Introdução
Os serviços bancários prestados através da internet são recorrentemente alvos de ataques cibernéticos que consistem, essencialmente, na intromissão de um terceiro não autorizado numa rede informática ou sistema do banco para, ilicitamente, realizar a movimentação do saldo bancário dos clientes para contas de terceiros.
As Diretrizes de Gestão de Riscos Cibernéticos definem ataque cibernético como “o uso de uma vulnerabilidade por um adversário, para obter vantagem de uma ou mais fraquezas com o intuito de infligir um efeito adverso no ambiente de TICs,” – vide Banco de Moçambique – Departamento de Supervisão Prudencial, Directrizes de Gestão do Risco Cibernético, Março de 2020, 2ª versão, página 35.
Vulnerabilidade é uma “fraqueza, susceptibilidade ou falha num sistema que um atacante pode aceder e explorar para comprometer a segurança dum sistema. As vulnerabilidades surgem da confluência de três elementos: a existência duma susceptibilidade ou falha num sistema; o acesso por um atacante à essa falha e a capacidade do atacante explorar a falha.“ – vide Banco de Moçambique – Departamento de Supervisão Prudencial, Directrizes de Gestão do Risco Cibernético, Março de 2020, 2ª versão, página. 36.
A intromissão não autorizada na rede informática dos bancos tem sido realizada através de diferentes modalidades de ataques cibernéticos como o phishing, spamming, spoofing, sniffing, keylogging, middleman interception, worms, pharming, entre outras. Estas modalidades de ataques cibernéticos constituem fraudes bancárias relativas aos instrumentos de pagamento electrónico e são um mal que abrange toda a sociedade, afectando bens jurídicos diversos, particularmente os financeiros, o que gera insegurança aos clientes, instabilidade para os bancos, sendo, por isso, punidas por lei.
Ora, quando ocorre uma fraude bancária eletrónica, surge de imediato a questão de determinar o responsável pelos prejuízos incorridos pelos clientes. Neste contexto, propomo-nos a abordar a responsabilidade dos bancos, nos casos de ocorrência de fraudes electrónicas. Para o efeito, falaremos do (1) risco associado à actividade bancária, com enfoque no (1.1) Risco de Tecnologia de Informação e no (1.2) Risco Cibernético, e por último, falaremos da (2) Responsabilidade pelo Risco, com enfoque na (2.1) responsabilidade pelo risco dos bancos no âmbito das fraudes bancárias eletrónicas e nos (2.2) limites à responsabilidade dos bancos no âmbito das fraudes electrónicas.
1. Risco associado a actividade bancária
À luz do artigo 1.1 das Directrizes de Gestão de Risco (Aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro), a actividade bancária comporta, no nosso país, 9 categorias de riscos associados, sendo os mais relevantes, designadamente, o Risco de Crédito, Risco de Liquidez, Risco de Taxa de Juro, Risco de Taxa de Câmbio, Risco Operacional, Risco Estratégico, Risco de Reputação, Risco de Compliance, e Risco de Tecnologias de Informação. Para complementar o quadro vigente com a componente de Risco Cibernético, o Banco de Moçambique desenvolveu as Diretrizes de Gestão do Risco Cibernético e o Quadro de Supervisão do Risco Cibernético[1].
No contexto de riscos, os bancos são obrigados, no exercício das suas actividades, a desenvolver Programas de Gestão de Risco (PGR) detalhados, ajustados à dimensão e complexidade das suas actividades, compostos fundamentalmente por 4 processos chaves designadamente: Identificação, Mensuração, Controlo e Acompanhamento de risco.
