| Decisão Texto Integral: | Acordam os juízes na 8.ª Secção do Tribunal da Relação de Lisboa:
I – RELATÓRIO
1.1. AA, BB e CC intentaram acção declarativa de condenação, com processo comum, contra CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE SALVATERRA DE MAGOS, C.R.L., CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE PERNES E ALCANHÕES, C.R.L., e CAIXA CENTRAL - CAIXA CENTRAL DE CRÉDITO AGRÍCOLA MÚTUO, C.R.L., na qual formularam os seguintes pedidos:
«a) Serem as RR. condenadas solidariamente a pagar aos AA. a quantia de € 3.698,07 (três mil seiscentos e noventa e oito euros e sete cêntimos) a título de danos patrimoniais sofridos, acrescida de juros de mora no valor de € 130,50 (cento e trinta euros e cinquenta cêntimos), € 10.000,00 (dez mil euros) a título de danos não patrimoniais, e bem assim nos juros moratórios vincendos após citação e ainda custas.
b) A R. que for considerada culpada, na circunstância de não se provar a concorrência de culpas, ser condenada a pagar à A. as quantias anteriormente pedidas».
Pretendiam efectivar a responsabilidade contratual das RR., em virtude de duas operações de pagamento não autorizadas (phishing), no valor total mencionado, executadas no âmbito do contrato de homebanking que celebraram com as RR., devido a uma falha de segurança do sistema online das RR., decorrente do incumprimento dos seus deveres de protecção dos dados pessoais dos AA., que possibilitou o acesso por outrem a esses dados.
1.2. As RR. contestaram, conjuntamente, rejeitando qualquer responsabilidade pela fraude informática de que os AA. foram alvo e defendendo que os danos que os mesmos reclamam são, antes, imputáveis à actuação negligente da 1.ª A., que incumpriu as regras de acesso e de utilização do serviço de homebanking disponibilizado pelas RR.
1.3. Os AA. responderam por escrito (requerimento de 20.11.2024), mantendo a posição já expressa na petição inicial.
1.4. Com dispensa de audiência prévia, foi proferido despacho saneador, fixado o objecto do litígio e enunciados os temas da prova, sem reclamações.
1.5. Procedeu-se à realização de audiência final, após o que foi proferida sentença, que culminou com o seguinte dispositivo:
«(…) julgo a presente ação parcialmente procedente e, em consequência:
i. Condeno as RR. CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE PERNES E ALCANHÕES, C.R.L. e CAIXA CENTRAL - CAIXA CENTRAL DE CRÉDITO AGRÍCOLA MÚTUO, C.R.L a pagar aos AA. AA E BB a quantia de €1.999,56 (mil, novecentos e noventa e nove euros e cinquenta e seis cêntimos), acrescida de juros de mora contabilizados sobre o valor de capital, à taxa de juro civil, acrescida de 10 pontos percentuais, desde 15.08.2022, até efetivo e integral pagamento;
ii. Absolvo as RR. CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE PERNES E ALCANHÕES, C.R.L. e CAIXA CENTRAL - CAIXA CENTRAL DE CRÉDITO AGRÍCOLA MÚTUO, C.R.L do pedido de pagamento à A. CC da quantia de €1.999,56 (mil, novecentos e noventa e nove euros e cinquenta e seis cêntimos), acrescida de juros de mora contabilizados sobre o valor de capital, à taxa de juro civil, acrescida de 10 pontos percentuais, desde 15.08.2022, até efetivo e integral pagamento;
iii. Absolvo a R CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE SALVATERRA DE MAGOS, C.R.L do pedido de pagamento aos AA. AA, BB e CC da quantia de €1.999,56 (mil, novecentos e noventa e nove euros e cinquenta e seis cêntimos), acrescida de juros de mora contabilizados sobre o valor de capital, à taxa de juro civil, acrescida de 10 pontos percentuais, desde 15.08.2022, até efetivo e integral pagamento;
iv. Condeno as RR. CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE SALVATERRA DE MAGOS, C.R.L. e CAIXA CENTRAL - CAIXA CENTRAL DE CRÉDITO AGRÍCOLA MÚTUO, C.R.L a pagar à A. CC a quantia de €1.698,51 (mil, seiscentos e noventa e oito euros e cinquenta e um cêntimos), acrescida de juros de mora contabilizados sobre o valor de capital, à taxa de juro civil, acrescida de 10 pontos percentuais, desde 15.08.2022, até efetivo e integral pagamento;
v. Absolvo as RR. CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE SALVATERRA DE MAGOS, C.R.L. e CAIXA CENTRAL - CAIXA CENTRAL DE CRÉDITO AGRÍCOLA MÚTUO, C.R.L do pedido de pagamento aos AA. AA, BB da quantia de €1.698,51 (mil, seiscentos e noventa e oito euros e cinquenta e um cêntimos) acrescida de juros de mora contabilizados sobre o valor de capital, à taxa de juro civil, acrescida de 10 pontos percentuais, desde 15.08.2022, até efetivo e integral pagamento;
vi. Absolvo a R. CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE PERNES E ALCANHÕES, C.R.L. do pedido de pagamento aos AA. AA, BB e CC da quantia de €1.698,51 (mil, seiscentos e noventa e oito euros e cinquenta e um cêntimos), acrescida de juros de mora contabilizados sobre o valor de capital, à taxa de juro civil, acrescida de 10 pontos percentuais, desde 15.08.2022, até efetivo e integral pagamento;
vii. Absolvo as RR. do pedido de pagamento aos AA. da quantia de €10.000,00 (dez mil euros);
viii. Condeno ambas as partes no pagamento das custas processuais, na proporção do respetivo decaimento, que se fixa em 70% para os AA. e 30% para as RR».
