| Decisão Texto Integral: | Acordam na 2.ª Secção do Tribunal da Relação de Lisboa
I.
RELATÓRIO.
A A., DELGOMETAL, METALOMECÂNICA LDA., intentou processo comum de declaração contra a R., MILLENNIUM BCP, BANCO COMERCIAL PORTUGUÊS, SA., pedindo que esta seja condenada a pagar-lhe a quantia de €19.297,14, acrescida de juros de mora, contados desde a data de citação até efetivo e integral pagamento.
Como fundamento do seu pedido, a A. alegou, em suma, que é titular de uma conta à ordem na R., com operações on line e que em 04.11.2020 foi vítima de phishing, tendo ficado desapossado da quantia de €17.987,00.
Referiu igualmente que o site disponibilizado à A. pela R. não acautelou, de forma adequada, a segurança necessária para que tais atos ilícitos não sucedessem, nem transmitiu recomendações ou regras de cuidado que levassem a A. a desconfiar do procedimento descrito, sendo que a A. confiou plenamente na segurança do site da R. e esta não reembolsou aquela da quantia indevidamente retirada da sua conta bancária.
Mencionou ainda que teve que adquirir um novo computador, com software antivírus, no que despendeu a quantia de €1.100,73, tendo comprado também sistemas anuais de software e a respetiva instalação, o que constituiu uma despesa de €209,41.
A R. contestou, basicamente, negando a sua responsabilidade e assacando-a à A., que tinha instalado software malicioso no seu computador e não atendeu aos avisos de segurança previamente emitidos pela R. a partir de julho de 2018, tendo inserido indevidamente os códigos de autenticação sem atender ao conteúdo integral do SMS, pelo que procedeu com negligência grosseira e sem cumprir obrigações decorrentes do contrato de homebanking, termos em que concluiu pela improcedência da ação e absolvição da R. do pedido.
A A. juntou diversos documentos.
Foi dispensada a audiência prévia, proferido saneador, identificado o objeto do litígio e enunciados os temas da prova.
A audiência final teve sessões em 11.06 e 10.07.2025.
Em 28.09.2025 o Juízo Local Cível de Vila Franca de Xira proferiu sentença cujo dispositivo, no que aqui releva, é o seguinte:
«(…) o Tribunal decide julgar parcialmente procedente a presente ação e, em consequência, o Tribunal decide:
A. Condenar o Réu Banco Comercial Português, S.A., a proceder ao pagamento à Autora da quantia de 17.987,00 € (dezassete mil novecentos e oitenta e sete euros);
B. Condenar o Réu a proceder ao pagamento à Autora dos juros de mora vencidos na pendência da presente ação, a contar da citação, e juros de mora vincendos, calculados à taxa legal, até efetivo e integral pagamento;
C. Absolver o Réu do demais montante peticionado pela Autora;
D. Condenar a Autora a suportar 7,00 % das custas e condenar o Réu a suportar 93,00 % das custas».
Notificada da sentença, a R. veio dela interpor recurso, apresentando as seguintes conclusões:
«A) Vem o presente recurso interposto da sentença proferida pelo Meritíssimo Juiz “a quo” que julgou a presente ação parcialmente procedente e assim condenou o aqui Recorrente a pagar à autora a quantia de € 17.987,00 (dezassete mil novecentos e oitenta e sete euros), acrescido de juros e custas.
B) Para tanto, entendeu o Tribunal “a quo” quanto à procedência da ação, que não ficou provado que o Sr. AA, gerente da Autora, tenha agido com negligência grosseira ao introduzir os códigos que recebeu no seu telemóvel, na página que lhe surgia no ecrã do computador.
C) Salvo o devido respeito, face a toda a prova carreada para os presentes autos (confissão, declarações de parte, testemunhal e documental), não poderia o Meritíssimo Juiz “a quo” ter decidido como decidiu, na parte em julgou procedente a ação, sendo que o Meritíssimo Juiz “a quo” partiu de vários pressupostos que, do modesto ponto de vista da ora apelante, são incorretos.
D) Sentença essa que só pode ser revogada, em nome da Justiça!
E) Posto isto, não obstante ter ficado provado (ponto 26 dos factos provados) de que a autora foi vítima de phishing, e estando assim o computador da autora infetado por malware, o Meritíssimo Juiz “a quo” concluiu erradamente que não se provou que os factos constantes das alíneas c) e d) dos factos não provados.
F) Entende o aqui Recorrente que ocorreu um evidente ERRO DE JULGAMENTO por parte do Tribunal de 1ª instância ao considerar não provado que “AA, gerente da Autora, não agiu com o cuidado que devia e de que era capaz de forma grosseira ao introduzir os códigos que recebeu no telemóvel na página que lhe surgia à frente no ecrã do computador.” (alínea c) dos factos não provados),
G) O próprio Meritíssimo Juiz “a quo” assumiu que “É certo que AA não leu as mensagens que continham os códigos, que tinham um conteúdo que poderia estranhar, contudo, não o fez, conforme explicou, porque recebeu as mensagens e nas mensagens o código aparece salientado e em ocasiões anteriores, o gerente da Autora limitou-se a introduzir o código sem nunca ter tido nenhum problema.”
H) Relembra-se, tal como provado nos pontos 14 e 16 dos factos provados, as SMS identificavam as transações, mas ainda mais relevante, os respectivos valores.
I) E o próprio gerente da autora, o Sr. AA, confessou no seu depoimento (depoimento de 11 de junho de 2025, gravação da Diligência_12878-23.5T8LRS_2025-06-11_10-32-04), mais concretamente aos 09m16s, aos 09m53s, aos 10m25s, aos 10m30s e aos 10m45s, sem qualquer pudor, que não leu as mensagens que lhe foram enviadas para validação final das transações e que era usual não o fazer!
J) Não é de modo algum compreensível que o Meritíssimo Juiz “a quo” tenha julgado como não provado o facto supra mencionado, em claríssima contradição com a confissão do gerente da autora.
K) Pelo que salvo o devido respeito, encontra-se plenamente provado que o gerente da Autora, AA, não leu as SMS melhor descritas nos pontos 14 e 16 dos factos provados.
L) E, sem qualquer margem para dúvidas, fica assim igualmente provado que AA, gerente da Autora, não agiu com o cuidado que devia, e de que era capaz, agindo de forma negligentemente grosseira ao introduzir os códigos que recebeu no telemóvel na página que lhe surgia à frente no ecrã do computador.
M) É assim inquestionável a negligência grosseira por parte da autora, uma vez que o mínimo que o bom senso e a prudência impunham era que o legal representante da autora lesse as SMS que foram enviadas, sendo certo que tal leitura teria impedido a concretização das transações.
N) Mas mais se dirá que é igualmente incompreensível a conclusão do Meritíssimo Juiz “a quo” de que não se provou o ponto c) dos factos não provados, em virtude do depoimento da testemunha BB não ter sido convincente quando esta atestou o envio de uma mensagem, em agosto de 2020, por parte do aqui recorrente, à autora, informando-a de casos semelhantes de burla.
O) A circunstância de não estar junto aos autos cópia dessa mensagem enviada à autora não invalida que se dê como provado o facto que o mesmo pretendia provar, se esse mesmo facto resultar da demais prova produzida, como acontece no caso dos presentes autos, atendendo ao depoimento da testemunha BB, sendo que não foi produzida pela Autora qualquer prova que contradiga o testemunho prestado pela esta testemunha.
P) Sendo que o próprio Meritíssimo juiz “a quo” não apontou qualquer incongruência ao depoimento da testemunha, nem mesmo qualquer desconhecimento dos factos, ou mesmo de falta de isenção.
