(Relator: António Barateiro Martins) O Supremo Tribunal de Justiça veio considerar que, «numa transferência bancária (não eletronicamente transmitida/efetuada) assume o banco, no âmbito do mandato que para tal lhe é conferido, além do dever principal – que, no caso, se reconduz à obrigação de efetuar a transferência – deveres secundários ou acessórios, cujo cumprimento contribui para a correta execução da transferência. Assim, tem o banco o dever (acessório) de verificar cuidadosamente a ordem de transferência: tem de controlar a genuinidade da ordem de transferência e tem de controlar a assinatura do ordenante/cliente, confrontando-a com a que recolheu do cliente quando este abriu a conta (e que consta da ficha de cliente). E este controlo cuidadoso (maxime, quanto for elevado o valor da transferência) deve ser feito no cumprimento do princípio da segurança bancária, que obriga os bancos a praticar elevados padrões de segurança nas operações, no interesse dos clientes, no do próprio banco e no interesse geral de confiança no sistema bancário; e no cumprimento do princípio/dever de competência técnica, em que é exigido e esperado um profissional habilitado e dotado de meios técnicos e humanos especialmente adequados ao exercício da atividade bancária. Estando acordado que a instrução/ordem de transferência pode ser enviada por correio eletrónico, contendo este a instrução/ordem escrita e assinada pelo cliente, tendo sido utilizados, nas solicitações de transferência, endereços de e-mails similares aos conhecidos (e habitualmente utilizados pelo cliente nas comunicações com o banco) – e-mails em que, em relação aos “habituais”, foi substituído um “e” por um “a”, sendo em tudo o mais idênticos aos endereços “habituais” – não estamos perante aquela situação em que hackers acedem a dados confidenciais de acesso à conta bancária do cliente e através deles à conta do cliente (as habituais modalidades de phishing ou pharming), estando-se, sim, perante aquela situação em que um terceiro interfere nas comunicações, quer “pirateando” o serviço de e-mail do cliente, quer criando um endereço de e-mail semelhante ao do cliente, enviando e-mails a ordenar operações a retirar fundos da conta do cliente. Em tal modalidade de fraude – em que, no caso, também as ordens/instruções de transferência, enviadas em anexo aos e-mails, foram objeto de falsificação, por adulteração digital – o banco, para afastar a sua responsabilidade, tem de provar que houve culpa do cliente e que ele/banco atuou de forma diligente e não censurável, não lhe sendo exigível que agisse de outro modo. Em tal hipótese, não pode o banco deixar de verificar se o e-mail (que contém a instrução de transferência) é proveniente do seu cliente, não podendo invocar, para excluir a violação dos seus deveres contratuais e a sua culpa em tais violações, que lhe era difícil aperceber-se, face à similaridade entre os e-mails, que os mesmos não eram os conhecidos e habitualmente utilizados pelo cliente. Um modo de comunicar via e-mail não oferece a mesma segurança que a plataforma dum banco e, além disso, o controlo de segurança do servidor do e-mail do cliente é algo que não pode ser assacado ao banco, porém, estas duas circunstâncias também não podem ser ignoradas pelo banco quando acorda em receber instruções para a realização de operações bancárias através de uma comunicação via e-mail. Estando na origem da fraude a interferência de terceiros nas comunicações do cliente, também este contribui para o “resultado danoso”, na medida em que é ele o responsável, e não o banco, por não guardar devidamente os acessos aos seus e-mails e/ou por não ter um sistema de segurança eficaz. Tudo ponderado, em função da culpa do cliente e do banco, por referência ao conteúdo dos respetivos deveres contratuais e da sua violação, a responsabilidade deve ser repartida na proporção de 25% e 75%, respetivamente. É aplicável às transferências não eletronicamente efetuadas/transmitidas o artigo 70.º do RSP (aprovado pelo DL 317/2009, diploma em que o legislador nacional procedeu à transposição para a ordem jurídica interna a Diretiva n.º 2007/64/CE, do Parlamento Europeu e o Conselho, de 13 de novembro, relativamente aos serviços de pagamento no mercado interno, aprovando o regime de serviços de pagamento), segundo o qual, caso o utilizador de serviços de pagamento negue ter autorizado a operação de pagamento executada, é o banco/prestador do serviço de pagamento que tem o ónus da prova da autorização da operação de pagamento. Mas já não serão aplicáveis os artigos 67.º e 68.º do RSP, preceitos claramente direcionados para os dispositivos de segurança personalizados que são facultados pelo banco/prestador do serviço (como cartões bancários); e os artigos 71.º e 72.º do RSP, apontados a operações de pagamento não autorizadas resultantes da perda, de roubo ou de apropriação abusiva de instrumentos de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados facultados pelo banco/prestador do serviço. Pode dar-se como provado – não configura um “facto conclusivo” – que duas assinaturas são idênticas ou que a assinatura de um documento é a mesma assinatura que consta dum outro documento, de onde foi retirada/manipulada digitalmente».
