...o banco é que paga

Supremo condena BPI num caso em que empresa foi vítima de ataque informático
Público online, 20/01/2014

Uma pequena empresa de Braga ganhou recentemente um processo contra o Banco Português de Investimento (BPI) no Supremo Tribunal de Justiça depois de as suas sócias-gerentes terem sido vítimas de burla informática durante operações bancárias online.
A decisão dos juízes não tem recurso possível: o banco vai ter de devolver à empresa de importação e exportação de produtos de limpeza industrial não só os 13 mil euros sacados indevidamente da conta pelos burlões, em 2008, como vai ter de lhe pagar mais dez mil euros a título de indemnização por danos morais, uma vez que na sequência do problema a firma ficou inibida de usar cheques, tendo entrado na lista negra do Banco de Portugal, e também cartões de débito e de crédito.

"Foi o descalabro para a empresa", resume o seu advogado, Carlos de Faria, sublinhando o carácter inédito de uma decisão deste tipo ao nível do Supremo Tribunal de Justiça. A empresa, essa, acabou por suspender actividade, tendo as suas sócias-gerentes emigrado para o continente africano.

No cerne do problema está perceber quem é responsável pelas burlas informáticas que furam o complexo sistema de segurança dohomebanking: o banco ou o cliente? E, sobre isto, diferentes tribunais têm vindo a pronunciar-se nos últimos anos de forma contraditória em casos com contornos idênticos.

Foi, aliás, este facto que levou os juízes do Supremo a aceitarem analisar esta situação, apesar de tanto os seus colegas de primeira instância como os da Relação terem já anteriormente dado razão à firma de produtos de limpeza de Braga — o que em princípio impedia por lei o BPI de apresentar mais recursos.

"As questões suscitadas pelos contratos de homebanking e pelo acesso fraudulento online a depósitos bancários (...) originam fortes dúvidas que tornam provável a emissão de decisões jurisdicionais divergentes, divergência essa tanto mais grave quando se tenha em conta a difícil situação económica e social que se atravessa", justificaram os magistrados ao aceitarem o último recurso do banco, acrescentando que uma eventual perda de confiança dos utentes no sistema bancário "pode contribuir para o aparecimento de maiores perturbações ou dificuldades na recuperação económica" do país.

"Por conta" dos bancos
Quando, naquele dia da Primavera de 2008, Ana Bela Fernandes entrou no BPI Net para verificar se um cheque que havia passado a um fornecedor já tinha sido descontado, ainda o banco Lehman Brothers não se tinha tornado à escala planetária o rosto de uma crise financeira sem precedentes. Ana Bela usara o serviço centenas de vezes sem problemas, e dessa vez também não notou nada de especial, embora não tivesse conseguido entrar no sistema à primeira.

Só três dias depois, ao fazer uma consulta no multibanco, percebeu que no dia em que acedera ao BPI Net pela última vez haviam voado 13 mil euros da sua firma, a Trading XXI, para uma conta desconhecida. Ainda tentou que o seu banco cancelasse a transferência, mas sem sucesso.

"Entrou no que pensou ser a página do banco para efectuar as suas operações, sem se dar conta que estava afinal numa página clonada", descreve o acórdão de Dezembro do Supremo Tribunal de Justiça. E quando forneceu os códigos de segurança para poder aceder à conta da empresa estava, na realidade, a entregá-los aos burlões. A sócia-gerente e o banco foram vítimas de pharming, uma modalidade sofisticada dephishing

Após várias reclamações, o BPI ainda se ofereceu para lhe reembolsar o dinheiro roubado, mas para isso teria de assinar uma minuta que desresponsabilizava o banco do sucedido. A instituição bancária alegou sempre que a quebra de segurança se tinha verificado no computador da cliente e não no seu sistema informático, invocando em sua defesa os avisos sobre burlas que colocou no seu site.

"O banco não pode ser responsabilizado por qualquer intromissão fraudulenta no computador do cliente", argumentou.

Mas foi exactamente o contrário o que vieram dizer os juízes do Supremo, invocando uma directiva do Parlamento Europeu e do Conselho da União Europeia: "Os riscos da falha do sistema informático, bem como dos ataques cibernautas ao mesmo, têm de correr por conta" dos bancos, pelo menos nos casos em que não se provou ter havido qualquer culpa por parte do cliente, como aqui.

Na sequência do desfalque, o cheque que a Trading XXI havia passado ao fornecedor ficou sem cobertura e a empresa, à qual o BPI se recusou a dar novos cartões de débito, entrou na lista negra do Banco de Portugal, tendo acabado por perder um cliente importante e ver a sua reputação manchada.

Contactado pelo PÚBLICO, o banco optou por não comentar o caso. Quanto à razão pela qual Ana Bela Fernandes não aceitou receber os 13 mil euros que o BPI lhe oferecia logo em 2008, Carlos de Faria explica que foi por uma questão de princípio, mas não só: "Até ali, era tratada na agência bancária com uma certa reverência. Depois da burla, os funcionários mudaram de atitude e passaram a tratá-la de uma maneira completamente diferente."