Q) Da simples audição do depoimento da testemunha BB, (depoimento de 11 de junho de 2025, gravação da Diligência_12878-23.5T8LRS_2025-06-11_13-47-38), mais propriamente ao 22m42s, fica provado que a referida mensagem foi efetivamente enviada à autora.
R) Pelo que encontra-se plenamente provado que, previamente aos levantamentos indevidos ocorridos em novembro de 2020: “Em agosto de 2020, o Réu enviou uma mensagem dirigida à Autora a informar sobre a ocorrência do tipo de fraude em apreço.”
S) Não sendo assim compreensível que, perante o depoimento claro e isento da testemunha BB, não tenha o Meritíssimo Juiz de 1ª instância julgado tal facto como provado.
T) Face ao supra exposto, encontrando-se provado que a autora foi alertada previamente da existência destas fraudes e estando igualmente provado que o gerente da Autora não leu as SMS que lhe foram enviadas para validação final das transações, muito menos compreensível se torna que o Meritíssimo Juiz de 1ª instância tenha julgado como não provado que a autora não agiu em negligência grosseira.
U) Isto porque, a negligência grosseira, correspondendo a uma culpa grave, pressupõe que a conduta do agente se configure como altamente reprovável, à luz do mais elementar senso comum.
V) Na negligência grosseira o agente atua sem o mais elementar senso comum, de modo manifestamente descuidado e imprudente, omitindo infundadamente precauções ou cautelas que, num particular contexto, são objetivamente básicas.
W) Ora, no caso em questão, encontra-se provado (pontos 14 e 16 dos factos provados) que a autora recebeu dois SMS, os quais continham a descrição das transações e os respectivos valores.
X) E, conforme alegado supra, encontra-se igualmente provado que o legal representante da autora, conscientemente, não leu as referidas SMS que lhe foram enviadas para validação final das transações, conforme o próprio confessa no seu depoimento, mais concretamente aos 09m16s, aos 09m53s, aos 10m25s, aos 10m30s e aos 10m45s.
Y) O legal representante da autora, no seu depoimento, chega ao ponto de justificar a não leitura das SMS com o facto de, em situações anteriores e semelhantes, nunca ter lido as SMS e nunca ter tido nenhum problema!!!
Z) Salvo o devido respeito, não pode ser este o critério exigido pela Lei e pela Justiça, não sendo minimamente aceitável que o representante da autora venha alegar que “nunca li as SMS antes e nunca tive problemas” e que o Tribunal “a quo” aceite tal justificação como sendo válida e nessa sequência considere que ocorreu apenas uma negligência simples por parte da autora.
AA) As referidas SMS são absolutamente claras, identificando as transações e os respectivos valores, e caso o legal representante as tivesse lido, como era a sua obrigação, teria percebido de imediato que não tinha ordenado aqueles pagamentos.
BB) Neste contexto, a conduta da autora é manifestamente reprovável à luz do mais elementar senso comum, havendo nela uma omissão dos deveres de cuidado que só uma pessoa especialmente negligente, descuidada e imprudente deixaria de observar, existindo no comportamento da autora uma manifesta omissão de precauções ou cautelas básicas.
CC) Perante a realidade com que se deparou, o mínimo que o bom senso e a prudência impunham era que o legal representante da autora lesse as SMS que foram enviadas, sendo certo que tal leitura teria impedido a concretização das transações.
DD) Sendo que o homem médio não teria, sem mais, como fez o legal representante da autora, introduzido os códigos contidos nas SMS, sem as ler.
EE) Sendo assim totalmente incompreensível que o Meritíssimo Juiz de 1ª instância, tenha entendido que a autora não agiu em negligencia grosseira.
FF) Por conseguinte, entendendo o aqui recorrente de que se encontra provado que a autora agiu com negligência grosseira, não poderá ser responsabilizada pela movimentação dos €17.987,00 (dezassete mil novecentos e oitenta e sete euros), nos termos do n.º 4 do artigo 115º do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica.
GG) Pelo que dúvidas não existem que, perante a confissão do gerente da Autora e a prova testemunhal e documental produzida, impunha-se obrigatoriamente uma decisão contrária à proferida e, salvo o devido respeito, teriam, e têm, de ser julgados como provados os seguintes factos:
- AA, gerente da Autora, não leu as SMS melhor descritas nos pontos 14 e 16 dos factos provados.
- Em agosto de 2020, o Réu enviou uma mensagem dirigida à Autora a informar sobre a ocorrência do tipo de fraude em apreço.
- AA, gerente da Autora, não agiu com o cuidado que devia, e de que era capaz, agindo de forma negligente e grosseira ao introduzir os códigos que recebeu no telemóvel na página que lhe surgia à frente no ecrã do computador.
HH) E consequentemente, deverá ser eliminada a alínea c) dos factos não provados.
II) Entende igualmente o aqui Recorrente que ocorreu um outro evidente ERRO DE JULGAMENTO por parte do Tribunal de 1ª instância ao considerar não provado que “O computador não tinha instalado um programa antivírus, ou, existindo não se encontrava atualizado.” (alínea d) dos factos não provados).
JJ) Primeiro: porque a própria autora confessa na sua petição inicial (nos artigos 36º e 37º) que só após a ocorrência dos levantamentos indevidos ocorridos em novembro de 2020 é que passou a adquirir sistemas de antivírus.
KK) Segundo: o próprio Tribunal de 1ª instância deu como provado (no ponto 28 dos factos provados) que: “A autora passou a adquirir os sistemas anuais de software e sua instalação no computador…” (sublinhado nosso).
LL) Ora, a declaração é claríssima, sendo que quando a autora afirma, e o Tribunal aceita como provado, que “passou” a adquirir, tal só pode significar que antes não adquiria os referidos sistemas de antivírus.
MM) Não existe, salvo o devido respeito, qualquer outra interpretação possível à declaração da autora!!!
NN) Terceiro: porque o próprio legal representante da autora no seu depoimento (de 11 de junho de 2025, gravação da Diligência_12878-23.5T8LRS_2025-06-11_10-32-04), mais precisamente aos 31m54s, 01h03m48s e 01h04m15s, confessou que o computador em questão não dispunha de antivírus.
OO) Por último, e como quarto ponto, sempre se dirá que, na sentença agora recorrida, o Meritíssimo Juiz “a quo” considerou, erradamente, diga-se, que: “Acresce que através da análise da fatura n.º 18/1804 emitida a 24-03-2020, com vencimento no dia 23-04-2020, junta pela testemunha CC, em 17 e 18 de junho de 2025 se denota que a empresa Papel Quotidiano prestou à Autora serviços de reinstalação de sistema e ativação de antivírus em março de 2020. Assim, o ponto d. não ficou provado.”
PP) Também aqui mal andou o Tribunal “a quo”, sendo uma análise cuidada e atenta da fatura em questão, teria permitido ao Meritíssimo Juiz “a quo” evitar mais este erro.
QQ) Da referida fatura 18/1804 consta o seguinte: “mão-de-obra especializada 1H, assistência técnica ao NB HP – reinstalação de sistema e ativação de antivírus”. (sublinhado e negrito nosso).
RR) E segundo as declarações prestadas pelo legal representante da autora à Polícia Judiciária, e constantes do auto de denúncia junto como Doc. 3 da petição inicial, o computador em questão era um computador de secretária.
SS) Ora, um NB (notebook) é um computador portátil, não é um computador de secretaria, pelo que o computador referido na referida fatura não é o mesmo de onde o legal representante da autora acedeu ao homebanking.
TT) Mas mais se diga que erradamente o Meritíssimo Juiz “a quo” conclui ainda que:
“Relativamente ao ponto d., a testemunha CC, empresária, que exerce funções para a empresa Papel Quotidiano, empresa esta que presta serviços de informática à Autora, mencionou que a Autora tinha antivírus nos computadores que adquiriu à empresa Papel Quotidiano.”
UU) Ora, no seu depoimento a testemunha apenas disse que os computadores que a Papel Quotidiano vendeu à autora tinham antivírus instalados, mas nunca disse que aquele computador em questão tinha sido vendido pela Papel Quotidiano, sendo que das faturas juntas resulta que os serviços informáticos também foram prestados por outras empresas, e técnicos informáticos a título individual, que não a Papel Quotidiano.
VV) Ora, se não existe qualquer prova de que o computador de secretaria foi vendido pela Papel Quotidiano, não podia o Tribunal de 1ª instância ter concluído como concluiu, ou seja, de que o computador foi vendido pela Papel Quotidiano, e assim sendo, teria antivírus instalado.
WW) Pelo que, salvo o devido respeito, não é de modo algum compreensível que o Meritíssimo Juiz “a quo” tenha julgado como não provado o facto constante da alínea d) dos factos não provados: (i) em claríssima contradição com a confissão da autora (constante dos artigos 36º e 37º da petição inicial); (ii) em contradição consigo próprio, uma vez que o Meritíssimo Juiz “a quo” considerou como provado o ponto 28 dos factos provados (o qual é contraditório); (iii) em contradição com a confissão da autora (decorrente do depoimento do seu legal representante), e em contradição com a documentação junta aos autos, nomeadamente as faturas juntas pela testemunha CC e bem assim em contradição com o testemunho desta.
XX) Pelo que dúvidas não existem de que se impunha obrigatoriamente uma decisão contrária à proferida e, salvo o devido respeito, teria, e tem, de ser julgado como provado que: “O computador não tinha instalado um programa antivírus, ou, existindo não se encontrava atualizado.”
YY) E consequentemente, deverá ser eliminada a alínea d) dos factos não provados.
ZZ) Entende igualmente o aqui Recorrente que ocorreu um outro evidente ERRO DE JULGAMENTO por parte do Tribunal de 1ª instância ao não julgar provado que “AA, gerente da autora, não informou, de imediato, o réu das suspeitas de burla.”
AAA) Isto porque do depoimento do legal representante da autora (depoimento de 11 de junho de 2025, gravação da Diligência_12878-23.5T8LRS_2025-06-11_10-32-04), mais precisamente do 14m35s a 14m58s, resulta a confissão clara de que o legal representante da autora apercebeu-se da burla, no momento em que recebeu as cinco mensagens, ou seja, por volta das 4 da manhã do dia 4 de novembro de 2020.
BBB) Como o próprio admite, suspeitando de que “há aqui qualquer coisa que não está bem” desligou simplesmente o computador e foi trabalhar, não tendo informando de imediato, como era sua obrigação, o aqui recorrente das suas suspeitas de burla.
CCC) E conforme resulta provado no ponto 20 dos factos provados, apenas o fez no dia 4 de novembro, cerca das 15 horas.
DDD) Ou seja, só passadas mais de dez horas.
EEE) Pelo que entende o aqui Recorrente que a autora agiu de maneira negligente e grosseira, sendo que perante a realidade com que se deparou, uma suspeita evidente de burla, o mínimo que o bom senso e a prudência impunham era que o legal representante da autora informasse de imediato o aqui recorrente de modo a tentar impedir as transações.
FFF) Por conseguinte, tendo a autora agido com negligência grosseira, não poderá ser responsabilizada pela movimentação dos € 17.987,00 (dezassete mil novecentos e oitenta e sete euros), nos termos do n.º 4 do artigo 115º do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica.
GGG) Mas mesmo que assim não se considere, sempre se dirá que era obrigação legal da autora informar, de imediato, o aqui recorrente da suspeita evidente de burla, de modo a tentar impedir as transações, conforme é exigido pela alínea b) do artigo 110º do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica.
HHH) Pelo que sendo manifesto que a autora incumpriu o seu dever de comunicação, a aqui recorrente não pode ser responsabilizada pela movimentação dos € 17.987,00 (dezassete mil novecentos e oitenta e sete euros), nos termos do n.º 3 do artigo 115º do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica.
III) Pelo que dúvidas não existem que, perante a confissão do gerente da Autora, teria, e tem, de ser julgado como provado que: AA, gerente da autora, não informou, de imediato, o réu das suspeitas de burla.
JJJ) Face ao supra vertido, dúvidas não subsistem que a douta decisão recorrida é, salvo o devido respeito, totalmente incompreensível, tendo violado o disposto nos artigos 342º e seguintes, 356º, 358º, 362º e seguintes e 396º do Código Civil e bem assim o artigo 466º do Código de Processo Civil, nº 3, parte final.
KKK) Pelo que, ao abrigo do artigo 662º do Código de Processo Civil, considera o aqui Recorrente que deverão ser julgados como provados os seguintes factos:
- AA, gerente da Autora, não leu as SMS melhor descritas nos pontos 14 e 16 dos factos provados.
- Em agosto de 2020, o Réu enviou uma mensagem dirigida à Autora a informar sobre a ocorrência do tipo de fraude em apreço.
- AA, gerente da Autora, não agiu com o cuidado que devia, e de que era capaz, agindo de forma negligente e grosseira ao introduzir os códigos que recebeu no telemóvel na página que lhe surgia à frente no ecrã do computador.
- O computador não tinha instalado um programa antivírus, ou, existindo não se encontrava atualizado.
- AA, gerente da autora, não informou, de imediato, o réu das suspeitas de burla.
LLL) E, consequentemente, deverão ser eliminadas as alíneas c) e d) dos factos não provados.
MMM) Pelo que não poderá esta Veneranda Relação deixar de alterar a matéria de facto provada, e não provada, no sentido que aqui se propõe supra e requer.
NNN) E consequentemente deverá ser proferido Acórdão que absolva o aqui Recorrente do pedido formulado pela Autora, assim se corrigindo os evidentes erros de julgamento da 1ª instância, e assim se fazendo a acostuma JUSTIÇA.
Nestes termos e nos demais de Direito, deverá ser alterada a matéria de facto provada e não provada, nos termos propostos, e em consequência, ser o presente recurso julgado procedente revogando-se a sentença proferida em 1ª instância, substituindo-se por uma que julgue improcedente o pedido formulado pela Autora, absolvendo-se o aqui Recorrente.
Assim fazendo a acostumada JUSTIÇA!».
A A. contra-alegou, sustentando a manutenção da decisão recorrida.
Colhidos os vistos, cumpre ora apreciar e decidir.
II.
OBJETO DO RECURSO.
Atento o disposto nos artigos 663.º, n.º 2, 608.º, n.º 2, 635.º, n.º 4, e 639.º, n.ºs 1 e 2, todos do CPCivil, as conclusões do recorrente delimitam o objeto do recurso, sem prejuízo do conhecimento de questões que devam oficiosamente ser apreciadas e decididas por este Tribunal da Relação.
Nestes termos, atentas as conclusões deduzidas pela R., aqui Recorrente, não havendo questões de conhecimento oficioso a apreciar, nos presentes autos está em causa apreciar e decidir:
• Da impugnação da decisão de facto e
• Da responsabilidade civil da R. enquanto prestadora de serviços de pagamento eletrónico.
Assim.
III.
DA IMPUGNAÇÃO DA DECISÃO DE FACTO.
1. Segundo o disposto no artigo 640.º, n.º 1 e 2, alínea a), do CPCivil,
«1. Quando seja impugnada a decisão sobre a matéria de facto, deve o recorrente obrigatoriamente especificar, sob pena de rejeição:
a) Os concretos pontos de facto que considera incorretamente julgados;
b) Os concretos meios probatórios, constantes do processo ou de registo ou gravação nele realizada, que impunham decisão sobre os pontos da matéria de facto impugnados diversa da recorrida;
c) A decisão que, no seu entender, deve ser proferida sobre as questões de facto impugnadas.
2 - No caso previsto na alínea b) do número anterior, observa-se o seguinte:
a) Quando os meios probatórios invocados como fundamento do erro na apreciação das provas tenham sido gravados, incumbe ao recorrente, sob pena de imediata rejeição do recurso na respetiva parte, indicar com exatidão as passagens da gravação em que se funda o seu recurso, sem prejuízo de poder proceder à transcrição dos excertos que considere relevantes».
Ou seja, sob pena de rejeição do recurso da decisão de facto, na impugnação desta o Recorrente tem um triplo ónus: (i) concretizar os factos que impugna, (ii) indicar os concretos meios de prova que justificam a impugnação e impõem uma decisão diversa, sendo que caso tenha havido gravação daqueles deve o Recorrente indicar as passagens da gravação em que funda a sua discordância, e (iii) especificar a decisão que entende dever ser proferida quanto à factualidade que impugna.
2. No caso mostram-se cumpridos tais ónus, pelo que importa apreciar a impugnação da decisão de facto deduzida pela R., sendo que esta, em suma, insurge-se quanto aos factos não provados c) e d), entendendo que devem ser tidos como provados, e pretende que seja aditado um outro facto como provado.
Vejamos.
2.1. Do facto não provado c.
(Conclusões B), C), E) a HH) e JJJ) a MMM) das alegações de recurso).
O Tribunal recorrido deu aí como não provado que:
«c. AA, gerente da Autora, não agiu com o cuidado que devia e de que era capaz de forma grosseira ao introduzir os códigos que recebeu no telemóvel na página que lhe surgia à frente no ecrã do computador».
Fundamentou tal nos seguintes termos:
«Relativamente ao ponto c., este ponto não se consolidou, pois a factualidade assente não permite concluir neste sentido, dado que AA, legal representante da Autora, efetuou o procedimento habitual para realizar pagamentos a fornecedores, inserindo os dados da Autora para entrar no serviço homebanking (conforme declarações de AA). Após AA ter entrado no serviço homebanking da Autora, AA foi confrontado com uma página que não o deixava avançar para realizar uma simulação e que solicitava os códigos que AA recebia no telemóvel para que pudesse avançar no procedimento de pagamento a fornecedores.
É certo que AA não leu as mensagens que continham os códigos, que tinham um conteúdo que poderia estranhar, contudo, não o fez, conforme explicou, porque recebeu as mensagens e nas mensagens o código aparece salientado e em ocasiões anteriores, o gerente da Autora limitou-se a introduzir o código sem nunca ter tido nenhum problema. Acresce que a página, que surgiu no ecrã a AA, solicitava os códigos para uma simulação e esses códigos efetivamente foram enviados para o telemóvel de AA, o que lhe fazia criar a convicção de que a inserção dos códigos seria um procedimento necessário para passar para a página da internet do serviço homebanking em que poderia realizar os pagamentos a fornecedores.
A propósito, é de referir que BB referiu que em 2020, o Réu enviou uma mensagem dirigida à Autora a informar sobre a ocorrência do tipo de fraude em apreço, contudo, nesta parte o depoimento da testemunha não foi suficientemente convincente, pois não está sustentado noutra prova, nem foi junta a mensagem de alerta dirigida a Autora. Deste modo, o ponto c. não se consolidou».
(Negrito da autoria dos aqui subscritores).
A partir dos factos provados 14. e 16., bem como das declarações/depoimento de AA, gerente da A., e BB, funcionário da R., conforme conclusões GG) e HH), a R. entende que
«deverá ser eliminada a alínea c) dos factos não provados» e
«têm (…) de ser julgados como provados os seguintes factos:
- AA, gerente da Autora, não leu os SMS melhor descritas nos pontos 14 e 16 dos factos provados.
- Em agosto de 2020, o Réu enviou uma mensagem dirigida à Autora a informar sobre ocorrência do tipo de fraude em apreço.
- AA, gerente da Autora, não agiu com o cuidado que devia, e de era capaz, agindo de forma negligente e grosseira ao introduzir os códigos que recebeu no telemóvel na página que lhe surgiu à frente no ecrã do computador».
Por sua vez, a A. entende de manter a decisão de facto, invocando excertos de declarações/depoimentos de AA, BB e DD.
Apreciemos, sendo que nos referidos factos provados 14 e 16 deu-se como provado que:
«14. A SMS que continha o código tinha o seguinte conteúdo: “MBCP Emp – Envio Ficheiro – Cta Deb:154187224EUR - Tipo:PSM - N. reg:13 - Mont:12.987,00EUR – Data Proc:04/11/2020 - Codigo Autorizacao:*****23”»;
«16. A SMS que continha o código tinha o seguinte conteúdo “MBCP Emp – Envio Ficheiro - Cta Deb:154187224EUR - Tipo:PSM - N. reg:2 - Mont:5.000,00EUR – Data Proc:04/11/2020 – Codigo Autorizacao:*****62”».
A expressão «negligência grosseira» é normativa e conclusiva, relevando em sede factual densificá-la de modo a concluir quanto à mesma na decisão de direito.
Ora, é tal explicitação que pretende a R. com o requerido aditamento da factualidade provada e correspondente eliminação da alínea c) dos factos não provados, conforme artigo 5.º, n.º 2, alíneas a) e b), do CPCivil, justificando-se nesta sede a audição de prova pessoal, designadamente a indicada pelas partes, assim como a compreensão de documentos juntos aos autos.
Assim procedendo, este Tribunal da Relação de Lisboa analisou toda a documentação constante dos autos e ouviu integralmente as declarações/depoimentos de AA, CC, BB e DD, a partir do medio studio do citius.
Nestes termos, com pertinência à matéria aqui em causa, temos que:
• O documento n.º 3 da petição inicial, fls. 5 a 8, refere-se a mensagens recebidas pela A., na pessoa do seu sócio-gerente AA, aquando da apropriação indevida de dinheiro, quer no telemóvel associado à conta bancária, quer no computador, constando dos sms’s as quantias de €12.987,00 e €5.000,00, montantes diversos das transferências então pretendidos pela A., acompanhados de códigos de autorização, e existindo na altura no computador um alegado “envio de SMS de simulação” para o número de telemóvel, com necessidade de indicar “o código recebido”, como condição “para continuar” a operação bancária pretendida pela A.
• O documento n.º 3 da petição inicial, fls. 9, constitui extrato de movimentos bancários da A., sendo que relativamente ao dia 04.11.2020 constam, além de um outro, treze movimentos de €999,00 e dois de €2.500,00, no valor total de €17.987,00;
• Os documentos juntos aos autos pela MEMORIAPLICADA – UNIPESSOAL, LDA., e PAPEL QUOTIDIANO em 17.06.2023, por email, e em 18.06 seguinte, por carta, fls. 3 a 9, dos quais resulta prestações de serviços de informática à A. em 10.09.2018, 19.10.2019, 16.12.2019, 24.03.2020, 03.04.2020 e 28.06.2020, destacando-se a aquisição de “software Windows 10 Home English” em 19.10.2019 e a “reinstalação de sistema e ativação de antivírus” em 24.03.2020;
• AA, sócio-gerente da A., em declarações de parte da mesma, referiu-se com pormenor à factualidade em causa, tendo sido claro, objetivo e coerente quanto ao modo de procedimento normal em operações de homebanking e ao sucedido na madrugada de 04.11.2020, bem como às diligências feitas posteriormente no sentido de denunciar o sucedido junto das autoridades policiais e da R., sem, contudo, lograr obter os montantes em causa.
Nas declarações prestadas referiu ter recebido as mensagens indicadas em 14 e 16 dos factos provados, embora apenas tenha considerado os respetivos códigos de autorização, o que configurou como sendo um procedimento normal por si seguido há muitos anos, tanto mais que nunca teve qualquer problema ao assim proceder e o tempo de validação cerca de um minuto.
Relativamente ao alegado “envio de SMS de simulação” referiu ter julgado tratar-se de um procedimento novo da R., uma nova versão do homebanking desta, que, por isso, não valorou, sendo que a janela aberta era em tudo igual à da R., a que estava há muito habituado.
Referiu também que a página do Banco R. ficou bloqueada e que passado algum tempo, não logrando o seu desbloqueio, fechou o computador e só mais tarde, quando consultou a conta bancária, percebeu-se do desfalque na sua conta bancária.
Negou qualquer alerta da R. no que respeita a situações similares à sucedida.
• A testemunha CC, responsável das empresas que prestam apoio informática à A., referiu que esta preocupa-se com a segurança do seu equipamento informático, tendo sido prestados nesse âmbito diversos serviços à A., desde data anterior a 2020, tecendo considerações em consonância com os documentos juntos em 17 e 18.06.2023.
• A testemunha BB, técnica de análise de fraudes na R., teceu considerações quanto ao homebanking da R., fazendo significar que os factos em causa decorrem da falta de cuidado da A., que revelou códigos de autorização sem se assegurar do que respeitavam os mesmos, descurando por completo os alertas da R. em matéria de segurança, designadamente um email enviado em agosto de 2020, a qual alertava a R. para situações similares à que está em causa nos autos.
• A testemunha DD, funcionário da R. na área da segurança de sistemas de informação e análise de dados, o qual contextualizou o sucedido em termos de informáticos e referiu também que em agosto de 2020 a R. enviou email alertando para situações como a sucedida no caso.
Ponderando tais elementos de prova, no seu confronto crítico em si e entre si, segundo a experiência comum e a necessária logicidade que importa ter, configura-se indiscutível que relativamente aos sms’s indicados em 14 e 16 o gerente da A. apenas considerou os códigos de autorização neles referidos, descurando o mais que constava dos mesmos.
É o próprio que assim o refere quando ouvido em declarações de parte.
No que respeita ao alegado envio à A. de avisos de fraudes informáticas, tal foi negado por aquela e afirmado pelas testemunhas BB e DD.
A prova pessoal revelou-se, pois, contraditória, sem que se vislumbre o lado da razão.
Não foi junto qualquer documento que esclarece-se a matéria.
Em consequência, tem-se por não provada a mesma.
A introdução de códigos pela A. consta já dos factos provados 13 e 15.
No mais, conforme dito, a matéria em causa é de natureza normativa e conclusiva, pelo que cumpre não a integrar na decisão de facto: saber se a A. agiu «de forma negligente e grosseira ao introduzir os códigos que recebeu no telemóvel» constitui matéria da decisão de direito, que nessa sede será apreciada.
Em suma, nesta sede procede parcialmente a pretensão da R., pelo que importa aditar à factualidade provada que:
29. Relativamente aos sms’s indicados em 14. e 16., AA, gerente da A., apenas leu os códigos de autorização aí inseridos, descurando tudo o mais deles constante, designadamente as quantias aí referidas.
Cumprindo dar como não provado que:
c. Em agosto de 2020 a R. enviou uma mensagem dirigida à A. a informar sobre a ocorrência do tipo de fraude em apreço.
2.2. Do facto não provado d.
(Conclusões B), C), II) a YY) e JJJ) a MMM) das alegações de recurso).
O Tribunal recorrido deu como não provado em d. que:
«d. O computador não tinha instalado um programa antivírus, ou, existindo não se encontrava atualizado».
Fundamentou tal nos seguintes termos:
«Relativamente ao ponto d., a testemunha CC, empresária, que exerce funções para a empresa Papel Quotidiano, empresa esta que presta serviços de informática à Autora, mencionou que a Autora tinha antivírus nos computadores que adquiriu à empresa Papel Quotidiano. Acresce que através da análise da fatura n.º 18/1804 emitida a 24-03-2020, com vencimento no dia 23-04-2020, junta pela testemunha CC, em 17 e 18 de junho de 2025 se denota que a empresa Papel Quotidiano prestou à Autora serviços de reinstalação de sistema e ativação de antivírus em março de 2020. Assim, o ponto d. não ficou provado».
(Negrito da autoria dos aqui subscritores).
A R. pretende que tal alínea seja eliminada do elenco dos factos não provados e que passe a constar como provado que:
«O computador [da A.] não tinha instalado um programa antivírus, ou, existindo não se encontrava atualizado».
Para tanto, a R. invoca (i) os artigos 36.º e 37º da petição inicial, (ii) o facto provado 28, (iii) as declarações de parte, (iv) a conjugação da fatura 18/1804 com tais declarações e o depoimento da testemunha CC.
Por sua vez, a A. sustenta a manutenção da decisão de facto a partir da análise que tece quanto a tais elementos.
Vejamos.
Nos artigos 36.º e 37.º da petição inicial a A. alega que:
«36º
Tendo ficado sem computador, a A. viu-se na necessidade de adquirir novo computador para afetar ao seu trabalho e software antivírus, para o que despendeu a quantia de €1.100,73 -Doc. Nº 7 e 11.
37º
Passando a adquirir os sistemas anuais de software e sua instalação no mesmo, para o que despendeu a quantia total de €209,41 até à presente data – Doc. Nº 8 a 13, pagas à sociedade Papel Quotidiano, conforme melhor se lê nos documentos 7 a 10, final de página».
Ou seja, os referidos artigos da petição inicial referem-se a sucedido após a apropriação ilícita em causa, pelo que são inócuos no que ora releva.
O software antivírus passou a ser adquirido para o novo computador adquirido pela A., sendo o alegado em 37.º uma decorrência do referido em 36.º
No mesmo sentido devem ler-se os factos provados em 28 e 25, respetivamente: a A. «adquiriu um novo computador» e quanto a este passou adquirir os «sistemas anuais de software e sua instalação».
Por outro lado, no que respeita à factualidade em causa:
• Os documentos juntos aos autos pela SetOffice em 17.06.2023, por email, e em 18.06 seguinte, por carta, fls. 3 a 9, demonstram prestações de serviços de informáticos à A. em 10.09.2018, 19.10.2019, 16.12.2019, 24.03.2020, 03.04.2020 e 28.06.2020, destacando-se a aquisição de “software Windows 10 Home English” em 19.10.2019 e a “reinstalação de sistema e ativação de antivírus” em 24.03.2020;
• A testemunha CC, enquanto responsável de empresas que prestam apoio informática à A., foi perentória em referir que tal apoio era prestado antes de novembro de 2020, designadamente no âmbito de proteção/segurança de dados, assacando à A. uma postura de manutenção preventiva e não apenas de assistência corretiva, em consonância com os referidos documentos juntos em 17 e 18.06.2023.
• As declarações de parte da A. devem ser tidas na matéria como significando uma maior preocupação da A. com a segurança informática após 04.11.2020, não no sentido de que a A. descurava em absoluto a segurança do seu equipamento, termos em que não podem as mesmas ser vista como confissão quanto à factualidade em causa.
Tudo ponderado, segundo as regras da experiência comum e da lógica, carece de fundamento a pretensão nesta sede da R., termos em improcede a mesma sendo de manter a decisão de facto recorrida, explicitando, contudo, que o constante em 28 que passará a ter a seguinte redação:
28. Após 04 de novembro de 2020, relativamente ao novo computador adquirido, a A. passou a adquirir sistemas anuais de software e sua instalação, para o que despendeu a quantia total de 209,41€ até à presente data.
2.3. Do aditamento.
(Conclusões B), C), ZZ) a KKK) e MMM) das alegações de recurso).
A R. reclama ainda o aditamento do seguinte facto:
«AA, gerente da autora, não informou, de imediato, o réu das suspeitas de burla».
Fundamentou tal pedido numa alegada confissão da A. na matéria.
Por sua vez, a A. entende que a decisão de facto não deve ser aditada.
Ora, diversamente do alegado pela R., não se vislumbra qualquer confissão da A., pois, conforme já se deixou consignado em 2.1. supra, a A. significou que apenas se apercebeu do desfalque da conta bancária quando consultou o saldo desta, tendo então de imediato contactado os serviços da R. a dar conta do sucedido.
Das suas declarações de parte decorre que, confrontado com o bloqueio da página homebanking, o sócio-gerente da A encerrou o computador e só mais tarde, quando consultou a sua conta bancária, se apercebeu de movimentos bancários que não tinha voluntariamente executado, altura em que de imediato informou a R. do sucedido.
Improcede, pois, o recurso nesta parte.
*
Em face do exposto, este Tribunal da Relação tem, pois, como provados os seguintes factos:
1. A A. é titular de uma conta bancária à ordem na instituição bancária da R., pelo menos desde outubro de 2011, na dependência de Vialonga;
2. A conta bancária de que a A. é titular tem o n.º 154187224;
3. Em 19 de Janeiro de 2016, a A. celebrou um contrato para operações bancárias online – homebanking, com a R.;
4. Uma das funcionalidades do contrato de homebanking consiste na possibilidade de o cliente bancário ordenar ao seu banco a realização de operações de pagamento;
5. O acesso ao homebanking pela A. é sempre efetuado com um Certificado Digital (previamente instalado no computador com um Código de Adesão de 15 dígitos disponibilizado à Empresa), com o Código de Utilizador, com a Password e com a introdução, de forma aleatória, de duas posições do Número Fiscal do Utilizador, para ser efetuada a respetiva verificação de identidade;
6. No dia 4 de novembro de 2020, pelas 4 horas e 24 minutos da madrugada, o representante legal da A., AA, entrou na página de homebanking da R. para efetuar pagamentos a fornecedores;
7. A A. acedeu ao site homebanking do Réu com Certificado Digital, Código de Utilizador, Password e a introdução, de forma aleatória, de duas posições do Número Fiscal do Utilizador AA;
8. A A. utilizava habitualmente o serviço homebanking para efetuar pagamentos a fornecedores, nunca tendo sido retirado dinheiro indevidamente da conta bancária da A. anteriormente ao dia 4 de novembro de 2020;
9. No dia 4 de novembro de 2020, no início do procedimento para efetuar um pagamento, a A. recebeu uma mensagem no ecrã do computador a solicitar a inserção de um código para simular uma transação;
10. A mensagem que apareceu no ecrã do computador da A. não permitia que a A. acedesse a outras páginas da internet;
11. O gerente da A. AA recebeu no seu telemóvel uma mensagem da R. com um código;
12. Acreditando que era mais um procedimento necessário, o gerente da A. acedeu à mensagem no telemóvel e colocou o código na página da internet que lhe surgiu no ecrã para conseguir avançar mais no procedimento que estava a realizar;
13. O gerente da A. introduziu o Código de Autorização enviado pelo Banco por SMS, para o telemóvel com o n.º 965836359, pelas 04:24:23;
14. A SMS que continha o código tinha o seguinte conteúdo: “MBCP Emp – Envio Ficheiro – Cta Deb:154187224EUR - Tipo:PSM - N. reg:13 - Mont:12.987,00EUR – Data Proc:04/11/2020 - Codigo Autorizacao:*****23”;
15. Como o gerente da A. não conseguia avançar mais no procedimento que estava a realizar, o gerente da A. introduziu outro Código de Autorização enviado pelo Banco por SMS, para o telemóvel registado com o n.º. 965836359, pelas 04:29:29;
16. A SMS que continha o código tinha o seguinte conteúdo “MBCP Emp – Envio Ficheiro - Cta Deb:154187224EUR - Tipo:PSM - N. reg:2 - Mont:5.000,00EUR – Data Proc:04/11/2020 – Codigo Autorizacao:*****62”;
17. Depois de introduzir os dois códigos, o gerente da A. AA voltou a receber mais mensagens com códigos, mas não conseguindo desbloquear a página, saiu do site e desligou o computador;
18. No final do dia, após regressar do trabalho, ao consultar o seu extrato bancário, o gerente da A. verificou que desconhecidos tinham acedido à conta bancária da A., tendo sido retiradas da conta bancária várias quantias, num total de 13 pagamentos de 999,00€, cada um e dois pagamentos no montante de 2.500,00€ cada um, tudo no total de 17.987,00€;
19. A A. não prestou o consentimento para os pagamentos no total de 17.987,00€ que foram realizados, com dinheiro da sua conta bancária,
20. No dia 4 de novembro de 2020, cerca das 15 horas, AA, representante da A., contactou a R. a informar que nesse dia, às 4 da manhã, ao entrar no site da R., lhe surgiu um quadro que impedia o acesso a outras páginas da internet, e a solicitar que a A. simulasse operações;
21. Após o contacto da A., a R. procedeu de imediato à suspensão dos acessos e à inativação do certificado do cliente, tendo igualmente informado a A. de que se tratava de uma fraude, através da instalação de um software malicioso no seu equipamento e que deveria apresentar queixa nas autoridades;
22. No dia 5 de novembro de 2020, o representante legal da A. apresentou uma denúncia dos factos descritos nos artigos anteriores, que foi distribuída aos serviços do Ministério Público da Procuradoria da Republica da Comarca de Lisboa Norte, DIAP – 7.ª Secção de Loures, processo com o nº 1039/20.5JGLSB;
23. No dia 4 de novembro de 2020 ou em data anterior a esta data, e de forma não concretamente apurada, no computador da A. foi instalado um malware (software malicioso);
24. O computador da A. foi entregue à Polícia Judiciaria para realização de cópia forense do mesmo e ser sujeito a exame;
25. Após a entrega do computador, a A. adquiriu um novo computador para afetar ao seu trabalho e software antivírus, para o que despendeu a quantia de 1.100,73€;
26. Na sequência da investigação efetuada foi apurado que a A., através do seu representante legal, foi vítima de burla, conhecida por phishing, que consistiu em o seu autor remeter um link alegadamente fidedigno de uma instituição e convenceu a A. a nele inserir os seus dados bancários, pela inserção das credenciais que o R. enviou à A.;
27. Este processo teve o seu termo por arquivamento por não ter sido possível, através da investigação efetuada, determinar quem foi o autor da fraude;
28. Após 04 de novembro de 2020, relativamente ao novo computador adquirido, a A. passou a adquirir sistemas anuais de software e sua instalação, para o que despendeu a quantia total de 209,41€ até à presente data;
29. Relativamente aos sms’s indicados em 14. e 16., AA, gerente da A., apenas leu os códigos de autorização aí inseridos, descurando tudo o mais deles constante, designadamente as quantias aí referidas,
*
Considera-se como não provada a seguinte factualidade:
a. O contrato para operações bancárias online - homebanking foi celebrado em 2015;
b. A R. não assegurou as medidas de segurança necessárias para proteger a conta bancária da A. e assim evitar o acesso à mesma por entidades terceiras, mantendo-a vulnerável ao acesso por terceiros;
c) Em agosto de 2020 a R. enviou uma mensagem dirigida à A. a informar sobre a ocorrência do tipo de fraude em apreço.
d. O computador não tinha instalado um programa antivírus, ou, existindo não se encontrava atualizado.
IV.
FUNDAMENTAÇÃO DE DIREITO.
(Conclusões A), C), D), EEE), FFF), GGG), HHH) e NNN) das alegações de recurso).
Nesta sede a R. alega, basicamente, que a A. procedeu com «negligência grosseira» e «incumpriu o seu dever de comunicação», termos em que concluiu pela revogação da decisão recorrida, «substituindo-se por uma que julgue improcedente o pedido formulado pela Autora, absolvendo-se o aqui Recorrente».
Vejamos.
1. Em causa estão serviços de pagamento eletrónico, sujeitos ao Decreto-Lei n.º 91/2018, de 12.11, que transpôs a Diretiva (EU) 2015/2366 do Parlamento Europeu e do Conselho, de 25.11.2015.
Tal diploma foi sucessivamente alterado pelo Decreto-Lei n.º 66/2023, de 08.08, Lei n.º 82/2023, de 29.12, Lei n.º 1/2025, de 06.01, Lei n.º 68/2025, de 19.12, e Lei n.º 73/2025, de 23.12, alterações estas sem repercussões na situação vertente.
Conforme se refere no respetivo preambulo, com o apontado regime jurídico procura-se «responder aos desafios do ponto de vista regulamentar colocados pela realidade dinâmica associada aos serviços de pagamento, tendo em vista a implantação generalizada dos novos meios de pagamento no mercado, que asseguram o funcionamento de atividades económicas e sociais da maior importância».
2. Quanto a obrigações do utilizador de serviço de pagamento eletrónico, no que aqui releva, o artigo 110.º, n.º 1, alínea b), do referido Decreto-Lei n.º 91/2018 dispõe que «[o] utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve [c]omunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento».
Ou seja, em caso de uso indevido do serviço de pagamento eletrónico, o legítimo utilizador deste deve comunicar tal uso ao prestador de serviço ou a quem este indicar, devendo essa comunicação ocorrer imediatamente após o conhecimento do uso indevido por parte do utilizador, exceto se a situação justificar um outro momento tido ainda como oportuno para a comunicação.
Conforme artigo 115.º, n.º 3, do mesmo diploma legal, o «incumprimento deliberado» daquela obrigação de comunicação justifica que o referido utilizador suporte «todas as perdas resultante de operações não utilizadas».
Como refere Miguel Pestana de Vasconcelos, Direito Bancário, edição de 2022, página 495, «[o] utilizador do instrumento de pagamento (…) deve (…) comunicar, “logo que tenha conhecimento dos factos e sem atraso injustificado” ao prestador de serviço de pagamento ou à entidade designada por este último, (…) qualquer utilização não autorizada do instrumento de pagamento (…)».
«Se não cumprir deliberadamente, ou seja, com dolo», tal obrigação «cabe-lhe suportar todas as perdas decorrentes das operações de pagamento não autorizadas (…)».
No caso em apreço.
Conforme factos provados 1. a 3., 6., 13. e 16., apurou-se que a A. utilizou os serviços bancários eletrónicos da R. no dia 04.11.2020, entre as 04:24 e as 04:29 minutos, tendo nessa altura ocorrido apropriação abusiva de dinheiros da A., depositados na R.
Ficou também demonstrado que naquele dia, cerca das 15 horas, após consultar a conta bancária e aperceber-se então daquela apropriação indevida, a A. informou a R. do sucedido, conforme factos provados 18. e 20.
Diversamente do alegado pela R., não se provou que a A. não tenha informado imediatamente a R. das suspeitas de burla informática, conforme ponto III.2.3. supra.
Nestes termos, tem-se por não provado o incumprimento da obrigação de informação por parte da A.
É certo que entre a apropriação abusiva das quantias em causa e a comunicação à R. decorreram mais de 10 horas.
Contudo, só aquando de tal comunicação é que a A. se apercebeu da apropriação indevida e, pois, só então podia informar a R. do sucedido, termos em que se tem por cumprida a obrigação de informação da A. e, assim, improcede nesta sede o recurso da R.
3. Segundo o artigo 115.º, n.º 4, do referido Decreto-Lei n.º 91/2018, no que aqui releva, «[h]avendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas (…)».
Por maioria de razão, tal regime é aplicável a situações dolosas do utilizador do serviço.
Ou seja, ocorrendo uma situação de dolo ou culpa grave do utilizador do serviço, os prejuízos resultantes de operações ilícitas relacionadas com tal situação são da exclusiva responsabilidade do utilizador.
Naquele contexto, a culpa grave ou negligência grosseira exprime uma situação de violação manifesta e indesculpável de deveres de cuidado básicos por parte do utilizador, revelando insensatez ou imprudência elevada do mesmo.
Como refere Miguel Pestana de Vasconcelos, Direito Bancário, edição de 2022, páginas 495 e 496, «[i]mporta sublinhar que a negligência grosseira deve ser devidamente separada da diligência ordinária ou culpa leve (…). Não basta a falta de cuidado que um bom pai de família, que aqui significa simplesmente um utilizador cuidadoso, desses instrumentos tivesse adotado, dentro das circunstâncias do caso concreto».
«Vai para lá dessa medida. Implica um nível de falta de cuidado quase escandaloso, de um desleixo inadmissível seja para quem for (…). E não prescinde de elementos de caráter subjetivo, ligados ao próprio sujeito (idade, nível de formação, capacidades de memorização, etc). (…)»
«A porta para a imputação de perdas ao utilizador por esta via é, assim, bastante estreita».
Como se sumariou no acórdão do Supremo Tribunal de Justiça de 12.12.2023, processo n.º 9240720.5T8LSB.L1.S1, no que aqui releva, «[a]s perdas resultantes de operações de pagamento não realizadas e não autorizadas pelo utilizador/titular do serviço homebanking, mas por terceiros, nos termos do art. 796 nº 1 do CCivil e do art. 115 do DL 91/2018 correm por conta do banco, exceto se forem devidas a atuação fraudulenta daquele ou a atuação grosseira do mesmo por incumprimento deliberado das obrigações que lhe estavam impostas (…)», configurando a «actuação grosseira» (…) «uma falta indesculpável na omissão dos deveres a que se está obrigado».
No mesmo sentido, como se refere no acórdão desta Relação de 05.11.2025, processo n.º 9058/23.3T8LSB.L1-2, relatado pelo aqui primeiro Adjunto e subscrito pela aqui segunda Adjunta, «[a] negligência grosseira constitui uma negligência temerária, qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes».
Conforme artigo 342.º, n.º 2, do CCivil, para se eximir da sua responsabilidade, incumbe ao prestador de serviço a prova do dolo ou negligência grosseira por parte do utilizador.
Como se refere no acórdão desta Relação de Lisboa de 20.02.2024, processo n.º 6029/23.3T8LSB.L1-7, no que ora importa, «o risco inerente à utilização e funcionamento dos serviços de pagamento recai sobre o prestador de serviços, cabendo a este, para se eximir dessa responsabilização, provar que (…) o utilizador dos serviços de pagamento (ordenante) (…) atuou com negligência grosseira».
Explicitando, refere-se no acórdão do Supremo Tribunal de Justiça de 17.06.2025, processo n.º 25239/19.1T8LSB.L1.S1, «[o] legislador faz recair sobre o prestador de serviços de pagamento o ónus da prova da actuação culposa do cliente, denotando uma escolha que revela uma enorme preocupação pelo contraente débil e uma intransigência por comportamentos desiguais e por práticas anómalas».
«É notório que o risco de operações fraudulentas depende tanto do comportamento dos utentes dos serviços de pagamento, como do nível de segurança e profissionalismo do serviço adoptado pelo operador desses serviços. No plano jurídico, o fio condutor que anima o actual regime do serviço de pagamentos electrónicos é a consciência da necessidade de gerir conflitos entre partes desiguais, num quadro de segurança dos sistemas informáticos e de confiança dos utentes nesse sistema».
«Não se estanha assim que, em tema de repartição do ónus da prova, se tenha enveredado por uma solução que aposta na efectividade da tutela dos utilizadores dos serviços de pagamento».
«Refere a propósito da legislação italiana Maria Cecilia Paglietti: «O tema é um clássico da contratação desigual: é um dado adquirido no debate jurídico, de facto, que a tutela da parte débil da relação negocial se desenvolva também através de uma especial repartição do ónus probatório, posto que o princípio dispositivo (…) é, na sua formulação pura, inadequado às lides desiguais, arriscando-se a lesar as partes débeis».
«Comum é, portanto, a tendência dos sistemas europeus para fazer recair o cumprimento do ónus da prova sobre os profissionais, tanto por motivos políticos (qual instrumento de reequilíbrio de posições assimétricas) como processuais (facilitar o acertamento dos factos, fazendo recair o ónus da prova sobre o sujeito que se encontra em posição melhor para satisfazê-lo)» (Questione in materia di prova nei casi di pagamenti non autorizzati, it.readkong.com, 43-80)».
«A opção legislativa constante do artigo 70.º do regime pretérito e continuado e até reforçado no actual, deve-se ao facto de o utilizador não poder ser colocado na necessidade de fazer prova sobre o funcionamento do complexo sistema informático do banco, sistema este que não domina, e de reconstituir os meios ardilosos daqueles que se aproveitam das facilidades e da abertura que estão associadas ao uso dos modernos meios de pagamento».
«Cabe, portanto, ao banco provar a culpa do seu cliente, o grau de contribuição para os prejuízos ocorridos».
Na situação vertente, apurou-se que:
• A A. celebrou um contrato para operações bancárias online com a R., procedendo por essa via a operações de pagamento, factos provados 1. a 4.;
• O acesso a tais operações era efetuado com um Certificado Digital, Código de Utilizador, Password e introdução, de forma aleatória, de duas posições do NIF, facto provado 5.;
• Em 04.11.2020, pelas 4:24 horas, a A entrou na página de homebanking da R. para efetuar pagamentos a fornecedores, com as respetivas prerrogativas de acesso, procedimento habitual, sem que anteriormente tivesse tido qualquer problema, factos provados 6. a 8.;
• Então, no início do procedimento para efetuar um pagamento, a A. recebeu uma mensagem no ecrã do computador a solicitar a inserção de um código para simular uma transação, sendo que com tal mensagem o computador da A. ficou bloqueado e surgiu no respetivo telefone um sms, factos provados 9. a 11., 14. e 20.;
• Desse sms, no meio de uma mensagem com diversas indicações, constava a referência a “Mont:12.987,00”, bem como um determinado código, factos provados 11. e 14.;
• Acreditando tratar-se de mais um procedimento necessário e lendo tão-só tal código, a A. colocou o mesmo na página da internet que lhe surgiu no ecrã para conseguir avançar mais no procedimento de pagamento que estava a realizar, factos provados 12., 13. e 29.;
• Seguidamente, como continuava a não avançar mais no procedimento que estava a realizar, a A. introduziu outro Código de Autorização enviado pelo Banco por sms, o qual tinha também diversos dizeres, como “Mont:5.000,00EUR”, os quais a A. não leu, factos provados 15. e 16.;
• Depois de introduzir os referido dois códigos, a A. voltou a receber mais mensagens com códigos, mas não conseguindo desbloquear a página, saiu do site do Banco e desligou o computador, facto provado 17.;
• Em 04.11.2020, após regressar do trabalho, ao consultar o seu extrato bancário, a A. verificou que desconhecidos tinham acedido à sua conta bancária e dela retirado, sem o seu consentimento, várias quantias, no total de 17.987,00€, factos provados 18. e 19.;
• Em 04.11.2020, pelas 15 horas, a A. informou a R. do anteriormente descrito, facto provado 20.;
• Em 04.11.2020 ou em data anterior a esta data, e de forma não concretamente apurada, foi instalado um malware (software malicioso) no computador da A., facto provado 23.;
• Na sequência da investigação policial apurou-se que a A. foi vítima de burla, conhecida por phishing, que consistiu em o seu autor remeter um link alegadamente fidedigno de uma instituição e convenceu a A. a nele inserir os seus dados bancários, pela inserção das credenciais que o R. enviou à A., facto provado 26.
Diversamente do alegado pela R., não se provou que em agosto de 2020 a R. enviou uma mensagem dirigida à A. a informar sobre a ocorrência de fraudes do tipo em apreço, nem que o computador da A. não tivesse instalado um programa antivírus ou, existindo, não se encontrasse atualizado.
No apontado quadro factual, não se provou que a A. tenha atuado de forma dolosa ou com negligência grosseira.
É certo que desconsiderou a indicação de simulação, bem como o texto integral dos sms’s enviados, nomeadamente a indicação das quantias em causa.
Contudo, trata-se de uma situação de negligência, não de negligência grosseira nos termos indicados.
No contexto, o procedimento seguido pela A. foi o típico em situações anteriores: a A. acedeu ao homebanking com as suas credenciais e colocou códigos de certificação que recebeu no respetivo telemóvel quando pretendia proceder a pagamentos, conforme era habitual.
Embora tenha recebido a indicação de simulação e tal não fosse normal, entendeu isso como um procedimento necessário exigido pela R. para levar por diante o pagamento desejado.
Conquanto dos sms’s constassem elementos que denunciavam uma situação insólita, a circunstância da A. habitualmente receber mensagens em situações similares e nelas apenas atender ao código aí indicado, bem como o curto espaço de tempo disponível para escrever o mesmo código, sabe-se ser de cerca de um minuto, constituem indubitavelmente aspetos que permitem concluir que o modo de proceder da A. não assume o patamar do descuido inadmissível, do desleixo inaceitável, tanto mais que, sabe-se, estava instalado um malware no computador da A..
Nestes termos, não se tendo provado dolo ou negligência grosseira por parte da A, deve a R. pagar àquela as quantias indevidamente apropriadas por terceiro, não autorizadas voluntariamente pela A., conforme artigo 114.º, n.º 1 do Decreto-Lei n.º 91/2018: «(…) o prestador de serviços de pagamento do ordenante deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada (…)».
Em suma, revela-se inconsistente o recurso da decisão de direito, termos em que improcede necessariamente este, mantendo-se a decisão recorrida nos seus precisos termos.
*
Quanto às custas dos recursos.
Segundo o disposto nos artigos 527.º, n.ºs 1 e 2, do CPCivil e 1.º, n.º 2, do Regulamento das Custas Processuais, o recurso é considerado um «processo autónomo» para efeito de custas processuais, sendo que a decisão que julgue o recurso «condena em custas a parte que a elas houver dado causa», entendendo-se «que dá causa às custas do processo a parte vencida, na proporção que o for».
No caso improcede o recurso, pelo que a R. deve suportar as respetivas custas.
V. DECISÃO
Pelo exposto, julga-se improcedente o recurso, termos em que mantém-se a decisão recorrida.
Custas do recurso pela R./Recorrente.
Lisboa, 19 de fevereiro de 2026
Paulo Fernandes da Silva (relator)
João Severino (1.º Adjunto)
Laurinda Gemas (2.ª Adjunta) |
