A obrigação de reembolso imediato
Com o avanço da tecnologia, o homebanking tornou-se uma ferramenta indispensável. No entanto, a mesma está associada ao aumento da prática de phishing.
O phishing consiste numa atividade fraudulenta, que se inicia com o envio de um e-mail que parece proveniente de uma entidade bancária, no qual é sugerido, sob diferentes pretextos, que o destinatário (o cliente) aceda à página web (site) do suposto remetente, através de uma hiperligação (link) contida no e-mail. Ao agir da forma solicitada, o destinatário do e-mail acede a uma página falsa, com um layout que o leva a crer tratar-se de uma página web da entidade pela qual o autor do phishing se faz passar, e introduz os dados necessários para a entrada (login), designadamente o seu nome de utilizador (username) e a palavra-passe.
As credenciais do destinatário do e-mail serão depois utilizadas pelo phisher para entrar no verdadeiro site do banco, com vista à execução de ações ilícitas, nomeadamente transferências para contas tituladas por beneficiários desconhecidos, domiciliadas noutros países.
Sem prejuízo da responsabilidade criminal a que haja lugar, importa apurar se existe fundamento para responsabilizar civilmente o banco que, por força do contrato de homebanking, se obrigou a disponibilizar meios eletrónicos fiáveis necessários à comunicação à distância, a mantê-los em regular funcionamento, e a fornecer dispositivos de segurança personalizados de modo a assegurar o acesso exclusivo do cliente à sua conta bancária.
Apesar de o homebanking não ter consagração legal expressa, a jurisprudência tem entendido que, quando o seu objeto inclui a movimentação de fundos para a titularidade de terceiros, o mesmo deve ser enquadrado como serviço de pagamento, sendo-lhe, por isso, aplicável o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME). O artigo 114.º, n.º 1, do citado diploma dispõe que a banco deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada, após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação. A questão que se coloca é a de saber se, tendo o pagamento não autorizado sido causado por um ato de phishing, o banco mantém a obrigação de reembolso.
Os Tribunais portugueses têm respondido afirmativamente. O banco, por força do contrato de depósito bancário e do associado contrato de abertura de conta corrente, celebrados com um cliente, assume um dever de prestação de serviços, com competência técnica, a qual tem subjacente deveres de qualidade e de eficiência, complementado, no que às relações com os clientes diz respeito, com o dever de adoção, por parte do banco, de procedimentos de diligência, neutralidade, lealdade, discrição e respeito consciencioso pelos interesses que lhe estão confiados. Enquanto profissional tecnicamente competente, impende sobre o banco uma obrigação de continuada promoção e vigilância dos interesses do cliente. Neste contexto, recai sobre o banco o ónus da prova de que a movimentação da conta ocorreu por motivo justificado, designadamente porque tinha autorização de transferência emanada do cliente; a contrario, se não conseguir demonstrar este pressuposto, o banco responde perante o cliente, independentemente de a movimentação fraudulenta ter sido originada por terceiro. Neste caso, o banco adquire direito de regresso sobre os responsáveis pela execução ou facilitação da fraude informática que permitiu aquela movimentação, podendo vir a ser indemnizado pelos mesmos.
Jurisprudência relevante:
a) Acórdão do Tribunal da Relação de Coimbra de 22.06.2021, processo n.º 2072/18.2T8CTB.C1, disponível em dgsi.pt.
b) Acórdão do Tribunal da Relação de Coimbra de 31.03.2020, processo n.º 93/15.6T8TND.C1, disponível em dgsi.pt.
c) Acórdão do Tribunal da Relação do Porto de 26.09.2022, processo n.º 1590/19.0T8AVR.P1, disponível emdgsi.pt.
d) Acórdão do Tribunal da Relação de Lisboa de 21.12.2017, processo n.º 1318/09.2TBTNV.L1-6, disponível em jurisprudencia.pt.
por Raquel Ribeiro Correia e Daniela Guimarães, Área de Prática – Contencioso e Arbitragem