Compete ao órgão da administração aprovar e rever as estratégias e políticas relativas a assunção, gestão, controle e redução de riscos que o banco possa sujeitar-se, alocar recursos de gestão de riscos, e participar activamente na utilização de notações de risco externo e de modelos internos relacionados a esses riscos, conforme resulta do artigo 90 da Lei n° 20/2020 de 31 de Dezembro. Ou seja, os bancos possuem sistemas de acompanhamento e gestão de risco que proporcionam aos administradores e à gestão de topo, um entendimento claro das exposições ao risco.[2]
Outrossim, as instituições financeiras estão obrigadas a estabelecer uma área funcional responsável pela fiscalização da gestão dos riscos intrínsecos nas suas operações, responsável por assegurar a existência de processos eficazes para identificar riscos presentes e futuros, desenvolver sistemas de medição e avaliação de riscos, estabelecer políticas, procedimentos, práticas e outros mecanismos de gestão, acompanhar as posições tomadas, tendo como base os limites de tolerância aprovados, reportar os resultados de monitorização de riscos ao órgão de administração e gestão de topo.[3]
Através da Integração da Gestão de Riscos, os bancos captam inter-relações existentes entre diferentes tipos de riscos e são capazes de testar a capacidade de resposta de contingência para assegurar que eventos razoavelmente prováveis de ocorrer e de produzir impactos adversos à instituição possam ser abarcados.[4]
Portanto, na disponibilização e comercialização de produtos e serviços bancários, execução de operações de pagamento como transferência de fundos, consulta de saldo, extracto da conta bancária, execução de débitos, entre outras operações necessárias para gestão da conta bancária do cliente, os bancos desenvolvem Programas de Gestão de Risco (PGR), que conferem aos próprios bancos, a capacidade de identificar e mensurar os riscos existentes e os que podem surgir, bem como determinar o seu impacto na instituição e controlar o nível de riscos a que estão expostos, comunicar os limites de risco, políticas, normas e procedimentos que definem responsabilidade e linhas de autoridade.[5]
1.1 Risco de Tecnologia de Informação (TI)
O Risco Associado às Tecnologias de Informação está ligado ao tipo de serviço disponibilizado pelos bancos. E os serviços baseados na internet podem ser classificados em serviços de informação, de troca interactiva de informação e transacionais (Artigo 2.2.3 das Directrizes de Gestão de Risco, Aviso nº 04/GBM/13 de 24 de Maio).
Os serviços transacionais, serviços de Internet Banking, permitem ao cliente executar transações online como transferências de fundos, pagamentos de contas, entre outras transações financeiras e constituem a categoria de risco mais elevado, porque requerem controlo e segurança mais fortes, conforme resulta do artigo 2.2.6. das diretrizes[6].
Portanto, na disponibilização de produtos e serviços electrónicos, requer-se controlo e segurança mais elevados, sistemas operativos robustos contra ameaças, vulnerabilidades e exposições presentes na configuração do sistema e em serviços como redes internas e externas, hardware, softwares, aplicações, interfaces de sistemas, operações humanas com a motivação e capacidade para efectuar ataques, entre outras, pois uma vez realizadas (as transações) são normalmente irrevogáveis.[7]
Ou seja, o banco tem a obrigação de garantir o controlo e segurança mais elevados na confidencialidade de dados, integridade de sistemas, disponibilidade de sistemas, autenticidade do cliente, transação e proteção ao cliente.[8]
1.2 Risco Cibernético
O ciber-risco coloca desafios aos tradicionais Programas de Gestão de Risco Operacional devido a natureza persistente da presença dum adversário activo e algumas vezes sofisticado em termos de ciberataques. Ao contrário de outras fontes, os ataques maliciosos são normalmente difíceis de identificar ou erradicar completamente e a dimensão dos danos difíceis de determinar.
Ao abrigo do artigo 3.1 do Quadro de Supervisão do Risco Cibernético,[9] constituem riscos intrínsecos à actividade bancária, os provedores de serviços de internet (ISP), as ligações com entidades externas, o volume de dispositivos de rede, a extensão dos serviços na nuvem, utilização de dispositivos pessoais, alteração do pessoal de segurança, canais bancários dependendo da natureza específica de produtos ou serviços oferecidos.
