limitando-se a referências à distinção entre dolo e mera culpa e a uma menção esporádica a culpa grave, sem indicar qualquer critério de graduação da culpabilidade, pelo que se tem de atender ao previsto no Código Civil, designadamente ao citado artº 487º, nº 2), por referência ao tipo de homem médio ou normal, medianamente sagaz, prudente avisado e cuidadoso (fazendo reportar estas qualidades ao do utilizador do serviço em causa) que utiliza tais serviços.
“A culpa grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do (contraria o) grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência.
A negligência grosseira será de afirmar, assim, quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas…comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir”, vide Ac do TRP, de 18/04/2023, processo 16900/21.1T8PRT.P1, Relator: João Ramos Lopes, in www.dgsi.pt.
Assim, tem de se atender ao comportamento concreto adoptado pelo Autor e aquele que seria observado em iguais circunstâncias por um utilizador do serviço de pagamento normalmente informado, diligente e cuidadoso.
Com a adesão ao serviço de homebanking da ré, o autor ficou obrigado a cumprir certas condições de segurança na respectiva utilização, designadamente a evitar que os códigos fornecidos sejam objecto de apropriação ilegítima por terceiros.
Decorre da factualidade provada que os factos ocorreram em 10 de Novembro de 2022, sendo que o Autor utiliza os serviços de homebanking desde 13.08.2018, ou seja, não é inexperiente na utilização dos canais digitais.
Decorre ainda da factualidade provada que
- Durante o mês de novembro de 2022, o Autor, utilizando a sua conta à ordem n.º ...27 efetuou compras debitadas no cartão ...73, cartão esse que o Autor associou à aplicação MBWay.
- No dia 9 de Novembro de 2022, o Autor recebeu, no seu número de telemóvel ...18, uma mensagem de texto, do remetente “.... APP”, com a seguinte indicação “.... App: Cartão de Deb/Cred e PIN foram BLOQUEADOS. Compra suspeita identificada, para desbloquear aceda em https://reativarnbapp.site/”.
- Necessitando de fazer a referida compra, e convicto da genuinidade da proveniência da mensagem, o Autor acedeu ao link disponibilizado tendo sido redirecionado para uma página web exatamente com o mesmo design gráfico que a página da Ré possui.
- Na plena convicção de que se tratava da página web da Ré, o Autor inseriu a palavra-passe de acesso à aplicação do Banco 1....
- Após inserção dos seus dados de acesso, e sem nunca ter fornecido o seu número de telemóvel, o Autor recebeu de imediato uma chamada telefónica por parte de um suposto funcionário da Ré.
- O alegado funcionário da Ré, após se identificar, começou a indicar ao Autor todos os passos que o mesmo havia de seguir para ver a sua conta desbloqueada.
- O Autor após ter terminado a referida chamada, deparou-se com movimentos, não autorizados, de saldos bancários das suas contas.
- Após aceder à NETBANCO da Ré visualizou que as quantias de €6.000,00 (seis mil euros), €1.000,00 (mil euros) e de €3.000,00 (três mil euros) depositadas na conta a prazo n.º ...04, teriam sido movimentadas internamente para a conta a ordem n.º ...27 e, posteriormente,
- Tais quantias haviam sido utilizadas para a realização de 3 compras online na corretora de criptomoedas “A...”.
- Concluídas tais transações, o Autor viu-se assim, sem a quantia global de €10.000,00 transferidos da sua conta poupança para a D.O. e em 10.400,00 euros o valor das compras.
- Estão em causa, transferências bancárias entre contas do Autor efectuadas através dos canais directos disponibilizados pelo Réu, bem como pagamentos com cartão validados através da aplicação MBWay.
- A SMS que o Autor recebeu não foi remetida pelo Réu.
- A referida SMS refere o bloqueio de cartão de débito / crédito, e não da conta.
- Em clara violação de todos os avisos e alertas divulgados pelo Réu, o Autor não só acedeu ao link fornecido em SMS cujo remetente não podia confirmar ser o Réu, como também introduziu, no site para onde foi direccionado – portanto, fraudulento –, os códigos de acesso aos canais digitais disponibilizados pelo Réu.