1.6. Inconformadas, apelaram as três RR., pedindo que tal sentença seja revogada e formulando, para tanto, as seguintes conclusões:
« I. A sentença de que ora se recorre assenta em erros quanto à apreciação da matéria de facto e quanto à apreciação do direito aplicável que, após retificados, imporão a reversão da condenação das Recorrentes.
II. O facto provado n.º 21 não se poderá manter nos termos em que foi redigido, por manifesto erro de julgamento quanto à prova produzida e quanto ao alegado pelas partes. Na verdade, não se pode considerar que o facto foi dado como assente entre as Partes, uma vez que o mesmo não foi alegado, nos termos redigidos pelo Tribunal a quo, por qualquer uma das Partes.
III. Com efeito, para o acesso ao CA Online é atribuído, a cada Cliente, um número de adesão, pelo que o número de adesão 56437610 foi atribuído apenas à 1.ª Autora, e não aos demais Autores, como resulta do Documento n.º 7 junto com a Petição Inicial, da Cláusula 6.2 do Documento n.º 2 junto com a Petição Inicial, da Cláusula 40.2 do Documento n.º 2 junto com a Contestação e dos minutos 00:03:47.7 a 00:04:19, 00:07:02.0 a 00:07:07.1 e 00:07:12.4 a 00:07:26.5 do depoimento prestado pelo Eng.º XX.
IV. Em face dos elementos probatórios que se cuidaram de sumariar, impõe-se alterar a redação do facto provado n.º 21 nos seguintes termos:
21. À 1.ª A foi atribuído o número de adesão 56437610 e uma chave multicanal.
Este número de adesão foi atribuído apenas à 1.ª Autora.
V. O facto provado n.º 74, julgado como tal com base, em primeira linha, nas declarações da 1.ª Autora, não se poderá manter por manifesto erro de julgamento quanto à prova produzida.
VI. Com efeito, os terceiros desconhecidos não podiam obter os dados de contacto e de acesso ao CA Online da 1.ª Autora, com recurso ao CA Online, uma vez que (i) não ocorreu qualquer falha ou avaria técnica no CA Online, nem ataque informático que tenha exposto os dados dos seus Utilizadores ou permitisse o acesso ao CA Online sem a introdução da OTP de acesso – cf. factos provados n.ºs 88 e 89 – ; (ii) para tal cenário, os terceiros desconhecidos teriam de ter acedido previamente ao momento da burla (a que se refere o facto provado n.º 31), à adesão titulada pela 1.ª Autora ao CA Online, pelo que esta teria de lhes ter transmitido uma OTP de acesso, num dia anterior a 15 de agosto de 2022, para que os terceiros desconhecidos tivessem conhecimento dos seus dados, através do CA Online – cenário que se deve desconsiderar, uma vez que não foi alegado, nem há qualquer evidência, designadamente do documento n.º 7 junto com a Contestação, de que terceiros desconhecidos tenham solicitado à 1.ª Autora uma OTP de acesso e concretizado o acesso ao CA Online apenas com o intuito de obter o e-mail da Autora.
VII. Deste modo, os dados tiveram de ser obtidos junto da 1.ª Autora, ainda que por forma não concretamente apurada.
VIII. Em todo o caso, quanto ao número de adesão e à chave multicanal, na medida em que o acesso ao CA Online pressupõe o conhecimento de tais credenciais para se conseguir concretizar, é evidente que não podiam ser recolhidas por acesso prévio ao CA Online.
IX. Atendendo (i) à forma de funcionamento do CA Online – i.e. a necessidade de introdução do número de adesão e da chave multicanal (para além da OTP de acesso remetida para o telemóvel do Utilizador) para iniciar sessão e o facto de as Rés não conhecerem a chave multicanal dos Utilizadores, como bem explicou o Eng.º DD –, (ii) ao facto de não ter ocorrido qualquer falha ou avaria técnica no CA Online que expusesse os dados dos Clientes das Rés, (iii) ao modus operandi de phishing em utilização à data dos factos, relatado pelos Eng.ºs EE e XX e, por fim, (iv) à situação de fraude relatada pela Senhora FF, apenas se poderá concluir que aquando da transmissão dos movimentos efetuados pela Autora, terceiros desconhecidos já estavam munidos do seu número de adesão e da sua chave multicanal, recolhidos necessariamente (ainda que inconscientemente) junto da 1.ª Autora, por forma que se desconhece, sem obrigação de conhecer.
