Sumário: I) Autónomo, mas interdependente em relação a outros contratos bancários, inserindo-se, normalmente, no âmbito de um contrato-quadro de abertura de conta, da celebração do acordo de “homebanking” decorre uma complexidade de direitos e deveres que regulam a relação obrigacional, duradoura, entre as partes, relativamente ao utilizador e prestador de serviços de pagamento, constituindo uma das funcionalidades habituais desse acordo, a da possibilidade de o cliente bancário poder realizar e ordenar ao seu banco a realização de operações de pagamento.
II) De harmonia com o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (abreviadamente RJSPME, aprovado pelo D.L. n.º 317/2009, de 30 de outubro, alterado pelo D.L. n.º 242/2012, de 7 de novembro e pelo D.L. n.º 157/2014, de 24 de outubro, que transpôs para a ordem jurídica portuguesa a Diretiva 2007/64/CE, regime jurídico este que, por força da transposição para a ordem jurídica portuguesa da Diretiva (UE) 2015/2366, do Parlamento Europeu e do Conselho, de 23 de novembro de 2015, pelo D.L. n.º 91/2018, de 12 de novembro, veio a ser revogado ulteriormente) que, à data dos factos, regulava os deveres inerentes a cada uma das partes celebrantes do acordo respetivo:
a) Constituem deveres do utilizador dos serviços de pagamento os de:
– Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, devendo tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados;
– Comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento; e
b) Constituem obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento, as seguintes:
– Assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento (sem prejuízo das obrigações do utilizador do serviço de pagamento);
– Abster-se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído;
– Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à notificação de comunicação de perda, roubo, apropriação abusiva ou utilização não autorizada do instrumento de pagamento ou de solicitação de desbloqueio nos termos do n.º 4 do artigo 66.º do R[J]SPME;
– Facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a notificação de comunicação de perda, roubo, apropriação abusiva ou utilização não autorizada do instrumento de pagamento, de que efetuou essa notificação; e
– Impedir qualquer utilização do instrumento de pagamento logo que a notificação da mencionada comunicação tenha sido efetuada.
III) À entidade bancária cabe, a título principal, aceitar os sucessivos mandatos para pagamentos emitidos mediante a correta autenticação por parte do cliente, nos limites do saldo disponível da conta à ordem, ou na medida em que tenha sido previsto anteriormente a possibilidade de realizar operações a descoberto, ou do crédito concedido nos casos de abertura de crédito.
IV) Como dever secundário acessório desta prestação principal, o banco deve entregar ao utilizador o cartão matriz e todos os códigos de acesso necessários à utilização do serviço de banca eletrónica, o que constitui um pressuposto essencial do acesso legítimo ao serviço uma vez que, sem os dispositivos de segurança personalizados na sua posse, o utilizador não consegue aceder ao serviço online.
V) Todavia, os referidos meios – possibilitando a Internet, designadamente, o anonimato, a celeridade de transações e atividades transfronteiriças – são frequentemente alvo de ataque, pelos vulgarmente designados “hackers”, com objetivo de se apropriarem, de forma ilícita, dos fundos existentes nas contas bancárias, através de diversos esquemas fraudulentos, como, entre outros, o “phishing” e o “pharming”.
VI) Estas duas modalidades de fraude informática caracterizam-se pela introdução de uma pessoa não autorizada numa rede informática e consequente movimentação de fundos das contas bancárias dos clientes para contas de terceiros. De todo o modo, enquanto o “phishing” utiliza como “isco” uma mensagem de correio eletrónico, no “pharming” (modalidade mais perigosa que a anterior, por surgir de forma quase impercetível), o utilizador do serviço é enganado sem se aperceber, uma vez que, esta técnica passa pela instalação de um ficheiro oculto que, por sua vez, vai permitir a redirecção do utilizador para uma página forjada, sempre que digite o site do seu banco.
VII) Dado que, apenas o banco, enquanto prestador do serviço de pagamentos pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo, também, a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento, tem o prestador do serviço de pagamento o ónus de provar que as ordens de pagamento dadas pelo cliente foram devidamente autorizadas através da utilização efetiva dos mecanismos de autenticação disponibilizados, bem como foram corretamente registadas e contabilizadas, e que a sua execução foi isenta de qualquer avaria técnica ou devido a deficiência do serviço prestado pelo prestador de serviços de pagamento, tendo o ónus de provar a ocorrência de comportamento negligente, gravemente negligente ou doloso do utilizador (cfr. artigo 70.º e 72.º do RJSPME).
VIII) Se tal prova não for realizada pela instituição bancária, a mesma será responsável pelo imediato pagamento – que se não for efetuado terá as consequências a que se refere o n.º 2 do artigo 71.º do RJSPME – do montante da operação de pagamento não autorizada, repondo a conta na situação em que estaria se a operação de pagamento não autorizada, não tivesse sido executada (cfr. artigo 71.º, n.º 1, do RJSPME).
IX) Se, ao invés, for apurada responsabilidade do ordenante por operações de pagamento não autorizadas, regerá o citado artigo 72.º do RJSPME, dispondo que:
– Se as operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados for imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 150;
– Se as perdas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais obrigações previstas no artigo 67.º, o ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas (sem que seja aplicável o referido limite do saldo disponível ou da linha de crédito associada à conta/instrumento de pagamento);
– Se ocorrer negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta/ instrumento de pagamento, ainda que superiores a (euro) 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva.
X) Age, censuravelmente, demonstrando negligência grave – cometendo erro imperdoável, desatenção inexplicável, incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes – e violação do seu dever de segurança e confidencialidade sobre os seus dispositivos, o utilizador (a autora) que – embora sendo utilizador frequente do sistema de pagamento “homebanking” – não se limita a inserir as credenciais de segurança que habitualmente lhe são solicitadas pelo seu banco (2 posições de coordenadas, que respeita ao cartão matriz, aviso que o banco disponibilizava no seu site e que constava aposto no cartão matriz), mas que, ao invés, divulga 50 % das 72 coordenadas do cartão matriz.