Pelo que, reconhecendo a natureza dinâmica das ciber-ameaças, e necessidade de adoptar métodos evolutivos para mitigar essas ameaças, o Banco de Moçambique orienta que as Instituições de Crédito e Sociedades Financeiras (ICSF) devem ter políticas de segurança física e de informação abrangentes que façam face às potenciais vulnerabilidades e ameaças e, na prática, no contexto da gestão do risco cibernético, os bancos devem implementar controlos de tecnologias de informação robustos e consistentemente demonstrar ambientes de controlo efectivos.[10]
2. Responsabilidade pelo risco
A responsabilidade pelo risco é a situação na qual uma pessoa fica adstrita a uma obrigação de ressarcir outra, por um determinado dano, independentemente de, ilicitamente e com culpa, o ter originado. A responsabilidade pelo risco também é designada por responsabilidade objectiva, imputação objectiva ou imputação sem culpa. E são pressupostos da responsabilidade pelo risco o facto, o nexo de imputação objetiva ou risco, o dano e o nexo de causalidade.[11]
A esfera de risco pode ser estabelecida por diversas concepções que por vezes cumulam entre si, designadamente: a concepção de risco criado, segundo a qual, cada pessoa que cria uma situação de perigo deve responder pelos riscos que resultem dessa situação; a concepção de risco proveito segundo a qual, a pessoa deve responder pelos danos resultantes das actividades de que tira proveito; e a concepção de risco autoridade, segundo a qual, a pessoa deve responder pelos danos resultantes das actividades que tem sob controle.[12]
Nos termos da responsabilidade civil pelo risco, existindo o dano, o fornecedor do serviço deve ser responsabilizado a repará-lo, independentemente de culpa. Basta que se verifique o nexo de imputação objectiva ou o risco. Ou seja, no lugar da “culpa”, toma-se em atenção o factor “risco criado”, “risco-proveito” ou “risco da actividade empresarial ” que se funda no princípio de que é reparável o dano causado a terceiro em consequência do exercício da actividade empresarial lucrativa realizada em benefício do responsável.
2.1 Responsabilidade pelo risco dos bancos no âmbito das Fraudes Eletrónicas.
Ao abrigo do artigo 7/2 do Aviso n° 2/GBM/2014 de 31 de Dezembro, que aprova o Regulamento sobre Procedimentos de Disponibilização de Produtos e Serviços de Pagamento Electrónico, a responsabilidade pela disponibilização de um produto ou serviço de pagamento electrónico recai sobre a Instituição de Crédito ou Sociedade Financeira ou prestador de serviços de pagamento nos termos da legislação aplicável.[13] Ou seja, os bancos são responsáveis pelos produtos e serviços que comercializam ao público.
A par disso, o artigo 14, nos 4 e 5, do artigo 14/8 da Lei n° 22/2009 de 28 de Setembro – Lei de Defesa do Consumidor, estabelece que o consumidor tem direito à indemnização pelos danos patrimoniais e não patrimoniais resultantes do fornecimento de bens ou prestações de serviços defeituosos.
Os serviços são considerados defeituosos quando não oferecem a segurança que o consumidor dele pode esperar tomando em consideração as circunstâncias relevantes, nomeadamente o modo do seu funcionamento, o resultado e os riscos que razoavelmente dele se esperam e a época em que foi fornecido (artigo 14/8 da Lei de Defesa do Consumidor).
E, o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação de danos causados ao consumidor, por defeitos relativos à prestação de serviços, bem como por informações insuficientes sobre a sua fruição e risco – artigo 9/2 do Decreto n° 27/2016 de 18 de Julho, aprova o Regulamento da Lei de Defesa do Consumidor.
Ou seja, no âmbito das relações de consumo que os bancos estabelecem com os clientes, reconhecendo a vulnerabilidade do consumidor e com vista a garantir a segurança da relação de consumo e direitos daí advenientes, nos termos do Regulamento sobre Procedimentos de Disponibilização de Produtos de Pagamento Eletrónico, bem como o Regulamento da Lei de Defesa do Consumidor, a regra é de que os bancos são responsáveis pelos produtos que comercializam e respondem, independentemente da culpa, pelos danos causados aos consumidores.
Note-se que, os serviços transacionais, serviços eletrónicos e/ou serviços de Internet Banking constituem, na actividade bancária, a categoria de risco mais elevado, razão pela qual a sua disponibilização requer controlo e segurança mais elevados, sistemas operativos robustos contra ameaças, vulnerabilidades e exposições presentes na configuração do sistema e serviços como redes internas e externas, hardware, softwares, aplicações, interfaces de sistemas, operações humanas com a motivação e capacidade para efectuar ataques, entre outras.[14]
Ao abrigo do artigo 2.9.5 das Directrizes de Gestão de Risco, aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro, na eventualidade de ocorrência de falhas de segurança de acesso e realização de transações fraudulentas a partir de contas online de clientes, os bancos devem explicar em seus websites que processos serão evocados para resolver o problema e disputa, assim como as condições e circunstâncias nas quais as perdas ou estragos resultantes serão imputados à instituição ou ao cliente.
Ademais, as tecnologias de criptografia desempenham um papel importante na garantia da confidencialidade, autenticidade e integridade, cujo objectivo é proteger a confidencialidade dos dados das contas dos clientes e dos detalhes das transações, assim como melhorar a confiança na internet banking combatendo ataques e várias formas de fraudes através da internet, pelo que, no âmbito da mitigação e controlo de riscos, incumbe aos bancos provar que foram implementadas todas medidas de segurança na confidencialidade de dados e integridade de sistemas.
Mais ainda, os clientes devem estar informados de forma clara e precisa sobre os seus direitos, obrigações e responsabilidades e os do banco em matéria de transações online, particularmente problemas que possam surgir de erros de processamento, e falhas de segurança, informações escritas, pelo que, no âmbito do dever de proteção ao cliente, incumbe aos bancos desenvolver técnicas e meios humanos para proporcionar condições apropriadas de qualidade e eficiência.[15]
A maioria dos produtos e serviços fornecidos pelos bancos oferecem um nível de risco elevado, incluindo aqueles disponibilizados às outras instituições, por isso, os bancos têm o dever de implementar medidas para captura e análise de comportamentos anómalos de pessoas com acesso aos seus sistemas, pois, os próprios bancos podem se tornar canais de propagação de ciberataques, através de funcionários de má-fé ou descuidados que abrem canais para potenciais exposições. Nesse contexto, incumbe igualmente aos bancos a capacidade para assistir na condução ou execução de investigações forenses de incidentes cibernéticos e desenhar controlos protectivos e detecção para facilitar o processo investigativo, estabelecer políticas de registo nos sistemas de registo que incluem os tipos de registos de sistema a serem mantidos e os respectivos períodos de retenção, tomar os passos apropriados para que as investigações possam ser efectuadas após ocorrência do evento através da preservação dos registos dos sistemas e evidências necessárias.
Pelo que, na ocorrência de fraude bancária, verificando-se preenchidos os pressupostos da responsabilidade civil pelo risco, ao abrigo do artigo 499º do Código Civil (CC), designadamente, o facto, o nexo de imputação objectiva, o dano e o nexo de causalidade, os bancos respondem, independentemente da culpa, pela reparação de danos causados ao consumidor, por defeitos relativos à prestação de serviços, bem como por informações insuficientes sobre a sua fruição e risco[16].
2.2 Limites à responsabilidade dos bancos no âmbito das fraudes eletrónicas.
Ao abrigo do artigo 33° do Código de Conduta Bancária, nenhuma responsabilidade poderá ser atribuída aos bancos pelos prejuízos que vierem a resultar da acção fraudulenta dos clientes.
Ao abrigo do artigo 9/3 da Lei de Defesa do Consumidor, o fornecedor de serviço está isento de responsabilidade quando, entre outros, prove: a) que tendo prestado o serviço, o defeito era inexistente; b) que a culpa é exclusiva do consumidor ou de terceiro.
Ora, a culpa consiste num juízo de censura ao agente por ter adoptado uma determinada conduta, quando de acordo com o comando legal estaria obrigado a adoptar conduta diferente.[17] Conforme o previsto no artigo 483°/1 do CC, a culpa comporta duas modalidades, o dolo e a mera culpa ou a negligência.
A negligência traduz-se na omissão da diligência exigida[18], ou seja, consideram-se negligentes os clientes que tendo sido exortados pelo banco sobre medidas de segurança e protecção de dados, não tomam medidas apropriadas de segurança, deixam de proteger seus dispositivos, sistemas computacionais, PIN, tokens de segurança, detalhes pessoais, dados confidenciais entre outros procedimentos de segurança. Nesse contexto, os bancos ficam isentos de responsabilidade e não respondem pelos prejuízos resultantes de fraudes bancárias, desde que provem, entre outros factos, que a fraude resulta da acção negligente do cliente, artigo 344º do CC.
Outrossim, nos casos em que o cliente intencionalmente viola o compromisso celebrado com o banco, contrapondo-se às regras contratuais e de boa-fé, que pressupõe zelo, lealdade, bom senso, equidade e justiça, enquanto valores supremos a serem observados por todos, o banco pode ficar isento de responsabilidade, não respondendo pelos prejuízos decorrente da fraude bancária, desde que prove, entre outros factos, que a fraude resulta de culpa exclusiva do cliente.
Portanto, a verificação da exclusão de responsabilidade dos bancos pelas fraudes bancárias, resulta da prova e demostração de que a conduta do cliente ou seus actos constituem o único factor gerador do dano, mediante prova de que as ferramentas tecnológicas empregadas pelo banco em seus sistemas para proteger os clientes das fraudes bancárias não são defeituosos.
Portanto, ao banco recai o ónus de prova nos termos do artigo 344º do CC, ou seja, incumbe, alegar e provar que, na disponibilização dos produtos e serviços por meio dos quais a fraude bancária eletrónica ocorreu, divulgou as condições gerais de utilização do produto ou serviço de pagamento electrónico ao público, em tempo útil e previamente à sua subscrição em todas agências, em lugar bem visível e de acesso directo em dispositivo de consulta fácil e directa ao abrigo do artigo 8/1 do Aviso n° 2/GBM/2014 de 31 de Dezembro.
Incumbe ainda ao banco demonstrar que, após a contratação de um produto ou serviço de pagamento electrónico, forneceu ao respectivo utilizador as condições gerais de utilização do produto ou serviço de pagamento electrónico ao abrigo do artigo 9 do Aviso n° 2/GBM/2014 de 31 de Dezembro.
Neste contexto, os bancos estão isentos de responsabilidade pelos prejuízos incorridos pelo cliente quando demostrem, dentre outros factos, que, na ocorrência da fraude, o cliente agiu com dolo ou negligência, não cumprindo com as suas obrigações decorrentes do contrato celebrado para o fornecimento do produto ou serviço de pagamento electrónico ou das condições gerais de utilização do produto ou serviço de pagamento eletrónico, isentando-se o banco, de responsabilidade pelos prejuízos incorridos pelo cliente em decorrência da fraude bancária.[19]
Outrossim, invocando-se a culpa de terceiro, importa referir que nem todo facto de terceiro é causa de exclusão de responsabilidade, somente aquele que por si só insere o nexo causal da fraude bancária. Portanto, a culpa de terceiro equipara-se ao caso fortuito, por ser uma causa estranha à conduta do agente, imprevisível e inevitável.