- Se o Autor tivesse atentado no URL (Uniform Resource Locator) de tal site – ou seja, no respectivo endereço Web -, teria percebido que não estava na página de homebanking do Réu e que, como tal, estava a ceder os seus códigos de acesso a terceiros.
- O Réu emitiu um Cartão de Acesso aos Canais Directos do qual constam dois códigos de acesso ao serviço: (i) o número de adesão (que no caso do Autor é o acima referido n.º ...05) e (ii) uma chave alfanumérica (o habitualmente denominado cartão matriz).
- É igualmente atribuído pelo Réu um PIN composto por seis dígitos.
- Todos estes elementos, sem excepção, são únicos, pessoais e intransmissíveis, como, aliás, o Autor, como utilizador regular do serviço, não pode ignorar.
Da factualidade acima transcrita resulta que houve uma actuação fraudulenta de terceiros, mas que o Autor foi nada cuidadoso e avisado ao aceder ao site https://reativarnbapp.site/” o qual, manifestamente, nada tem a ver com o site da Ré e que qualquer pessoa normal vislumbrava, tanto mais que o Autor utilizava os canais digitais desde 13.08.2018.
Na sequência do fornecimento pelo Autor dos dados de acesso ao homebanking (introdução do número de adesão e do PIN de acesso composto por 6 dígitos), no dia 09.11.2022, foram realizadas operações de duas tipologias:
- transferências da conta poupança para a conta de depósitos à ordem e
- compras com cartão associado a MBWay.
Assim, houve:
- Desmobilização de aplicação poupança, no valor de €6.000,00, para a conta DO;
- Transferência, no valor de €1.000,00, para a conta DO;
- Desmobilização de aplicação poupança, no valor de €3.000,00, para a conta DO,
Para a validação destas operações não foi solicitada autenticação forte, visto que se trata de transferências entre contas dentro do património do Autor.
- Seguidamente, foram efectuadas três compras no site do comerciante A..., nos valores de (i) 2.500,00, (ii) €3.900,00 e (iii) €4.000,00.
- Tais compras foram efectuadas com recurso ao cartão de débito n.º ...73 e autenticadas na aplicação MBWay,
Para autenticar tais compras, o titular do cartão – ou seja, o Autor – recebeu uma notificação push na app MBway solicitando autorização para a concretização das mesmas.
Autorização essa que foi concedida, permitindo a conclusão, com sucesso, das transações, tudo conforme decorre da informação prestada pela SIBS quanto aos movimentos do aludido cartão.
Acresce que o contacto utilizado para autenticar as transações na app MBWay foi o n.º. ...18 – ou seja, o número do Autor que também se encontra associado à adesão aos canais directos.
De todo exposto decorre, insofismavelmente, que a conduta do Autor se tem de caracterizar por grosseira, porquanto teve dois momentos em que manifesta desleixo e atenção mínima, exigíveis neste tipo de situações que hoje se tornaram frequentes:
Num primeiro momento deixa-se encaminhar para um site que nada tinha a ver com o site da Ré, sendo que o Autor já utilizava os canais digitais desde 13.08.2018, ou seja, há mais de 4 anos, pelo que tinha obrigação de ver que o site era totalmente distinto do da Ré.
Num segundo momento, quando já tinha havido a desmobilização da conta poupança para a conta à ordem, recebe uma notificação push na app MBway para autenticar as compras na A... e autentica as mesmas.
Todo este comportamento revela desleixo e, como tal, negligência grosseira, manifestamente violador das regras de conduta normais que seriam exigíveis a qualquer pessoa média situado em igual posição do Autor.
Assim sendo, é de improceder o recurso
***
IV. – Dispositivo
Pelo exposto, acordam os Juízes que integram a 3ª secção deste Tribunal da Relação do Porto em:
a) Julgar improcedente o recurso intentado pelo Autor/Apelante AA.
Custas pelo A./Apelante – artigo 527º do Código de Processo Civil.