(relator: Pinto de Almeida) O Supremo Tribunal de Justiça vem considerar que «o contrato de homebanking – que a lei também qualifica de “contrato-quadro” (art 2º, al. m), do Regime dos Sistemas de Pagamento (RSP), aprovado pelo DL n.º 317/2009, de 30-10) – celebrado entre autora e banco réu – é o acordo mediante o qual o cliente adere a um serviço prestado pelo banco, que consiste na possibilidade de manter relações via internet, de forma a: (i) aceder a informações sobre produtos e serviços do banco; (ii) obter informações e realizar operações bancárias sobre contas de que a autora fosse titular; (iii) realizar pagamentos, cobranças e operações de compra, venda, subscrição ou resgate sobre produtos ou serviços disponibilizados pelo banco» e que apenas o banco «pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo, também, a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento», razão pela qual recai sobre si «o risco das falhas e do deficiente funcionamento do sistema, impendendo ainda sobre o mesmo o ónus da prova de que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência». Por seu turno, «ao utilizador do serviço de pagamento – que deve dispor de um conjunto de dispositivos de segurança, como o código de acesso, cartão matriz, entre outros, que lhe vão permitir aceder a esse serviço, dada a sua função de autenticação e identificação – exige-se que tome as medidas razoáveis em ordem a preservar a eficácia desses dispositivos».
Mais considera que «entre as técnicas mais frequentemente utilizadas por terceiros para aceder, fraudulentamente, através do sistema, à conta do cliente utilizador do serviço de homebanking, contam-se: (i) o phishing, que consiste no envio de mensagens de correio eletrónico, que provêm aparentemente do banco prestador do serviço, tentando obter dados confidenciais que permitam o acesso ao serviço de pagamento eletrónico; e (ii) o pharming, uma “técnica mais sofisticada em que é «corrompido» o próprio nome de domínio de uma instituição financeira, redirecionando o utilizador para um site falso – em tudo similar ao verdadeiro – sempre que este digita no teclado a morada correta do seu banco”».
Neste quadro, «se o banco réu não demonstrou, como era seu ónus, que o utilizador tenha tido qualquer comportamento suscetível de pôr em causa a segurança do sistema, desconhecendo-se o modo como os terceiros lograram obter os dispositivos de segurança, tem o mesmo a obrigação de reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada».
Para além deste problema de repartição do risco, coloca-se a questão de uma eventual responsabilidade civil. Sobre ela, diz o STJ que «não é excessivo nem desenquadrado dos padrões habituais, o montante de € 7 500, arbitrado pela Relação para compensação do dano não patrimonial sofrido pela 1.ª autora, que se viu descapitalizada, desprovida dos meios económicos de que dispunha para o desenvolvimento da sua atividade, tendo deixado de cumprir com as suas obrigações para com fornecedores e o próprio réu, com repercussão negativa, como se entendeu, na sua imagem e reputação, desde 2012 e apesar de impender sobre o réu a obrigação de repor imediatamente os valores que lhe foram subtraídos».
Faz ainda notar que, a este nível, se «institui um escalonamento da responsabilidade do prestador do serviço em função da culpa imputável ao utilizador – diferente do regime de concurso de culpas a que alude o artigo 570º do CC –: quer por culpa leve deste, com redução em termos simbólicos da indemnização, quer por culpa grave do utilizador, que pode levar à redução ou exclusão da responsabilidade do banco (consoante os prejuízos ultrapassem ou não o saldo da conta), quer ainda em caso de fraude ou atuação intencionalmente incumpridora das obrigações do utilizador, que exclui totalmente a responsabilidade do banco».