Informação jurídica inteligente
 Portugal | 1-800-335-6202

Acórdão nº 1910/12.8TBVCT.G1 de Tribunal da Relação de Guimarães, 17 de Dezembro de 2014

Judgment Citações 17 Citado por Precedent Map Related
Vincent
Magistrado ResponsávelFERNANDO FERNANDES FREITAS
Data da Resolução17 de Dezembro de 2014
EmissorTribunal da Relação de Guimarães

- ACORDAM EM CONFERÊNCIA NO TRIBUNAL DA RELAÇÃO DE GUIMARÃES –

  1. RELATÓRIO I.- R.. intentou a presente acção, com processo comum, sumário, contra a “C..”, pedindo a condenação desta a pagar-lhe a quantia de € 16.095,00 acrescida de juros de mora, vencidos e vincendos, calculados à taxa legal de 4% ao ano desde 7 de Agosto de 2009, até integral e efectivo pagamento, liquidando os vencidos até à data da propositura da acção pela importância de € 1.874,96.

Fundamenta alegando, em síntese, que é cliente da Ré, sendo titular de duas contas bancárias e aderiu ao serviço disponibilizado por esta, denominado “M..24”, passando a utilizar o canal “Net24”. Ora, entre os dias 9/07/2009 e 17 dos mesmos mês e ano as referidas suas contas bancárias foram objecto de ataque pela via informática, tendo sido levantadas diversas importâncias, no total peticionado, da conta à ordem, e sido feitas sete transferências para esta conta, de uma sua conta a prazo, no valor total de € 12.850,00.

Regularmente citada, contestou a Ré, excepcionando a ilegitimidade do Autor por estar desacompanhado do seu cônjuge, co-titular das contas bancárias referidas, e declinando a sua responsabilidade de o indemnizar pelos montantes indevidamente levantados, invocando a segurança informática da sua plataforma e alegando ter sido o Autor quem, tendo facultado a totalidade das posições do seu cartão matriz, possibilitou o acesso de desconhecidos às coordenadas do mesmo cartão e, assim, por esta via, às suas contas bancárias.

Os autos prosseguiram os seus termos, tendo sido sanada a excepção de ilegitimidade do Autor, vindo a proceder-se ao julgamento que culminou com a prolação de douta sentença que, julgando a acção procedente, condenou a Ré a pagar ao Autor e Interveniente a quantia de € 16.095 (dezasseis mil e noventa e cinco euros) acrescida de juros de mora à taxa legal de 4% contados desde 07/08/2009, até integral e efectivo pagamento.

Inconformada, traz a Ré o presente recurso pretendendo a revogação daquela decisão e propugnando pela sua absolvição.

Contra-alegou o Autor defendendo o decidido.

O recurso foi recebido como de apelação com efeito meramente devolutivo.

Foram colhidos os vistos legais.

Cumpre apreciar e decidir.

* II.- A Ré/Apelante funda o recurso nas seguintes conclusões: 1.- Conforme decorre do depoimento da testemunha R.., técnico de informática responsável pela investigação efectuada pela Direção de Auditoria da Ré (a partir do minuto 3:10), despoletada pela reclamação dos autores, o M.. utiliza três credenciais de acesso: a. O código de identificação do utilizador; b. O PIN – constituído por seis números, apenas conhecido do cliente, uma vez que é armazenado no servidor com algoritmo de cifra, o que significa que não é possível ao banco aplicar um algoritmo que permita determinar o PIN e ter acesso a ele; c. O cartão matriz para operações que impliquem movimentação de fundos, situação em que são pedidas duas posições, que nunca se repetem, sendo o cartão substituído automaticamente quando está perto do limite de utilização ou findos dois anos.

Este cartão é sempre enviado por correio físico (CTT) e nunca se utilizam meios electrónicos (designadamente SMS) para fornecer coordenadas (posições do cartão matriz) ao cliente, de forma a evitar o seu desvio (considerada a vulnerabilidade dos smartphones).

  1. Adicionalmente o sitio de homebanking do M.. não permite ao cliente alterar a morada, garantindo-se assim dois canais autónomos e independentes de comunicação com o cliente: balcão/electrónico (no caso do n.º de utilizador e PIN) e CTT (no caso do cartão matriz) evitando o ataque pirata, pois se um meio estiver comprometido o outro não está.

  2. A mesma testemunha a partir do minuto 15:06 do seu depoimento atestou ainda que no âmbito do caso concreto dos autores obteve os “logs” (acessos) de sessão referentes ao período das transferências reclamadas, por forma a aceder a todas as mensagens trocadas entre o cliente e o servidor. No âmbito dessa investigação apuraram-se as datas de realização dos movimentos em crise, os locais e bem assim a introdução das coordenadas do cartão matriz.

  3. O que permitiu apurar que em TODOS os movimentos descritos em q) e r) dos factos provados: a. Foi colocado o n.º de utilizador, b. O PIN e c. Duas coordenadas do cartão matriz, para cada uma das operações em causa, sempre introduzidas à primeira, sem que houvesse qualquer erro do ordenante relativamente ao código, tornando evidente que o autor dos movimentos conhecia todas as coordenadas que foram solicitadas.