X. Ante o exposto, o facto provado n.º 74 deve ser alterado nos seguintes termos:
74. O número de telefone e endereço de correio eletrónico da 1 ªA, o número de adesão ao serviço CA-Online e respetiva chave multicanal foram obtidos junto da 1.ª Autora em data e por forma não concretamente apuradas, por terceiros desconhecidos, em momento prévio ao contacto telefónico descrito nos pontos anteriores.
XI. Em consequência, à luz do enquadramento fáctico e probatório que sustenta a impugnação do facto provado n.º 74, o facto não provado sob a alínea a. deve, ao invés, ser julgado provado, nos seguintes termos:
“74-A. 1.ª A. forneceu voluntária ou involuntariamente os seus dados de acesso ao serviço CA online (nr. de adesão e chave multicanal) a terceiros.”
XII. O facto provado n.º 76 deve ser removido da lista de factualidade provada, porquanto o mesmo (i) não é objetivo e (ii) não tem suporte em qualquer elemento de prova.
XIII. Considerando que o conceito de literacia financeira se reporta ao nível de conhecimento para adotar decisões de gestão do património, não foi produzida qualquer prova sobre essa matéria.
XIV. Mesmo que o conceito de literacia financeira correspondesse ao domínio das várias credenciais atinentes à utilização do homebanking, como entendeu o Tribunal a quo, a verdade é que a 1.ª Autora, nas suas declarações de parte, demonstrou um conhecimento exímio do CA Online e não referiu “constantemente que os seus dados foram «clonados» num ataque informático ao Banco”, tendo antes referido que, ao aceder ao link inserto no e-mail por si recebido, acedeu a uma página espelho – o que, segundo os critérios utilizados pelo Tribunal a quo demonstra literacia financeira e tecnológica.
XV. Como resulta dos factos provados n.º 15 e 23, a 1.ª Autora era utilizadora do CA Online, desde 04 de março de 2013, já conhecendo e utilizando o sistema há mais de nove anos (à data dos factos em disputa).
XVI. Por outro lado, as Recorrentes advertiram, por diversas formas e em diversos momentos, os seus Clientes – onde se inclui a 1.ª Autora – quanto a fraudes informáticas e comportamentos a adotar na utilização do homebanking, pelo que, pelo menos da informação transmitida pelas Recorrentes, a 1.ª Autora estava munida – cf. facto provado n.º 29 e Documento n.º 9 junto com a Contestação. Deste modo, a desconsideração de tais alertas não pode desculpabilizar, nem fundamentar o facto de a 1.ª Autora não dispor de literacia financeira e informática.
XVII. O facto provado n.º 77 deve ser removido da lista de factualidade provada, porquanto o mesmo (i) não tem qualquer relevância para os factos em discussão nos presentes autos, (ii) não foi alegado pelas Partes, nem integrou o elenco de temas da prova e (iii) é conclusivo, pelo que a sua manutenção é desadequada à boa decisão da causa.
XVIII. O facto provado n.º 78 deve ser removido da lista de factualidade provada, uma vez que o mesmo (i) não é objetivo, (ii) não tem a menor relevância para os factos em discussão nos presentes autos e (iii) não foi alegado pelas Partes. Em todo o caso, destaca-se que a exigência, por parte das Rés, de um nível de literacia digital informática seria legalmente inadmissível, por violar o disposto no artigo 35.º, n.º 1 do Decreto-Lei n.º 107/2017, de 30 de agosto e os artigos 13.º e 60.º da Constituição da República Portuguesa.
XIX. Contrariamente ao decidido pelo Tribunal a quo, o depoimento claro, credível, coerente e pormenorizado da Eng.ª EE, assim como o depoimento prestado pelo Eng.º XX, as declarações de parte da 1.ª Autora, em que a mesma reconhece a existência de pop-ups no acesso ao CA Online e o Documento n.º 9 junto com a Contestação, impõem que se adicione o facto não provado da alínea g. à listagem de factos provados.
XX. Caso assim não se entenda – o que não se concede e apenas por mero dever de patrocínio se equaciona – impõe-se que o facto não provado sob a alínea g. seja retirado da lista de factos não provados e seja aditado aos factos provados, o seguinte:
90. As rés lançaram pop-ups de alerta na página de acesso / login ao sistema CA Online que advertiam, em cada acesso ao CA Online, após a introdução da chave multicanal, para novas tentativas de phishing, destacando os dados que não são pedidos pelo CA Online, e frisando os elementos que os autores deste tipo de práticas solicitavam, reiterando os cuidados que os utilizados do CA Online devem ter.
XXI. Em função do depoimento claro, credível, coerente e pormenorizado da Eng.ª EE, assim como do Documento n.º 11 junto com a Contestação, e do depoimento prestado pela Senhora GG, impõe-se adicionar o facto não provado da alínea i. aos factos provados.
