Analisa a responsabilidade das instituições bancárias por burlas efetuadas através do serviço eletrónico MBWay
*
Como consabido, nos últimos anos e desde o surgimento do serviço eletrónico MBWay que ocorreram diversas burlas através do mesmo, em face da inexperiência, ignorância ou simples descuido dos seus utilizadores quanto à forma de funcionamento.
Sucede que, não raras vezes, torna-se impossível capturar os autores da burla.
E, ainda que sejam identificados – e até objeto de condenação – certo é que a possibilidade de as vítimas virem a obter os montantes objeto de burla são praticamente nulas.
*
Nos respetivos autos, como forma de tentarem ser ressarcidos pelos danos causados pelos autores da burla, as vítimas propuseram uma ação judicial contra a instituição bancária, imputando-lhe a responsabilidade de os ressarcir pelos danos causados.
Para fundamentar a sua pretensão, foi alegado que a instituição bancária “não salvaguardou, através das competentes medidas de segurança, tal utilização contra usos abusivos”, invocando em concreto uma “falha dos dispositivos de segurança que [à instituição bancária] cabia implementar para garantir a segurança do sistema (designadamente, quanto à funcionalidade de alteração do número associado à aplicação em causa, uma confirmação para o número de telefone do autor
*
Ora,
No caso em apreço, é de aplicar o Regime jurídico dos serviços de pagamento e de moeda electrónica, aprovado pelo Decreto-Lei n.º 91/2018, de 12 de novembro, encontrando-se aí previstas diversas obrigações que recaem sobre os prestadores de serviço, sob pena de incorrerem em responsabilidade.
No entanto, têm como pressuposto, entre outros, que haja um funcionamento anómalo do sistema/prestador do serviço, em oposição à efetiva vontade do utilizador do serviço.
Sucede que, de acordo com o disposto no n.º 4 do art. 115.º do referido Regime que “Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a € 50”
Tal como sucede na generalidade das situações, as operações levadas a cabo pelos utilizadores enquanto vítimas de burla ocorrem em circunstâncias de correto funcionamento do sistema (“os levantamentos de dinheiro e a transferência ocorridos não [são] executados sem autenticação do ordenante; não [há] falhas na aceitação de códigos de autenticação; não [há] erro na quantificação dos montantes das operações.”).
Em concreto, conforme consta do respetivo aresto, “O que houve foi, antes dessas operações, uma actuação do utilizador do sistema, in casu o autor marido, que, utilizando uma das suas funcionalidades, facultou a autenticação de um terceiro desconhecido, a propósito de um negócio que queria fazer com ele, permitindo que este, com o uso do seu próprio número de telemóvel acedesse aos fundos bancários dos autores e os conseguisse movimentar. E isto porque o próprio autor, através dessa funcionalidade, numa caixa multibanco, desrespeitando normas de utilização e um aviso bem visível no écrã que integrava o workflow da operação em causa, usando o seu cartão multibanco e o PIN de uso desse cartão, assim se autenticando perante o sistema, ordenou a substituição do seu número de telefone que estava associado à aplicação – o ... – pelo número de telefone que o seu interlocutor lhe indicou – o .... Por essa via, permitiu que o utilizador deste número passasse a poder usar o serviço MBWAY para aceder à sua conta bancária, o que ele fez dali extraindo os valores levantados e o valor transferido.”
(negrito nosso).
Entendeu assim o Tribunal da Relação do Porto que “que a actuação do autor marido foi, nas concretas circunstâncias do caso, desprovida dos mais elementares cuidados de segurança e atenção, de respeito pelas regras de utilização desta aplicação informática (cfr item 43 dos factos provados e a descrição ali constante do ponto 7. Das condições de adesão ao serviço MBWAY), infringindo os princípios mais básicos de segurança relativos à utilização de meios electrónicos de pagamento e de acesso à sua conta bancária, habilitando por si mesmo, com o uso do seu cartão multibanco e do seu PIN de autenticação, que outrem, a partir do respectivo telemóvel, cujo número foi o próprio autor que introduziu no sistema, passasse a poder operar a sua conta bancária.
O sistema tinha regras de segurança, que o próprio écran da operação lhe exibia (como se provou) e que ele frontalmente ignorou.
Acresce que, mesmo considerando poder haver alguma impreparação do autor para a utilização do sistema, essa impreparação não torna tolerável a introdução de um número de telefone alheio, para actualização, o mesmo é dizer para substituição, do anteriormente usado.
E nem se pode dizer – pelo menos nada permite conclui-lo - que o sistema era desprovido de necessária segurança contra este tipo de actuações. As soluções de segurança não podem deixar de ser proporcionais à complexidade ou simplicidade do próprio sistema; não podem ser de tal ordem, ou tão redundantes, que tornem o sistema complexo e antipático para o utilizador. E o que se apurou é que só porque o autor marido infringiu as regras mais elementares de segurança do sistema é que o dano se veio a verificar.
(sublinhado e negrito nosso).
Em consequência, entendeu o Tribunal da Relação que as “vitimas” atuaram com negligência grosseira, não sendo de imputar à instituição bancária qualquer responsabilidade pelos danos sofridos.
*
Sumário:
“
I - Um acto qualificável como negligência grosseira, no âmbito da utilização de um sistema bancário electrónico de pagamentos, corresponde a um erro imperdoável, a uma desatenção inexplicável, a uma incúria inaceitável, por referência ao comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes.
II - Se um grande número de pessoas, na sua condição de utilizadoras de determinado sistema, é levado a praticar determinado acto nesse sistema, do que resulta o seu próprio prejuízo, tal acto não poderá ser qualificados como negligência grosseira, pois que, então o “homem médio” – referência que terá de integrar também tal elevado número de pessoas – não aparece a rejeitar esse acto por o considerar um erro indesculpável, uma decisão inexplicável, um incúria inaceitável. E isso porquanto tantos o praticam.
III - Para que se exclua a classificação de uma conduta como negligência grosseira, apesar de impregnada de descuido, desatenção e incúria intoleráveis, necessário se torna apurar que a mesma é recorrente e danosa junto de um número significativo de utilizadores, o que não se basta com uma alusão genérica a que a utilização do sistema dá azo à ocorrência de situações danosas em quantidade e de tipo indeterminado.
IV - Pode qualificar-se como negligência grosseira a conduta do utilizador de um serviço electrónico de pagamentos que, sob instruções de um desconhecido e a propósito de uma venda que pretendia fazer-lhe, usando o seu cartão multibanco e o respectivo PIN de autenticação, substitui o seu próprio número de telefone associado a tal serviço pelo número de telefone desse desconhecido, em violação das condições de utilização do serviço e ignorando avisos em contrário, com o que permite que esse desconhecido aceda à sua conta bancária, dali levantando dinheiro e fazendo transferência de fundos.
“
Comments