Sumário: I – É facto notório a ocorrência de um elevado número de situações do fenómeno designado por phishing, e que aparece sob diversos formatos (blind phishing, clone phishing, smishing, vishing, spear phishing, whaling, a par de outro, designado por pharming, mas todos eles redundando no acesso fraudulento, isto é, através de meios enganosos e sem o conhecimento ou autorização do respectivo titular, à aquisição dos elementos identificativos de um utilizador de um sistema ou aplicação informática, em ordem a permitir ao autor de tal conduta utilizar esse mesmo sistema ou aplicação. A modalidade de pharming é mais complexa e difícil de detectar, pois consiste na própria intromissão no sistema do utilizador, para assim conhecer esses elementos ou operar o próprio acesso às aplicações, como se do verdadeiro utente se tratasse.
II – O facto de pagamentos bancários terem sido determinados por dispositivo que apresentou o mesmo IP anteriormente usado pela autora, que usou os seus códigos de identificação e ainda mediante o uso do código remetido por SMS para um número de telemóvel da mesma, não determina necessariamente a conclusão de que tenha sido por a autora ter permitido o acesso a esses meios, dolosamente ou por falta de cuidado, que as transacções foram possíveis.
III – Tendo-se adquirido a convicção de que nem a autora, nem ninguém com o seu consentimento ou a quem tenha sido facultado o acesso a esses sistema e meios de identificação, ordenou a execução de pagamentos, cumpre admitir que não se logrou apurar quem e por que forma conseguiu levar o banco réu a executar tais transacções.
IV – O legislador previu essa situação, dispondo, no n.º 3 do art. 113.º do DL n.º 91/2018, de 12 de Novembro, que “… a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, (…) não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º”
V – Optou o legislador, no n.º 4 dessa norma, por impor ao prestador do serviço o ónus de “… apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.”
VI – O incumprimento de um tal ónus, determina ao prestador de serviço de pagamento o reembolso pelos pagamentos concretizados.