XXII. Em função do depoimento claro e inequívoco da Eng.ª EE, assim como do Documento n.º 6 junto com a Contestação e do facto provado n.º 12, impõe-se adicionar o facto não provado da alínea j. aos factos provados.
XXIII. O Tribunal a quo não julgou um facto que foi alegado pelas Rés, nos Artigos 3.º, 57.º, 85.º e 89.º da sua Contestação: o de que a 1.ª Autora transmitiu a OTP de acesso (para além das duas OTP de autorização) que recebeu no seu telemóvel a terceiros desconhecidos.
XXIV. Este facto é absolutamente essencial, na medida em que, para se conseguir concretizar o acesso ao CA Online, era necessário (à data dos factos em disputa nos presentes autos) introduzir o número de adesão, a chave multicanal e a OTP de acesso, única e exclusivamente remetida para o número de telemóvel associado à adesão ao serviço.
XXV. Ora, considerando que: (i) resulta do facto provado n.º 30, assim como do documento n.º 12 junto com a Petição Inicial, que a 1.ª Autora recebeu, no seu telemóvel, uma OTP de login pelas 13h57 do dia 15 de agosto de 2022; (ii) resulta do facto provado n.º 12 que o início de sessão no CA Online só se concretiza mediante a introdução (a) do número de adesão, (b) da chave multicanal e (c) da OTP de acesso; (iii) resulta da operação com o id n.º ... do Documento n.º 1 do Requerimento apresentado pelas Recorrentes a 25 de novembro de 2024, que a OTP de acesso, recebida única e exclusivamente no telemóvel da 1.ª Autora e foi inserido no CA Online às 14:00:22 do dia 15 de agosto de 2022; (iv) resulta dos depoimentos técnicos, escorreitos, sem contradições e claros, prestados pelos Eng.ºs XX e EE que a Autora teve, necessariamente, de transmitir a OTP de acesso recebida no seu telemóvel; (v) resulta da operação com o id n.º ... do Documento n.º 1 do requerimento apresentado pelas Recorrentes a 25 de novembro de 2024 e do depoimento prestado pelo Eng.º XX que os terceiros desconhecidos só tiveram acesso aos últimos movimentos efetuados através da conta bancária da Autora, após terem introduzido, no CA Online, a OTP de acesso (e as restantes credenciais de acesso), impõe-se aditar um facto provado com o seguinte teor:
“37-A. A 1.ª Autora transmitiu a terceiros desconhecidos a OTP de acesso (identificada no facto provado n.º 30) recebida pelas 13:57 exclusivamente no seu telemóvel, antes das 14:00:22, momento no qual foi introduzida no CA Online.”
XXVI. Também a fundamentação jurídica em que assentou a sentença não se poderá manter.
XXVII. Com efeito, as operações bancárias em causa nos autos qualificam-se como operações bancárias autorizadas, porque, nos termos do artigo 103.º, n.ºs 1 e 3 do RJSPME, uma operação se considera autorizada se o ordenante consentir na sua execução, na forma acordada entre este e o prestador de serviços de pagamento; pelo que, a contrario, uma operação não se considera autorizada se não for executada em conformidade os parâmetros acordados entre o ordenante e o prestador de serviços de pagamento.
XXVIII. Considerando que resulta do Documento n.º 1 junto com o Requerimento apresentado pelas Recorrentes a 25 de novembro de 2024, assim como dos factos provados n.ºs 48, 50, 53 e 57 que (i) as duas operações de pagamento foram realizadas através da introdução de três posições aleatórias da password e das OTP de autorização constantes das mensagens recebidas pela 1.ª Autora, e que, (ii) para além de tais credencias, foram, também e previamente, introduzidos no CA Online o número de adesão, a chave multicanal da adesão titulada pela 1.ª Autora e a OTP de acesso, recebida única e exclusivamente, no telemóvel da 1.ª Autora, de modo a permitir o início de sessão, impõe-se concluir que o dinheiro foi movimentado em conformidade com as instruções dadas através do CA Online e com recurso às credenciais únicas e exclusivas, pessoais e intransmissíveis da adesão titulada pela 1.ª Recorrida, nos termos acordados pelas Partes, dispostos nas Cláusulas 1., als. e), pontos i., ii. e iii., e f) e 3.2 do do Documento n.º 2 junto com a Petição Inicial e nos termos do disposto no artigo 103.º, n.º 1 e 3 do RJSPME.
XXIX. Tal conclusão decorre, também, da alegação dos Autores, ora Recorridos, na Petição Inicial e da prova efetuada e refletida nos factos provados n.ºs 12, 14, 30, 46, 48, 50, 51, 53, 54, 57, 62, 74 [na parte não impugnada], 88 e 89 que permite concluir que as duas operações de pagamento em apreço (i) foram autenticadas através da introdução do número de adesão, da chave multicanal, da OTP de login, das três posições aleatórias da password pedidas na execução de cada uma das duas ordens de transferência e das duas OTP de autorização constantes das mensagens recebidas no número de telemóvel associado à adesão da 1.ª Recorrida ao CA Online, sendo que as SMS que continham as OTP de autorização expressamente identificavam a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autorização; (ii) foram devidamente registadas, uma vez que tais operações constavam da movimentação da conta titulada pela Recorrida e estavam aí refletidas; (iii) foram contabilizadas, isto é, refletidas no saldo da conta bancária da Recorrida; (iv) não foram afetadas por avaria técnica, uma vez que foram realizadas de acordo com os procedimentos contratualmente estabelecidos para o efeito. De resto, não houve qualquer avaria registada no sistema; (v) não foram afetadas por qualquer deficiência do serviço prestado pelo prestador de serviços de pagamento, uma vez que resultaram de uma atuação criminosa perpetrada por terceiro burlão, conforme resulta da Queixa-Crime apresentada pela Recorrida.
XXX. Assim, em face do exposto, é indubitável que as transferências bancárias em apreço não só se realizaram devido à atuação da 1.ª Autora, como foram autorizadas e autenticadas, em conformidade com as normas legais imperativas e nos termos do disposto nos Contratos celebrados entre as Partes.
XXXI. Mesmo que assim não se entendesse, sempre se teria de concluir que a 1.ª Autora atuou com manifesta negligência grosseira, na medida em que divulgou todas as credenciais de acesso e utilização do CA Online, particularmente, a OTP de acesso e as OTP de autorização, desconsiderando (i) as regras contratuais que definem (i.i) o modo de acesso ao serviço, (i.ii) o modo de utilização do serviço e (i.iii) os deveres de confidencialidade das Partes, estabelecidos na Cláusula 6.2 do Documento n.º 2 da Petição Inicial e na Cláusula 40.2 do Documento n.º 2 junto com a Contestação (ii) todas as instruções constantes dos alertas que lhe foram dirigidos – facto provado n.º 29 e Documento n.º 8 junto com a Contestação e (iii) as mais prudentes regras de utilização da internet, e (iv) o teor das mensagens de texto que recebeu com a OTP de acesso e com as duas OTP de autorização.
XXXII. Ressalva-se que a desconsideração do Tribunal pelos alertas consubstancia uma desculpabilização injustificada dos utilizadores do homebanking e uma descredibilização da relevância dos deveres de cuidado a que os mesmos estão adstritos, que contraria o disposto nos artigos 103.º, n.º 1 e 3 e 113.º do RJSPME.
XXXIII. Por outro lado, o Tribunal assenta a sua convicção no facto de, em 2022, não serem tão frequentes, nem divulgados, os ataques às contas bancárias como o que sucedeu nos autos, sendo que tal (i) não foi alegado por nenhuma das partes, (ii) nem foi produzida qualquer prova nesse sentido e, por isso, não podia fundamentar a decisão do Tribunal. Em todo o caso, tal é falso e contrariado por factos públicos e notórios, divulgados nos meios de comunicação social, desde 2019.
XXXIV. Impunha-se à 1.ª Recorrida adotar uma conduta distinta (cf. Facto provado n.º 79), perante (i) o email que lhe foi enviado, o qual deveria ter-lhe suscitado dúvidas quanto à sua fidedignidade, atendendo (i.i.) ao remetente, (i.ii) ao assunto (i.iii) ao vocabulário utilizado, e (i.iv) aos dados e passos que lhe eram solicitados, e bem assim, (ii) a página a que acedeu, após clicar num link introduzido no email, em manifesta violação do disposto na Cláusula 1., al. b) do Documento n.º 2 da Petição Inicial e na Cláusula 35., 2. do Documento n.º 2 junto com a Contestação.
XXXV. Reitera-se que, uma vez que (i) não ocorreu nenhuma falha de segurança no sistema das Recorrentes que tivesse exposto o número de adesão da 1.ª Recorrida e (ii) as Recorrentes não têm conhecimento da chave multicanal da adesão titulada pela 1.ª Recorrida, a única via pela qual terceiros podiam obter conhecimento das credenciais de acesso e utilização da adesão titulada pela 1.ª Recorrida ao CA Online era pela transmissão por parte da mesma, por alguma forma, de tais credenciais, pelo que é notório que foi a mesma quem deu causa ao dano, o que leva a concluir que atuou com negligência grosseira.
XXXVI. Mesmo admitindo que a 1.ª Recorrida não tivesse atendido aos códigos que estava a introduzir – o que apenas por dever de patrocínio se equaciona, sem conceder –, não se pode admitir que tal seja desculpável, ou corresponda ao padrão de diligência adotado pelo homem médio, sobretudo considerando que as SMS que contêm as OTP de autorização identificam, expressamente, a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autenticação.
XXXVII. Desconsiderando todas estas evidências, e, particularmente, os factos provados n.º 79 e 80 dos quais consta que a 1.ª Autora podia e devia ter atuado de forma distinta, perante o email que lhe foi remetido e perante as OTP que recebeu, o Tribunal a quo erra ao decidir que a atuação da 1.ª Recorrida não se qualifica como negligentemente grosseira.
XXXVIII. Tal decisão está, ainda, em manifesta contradição com a jurisprudência maioritária dos tribunais portugueses.
XXXIX. Em qualquer caso, impõe-se concluir que, (i) ao aceder a um link diferente do de acesso ao CA Online e (ii) ao fornecer ou, por qualquer forma, tornar acessíveis a terceiros desconhecidos, as suas credencias de acesso e utilização ao CA Online – que são pessoais, secretas e intransmissíveis –, a 1.ª Autora violou o disposto na alínea a) do n.º 1 e n.º 2 do artigo 110.º do RJSPME, por inobservar o disposto na Cláusula 6.2 do Documento n.º 2 da Petição Inicial e na Cláusula 40.2 do Documento n.º 2 junto com a Contestação.
XL. Os artigos 796.º, 1142.º e 1187.º do Código Civil não têm aplicação nos presentes autos, porquanto (i) a centralidade da relação bancária se situa antes no contrato de abertura de conta e no contrato de conta-corrente a ele inerente e (ii) o regime jurídico inerente ao contrato de depósito está pensado para coisas corpóreas, sendo difícil e artificial a sua adaptação à realidade moderna da relação bancária, processada essencialmente por movimentos escriturais e virtuais a crédito e débito, na conta-corrente bancária.
XLI. Por fim, a condenação no pagamento do agravamento dos juros, em 10 pontos percentuais, decorre do n.º 10 do artigo 114.º do RJSPME, não pode proceder porquanto apenas se aplica quando em causa estejam operações não autorizadas, não se bastando tal qualificação jurídica com a mera negação pela 1.ª Autora de que as executou.
XLII. Em qualquer caso, estando evidenciado que a 1.ª Autora atuou com negligência grosseira e que incumpriu o disposto, designadamente, na Cláusula 6.2 do Documento n.º 2 da Petição Inicial e na Cláusula 40.2 do Documento n.º 2 junto com a Contestação, incumprindo, desse modo, o disposto no artigo 110.º, n.º 1, al. a) do RJSPME, fica também prejudicada a possibilidade de condenação no pagamento do capital e, consequentemente, dos respetivos juros moratórios, acrescidos de 10 pontos percentuais.
XLIII. A condenação das Recorrentes, apenas com fundamento no regime jurídico do contrato de depósito prejudica o pedido de condenação no pagamento do acréscimo de juros de mora, decorrente do plasmado no artigo 114.º, n.º 10 do RJSPME, dado estar-se fora do âmbito de aplicação desse regime».
1.7. Os AA. contra-alegaram, defendendo a manutenção da sentença recorrida, para o que alinharam as seguintes conclusões:
«1) O recurso apresentado pela apelante terá, necessariamente, que improceder ao contrário do que a mesma alega, pois que o Tribunal “a quo” julgou corretamente os factos e fez uma correta aplicação das normas jurídicas.
2) A matéria de facto provada deve manter a redação que lhe foi conferida pelo Tribunal “a quo”, não merecendo qualquer reparo, pelo que devem improceder as sugestões de alteração de redação, de aditamento e de remoção requeridas pelas Recorrentes nas suas alegações de recurso.
3) O facto provado sob o nº 21. deve manter a redação que lhe foi conferida pelo Tribunal “a quo”, pois, a sugestão de alteração das Recorrentes baseia-se em interpretação do teor da sentença “a quo”, distinta do seu sentido literal.
4) Em síntese, para o efeito, pugnam as Recorrentes pelo acolhimento do seguinte entendimento: Para acesso ao CA Online é atribuído a cada cliente um número de adesão, pelo que foi atribuído a cada um dos AA. um número de adesão diferente, pelo que não se poderia afirmar que as RR. atribuíram aos AA. o número de adesão 56437610.
5) Contudo, são as próprias RR. nas suas alegações que afirmam, “Com a introdução desse número de adesão, da respetiva chave multicanal e da OTP de acesso, a 1.ª Autora podia iniciar sessão no CA Online, na adesão a si atribuída, e ter acesso a todas as contas nas quais figurava como titular ou como representante legal de menor.”
6) Não resultando de parte alguma, da prova oferecida pelas RR., a atribuição de número de adesão diferente aos AA. BB e CC.
7) Não assiste assim qualquer razão às Recorrentes, não existindo elementos probatórios nos autos que permitam fundar a alteração da redação do ponto 21. pretendida pelas Recorrentes.
8) O efeito prático da manutenção da redação do ponto 21. ou a sua alteração para a redação pretendida pelas RR. é nulo (V. ponto 12 e 13. das Alegações de resposta ao Recurso).
9) Também o facto provado sob o nº 74 deve manter a redação que lhe foi dada pelo Tribunal “a quo”, não devendo ser aditado o ponto 74-A sugerido pelas Recorrentes, pois, a pretensão das Recorrentes, não encontra qualquer sustentação na prova produzida nos presentes autos.
10) Vêm as Recorrentes pugnar pela alteração de tal facto nos seguintes moldes:
“74. O número de telefone e endereço de correio eletrónico da 1ª A., o número de adesão ao serviço CA-Online e respetiva chave multicanal foram obtidos junto da 1.ª Autora em data e por forma não concretamente apuradas, por terceiros desconhecidos, em momento prévio ao contacto telefónico descrito nos pontos anteriores.”
11) E a este propósito requerer o aditamento aos factos provados do seguinte:
“74. - A. 1.ª A. forneceu voluntária ou involuntariamente os seus dados de acesso ao serviço CA online (nr. de adesão e chave multicanal) a terceiros.”
12) Alegando as Recorrentes para o efeito, que, “o número de telefone, o endereço de correio eletrónico, o número de adesão ao CA Online e a respetiva chave multicanal associados à adesão titulada pela 1.ª Autora, não só não foram obtidos por acesso prévio à área reservada do CA Online da 1.ª Autora, como não foram obtidos junto das Rés, ora Recorrentes.”
13) O que na verdade não logram demonstrar.
14) Vêm as Recorrentes alegar que é tecnicamente impossível os burlões terem previamente acedido à área reservada do CA Online da 1.ª A., mas não o demonstram. O que se sabe é que efetivamente os burlões chegaram à 1.ª A., sabendo que a mesma era cliente da CA e naturalmente o seu nº de telefone através do qual encetaram o contacto, e enunciando vários dados referentes à sua conta antes desta facultar qualquer elemento, a saber: nº de adesão e chave multicanal, últimos movimentos da conta de que a 1.ª A era titular.
15) Conforme resultou das declarações da 1.ª A., a mesma facultou apenas os códigos que recebeu por mensagem, admitindo que não leu com atenção as mensagens que rececionou, já tendo de ser do conhecimento dos burlões que a mesma era cliente da Caixa Agrícola, o seu nº de telefone para o qual ligam, o seu endereço de correio eletrónico para o qual enviam e-mail, bem como nº de adesão e chave multicanal, que nunca foram facultados pela 1.ª A., conforme resulta das declarações da 1.ª A., as quais, como bem considerou o Tribunal “a quo”, merecem credibilidade nos termos referidos supra nas alegações de resposta ao Recurso.
16) Contrariamente ao pretendido pelas Recorrentes é absolutamente legítimo afirmar que tais dados foram obtidos mediante o acesso de terceiros desconhecidos à área reservada da 1.ª A. no CA Online, pois se a mesma não facultou as credenciais de acesso nem os seus movimentos de conta, como os burlões lá chegaram sem esse acesso prévio? Não chegaram! Pelo que, apenas se pode concluir pela existência desse acesso prévio.
17) Vêm as Recorrentes afirmar que esse acesso prévio não se pode ter verificado com através do CA Online da 1ª A. com recurso ao CA Online, “porque para tal, os terceiros desconhecidos teriam de ter acedido, previamente ao momento da burla (a que se refere o facto provado n.º 31), à adesão titulada pela 1.ª Autora ao CA Online”, e resultou provado sob o ponto 88. que, “As RR. não sofreram qualquer ataque informático que tenha exposto os dados dos seus clientes”.
18) Mas também resulta dos factos provados sob os pontos 34., 37., 38. e 42., não impugnados pelas Recorrentes, que os burlões sabiam de antemão, aquando da chamada telefónica, os últimos movimentos de conta, o nº de adesão, a chave multicanal e o e-mail, respetivamente.
19) Portanto, a afirmação das Recorrentes de que, “tais dados tiveram de ser obtidos junto da 1.ª Autora”, mais não é do que uma mera presunção.
20) Não podendo uma simples presunção fundar a alteração da redação do facto provado sob o ponto 74. para a redação ora pretendida pelas Recorrentes, bem como o aditamento do ponto 74-A.
21) O ponto 76., contrariamente ao pretendido pelas Recorrentes, deve manter-se na lista de factos provados.
22) Considerou doutamente o Tribunal “a quo” sob o ponto 76. que:
“A 1ª A. não dispõe de literacia financeira e informática”.
23) Convicção que o Tribunal “a quo” fundou com base nas declarações da 1.ª A., “uma vez que a parte denotou dificuldade em denominar os vários códigos pessoais necessários ao uso do serviço da CA Online (designadamente, a password) e revelou incompreensão do fenómeno de que foi vítima, referindo constantemente que os seus dados foram «clonados» num ataque informático ao Banco”.
24) De facto, a 1.ª A, como referem as Recorrentes, descreveu os passos necessários para acesso ao homebanking e para realização de transferências, mas com recurso a palavras não técnicas da área bancária e muitas vezes não referindo os nomes técnicos dos passos necessários para o acesso e para a realização de operações de transferência. Conhecer tais passos não significa, como parecem pretender as Recorrentes que a 1ª A. tivesse os conhecimentos necessários para percecionar a prática fraudulenta de que estava a ser vítima, o que não tinha, conforme se percebe das suas declarações de parte, como bem considerou o Tribunal “a quo”.
