Sumário: I. O contrato de homebanking é um contrato acessório do de abertura de conta, pelo qual o banco disponibiliza ao cliente o acesso seguro e exclusivo à sua conta bancária, através de canais digitais; o cliente é responsável pela preservação e não transmissão das suas credenciais de acesso e tem o dever de, ao aceder ao sistema, cumprir um conjunto de regras destinadas a assegurar a fiabilidade das comunicações.
II. A execução de «operações de pagamento», entre as quais se incluem as designadas «transferências bancárias», reconduz-se ao conceito de «serviços de pagamento» para efeitos de aplicação do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, aprovado pelo DL 91/2018 (RJSPME); quando o homebanking é utilizado como serviço de pagamento, aplica-se-lhe o mencionado Regime.
III. A autora, querendo entrar no website do Novo Banco, fez uma pesquisa no Google e entrou num site terceiro, designado «novohanco»; aí chegada, não cuidou de verificar na barra de endereços se teria entrado no sítio pretendido; em seguida, introduziu nesse site parte das suas credenciais de segurança personalizadas e as demais enviou-as em resposta a um email, pelo qual lhe foram solicitadas, depois de ter introduzido o seu endereço eletrónico na mesma página. Com o descrito comportamento, a autora violou grosseiramente o dever de tomar as medidas razoáveis para preservar a segurança das suas credenciais.
IV. Na posse de todas as credenciais fornecidas pela autora, incluindo PIN de 6 dígitos, 3 posições aleatórias do cartão matriz e OTP (one time password), foi realizada uma primeira transferência de 1 €, da conta da autora para um IBAN espanhol (situação de que a autora tomou conhecimento antes de facultar ao terceiro a OTP, pois essa informação constava de SMS pelo qual lhe chegou a OTP), com certificação do destinatário até 20.000 €; em seguida, foi realizada uma segunda transferência no valor de 4.999 €, apenas com introdução do PIN.
V. À autenticação forte do cliente – baseada na utilização de dois ou mais elementos pertencentes às categorias conhecimento (algo que só o utilizador conhece), posse (algo que só o utilizador possui) e inerência (algo que o utilizador é) –, aplica-se o Regulamento Delegado (UE) 2018/389 da Comissão, que estabelece que os prestadores de serviços de pagamento podem não aplicar a autenticação forte do cliente, sob reserva do cumprimento dos requisitos gerais de autenticação, sempre que o ordenante inicie uma operação de pagamento a favor de um beneficiário constante de uma lista de beneficiários de confiança previamente criada pelo primeiro.
VI. Aparentemente, a autora foi vítima de typosquatting, espécie de cybersquatting em que se regista um nome de domínio que corresponde a um provável erro de digitação de um outro nome de domínio, pertencente a uma entidade conhecida, com a finalidade de capturar tráfego destinado ao site da dita entidade; para consumar ações de apropriação indevida de dados bancários alheios, o typosquatter, além de registar o domínio, cria um site similar ao do banco pelo qual se pretende fazer passar e ao qual o utilizador incauto vai aceder.
VII. O typosquatting distingue-se do phishing e do pharming essencialmente porque: i. no phishing, o lesado recebe um e-mail (ou outra mensagem digital, v.g. via SMS, MMS ou WhatsApp) com um link e, ao clicar neste, é direcionado para um site falso; ii. no typosquatting, espécie de cybersquatting, o lesado acede por lapso seu ao site falso, seja através de um motor de busca, seja pela errada digitação do endereço na respetiva barra; iii. no pharming o utilizador digita o endereço certo, ou escolhe o site certo, mas é redirecionado para o falso porque o seu cache de DNS foi previamente viciado por um vírus ou porque (caso muito raro) o próprio servidor de DNS foi atacado.
VIII. Só a autora (e sem prejuízo da responsabilidade do typosquatter) é responsável pelo uso das suas credenciais, que não lhe foram roubadas, nem furtadas, e que nem sequer perdeu; facultou-as a terceiros, inserindo-as numa página de Internet e num email desconhecidos.
IX. O banco réu cumpriu todas as suas obrigações, nomeadamente, a de executar as ordens que a autora autorizou e consentiu; estando reunidas todas as condições previstas no contrato-quadro celebrado com o ordenante, o prestador de serviços de pagamento que gere a conta deste não pode recusar a execução de uma ordem de pagamento autorizada, ordem que, quando foi, e bem, executada pelo banco, era irrevogável.