António era o único titular de uma conta bancária e a dada altura aderiu ao sistema de netbanking para poder fazer operações bancárias via internet, através de um código secreto e de dados constantes de um cartão matriz. António nunca deu esses dados a terceiros, mas em dois dias consecutivos, sem que desse por isso, foram feitas duas transferências bancárias a partir da sua conta, nos valores de 4980 euros e 4100 euros. António lembrava-se apenas de, uns dias antes, estar prestes a concluir uma transferência e ser-lhe pedido pelo banco, através de uma janela, o número de telefone e modelo do telemóvel, para que lhe fosse enviada uma mensagem e confirmasse a operação. O banco apercebeu-se de várias tentativas falhadas de transferência, mas não suspendeu o serviço e apenas no dia seguinte ligou a António para perguntar se tinha sido o autor das transferências. Tarde demais. António tinha sido vítima de uma fraude porque um terceiro se aproveitou das vulnerabilidades do sistema informático bancário, ficando com os códigos e password necessários para efetuar transferências. E no fim da história ficou sem 9 mil euros. De quem é a culpa?
O Tribunal da Relação do Porto decidiu que houve apenas uma culpa “leve ou levíssima do cliente”, pelo que António deve apenas assumir um prejuízo de 150 euros por cada transferência feita por um terceiro. O resto do dinheiro que saiu das suas contas, por via de uma prática criminosa chamada pharming (o utilizador é redirecionado pelo programa de navegação instalado no seu computador para uma página falsa, em tudo semelhante à verdadeira), terá de ser pago pelo banco. Porque, decidiram os juízes, não ficou provado que o cliente tenha violado o contrato, “divulgando na internet dados pessoais, secretos e intransmissíveis, em benefício de hackers”. E porque “a complexidade dos sistemas bancários” de homebanking “concebidos e controlados pelos bancos, assim como a grande exigência dos mecanismos relacionados com a segurança das operações bancárias através deles realizadas, a par da propriedade do banco sobre os valores depositados pelos seus clientes, em ambiente contratual” justificam uma regra: quando há utilização fraudulenta dos meios, a presunção de culpa recai sobre a entidade bancária.
Neste caso, os juízes do Tribunal da Relação do Porto determinaram ainda que o banco terá de pagar uma indemnização ao cliente, no valor de 1200 euros, por o cliente, desde junho de 2011, viver “angustiado e preocupado em virtude de não poder usufruir do dinheiro que lhe foi subtraído da sua conta”: “Não é de ânimo leve que o titular de uma conta bancária assiste ao desaparecimento injustificado de € 9.080,00, ficando numa situação em que sempre teria de admitir não vir a recuperar esse valor; dúvida que persistia à data da citação para a ação. Para além disso, viu-se na necessidade de praticar um conjunto de ações burocráticas para tentar recuperar o dinheiro, designadamente reclamações junto do banco e da polícia, para o que teve que se informar o melhor possível da complexidade do caso, com a consequente perturbação do normal exercício da sua vida diária”, determinou o tribunal.
Num primeiro momento, o cliente já tinha tentado imputar responsabilidades ao banco, dirigindo-se aos balcões e apresentando uma reclamação junto do Banco de Portugal. A instituição bancária alegou que não era responsável por qualquer falha do seu sistema de segurança. Em tribunal, o banco ainda alegou que tem vindo a publicar recomendações de segurança sobre o acesso e utilização do homebanking “de forma constante e contínua” desde dezembro de 2004. Alegou que o sistema é fiável e imputou a falha ao cliente, que facultou informação sobre o telemóvel através de uma página fraudulenta. Afinal, disse o banco, nunca a instalação do serviço de autorização por sms exigiu o preenchimento por parte do cliente de qualquer informação relativa ao telefone, nomeadamente marca ou modelo. Mas esses argumentos não foram considerados válidos pelo tribunal superior.
“Só a violação deliberada do dever de sigilo dos dados pessoais e intransmissíveis ou a negligência grosseira” do cliente “permitiriam o afastamento da responsabilidade do banco. A técnica de pharming é mais difícil de ser detetada do que o fishing. Com ela, as páginas fraudulentas são muitas vezes iguais às páginas do banco e identificadas como ligações seguras (…) Na parte em que o comportamento do titular não merece censura, deve ser o banco a suportar os prejuízos que decorrem das operações abusivas, pois que a ele cabe diligenciar pela fiabilidade do serviço que presta – quanto mais não fosse, através de informação forte e imediatamente apreensível” pelo cliente, dando conta de não que não fornecesse os dados do telemóvel, deliberaram no mês passado os juízes Filipe Caroço, Judite Pires e Aristides Rodrigues de Almeida.