No entanto, o fortuito interno, facto imprevisível e, por isso, inevitável ocorrido no momento da fabricação do produto ou da realização do serviço, não exclui a responsabilidade dos bancos porque faz parte da sua actividade e está ligado aos riscos do empreendimento, submetendo-se à noção geral de defeito de concepção do produto ou serviço. Portanto, o banco é sempre responsável pelas suas consequências, ainda que decorrente de facto imprevisível e inevitável. O mesmo já não ocorre com o fortuito externo, facto absolutamente estranho ao produto ou serviço e que não pressupõe defeito do produto ou do serviço.
Conclusão
A actividade bancária comporta riscos, sendo os mais relevantes para o presente estudo, o risco de tecnologia de informação e risco cibernético pois, é no contexto destes riscos que as fraudes bancárias ocorrem, mediante a intromissão não autorizada na rede informática dos bancos para a realização de movimentos indevidos dos saldos das contas dos clientes, através de diferentes modalidades de ataques cibernéticos.
Face a natureza dinâmica das ciber-ameaças, o Banco de Moçambique orienta que os bancos devem adoptar políticas de segurança física e de informação que façam face às potenciais vulnerabilidades e ameaças cibernéticas, implementem controlos de tecnologias de informação robustos e consistentemente demonstrem ambientes de controlo efectivos.
Pelo que, no âmbito da relação contractual, os bancos são responsáveis pelos produtos ou serviços que disponibilizam aos seus clientes (artigo 7/2 do Aviso n° 2/GBM/2014 de 31 de Dezembro), os quais têm direito à indemnização pelos danos resultantes do fornecimento de bens ou prestações de serviços defeituosos.
Nesse contexto, sobre os bancos recai a responsabilidade pelo risco, ou seja, respondem independentemente da existência de culpa, pela reparação de danos causados aos clientes por defeitos relativos à prestação de serviços bem como por informações insuficientes sobre a sua fruição e risco, sendo exigível para o efeito a verificação dos pressupostos da responsabilidade civil pelo risco, ao abrigo do artigo 499º do CC.
Não obstante isso, nenhuma responsabilidade poderá ser atribuída aos bancos pelos prejuízos decorrentes de fraudes bancárias electrónicas, resultantes da acção negligente ou dolosa dos clientes, ao abrigo do artigo 33° do Código de Conduta Bancária. Nesse contexto, o banco fica isento de responsabilidade quando prova que, tendo prestado o serviço, o defeito era inexistente, que a culpa pela ocorrência da fraude é exclusiva do consumidor ou de terceiro, nos termos do 9/3 da Lei de Defesa do Consumidor, sendo que, nem todo facto de terceiro é causa de exclusão de responsabilidade.
[1] Vide Banco de Moçambique – Departamento de Supervisão Prudencial, Directrizes de Gestão do Risco Cibernético, Março de 2020, 2ª versão, e Banco de Moçambique – Departamento de Supervisão Prudencial, Quadro de Supervisão do Risco Cibernético, 2ª versão, disponíveis em https://www.bancomoc.mz, conforme vistos no dia 17/10/2022.
[2] Artigo 1.5.5.1 das Directrizes de Gestão de Riscos, aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro.
[3] A gestão de risco não é restrita aos indivíduos afectos à função de gestão integral de risco. Outras áreas podem ser incluídas porque devem entender os riscos do negócio, conforme resulta dos artigos 1.5.7 e seguintes das Directrizes de Gestão de Riscos, aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro .
[4] Os planos de contingência devem ser testados quanto à plausibilidade das respostas, escalonamento e canais de comunicação e o seu impacto adverso na instituição, conforme o artigo 1.5.10 das Directrizes de Gestão de Riscos, aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro.
[5] Artigo 1.4 das Directrizes de Gestão de Riscos, aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro. As linhas de autoridades não têm a ver com a instância delegada, ou seja, delegações de competências, para decisão de certos processos.
[6] Directrizes de Gestão de Riscos, aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro.