  4. Também a testemunha L.. (Departamento de Auditoria M..) confirmou estes factos (a partir do minuto 6:47 do seu depoimento), referindo ainda (minuto 10:40 do depoimento) que a investigação do Núcleo de Estratégia e Segurança Informática do banco, permitiu apurar que “não houve hesitação por parte do pirata”, pois como explicou, o serviço de homebanking dá ao cliente apenas 3 tentativas de inserção das suas credenciais de acesso e qualquer engano fica informaticamente registado.

  5. No caso concreto do Dr. R.. a consulta ao sistema informático permitiu verificar que no caso das transferências, o número de cliente, o PIN e as coordenadas do cartão matriz (2 pedidas, para cada movimento) foram inseridas à primeira sem enganos, não tendo o sistema ido “abaixo, com qualquer bloqueio”.

  6. Em face do exposto entendemos que deveria ter sido dado como PROVADO o facto constante de artigo 59.º da contestação, até porque a resposta de não provado é incongruente e contraditória com o facto já considerado provado em K) e o próprio enquadramento jurídico da sentença (página 13, 2.º parágrafo “in fine”: “sendo no entanto certo que este ataque envolveu a obtenção de três informações distintas: (i) numero de cliente; (ii) código de segurança, vulgo PIN; e (iii) as coordenadas do cartão matriz”).

  7. Por outro lado, se as coordenadas não se repetem (não podendo portanto ser retiradas de movimentos anteriores) e não foram facultadas por via electrónica, mas por correio físico, conforme decorre dos factos provados em I) e N), todas as posições tiveram de ser facultadas pelo cliente, ao “Hacker”.

  8. E bem a propósito da comunicação de coordenadas do cartão matriz (secreto, pessoal e intransmissível conforme decorre do contrato de adesão ao serviço de homebanking) a terceiro, convém salientar o depoimento muito sereno, sério e assertivo da testemunha I.., gerente do balcão de Viana do Castelo, que referiu clara e expressamente que em face da reclamação que o autor lhe apresentou no balcão, reportando-se a transferências efectuadas das suas contas, sem a sua intervenção: a. Efectuou uma pesquisa no sistema informático e apurou que todos os movimentos tinham sido efectuados por “homebanking”, b. Confrontou o advogado R.. com tal situação, c. Informando-o de que tais movimentos apenas foram possíveis porque em cada um, tinham sido apostas duas coordenadas do seu cartão matriz, d. Perguntando ao cliente se havia fornecido os seus códigos a alguém, e. Pergunta a que este respondeu positivamente, dando nota que num dos acessos a uma página, que julgou ser do M.. lhe tinha sido pedida a “actualização de dados” do cartão matriz, com a introdução de todas as suas coordenadas, tarefa que - segundo o autor adiantou na altura à gerente I.. - se revelara muito morosa, razão pela qual encarregou a sua secretária de a realizar, tendo aquela estado mais de meia hora a carregar todas as posições do cartão matriz na alegada página.

  9. Estes factos foram reiterados, com a mesma serenidade e segurança, pela testemunha aos minutos 8:00 e 10:10 do depoimento, sem qualquer hesitação ou contradição.

  10. Também a testemunha L.. a este propósito (minuto 20:47 do depoimento), refere com toda a assertividade, que em Julho de 2009, aquando da recepção da reclamação do cliente na Direção de Auditoria, de acordo com os procedimentos instituídos, contactou o balcão de Viana, tendo naquela data sito transmitido pela Sra. I.. que o cliente comunicara ter facultado todas as credencias de acesso a um site, que julgara ser do M.., informação que apontou, no extracto de conta do cliente, aquando do contacto telefónico com o balcão.

  11. Mais informou a testemunha (minuto 6:07 do depoimento) que em face daquela reclamação e em face dos procedimentos instituídos o Departamento de Auditoria contactou o Núcleo de Estratégia e Segurança Informática do Banco, para saber quais os IP’s (Internet Protocol) responsáveis pelos movimentos em causa e o número que georeferencia o modem utilizado nos acessos e movimentos em causa. Aquele serviço identificou os IP’s em causa, tendo apurado que estavam georeferenciados em Brasília e intercruzados com IP’s de Viana do Castelo – cidade onde o advogado, autor, R.. exerce a sua actividade profissional e tem morada - tendo estes dados sido comunicados, pelo banco à Polícia Judiciária.

  12. A investigação efectuada permitiu ainda verificar (minuto 15:09 testemunho L..) que não obstante o cliente apenas ter reclamado em 21 de Julho de 2009, a verdade é que no dia 15 de Julho o Dr. R.. tinha acedido ao sitio de homebanking do M.., para efectuar um movimento. Nessa data haviam sido já realizadas sete transferências pelo pirata, contudo o autor não as detectou, apesar de estarem visíveis no sistema. Este comportamento denunciou desde logo a desatenção com que o cliente usava o serviço.

  13. A Sra. I.. (minuto 15:28), referiu ainda que à data dos factos já o sitio de homebanking do M..: a. disparava janelas de alerta, aquando da entrada do cliente no site, comunicando que o M.. nunca pede mais do que duas coordenadas do cartão matriz (minuto 13:00); b. dispunha de exemplos de sítios de phishing que do M.. apenas tem o símbolo, caracterizando-se por um português ostensivamente “abrasileirado”, que desde logo alerta para a sua falta de autenticidade.

  14. Informação de resto, reiterada e confirmada pelas testemunhas J.. e L.. (minuto 17:47 e 23:22 do depoimento), tendo esta referido que...

Para continuar a ler

PEÇA SUA AVALIAÇÃO

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT