| Decisão Texto Integral: | Acordam, na 2.ª Secção Cível do Tribunal da Relação de Lisboa, os Juízes Desembargadores abaixo identificados
I - RELATÓRIO
CAIXA GERAL DE DEPÓSITOS S.A., Ré na ação declarativa que, sob forma de processo comum, foi intentada por AA, interpôs o presente recurso de apelação da sentença que julgou a ação parcialmente procedente.
Os autos tiveram início em 11-03-2024, com a apresentação de Petição Inicial, em que a Autora pediu que a Ré fosse condenada a pagar-lhe a quantia de 4.500,00 €, bem como uma indemnização no valor de 2.500 €.
Alegou, para tanto e em síntese, que: no dia 13-07-2022, via telefónica e SMS, foi, sem a sua aprovação, e na sequência de telefonema recebido de indivíduo que se identificou como funcionário da Ré, transferida da conta bancária de que é titular junto desta, a quantia de 4.500,00 €, impendendo sobre a Ré a obrigação de proceder à sua devolução, dado ter existido uma falha no funcionamento da atividade da Ré; deverá ainda indemnizar a Autora a título de danos não patrimoniais, no montante de 2.500,00 €.
A Ré apresentou Contestação, em que pugnou pela improcedência da ação, alegando, em sua defesa, ter sido a Autora a responsável pela operação de pagamento realizada, ao fornecer todos os dados necessários à realização da mesma, inexistindo qualquer falha no sistema informático e de segurança da Ré.
Foi realizada a audiência prévia, com a prolação de despacho saneador e despacho de identificação do objeto do litígio e enunciação dos temas da prova.
Realizou-se a audiência de julgamento e, após, foi proferida a Sentença (recorrida) cujo segmento decisório tem o seguinte teor:
“Nestes termos, julga-se a acção parcialmente procedente, por provada e, em consequência, decide-se condenar a Ré a proceder à devolução à A. da quantia de € 4.500,00 (quatro mil e quinhentos euros), absolvendo, no mais, a Ré do pedido deduzido pela A..
Custas pela A. e pela Ré, na proporção do respectivo decaimento, incluindo-se nas custas das responsabilidade da Ré, as custas de parte da A. e, incluindo-se nas custas da responsabilidade da A., as custas de parte da Ré – cfr. artigo 527.º do C. P. C.
Registe e Notifique.”
É com esta decisão que a Ré não se conforma, tendo interposto o presente recurso de apelação, em que pugna pela revogação da sentença recorrida e substituição da mesma por decisão que declare a total improcedência da ação, com a consequente absolvição da Autora do pedido, formulando na sua alegação as seguintes conclusões:
a) No âmbito dos presentes autos está em causa apurar a quem cabe a responsabilidade decorrente de operações bancárias não autorizadas, nomeadamente através de cartão de débito e serviços de homebanking;
b) Os contratos e serviços de pagamentos associados aos instrumentos de pagamento emitidos para deles se usufruir, encontram-se submetidos ao Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, consagrado no Decreto-Lei n.º 91/2018, de 12/11, diploma este que estabelece um conjunto de deveres principais e acessórios para ambas as partes;
c) Da factualidade provada resulta que a Recorrida celebrou com a Recorrente um contrato de utilização de cartão de débito e aderiu aos canais digitais desta, a qual assim consentiu que a Recorrida tivesse acesso à conta bancária de que é titular por via da App instalada em equipamentos móveis, designadamente através do seu telemóvel e, por via do acesso ao site da Recorrente, usualmente designado por homebanking, através das credenciais de acesso que lhe forneceu;
d) Ao abrigo do Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, os bancos fornecem aos seus clientes senhas de acesso pessoais, bem como cartões matriz constituídos por uma infinidade de composições numéricas, que normalmente são solicitadas no final de cada operação efectuada por meios telemáticos e por forma a autenticá-la;
e) Esse cartão matriz deverá apenas ser do conhecimento do cliente, único a poder utilizá-lo, não lhe sendo permitido fornecer nenhum dos dados nele insertos a terceiros, uma vez que, quer o protocolo da página bancária, quer o tráfego de toda a informação nela processada, o que inclui as sobreditas senhas de acesso, são encriptadas, tornando quase impossível um terceiro obter ou alterar a informação depois de enviada;
f) Cabe ao prestador do serviço assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo, também, a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento;
g) Por esta razão, recai sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema, impendendo ainda sobre o mesmo o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência;
h) Ao utilizador do serviço de pagamento – que deve dispor de um conjunto de dispositivos de segurança, como o código de acesso, cartão matriz, entre outros, que lhe vão permitir aceder a esse serviço, dada a sua função de autenticação e identificação – exige-se que tome as medidas razoáveis em ordem a preservar a eficácia desses dispositivos;
i) A Recorrida alegou ter ocorrido um pagamento no valor de € 4.500,00 efectuado com recurso aos canais digitais da Recorrente, ao cartão de débito de que aquela é titular e, ao seu telemóvel, pagamento esse que a Recorrida não autorizou razão pela qual pretende a devolução por parte da Ré da quantia de € 4.500,00;
j) O prestador de serviços de pagamento, ié, a Recorrente, só pode executar uma operação ou um conjunto de operações que tenha sido devidamente autorizado pelo utilizador do serviço;
k) O consentimento para a execução das operações tem de ser dado pelo ordenante nos termos acordados e terá de ser prévio à operação e, caso não tendo sido prestado nos termos acordados, a operação considera-se não autorizada;
l) A execução da ordem exige também que o cliente tenha sido autenticado pelo prestador do serviço através de um procedimento que lhe permite verificar a identidade de um utilizador de serviços de pagamento ou a validade da utilização de um instrumento de pagamento específico, incluindo a utilização das credenciais de segurança personalizadas do utilizador;
m) Se o utilizador dos serviços negar ter autorizado a operação, ou alegar que ela foi incorrectamente efectuada, cabe ao prestador dos serviços de pagamento provar que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento;
n) Nos termos dos factos dados por provados, provou-se que
“12. A operação referida em 4) é uma compra realizada online com cartão de débito, no portal ou APP da Binance, introduzindo o número do cartão, incluindo os 3 dígitos de segurança constantes do verso do cartão, bem como a data de validade do cartão.
o) 13. Após essa inserção, como credencial adicional, foi solicitado à A. que acedesse à sua aplicação de homebanking da CGD, através da APP Caixadirecta que estava instalada no seu telemóvel e, entrando na APP Caixadirecta, validasse a operação que estava pendente, o que foi feito.
p) 14. Após a introdução dos dados inscritos no cartão do cliente, foi solicitada a confirmação da operação dentro da sua App Caixadirecta, cujo acesso é feito mediante introdução do seu número de user, bem como do código pessoal de acesso, sendo depois a confirmação da operação feita através de registo de um código que lhe é enviado por SMS (TOKEN) para o número de telefone da A. – …6”.
q) Está, assim, assente que a operação bancária questionada (operação de pagamento) derivou da introdução de credenciais e códigos através da inserção do número do cartão, incluindo os três dígitos de segurança constantes do verso do cartão e respectiva data de validade, e ainda a introdução dos códigos de autorização que foram recebidos no seu telemóvel, via SMS token, o que teve como consequência que o sistema do banco, aqui Recorrente, por estarem reunidos todos os requisitos de movimentação, tenha cumprido a instrução de pagamento;
r) Verificou-se, pois, que as mensagens foram efectivamente enviadas para o telemóvel da Autora/Recorrida e a operação exigiu a inserção dos códigos remetidos por essa via;
s) A Recorrida não digitou o código de activação do serviço, mas consta igualmente provado no ponto 8 dos factos provados que o indicou ao seu interlocutor, o que é dizer que disponibilizou os meios de acesso à conta, uma vez que a operação ocorrida foi realizada a partir do seu telemóvel;
t) De acordo com o regime vigente, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe permitam aceder a esse serviço e que são disponibilizados pelo banco/prestador do serviço;
u) Tais dispositivos de segurança personalizados têm uma função de autenticação, permitindo identificar o utilizador e verificar se este é efectivamente o cliente que contratou o serviço de homebanking;
v) Exige-se, por isso, ao utilizador que tome todas as medidas razoáveis em ordem a preservar a eficácia desses dispositivos de segurança personalizados em vista de evitar que terceiros consigam aceder, fraudulentamente, através do sistema, à conta do cliente utilizador do serviço de homebanking, logrando apropriar-se de fundos aí existentes;
w) O artº. Artigo 115.º, nº 4, do já supra referido regime dos meios de pagamento estatui que “Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro)50”;
x) A culpabilidade do ordenante constitui um pressuposto da responsabilidade por operações de pagamento não autorizadas, razão pela qual é necessário apreciar a respectiva conduta na sua relação com o comportamento devido, isto é, na perspectiva da violação de um dever jurídico ou da omissão do dever de diligência que lhe é imposto, bem como da intervenção da vontade nessa actuação;
y) O Código Civil, no n.º 2 do artigo 487.º, estatui um critério de apreciação da culpa em abstracto, ao dispor: “A culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso”;
z) A culpa deve ser analisada segundo o critério de um bonus pater familiae, colocado nas concretas circunstâncias em causa, e não segundo o critério do próprio agente, o que impõe que se determine previamente a conduta, tendo em conta a concreta situação do agente;
(…) bb) A Recorrida foi enganada, mas perante o banco/Recorrente, a transação foi autorizada pela Recorrida. E de facto, a Recorrida – ainda que se conceda que não estaria consciente do que estava a fazer – autorizou o movimento que põe em causa nestes autos, foi com as suas credenciais, que cedeu e porque as cedeu a terceiros, que as transacções foram feitas. Só a Recorrente é responsável pelo uso das suas credenciais que, note-se, não lhe foram roubadas, nem furtadas, que nem sequer perdeu. Facultou-as, deu-as voluntariamente a terceiros, verbalizando os códigos para o seu interlocutor no decurso da chamada telefónica que recebeu;
cc) As ordens foram autorizadas e consentidas (artigos 103.º,n.ºs 1 a 3, 104.º, do RJSPME, e 13.º do Regulamento Delegado (UE)2018/389);
dd) Assim sendo, a entidade bancária tem de praticar as operações na conta determinadas ou autorizadas pelo cliente até ao limite da conta, correndo por conta desta última o risco de extravio ou dissipação;
ee) A Recorrente cumpriu todas as suas obrigações, nomeadamente, a de executar as ordens que a Recorrida, cidadã na posse de total capacidade jurídica, autorizou e consentiu [tanto mais que, estando reunidas todas as condições previstas no contrato-quadro celebrado com o ordenante, o prestador de serviços de pagamento que gere a conta deste não pode recusar a execução de uma ordem de pagamento autorizada (artigo 120.º do RJSPME), ordem que, quando foi, e bem, executada pelo banco, era irrevogável (artigo121.º do RJSPME)];
ff) Provou-se que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência do serviço prestado pela Recorrente;
gg) A Recorrida negou ter autorizado a operação, mas provou-se que a autorizou, pelo que nem teria a Recorrente de fazer prova das aludidas circunstâncias;
hh) A Recorrida utilizou as credenciais que a Recorrente lhe forneceu para aceder ao homebanking com frontal incumprimento dos seus deveres contratuais e legais, dando-as a terceiros de uma forma, mais que incauta, despropositada e contraditória com a lógica do sistema de segurança para que as credenciais servem;
ii) Do exposto decorre inequivocamente que a Recorrida incumpriu com as regras de segurança amplamente divulgadas pela Recorrente para acesso e utilização ao serviço de homebanking;
à) Decorre do facto provado nº 15, a Recorrente divulga alertas e tentativas de fraude dos quais constam expressamente avisos sobre os diversos tipos de fraude em curso em cada momento;
kk) A Recorrida, conhecedora de tais avisos por banda da Recorrente, simplesmente ignorou-os perante o pedido de alguém que se fazia passar por funcionário da Recorrente, apesar de constarem avisos expressos de que nunca devem ser concedidas credenciais de acesso ou concretização de operações a terceiros, e que a Recorrente nunca pede tais credenciais;
ll) Note-se que a actuação da Recorrida se traduziu, em síntese, em ter facultado o código SMS token para confirmação da operação de pagamento da quantia de € 4.500,00 e posteriormente ter utilizado a sua app no seu telemóvel para introdução de assinatura certificada, como melhor consta dos factos provados nºs. 7, 8, 12, 13 e 14;
mm) Não se conforma a Recorrente com a afirmação da douta sentença sob recurso quando refere que a Ré não alegou qualquer factualidade que permitisse concluir pelo uso fraudulento do instrumento de pagamento pela A. ou que esta tivesse actuado com dolo;
nn) A Recorrente desde sempre alegou que a transferência em causa apenas ocorreu através do uso fraudulento do serviço de homebanking da Recorrida, e desde logo admitiu ter aquela sido vítima de fraude;
oo) Outrossim, a Recorrente sempre invocou o dolo ou a negligência grosseira da Recorrida quando concedeu o código token para a concretização do pagamento e procedeu à assinatura certificada na app CaixaDirecta;
pp) Nem o facto do telefonema ter sido recebido do número de telefone da Recorrente e do interlocutor da Recorrida se ter apresentado como funcionário da Caixa diminui a negligência gravemente grosseira do comportamento da Recorrida;
qq) Esclarece a Prof.ª Ana Prata que culpa grave é o mesmo que “negligência grosseira, erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes” (vide “Cláusulas de Exclusão e Limitação da Responsabilidade Contratual”, Reimpressão, págs. 306 a 308 e nota-de-rodapé 643 in fine);
rr) A jurisprudência também tem vindo a pronunciar-se acerca deste mesmo conceito, destacando-se, a mero título de exemplo, o Acórdão do Tribunal da Relação de Lisboa de 24.01.2023, cuja Relatora foi Micaela Sousa e que, a propósito deste conceito, refere que “... a negligência grosseira não se basta com a falta de cuidado que uma pessoa normalmente diligente teria naquela situação, dentro das circunstâncias do caso concreto, exigindo-se um nível de falta de cuidado mais elevado, um descuido ou desmazelo inadmissível para qualquer pessoa colocada naquela situação.”
ss) Conforme foi já decidido pelo Tribunal da Relação de Guimarães em recente acórdão proferido em 21.11.2024 “(…)” in https://www.dgsi.pt;
tt) A actuação da Autora tem de se considerar grosseiramente negligente porquanto “(…)” cfr melhor decidido no acórdão do Tribunal da Relação de Lisboa de 13.03.2025 in https://www.dgsi.pt;
uu) A negligência da Recorrida tem de se ter por grosseira na medida em que “Ao utilizador do serviço de pagamento – que deve dispor de um conjunto de dispositivos de segurança, como o código de acesso, cartão matriz, entre outros, que lhe vão permitir aceder a esse serviço, dada a sua função de autenticação e identificação – exige-se que tome as medidas razoáveis em ordem a preservar a eficácia desses dispositivos” cfr. acórdão do Supremo Tribunal de Justiça de 23.01.2024 in https://juris.stj.pt;
vv) Face a tudo o exposto, teria o Tribunal a quo de considerar que actuou a Recorrida de forma grosseiramente negligente pois que nesta situação em particular ficou demonstrado que a Recorrida desconsiderou todos os avisos de segurança expressos que constam do respectivo site de acesso ao serviço;
ww) À Recorrida seria exigível, que tivesse adoptado comportamento diferente na utilização do Serviço em questão pois a facultação do SMS Token sem sequer ter lido a respectiva mensagem, e a assinatura certificada na app CaixaDirecta sem ter confirmado com exactidão a que se destinava tal assinatura evidencia que o seu comportamento foi grosseiramente negligente;
xx) Assim, atento ao acima exposto, a prova produzida no caso sub judice, permitiu afastar, a culpa da Recorrente, e demonstrar a negligência grosseira da Recorrida, razão pela qual o tribunal a quo deveria ter concluído diferentemente, pela sua absolvição;
yy) Por todo o exposto, a Sentença Recorrida não fez uma correcta interpretação dos factos e sua subsunção às normas legais aplicáveis, designadamente o disposto no artº. 115º nº 4 do RJSPME, devendo, por isso, ser totalmente revogada e substituída por outra que absolva a Recorrente.
Foi apresentada alegação de resposta, em que a Autora/Apelada defendeu que não deve ser concedido provimento ao presente recurso devendo, em consequência, manter-se a decisão recorrida, concluindo designadamente nos seguintes termos:
(…) pese embora a Apelada considere injusta a absolvição da R. Apelante da parte do pedido correspondente aos danos e prejuízos que lhe foram causados, percebe e aceita a decisão também nessa parte.
4. Em tudo mais é a douta sentença de louvar, sem qualquer reserva, já que com clarividência e fundando-se na prova produzida e, sobretudo, no Direito que à mesma se aplica, conclui pela procedência (parcial) do pedido formulado pela Apelada.
5. Sendo totalmente engenhosa a montagem do argumentário de que pretende a Apelante extrair a conclusão de que foi erradamente julgada a matéria de facto. Pelo contrário, da prova produzida resulta, nada mais, nada menos, do que a conclusão a que se chegou na douta sentença recorrida, bem como a correcta aplicação do Direito
6. E, por conseguinte, não colhendo os argumentos procurados trazer, até porque, não será de ignorar que procuram confundir esse Superior Tribunal, por pretenderem não ter decisões que façam justiça aos pequenos aforradores, procurando decisões que continuem a proteger as instituições bancárias em detrimento dos depositantes não profissionais, continuando a deixar um rasto de lesados, dos diferentes burlões e das próprias instituições bancárias, o que, para além de inadmissível, é insustentável.
7. É de concluir que bem andou o Douto Tribunal a quo ao considerar, como considerou, que, dado que o que está em causa é apurar a quem cabe a responsabilidade pelas operações bancárias não autorizadas, designadamente através de cartão de débito e de serviços de homebanking, não se provou, porque não ocorreu, a negligência grosseira da Apelada, mas, em contrapartida, a prova produzida permitiu verificar a culpa da Recorrente/Apelante, porquanto não assegurou a operacionalidade do sistema informático que usa e disponibiliza aos seus clientes, garantindo a segurança, o seu regular funcionamento, e confidencialidade dos dispositivos de segurança que permitem aceder a instrumentos de pagamento, o que permitiu que alguém transferisse, sem a necessária autorização, € 4.500,00 (Quatro Mil e Quinhentos Euros) da conta da Apelada, sem o consentimento desta, utilizando o sistema disponibilizado e controlado pela Apelada.
8. O que gerou um dano e prejuízo directo, a que a Apelada é alheia, por culpa imputada à Apelante, pelo que esta deve, no mínimo, devolver a quantia que foi retirada, indevidamente, da conta daquela.”
Colhidos os vistos legais, cumpre decidir.
***
II - FUNDAMENTAÇÃO
Como é consabido, as conclusões da alegação do recorrente delimitam o objeto do recurso, ressalvadas as questões que sejam do conhecimento oficioso do tribunal, bem como as questões suscitadas em ampliação do âmbito do recurso a requerimento do recorrido (artigos 608.º, n.º 2, parte final, ex vi 663.º, n.º 2, 635.º, n.º 4, 636.º e 639.º, n.º 1, do CPC).
A única questão a decidir é a de saber se a Ré não está obrigada a pagar à Autora a quantia de 4.500 €, que foi debitada na conta de que esta é titular, apreciando se isso se deveu a negligência grosseira por parte da Autora.
Factos provados
Na sentença foram considerados provados os seguintes factos (para melhor compreensão e tendo em atenção a cronologia dos factos, conforme alegado na Petição Inicial e na Contestação, alterámos em parte a ordem dos factos, indicando entre parenteses a numeração da sentença, que será considerada na fundamentação de direito, e os correspondentes artigos dos articulados):
1. A Autora é cliente da Ré, tendo diversas contas bancárias confiadas à mesma.
2. (5.) No dia 13 de julho de 2022, no período da hora de almoço, por volta das 13:30 h, a Autora recebeu uma chamada no seu telemóvel do número …0, tendo o interlocutor se identificado como P…, alegando ser funcionário da Ré (cf. art. 2.º da PI)
3. (6.) Após se identificar, o indivíduo de nome P… questionou a Autora sobre a correspondência do número para o qual estava a ligar com a conta bancária n.º …400, tendo a Autora confirmado a sua correspondência (art. 3.º da PI)
4. (7.) O Sr. P… informou a Autora de que iria receber um SMS com um código no seu telemóvel, servindo esse código para confirmação da associação do número de telefone à conta bancária, pelo que às 13:39 h a Autora recebeu uma mensagem com o código …54 que deveria introduzir para confirmar a associação do dispositivo à conta bancária em questão (art. 4.º da PI)
5. (8.) Nesse seguimento, questionada pelo Sr. P… sobre a receção da mensagem com o código de ativação, a Autora confirmou que havia recebido a mesma, não o tendo digitado, mas indicando-o àquele, tendo em conta que o mesmo se identificara como funcionário da sua instituição bancária e lhe ligara a partir do mesmo número de telefone da Caixa Geral de Depósitos (art. 5.º da PI)
6. (2.) Pelas 13:54 h do dia 13 de julho de 2022, a Autora recebeu SMS do remetente Caixa Geral de Depósitos cujo teor da mensagem se transcreve: “Para confirmar a aprovação de pagamento com cartão ao comerciante binance.com no valor de 1.000,00 €, introduza código …38” (art. 8.º da PI)
7. (9.) A Autora entrou em contacto com a Ré, expondo a situação (art. 9.º, 2.ª parte, da PI)
8. (3.) A Caixa Geral de Depósitos da Chamusca informou a Autora da existência de vários movimentos nas suas contas bancárias, as transferências das quantias de 10.000,00 € e 14.000,00 € da conta a prazo n.º …061 que posteriormente foram colocadas na conta à ordem da Autora (art. 10.º da PI)
9. (4.) A Caixa Geral de Depósitos da Chamusca informou-a de que havia sido dada ordem de transferência para destino incerto da quantia de 4.500,00 €, ordem essa que já não poderia ser anulada (art 11.º da PI)
10. A Autora confirmou que o número referido em 5) pertencia à Ré (art. 14.º da PI)
11. A Autora não deu aprovação à transferência referida em 4) (arts. 18.º e 19.º da PI)
12. A operação referida em 4) é uma compra realizada online com cartão de débito, no portal ou APP da Binance, introduzindo o número do cartão, incluindo os 3 dígitos de segurança constantes do verso do cartão, bem como a data de validade do cartão (art. 26.º da Contestação)
13. Após essa inserção, como credencial adicional, foi solicitado à Autora que acedesse à sua aplicação de homebanking da CGD, através da APP Caixadirecta que estava instalada no seu telemóvel e, entrando na APP Caixadirecta, validasse a operação que estava pendente, o que foi feito (art. 27.º da Contestação)
14. Após a introdução dos dados inscritos no cartão do cliente, foi solicitada a confirmação da operação dentro da sua App Caixadirecta, cujo acesso é feito mediante introdução do seu número de user, bem como do código pessoal de acesso, sendo depois a confirmação da operação feita através de registo de um código que lhe é enviado por SMS (TOKEN) para o número de telefone da Autora – …6 (art. 28.º da Contestação)
15. A Ré divulga alertas relativas a tentativas de burla/fraude, dos quais constam:
. Não aceda à CGD através de links em mensagens de email, SMS, endereços gravados nos “Favoritos” ou no “Histórico”, nem através de anúncios ou outros resultados de pesquisas internet.
. Digite sempre o endereço https://www.cgd.pt no seu browser, e confirme o certificado digital da CGD. Proteja-se online e preserve as suas credenciais e os seus dados pessoais.
. Suspeite sempre de links e ficheiros em mensagens eletrónicas. Um email, um SMS ou uma notificação nas redes sociais, cuja origem lhe pareça familiar, pode ter propósitos fraudulentos!
(...)
. Suspeite da origem e do teor de mensagens e chamadas não solicitadas, e nunca forneça dados confidenciais e bancários em resposta às mesmas. Se adequado, contacte diretamente a entidade em causa através de um meio de contacto confiável.
. Para sua proteção, não aceda a links enviados por SMS ou e-mail.
. Suspeite sempre de mensagens que lhe peçam qualquer ação ou interação urgente. Não responda, não clique nos links nem abra anexos dessas mensagens.
. A Caixa não envia emails, sms ou notificações nas redes sociais a solicitar dados de segurança ou outra informação confidencial.
. A CGD não simula a execução de transações nem simula procedimentos de sincronização. Desconfie de solicitações inusitadas da CGD.
. Nunca valide a adesão a serviços ou operações bancárias que não solicitou, nem forneça incautamente, num qualquer esquema fraudulento quaisquer dados de validação que lhe sejam eventualmente dirigidos por SMS ou por outra via.
(arts. 47.º a 50.º da Contestação)
Na sentença foram considerados não provados os seguintes factos:
1. A partir de certo momento, tendo a Autora desconfiado dos contornos da situação, questionou o Sr. P… sobre a estranheza do contacto telefónico em questão, face à inexistência de contactos anteriores por parte da Ré para com ela.
2. Demonstrada a estranheza por parte da Autora, o Sr. P…, de imediato, informou estar com dificuldades nas comunicações, desligando a chamada de seguida.
3. A Autora, em nenhum momento, procedeu à introdução de qualquer código.
4. No dia 13 de julho de 2022, a Autora apresentou queixa junto do posto da GNR da Chamusca, dando conta dos contornos da situação em que se viu envolvida.
5. A Autora nem tem conhecimento do que seja a APP Emissor.
Enquadramento jurídico
O Tribunal a quo considerou que a responsabilidade pela perda resultante da operação de pagamento não autorizada em causa nos autos cabe à Ré, condenando-a no pagamento da quantia de 4.500,00 €. Fundamentou esse entendimento, tecendo designadamente as seguintes considerações:
«O contrato de emissão de cartão de débito e os serviços de homebanking enquadram-se numa relação negocial complexa, constituída a partir de um contrato de abertura de conta e da constituição de depósito. O contrato de utilização dos referidos instrumentos de pagamento é um acordo vinculativo, no qual as declarações de vontade, em regra, resultam da proposta da entidade bancária, por um lado, e da aceitação do cliente, manifestada na adesão à proposta, por outro lado.
Esses contratos e os serviços de pagamentos associados aos instrumentos de pagamento emitidos para deles se usufruir, encontram-se submetidos ao Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, consagrado no Decreto-Lei n.º 91/2018, de 12/11, diploma este que estabelece um conjunto de deveres principais e acessórios para ambas as partes.
Em conformidade com o referido diploma legal, consubstanciam deveres da entidade bancária aceitar os mandatos sucessivos (ordens) para movimentos bancários, desde que emitidos mediante a correcta autenticação por parte do cliente, de assegurar os mecanismos de segurança personalizados associados à utilização dos instrumentos de pagamento, garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à notificação da perda, roubo ou utilização abusiva e, impedir qualquer utilização do instrumento de pagamento, logo que a notificação tenha sido efectuada, como assim emerge do disposto no artigo 111.º n.º 1, alíneas a), c) e e) do do diploma citado.
Por sua vez, o cliente tem o dever de tomar as medidas razoáveis para preservar a eficácia dos mecanismos de segurança personalizados, associados ao instrumento de pagamento, conforme resulta do disposto no artigo 110.º do mesmo diploma legal, designadamente o dever de garantir a segurança e confidencialidade das credenciais de acesso, não facultando a sua utilização a terceiros, dever que, em regra, é consagrado no contrato, bem como o dever de comunicação ao banco, sem atrasos injustificados, a perda, o roubo, a apropriação abusiva ou, qualquer utilização não autorizada do instrumento de pagamento.
“In casu”, circunstância que de resto as partes não colocam em crise e, resulta, de forma evidente, da factualidade provada, a A. celebrou com a Ré um contrato de utilização de cartão de débito e aderiu aos canais digitais da Ré, consentindo a Ré que a A. tivesse acesso à conta bancária de que é titular por via da App instalada em equipamentos móveis, designadamente através do seu telemóvel e, por via do acesso ao site da Ré, usualmente designado por homebanking, através das credenciais de acesso que a Ré forneceu à A., sendo que, através de tal contrato, ficaram as partes obrigadas ao cumprimento dos deveres decorrentes do supra referido Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica.
Em causa encontra-se um pagamento no valor de € 4.500,00 efectuado com recurso aos canais digitais da Ré, ao cartão de débito de que é titular a A. e, ao telemóvel desta, pagamento esse que a A. não autorizou e, que por essa razão, pretende a devolução por parte da Ré da quantia de € 4.500,00.
A questão passa, assim, por determinar quem suporta os prejuízos decorrentes da utilização não autorizada de instrumento de pagamento e, nessa medida, impõe-se analisar o que dispõe a lei neste âmbito considerado quanto à responsabilidade decorrente de transacções não autorizada de fundos e, como se distribuem as regras do ónus da prova.
Ora, no que diz respeito à distribuição do ónus da prova por operações de pagamento não autorizadas, dispõe o artigo 113.º do Decreto-Lei n.º 91/2018, de 12/11 que “(…)”.
Por seu turno, depois de estabelecer no artigo 114.º do mesmo diploma legal, a obrigação do prestador de serviços de pagamento de reembolsar imediatamente o ordenante, do montante da operação de pagamento não autorizada, após ter tido conhecimento da operação ou, após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação, salvo se tiver motivos razoáveis para suspeitar de actuação fraudulenta do ordenante e comunicar por escrito esses motivos, no prazo indicado no número anterior, às autoridades judiciárias nos termos da lei penal e de processo penal, estatui o artigo 115.º do referido diploma legal que “(...)”
À luz do que se deixa expresso, cumpre concluir que a lei faz recair sobre o Banco, neste caso a Ré, o ónus da prova de que a operação de pagamento foi devidamente autenticada, registada e contabilizada, que não foi afectada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento, sendo que, para excluir ou limitar a sua responsabilidade, tem ainda de demonstrar que o cliente agiu de forma fraudulenta ou que não cumpriu, com dolo ou negligência grosseira, de uma ou mais obrigações previstas no artigo 110.º supra mencionado.
Conforme entendimento expresso em sede de acórdão do Tribunal da Relação de Lisboa datado de 20/02/2024, proc. n.º 6029/23.3T8LSB.L1-7, in www.dgsi.pt. “O risco inerente à utilização e funcionamento dos serviços de pagamento recai sobre o prestador de serviços, cabendo a este, para se eximir dessa responsabilidade, provar que (i) a operação de pagamento foi devidamente autenticada (art.º 113º, n 1, do Decreto-lei n.º 91/2018, de 12. 11, (ii) não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado (Artigo 114º, nº 9), mas ainda que (iii) o utilizador dos serviços de pagamento (ordenante) atuou de forma fraudulenta ou incumpriu de forma deliberada uma ou mais das obrigações decorrentes do artigo 110.º ou actuou com negligência grosseira (art.º 113.º, n.º 3 e 4”).
Não contendo o regime em apreço qualquer definição sobre o conceito de “negligência grosseira”, impõe-se recorrer ao direito civil. A negligência consiste na violação de uma norma por inobservância de deveres de cuidado. No que diz respeito à responsabilidade contratual, dispõe o artigo 799.º n.º 2 do C. Civil que “a culpa é apreciada nos termos aplicáveis à responsabilidade civil”. Por seu turno, dispõe o artigo 487.º n.º 2 do mesmo diploma legal que “a culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso”.
Ora, conforme se afirma em sede de acórdão do Tribunal da Relação do Porto, datado de 18/04/2023, proc. n.º 16900/21.1T8PRT.P1, in www.dgsi.pt. “A negligência grosseira será de afirmar, assim, quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas[13], correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes[14] – comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir”.
No caso em apreço, ficou demonstrado que a operação de pagamento em causa nos autos foi devidamente autenticada e que não foi afectada por qualquer avaria técnica, nem por deficiência relacionada com o serviço de pagamento prestado pela Ré. Não obstante, tendo ficado demonstrado que a operação de pagamento não foi autorizada pela A., para que a Ré se eximisse da sua responsabilidade, impunha-se que tivesse demonstrado que a A. actuou de forma fraudulenta ou incumpriu, com dolo ou negligência grosseira, uma ou mais das obrigações decorrentes do artigo 110.º do Decreto-Lei n.º 91/2018, de 12/11, o que manifestamente não sucedeu.
Na verdade, a Ré não alegou qualquer factualidade que permitisse concluir pelo uso fraudulento do instrumento de pagamento pela A. ou que esta tivesse actuado com dolo.
Já quanto ao eventual comportamento negligente da A. importa ter em consideração que é certo que resultou provado que na data e hora em causa, a A. recebeu uma chamada no seu telemóvel do número …0, tendo o interlocutor se identificado como P…, alegando ser funcionário da Ré, questionando a A. sobre a correspondência do número para o qual estava a ligar com a conta bancária n.º …400, tendo a A. confirmado a sua correspondência e, que este P… informou a A. de que iria receber um SMS com um código no seu telemóvel, servindo esse código para confirmação da associação do número de telefone à conta bancária, tendo às 13:39 h a A. recebido uma mensagem com o código …54 que deveria introduzir para confirmar a associação do dispositivo à conta bancária em questão.
Também é certo que questionada pelo Sr. P… sobre a recepção da mensagem com o código de activação, a A. confirmou que havia recebido a mesma, não o tendo digitado, mas indicando-o àquele.
Porém, também resultou provado que a A. facultou todos os dados em causa àquele indivíduo, porquanto este se identificou como funcionário da sua instituição bancária e, mais, o mesmo ligou-lhe a partir do mesmo número de telefone da Ré.
É que a circunstância do individuo em apreço lhe ter telefonado do número da Ré, afasta a presença de negligência grosseira na actuação da A..
A recepção da chamada em causa de número de telefone da Ré, conferiu um carácter de seriedade na abordagem à A. e, no decurso de todos os actos tendentes à concretização da operação não autorizada, nem desejada pela A..
Na verdade, tendo a A. sido vítima de uma fraude, denominada de “smishing”, que possibilitou compras através da associação do cartão da A. à caixadirecta, considera-se, tal como se refere no Acórdão do Supremo Tribunal de Justiça datado de 12/12/2023, proc. n.º 9240/20.5T8LSB.L1.S1, in www.dgsi.pt, que se está perante “práticas fraudulentas” que “ocorrem porque o seu grau de credibilidade e sofisticação conseguem atingir um grande número de pessoas minimamente avisadas e diligentes e não apenas as extremamente descuidadas ou incautas, que configuram as que têm uma total e gritante falta de atenção perante circunstâncias em que seria evidente em termos de senso comum, um outro comportamento”. Na realidade, como resulta da factualidade provada, a A. recebeu a chamada em questão de número de telefone da Ré, com interlocutor que se identificou por um nome próprio e, como sendo funcionário da A., pelo que esta factualidade não permite a conclusão de que a A. actuou com negligência grosseira, pois que, como se refere no aresto supracitado do Supremo Tribunal de Justiça, “(…)”.
Vejamos.
Fazendo um breve enquadramento jurídico do caso, temos que entre Autora e Ré foi, primeiramente, celebrado um contrato de abertura de conta (também designado por contrato de conta bancária) e, como acessórios deste, um contrato de utilização de cartão de débito e um contrato de homebanking, aplicando-se à operação bancária em apreço - uma operação de pagamento efetuada precisamente via homebanking - o regime jurídico dos serviços de pagamento e da moeda eletrónica (RJSPME) aprovado pelo DL n.º 91/2018, de 12 de novembro, com destaque para o disposto nos artigos 113.º a 115.º.
Para maiores desenvolvimentos sobre estas figuras e também sobre a descrição/classificação de alguns comportamentos criminosos caraterísticos de burlas bancárias, como a burla com recurso a “typosquatting”, distinguindo-a da atuação através de “phishing” e da, mais rara, designada por “pharming”, destacamos, a título exemplificativo, o acórdão da Relação de Lisboa de 13-03-2025, proferido no proc. n.º 11019/23.3T8SNT.L1-2, em que a ora Relatora teve intervenção como 2.ª Desembargadora-adjunta (disponível em www.dgsi.pt).
Em traços gerais, o “phishing” verifica-se quando, através de mensagens de correio eletrónico ou outras mensagens digitais (por exemplo, via SMS ou WhatsApp), o lesado é induzido a “clicar” num link para um site falso (criado pelo burlão), tendo em vista a partilha de dados, como códigos de acesso ao serviço de Homebanking, n.ºs (e datas de validade) de cartões de crédito e débito, etc. O “smishing” pode ser descrito como o “phishing” por SMS: os burlões enviam mensagens de texto com links que levam a sites falsos ou inserem “malware” no telemóvel. Já o “vishing” corresponde a uma espécie de “phishing”, mas levado a cabo, pelo menos num primeiro momento, por voz (“voice”): os burlões telefonam, fazendo-se passar por funcionários de bancos (ou outras instituições), solicitando, com sentido de urgência, informações pessoais ou códigos; na página https://pt.wikipedia.org/wiki/Vishing, é definido como “a prática criminosa de utilizar engenharia social através da rede pública de telefonia comutada com o objetivo de obter vantagens ilícitas como, por exemplo, realizar compras ou saques em nome da vítima.[1] As facilidades de Voz sobre IP (VoIP) são frequentemente utilizadas para obter acesso a informações pessoais ou financeiras privativas de pessoas físicas ou de empresas. O termo em inglês é uma combinação entre as palavras voice e phishing. O termo phishing foi derivado da imagem de uma pescaria, uma forma de fraude eletrônica caracterizada pelo envio de iscas que se fazem passar por pessoa ou empresa confiável com o objetivo de obter ilicitamente dados pessoais ou empresariais de terceiros.”
No caso dos autos, interessa-nos sobretudo a figura do “vishing”, posto que, nesta modalidade de burla, o burlão, ao telefone, faz-se passar por funcionário de uma “empresa legítima”, mormente uma instituição bancária, com o objetivo de enganar o seu interlocutor, levando-o a fornecer dados pessoais ou bancários, ou convencendo-o a fazer transferências ou pagamentos; consegue enganar a pessoa, fazendo-a acreditar na necessidade e até na premência dessas medidas, designadamente para resolver um problema grave (por exemplo, anular operações bancárias não autorizadas) ou aproveitar uma oportunidade de investimento única.
Preceitua o art. 113.º do referido diploma legal, sob a epígrafe “Prova de autenticação e execução da operação de pagamento”, que:
“1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
2 - Se a operação de pagamento tiver sido iniciada através de um prestador do serviço de iniciação do pagamento, recai sobre este último o ónus de provar que, no âmbito da sua esfera de competências, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º
4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.”
Estabelece o art. 114.º, n.º 1, sob a epígrafe “Responsabilidade do prestador de serviços de pagamento em caso de operação de pagamento não autorizada”, que: “Sem prejuízo do disposto no artigo 112.º, o prestador de serviços de pagamento do ordenante deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação.”
Porém, a responsabilidade do prestador de serviços pode ser afastada, recaindo sobre o ordenante, como resulta do disposto no art. 115.º, cujo teor, sob a epígrafe “Responsabilidade do ordenante em caso de operação de pagamento não autorizada”, é, no que ora importa, o seguinte:
“1 - Em derrogação do disposto no artigo 114.º, o ordenante pode ser obrigado a suportar as perdas relativas às operações de pagamento não autorizadas resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou da apropriação abusiva de um instrumento de pagamento dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 50.
2 - O disposto no n.º 1 do presente artigo não se aplica caso:
(…) 4 - Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50.
5 - Se o prestador de serviços de pagamento do ordenante não exigir a autenticação forte do ordenante, este não deve suportar quaisquer perdas relativas a operação de pagamento não autorizada, salvo se tiver agido fraudulentamente.
6 - Caso o beneficiário ou o seu prestador de serviços de pagamento não aceite a autenticação forte do cliente, reembolsa os prejuízos financeiros causados ao prestador de serviços de pagamento do ordenante.
7 - Após ter procedido à comunicação a que se refere a alínea b) do n.º 1 do artigo 110.º, o ordenante não deve suportar quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou abusivamente apropriado, salvo em caso de atuação fraudulenta.
8 - Se o prestador de serviços de pagamento não fornecer meios apropriados que permitam a comunicação, a qualquer momento, da perda, furto, roubo ou da apropriação abusiva de um instrumento de pagamento, conforme requerido pela alínea c) do n.º 1 do artigo 111.º, o ordenante não fica obrigado a suportar as consequências financeiras resultantes da utilização desse instrumento de pagamento, salvo nos casos em que tenha agido de modo fraudulento.”
Assim, conforme sumariado no acórdão da Relação de Lisboa de 05-11-2025, no proc. n.º 8058/23.8T8LSB.L1-2, relatado pelo ora 1.º Desembargador-adjunto e em que a ora Relatora teve intervenção como 1.ª Desembargadora-adjunta (disponível em www.dgsi.pt):
I – No âmbito da utilização do sistema de homebanking, incumbe ao prestador de serviço bancário, se quiser eximir-se da responsabilidade dos danos causados ao utilizador daquele sistema por terceiros, o ónus de provar que as ordens de pagamento dadas pelo cliente foram devidamente autorizadas através da utilização efetiva dos mecanismos de autenticação disponibilizados, bem como foram corretamente registadas e contabilizadas, e que a sua execução foi isenta de qualquer avaria técnica ou devido a deficiência do serviço prestado.
II – Em alternativa, sobre aquele prestador de serviço bancário online recai o ónus de provar a ocorrência de comportamento gravemente negligente ou doloso por parte do utilizador.
III – Caso tal ónus não seja cumprido, incumbirá ao prestador de serviço bancário pela internet assumir a responsabilidade pelos danos ocasionados por terceiros ao respetivo utilizador.
No caso em apreço, resulta dos factos provados que era exigida pela Ré a autenticação forte do cliente [isto é, na definição do art. 2.º, al. d), do RJSPME, autenticação baseada na utilização de dois ou mais elementos pertencentes às categorias conhecimento (algo que só o utilizador conhece), posse (algo que só o utilizador possui) e inerência (algo que o utilizador é), os quais são independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros].
Estando demonstrado que a operação de pagamento em apreço não foi autorizada pela Autora (cf. ponto 11 do elenco dos factos provados), o que ora cumpre apreciar é se a Ré logrou demonstrar a existência de negligência grosseira da parte da Autora, devendo ser esta a suportar a perda da quantia de 4.500 € que foi debitada na conta bancária de que é titular.
Conforme se afirma na sentença recorrida e tem sido reconhecido pela jurisprudência, o conceito de negligência grosseira que consta das citadas disposições legais deve ser equiparado ao conceito de culpa grave no Direito Civil, sendo a culpa aferida, de harmonia com o estatuído no art. 487.º, n.º 2, do CC, que estabelece que a culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família. Na apreciação da culpa, enquanto juízo de censura de uma conduta pela omissão de um dever de diligência, há que levar em consideração as circunstâncias do caso concreto, cabendo ao prestador do serviço o ónus da prova dos factos que revelam uma atuação com negligência grosseira por parte do cliente utilizador e beneficiário do serviço de pagamento de homebanking – neste sentido, veja-se, a título exemplificativo, o acórdão da Relação de Lisboa de 11-09-2025, no proc. n.º 451/24.5T8LSB.L1-2, disponível em www.dgsi.pt; destaque ainda para o referido acórdão da Relação de Lisboa de 05-11-2025, em que se afirma que: “A negligência grosseira constitui uma negligência temerária, qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes.”
A este propósito, parece-nos importante salientar que, a par da disseminação de “burlas bancárias” e do seu grau de “sofisticação”, convocando o sistema de justiça criminal, as instituições bancárias têm reagido, designadamente criando sistemas de autenticação forte (como sucede no caso em apreço) e alertando os seus clientes para tais práticas criminosas e para os procedimentos a adotarem de modo a evitarem ser vítimas das mesmas (aliás, no caso em análise, está também provado que a Ré divulga alertas relativamente a tentativas de burla/fraude, nos termos referidos no ponto 15). Também a divulgação feita pelos órgãos de comunicação social, nas redes sociais e através dos sítios oficiais das forças policiais tem sido abundante e útil no sentido de alertar para essas situações, sendo o nível de informação atualmente existente muito superior ao que era há alguns anos atrás, o que não pode ser ignorado na aferição da culpa dos clientes. A título de exemplo, veja-se a informação que consta de página oficial de órgão de polícia criminal (em https://www.gnr.pt/Cons_Burlas.aspx):
«Burlas online
Através do pagamento eletrónico em websites de compras online que disponibilizam serviços de venda e compra. A utilização de referências bancárias e aplicações financeiras são autênticas armadilhas para as pessoas mais incautas e menos informadas. (…)
O pagamento com MBWAY é seguro desde que o utilizador domine a sua utilização. (…)
Compras online de marcas em empresas e lojas com desconhecidas do grande público e que em geral são fictícias. Embora pareçam marcas estruturadas e empresas de confiança, realidade não é essa. (…)
Como proteger-se das burlas online?
Antes de mais tenha um programa de antivírus sempre atualizado no seu computador;
Não partilhe dados pessoais ou bancários com desconhecidos;
Não se deixe pressionar para decidir algum negócio sem um tempo de reflexão.
Seja prudente e adote a postura de desinteresse e saiba dizer “Não”. Lembre-se que os burlões sabem que as pessoas cometem erros sob pressão.
Os especialistas recomendam que use apenas meios de pagamento com os quais esteja verdadeiramente familiarizado;
Escolha a modalidade de pagamento em que sente mais segurança;
Utilize cartões virtuais ou instrumentos de pagamento com segurança acrescida;
Utilize redes seguras;
Consulte e verifique periodicamente os seus movimentos bancários;
Antes de fazer uma compra procure informações sobre o vendedor e condições do negócio;
Guarde os registos das operações efetuadas;
Atente sempre aos termos e condições dos sites ao subscrever algum serviço;
O que fazer em caso de uma burla online?
Contacte imediatamente a instituição onde tem a conta.
Os pagamentos eletrónicos estão regulados pelo Regime de Serviços de Pagamento.
Se cliente/vítima de fraude tiver cumprido os deveres e cuidados de confidencialidade e segurança dos seus dados, o valor poderá ser reembolsado.
Recai sobre o banco o risco das falhas e do deficiente funcionamento do sistema.
Participe às autoridades: Guarda Nacional Republicana Polícia Judiciária, Polícia de Segurança Pública ou Ministério Público.
Burlas bancárias
Dois dos principais perigos para quem faz transações através da internet.
Através de phishing, em que o consumidor/a recebe um e-mail a simular uma comunicação de uma entidade bancária, no sentido de o/a persuadir à introdução dos seus dados bancários ficando estes à disposição do autor/a da burla.
Através de Pharming cujo objetivo é remeter o utilizador para um servidor diferente do pretendido, surgindo uma página que parece fidedigna. Quando solicitado o utilizador fornece os seus dados pessoais (login, números de conta e senhas de acesso, por exemplo) que depois são utilizados para usos fraudulentos.
Como proteger-se das burlas bancárias?
Atualize regularmente o antivírus do computador;
Altere com frequência a palavra-chave;
Crie uma palavra-passe forte e sem correspondência a nada pessoal;
Não aceda ao site do banco através de links enviados em e-mails. Evite também fazê-lo a partir dos favoritos, do histórico ou de resultados apresentados em motores de busca. Digite sempre o endereço na barra do browser;
Não abra anexos de mensagens não solicitadas, mesmo que pareçam enviadas por conhecidos;
Não envie o seu nome de utilizador, código de acesso ou cartão-matriz por e-mail;
Faça sempre “terminar sessão” depois de aceder ao website do seu banco;
Consulte periodicamente a sua conta bancária;
Consulte a lista de instituições autorizadas a prestar serviços bancários no site do Banco de Portugal.»
O Tribunal recorrido considerou que a circunstância de o indivíduo que contactou telefonicamente a Autora lhe ter telefonado do número da Ré é quanto basta para afastar a negligência grosseira na atuação da Autora.
A Ré, por sua vez, argumenta ter ficado demonstrada a negligência grosseira da Autora, conforme previsto no art. 115.º n.º 4 do RJSPME, ao ter facultado o código SMS token para confirmação da operação de pagamento da quantia de 4.500,00 € e, posteriormente, ter utilizado a App no seu telemóvel para introdução de assinatura certificada, como consta dos factos provados n.ºs 7, 8, 12, 13 e 14.
O caso dos autos configura uma situação de “vishing” (espécie de variante do “phishing”, feita por chamada telefónica), com “spoofing” do número de telefone da Ré/CGD - o qual consiste na ocultação da real origem ou proveniência de uma chamada telefónica (ou de um SMS) para levar a crer que é proveniente, por exemplo, de um determinado banco.
Com efeito, atentando no elenco dos factos provados, devidamente organizados, fica claro que: (i) a Autora não recebeu uma chamada da Ré - isto é, de um n.º de telefone que fosse efetivamente da Ré /CGD (aliás, desconhece-se o indicativo desse n.º, que até pode ser um n.º estrangeiro); (ii) quando atendeu e falou com uma pessoa que se identificou como P… (sem apelido) e funcionário da Ré, não tinha ainda confirmado se o referido n.º de telefone (…0) era ou não da Ré.
Na verdade, provou-se (cf. ponto 5 da sentença) que, no dia 13 de julho de 2022, no período da hora de almoço, por volta das 13h30, a Autora recebeu uma chamada no seu telemóvel do número …0. No caso, a pessoa com quem a Autora falou identificou-se como P…, alegando ser funcionário da Ré, tendo a Autora, sem cuidar de confirmar se estava efetivamente a falar com um funcionário da Ré, logo lhe confirmado a correspondência do número para o qual estava a ligar com a conta bancária n.º …400 (cf. ponto 6).
Depois, o indivíduo indicou à Autora que iria receber um SMS com um código no seu telemóvel, servindo esse código para confirmação da associação do número de telefone à conta bancária, tendo, às 13h39, a Autora recebido uma mensagem com o código que deveria introduzir para confirmar a associação do dispositivo à conta bancária em questão (cf. ponto 7). Diga-se, desde já, que, contrariamente ao que a Ré alega, esse código não corresponde a um código SMS token para confirmação da operação de pagamento da quantia de 4.500,00 €. Trata-se, conforme ficou provado, de código de confirmação para associação de dispositivo ao contrato. Aliás, o doc. 2 junto com a Autora, cuja falsidade não foi invocada pela Ré, demonstra isso mesmo de forma inequívoca, tendo a mensagem em questão o ss. teor: “Para confirmar Associacao de dispositivo ao contrato, introduza o Código…54” - mensagem com teor muito diferente da referida no ponto 2, essa sim com um token para confirmação da operação de pagamento.
Ora, como também está provado, a Autora já tinha a APP Caixadirecta instalada no seu telemóvel (cf. ponto 13). Por isso, e sabendo a Autora que o (suposto) funcionário do Banco já dispunha do n.º de telemóvel dela (pois ligara para o mesmo), não havia razão nenhuma para a Autora indicar o referido código. Mas, questionada pelo “Sr. P…” sobre a receção da mensagem com o código de ativação (de outro dispositivo, obviamente), a Autora confirmou que havia recebido a mesma e indicou o referido código àquele indivíduo, um burlão, que lhe ligara a partir do mesmo número de telefone da Caixa Geral de Depósitos (cf. ponto 8). Reitera-se aqui que a chamada foi feita de um n.º igual, mas não está provado que tenha sido feita do telefone (fixo) da CGD, nem que a Autora soubesse “de cor” um qualquer n.º de telefone da CGD. Aliás, é visível no documento junto aos autos com a Petição Inicial que as chamadas feitas pela Autora para a CGD figuram como “C.G.Depositos”, enquanto as chamadas feitas pelo burlão surgem apenas identificadas pelo referido n.º de telefone.
Face à informação fornecida pela Autora, após esta chamada telefónica, poderá ter sido feita a associação de um outro dispositivo à sua conta bancária, mas não chegou a ser feita a desassociação do dispositivo telefónico da Autora, o que explica que esta ainda tenha recebido, no seu telemóvel, pelas 13h54 do dia 13 de julho de 2022, um SMS do remetente Caixa Geral de Depósitos com o seguinte teor: “Para confirmar a aprovação de pagamento com cartão ao comerciante binance.com no valor de 1.000,00 €, introduza código …38” (cf. ponto 2).
Tudo indica que só depois de receber esta mensagem é que a Autora entrou em contacto com a Ré (contacto telefónico, entenda-se), expondo o sucedido, tendo então sido informada da existência de vários movimentos nas suas contas bancárias, designadamente as transferências das quantias de 10.000,00 € e 14.000,00 € da conta a prazo n.º …061, que foi possível, depois, colocar na conta à ordem da Autora (cf. ponto 3), e ainda de que havia sido dada ordem de transferência para destino incerto da quantia de 4.500,00 €, ordem essa que já não poderia ser anulada (cf. ponto 4).
Sucede que a Autora - recorde-se ou não de tudo o que se passou na conversa telefónica com o “Sr. P…” (não sabemos, pois não prestou depoimento ou declarações de parte) - não se limitou a indicar o código para confirmação de associação de dispositivo (ou código de ativação), mas teve ainda, necessariamente, uma atuação que permitiu realizar parte da operação referida em 4 (a compra realizada online com cartão de débito, no portal ou APP da Binance). Não podemos assumir que a Autora nada mais fez, pois isso seria fazer tábua rasa da factualidade vertida nos pontos 12, 13 e 14.
Com efeito, a operação de pagamento em apreço é uma compra realizada online com cartão de débito, no portal ou APP da Binance, introduzindo o número do cartão, incluindo os 3 dígitos de segurança constantes do verso do cartão, bem como a data de validade do cartão (cf. ponto 12). No caso dos autos, essa inserção foi, obviamente, efetuada pelo próprio burlão, no portal ou App da Binance, inserindo o número do cartão, incluindo os 3 dígitos de segurança constantes do verso do cartão, bem como a data de validade do cartão. Não ficou provado se a Autora lhe indicou (ou a um outro criminoso associado àquele), no decurso da conversa telefónica esses elementos, ou se o burlão teve acesso aos mesmos (como, aliás, ao n.º da conta bancária da Autora) por outra forma. Certo é que nada indica que isso tenha sucedido através de intrusão criminosa no sistema informático da Ré, apenas se podendo conjeturar sobre a forma como sucedeu.
Após aquela inserção (dos dados inscritos no cartão de cliente da Autora) levada a cabo pelo burlão - no portal ou APP da Binance, -, algo mais teve de suceder, considerando a credencial adicional exigida pela Ré para que a operação se realizasse com o cartão de débito da Autora. Assim, conforme resulta dos pontos 13 e 14 do elenco dos factos provados, foi solicitado à Autora - depreendemos que esta solicitação aconteceu no decurso da conversa telefónica, mas, se porventura foi de outro modo, isso acaba por ser irrelevante - que acedesse à sua aplicação de homebanking da CGD, através da APP Caixadirecta que estava instalada no seu telemóvel e, entrando na APP Caixadirecta, validasse/confirmasse a operação que estava pendente, o que foi feito – depreende-se também que feito pela Autora, pois trata-se do seu próprio telemóvel (cf. ponto 13). O acesso à App Caixadirecta foi feito - é bom não esquecer -mediante introdução do número de user da Autora, bem como do código pessoal de acesso, sendo depois a confirmação da operação feita através de registo de um código que enviado à Autora por SMS (TOKEN) para o seu número de telemóvel. Ora, esta atuação não é algo que se possa fazer de forma desatenta ou por distração, é algo que qualquer pessoa, medianamente cuidadosa, que seja utilizadora deste tipo de aplicação, sabe ou tem obrigação de saber que implica a realização de uma concreta operação de pagamento.
A Autora, que nada alegou a este respeito na Petição Inicial, argumenta, agora, na sua alegação de resposta, “ser totalmente engenhosa a montagem do argumentário de que pretende a Apelante extrair a conclusão de que foi erradamente julgada a matéria de facto”. Porém, nenhuma das partes impugnou a decisão da matéria de facto, sendo certo que foram dados como provados todos os factos substantivamente relevantes que a Ré alegou na Contestação, apenas constando do elenco dos factos não provados alguns factos que foram alegados pela Autora, designadamente que:
3. A Autora, em nenhum momento, procedeu à introdução de qualquer código.
4. No dia 13 de Julho de 2022, a Autora apresentou queixa junto do posto da GNR da Chamusca, dando conta dos contornos da situação em que se viu envolvida.
A Autora não interpôs recurso subordinado, nem requereu a ampliação do âmbito do recurso no sentido de serem dados como não provados os factos vertidos nos pontos 12, 13 e 14.
Nem se alcança qual possa ser, na ótica da Autora, o sentido alternativo destes pontos de facto. Podemos admitir, tendo em atenção também os factos constantes dos pontos 7 e 8, que as coisas se tenham de passado de forma um pouco diferente (não tendo, porventura, a redação usada para descrição dos acontecimentos sido a mais rigorosa ou esclarecedora): que, no decurso da referida conversa telefónica, quando foi solicitado à Autora que acedesse à sua aplicação de homebanking da CGD, através da APP Caixadirecta, a Autora tenha fornecido o seu número de user e/ou código pessoal de acesso à App Caixadirecta, permitindo que o acesso à App Caixadirecta, para satisfazer a “credencial adicional” fosse efetuado a partir do novo dispositivo, para o qual veio a ser enviado, por SMS (TOKEN), o código relativo à aprovação.
Seja como for, a atuação inicial da Autora, ao dar seguimento à conversa com um suposto funcionário da CGD, não estranhando que se identificasse apenas pelo nome próprio (o que não é de todo usual), nem que lhe pedisse indicação de um código que iria receber no telemóvel para associação do seu telemóvel, isto quando o funcionário já revelava conhecer o seu n.º de telemóvel e este mesmo n.º já estava associado ao serviço de homebanking (cuja ativação a Autora já havia feito) raia a negligência grosseira.
Com alguma benevolência, podemos admitir que não mereça um tal juízo de censura, considerando que havia ainda a aparência de estar a ser contactada de um n.º de telefone fixo e o indivíduo revelou, pelo menos, conhecer o n.º da conta bancária da Autora, um dado protegido (embora muitas vezes seja facultado, por exemplo, no preenchimento de formulários para autorização de pagamento de serviços por débito direto em conta) e que não é suposto ser divulgado ou revelado fora do contexto específico para o qual é indicado.
Mas o que, sem dúvida, denota uma grave falta de cuidado por parte da Autora é que, além disso, tenha também correspondido à solicitação feita no sentido de aceder à sua App Caixadirecta para validar uma operação que estava pendente, quando sabia que não a tinha aprovado; ou, se assim não se entender, que tenha, no decurso da referida conversa telefónica, fornecido, pelo menos, o seu número de user e/ou código pessoal de acesso à App Caixadirecta, permitindo que o acesso à mesma, para satisfazer a “credencial adicional” fosse efetuado a partir do novo dispositivo. Esta concreta atuação por parte da Autora constitui uma desatenção ou incúria grave ou grosseira, causal do prejuízo que pretende ver ressarcido, pois, sem tal atuação, a operação de pagamento em apreço não teria sido realizada, como, aliás, não foram as demais que o burlão tentou levar a cabo, já que, como bem se depreende, na sequência do telefonema da Autora para a Ré, esta acionou os mecanismos para as inviabilizar ou anular (no caso das transferências bancárias).
Daí que, atendendo à matéria de facto alegada e provada pela Ré, sem impugnação por parte da Autora, nos reste concluir que a Autora foi enganada e levada a praticar atos que determinaram que a Ré tivesse de executar a operação de pagamento em apreço, sem que esta última possa ser considerada responsável pelo sucedido.
Assim, procedem as conclusões da alegação de recurso, ao qual será concedido provimento.
Vencida a Autora/Apelada, é responsável pelo pagamento das custas processuais em ambas as instâncias (artigos 527.º e 529.º, ambos do CPC).
***
III - DECISÃO
Pelo exposto, decide-se conceder provimento ao recurso e, em consequência, revoga-se a sentença recorrida, na parte em que julgou a ação (parcialmente) procedente e condenou a Ré a pagar à Autora a quantia de 4.500 €, decidindo-se, em substituição, julgar a ação totalmente improcedente, absolvendo a Ré do pedido.
Mais se decide condenar a Autora/Apelada no pagamento das custas da ação e do recurso.
D.N.
Lisboa, 05-02-2026
Laurinda Gemas
João Severino
Ana Cristina Clemente |