[7] Ao abrigo do artigo 4 do Aviso n° 2/GBM/2014 de 31 de Dezembro, que aprova o Regulamento sobre Procedimentos de Disponibilização de Produtos e Serviços de Pagamento Electrónico, constituem Produtos e Serviços de Pagamento Electrónico: a) A execução de operações de pagamento como a transferência de fundos e todas as operações necessárias para a gestão da conta bancária, entre as quais, a consulta de saldo e de extracto de conta bancária e a execução de débitos; b) A emissão ou aquisição de instrumentos de pagamento; c) Outros que correspondam a definição prevista na alínea f) do artigo 3.
[8] Artigo 2.3 das Directrizes de Gestão de Riscos, aprovadas pelo Aviso n° 4/GBM/2013 de 18 de Setembro.
[9] Banco de Moçambique – Departamento de Supervisão Prudencial, Quadro de Supervisão do Risco Cibernético, 2ª versão, página. 5, https://www.bancomoc.mz/fm_pgTab1.aspx?id=384 , visto em 17/20/2022.
[10] Banco de Moçambique – Departamento de Supervisão Prudencial, Quadro de Supervisão do Risco Cibernético, 2ª versão, página. 3, https://www.bancomoc.mz/fm_pgTab1.aspx?id=384 , visto em 17/20/2022..
[11] GUILAZE, Ermenegildo, Análise Económica dos Limites da Responsabilidade Civil, Escolar Editora, página18.
[12] GUILAZE, Ermenegildo, Análise Económica dos Limites da Responsabilidade Civil, Escolar Editora, página 19.
[13] Fornecedores são todas as pessoas singulares ou colectivas, públicas ou privadas (incluindo com carácter profissional liberal), que habitualmente desenvolvem actividade de produção, fabrico, importação, construção, distribuição, ou comercialização de bens ou servicos aos consumidores mediante a cobrança de um preço (Glossário anexo à Lei n° 22/2009 de 28 de Setembro – Lei de Defesa do Consumidor). Serviço é qualquer actividade fornecida no mercado de consumo mediante remuneração, inclusive a actividade de natureza bancária, financeira, de crédito e segurança, salvo as decorrentes das relações de carácter laboral (Glossário anexo à Lei n°22/2009 de 28 de Setembro – Lei de Defesa do Consumidor).
[14] Ao abrigo do artigo 4° do Aviso n° 2/GBM/2014 de 31 de Dezembro.
[15] Artigo 61° da Lei n° 20/2020 de 31 de Dezembro – Lei das Instituições de Crédito e Sociedades Financeiras.
[16] Veja-se o artigo 9 da Lei de Defesa do Consumidor conjugado com o artigo 796º/1 do CC.
[17] GUILAZE, Ermenegildo, Análise Económica dos Limites da Responsabilidade Civil, Escolar Editora, página.13, cita Leitão, Luis Manuel Teles de Menezes, Direito das Obrigações, Volume I, 6a edição, Almedina, 2007, página. 313.
[18] A negligência configura-se em duas modalidades, a negligência consciente, que consiste na circunstância de o agente violar o dever de diligência a que estava obrigado, na medida em que prevê a produção do facto ilícito como consequência possível da sua conduta, mas cré na sua não verificação, não tomando as providências necessárias para o evitar. E negligência inconsciente, que consiste na circunstância de o agente violar o dever de diligência na medida em que, podendo e devendo prever a verificação do facto ilícito, o agente nem sequer chega a prevê-lo. (Vide Guilaze, Ermenegildo, Análise económica dos Limites das Responsabilidade Civil, Escolar Editora, página 18).
[19] Ao abrigo do artigo 10/2 do Aviso n° 2/GBM/2014 de 31 de Dezembro, o utilizador a quem sejam disponibilizados produtos ou serviços de pagamento eletrónico não solicitados não fica sujeito a qualquer obrigação relativamente aos mesmos, nomeadamente de pagamento, considera-se gratuita a disponibilização de tais produtos.