25) Não podendo também merecer acolhimento a alegação das Recorrentes de que perceção de que entrou “numa página espelho” denota a existência de um certo nível de “literacia tecnológica”, pois, tal perceção adveio depois do sucedido, quando confrontada com as informações existentes acerca deste tipo de práticas, não no momento da burla, pois, se assim fosse, obviamente que não teria permitido a realização das transferências em causa nos autos.
26) As considerações das Recorrentes não se mostram, assim, suficientes para retirar o ponto 76. da matéria de facto provada, reproduzindo-se aqui, quanto a este aspeto, tudo o considerado na douta sentença “a quo”, bem como o alegado na petição inicial.
27) O mesmo se diga quanto aos pontos 77. e 78., que as Recorrentes pretendem também que sejam retirados da lista dos factos provados.
28) O Tribunal “a quo” deu como provado sob o ponto 77. que: “Grande parte da população portuguesa não detém literacia financeira digital que a capacite a identificar e reagir a tentativas de fraude como a descrita nos autos.”
29) E sob o ponto 78. que: “Quando as RR. contratam com os clientes o serviço «CA Online» não exigem que os mesmos detenham literacia digital informática.”
30) A propósito do que aderimos integralmente à fundamentação do Tribunal “a quo” supratranscrita nas Alegações de resposta ao Recurso.
31) Não se podendo concordar com as Recorrentes no sentido de ser irrelevante para os autos o nível de literacia financeira digital da população portuguesa, pois, tal mostra-se imprescindível para apreciar o critério do homem médio, ou seja, para compreender que qualquer cidadão comum colocado na situação da 1.ª A. teria agido da mesma forma.
32) Não merecendo acolhimento as considerações tecidas pelas Recorrentes quanto a este aspeto da impugnação da matéria de facto (77.), pois, tais considerações revestem, sim, matéria de direito. A consideração de tal facto na lista de factos provados não reveste natureza jurídica como alegado pelas Recorrentes, sendo sim factos de conhecimento geral que não carecem de alegação ou prova (art.º 412.º, nº 1 do CPC).
33) Não merecendo também acolhimento as considerações tecidas pelas Recorrentes para retirar da lista de factos provados o facto provado sob o ponto 78., pois, de facto até pode impender sobre a instituição bancária um dever de não descriminação quanto aos clientes conforme alegam para afastar aquele facto da matéria de facto provada, mas tal dever não invalida a douta e correta consideração de que as Recorrentes quando contratam com os clientes o serviço “CA Online” não exigem que os mesmos detenham literacia digital informática.
34) Pelo exposto, devem manter-se os factos provados sob os pontos 77. e 78., na redação que lhes fora dada pelo Tribunal “a quo”.
35) Pugnam também as Recorrentes pela consideração como provados os factos considerados como não provados pelo Tribunal “a quo” nas alíneas g., i., e j.
36) Aderindo-se integralmente à argumentação do Tribunal “a quo” a este respeito (V. pontos 59. e 60 das Alegações de resposta ao Recurso), e à qual deve acrescer o facto de que os documentos juntos para prova de envio e informação de tais alertas não possuem qualquer elemento que permita aferir da sua fidedignidade e autenticidade, nada demonstrando que advém do sistema das Recorrentes. Os mesmos encontram-se em folha branca, sem qualquer elemento que associe a sua titularidade ao sistema das Recorrentes _ “CA Online”.
37) Não fora, assim, na verdade, produzida qualquer prova quantos aos factos considerados não provados sob as alíneas g., i. e j. Pelo que se devem manter na lista de factos não provados.
38) Por último, ainda no âmbito do recurso da matéria de facto, vêm as Recorrentes a pretexto de matéria alegada e não julgada pugnar pela consideração como facto provado sob o ponto 37-A do seguinte facto:
“37-A. A 1.ª Autora transmitiu a terceiros desconhecidos a OTP de acesso (identificada no facto provado n.º 30) recebida pelas 13:57 exclusivamente no seu telemóvel, antes das 14:00:22, momento no qual foi introduzida no CA Online.”
39) O que não merece acolhimento.
40) Tal facto nunca poderia ser considerado provado, pois, à semelhança do que supra se alegou quanto à divulgação do código de adesão e chave multicanal, o que aqui se dá por integralmente reproduzido, não existem nos autos quaisquer elementos probatórios que permitam afirmar que a 1ª A o divulgou.
41) E mais, conforme alegado na petição inicial e como resultou das declarações da 1.ª A., esta, em 15 de agosto de 2022, pelas 13h57m, recebeu mensagem telefónica escrita, intitulada “autenticação forte” com um código “login” da Caixa Agrícola, recebida na mesma caixa de mensagens que habitualmente recebia as mensagens relativas ao serviço “CA Online” (V. Doc. 8 da petição inicial), e, praticamente em simultâneo, a 1ª A. foi contactada, por chamada telefónica, através do nº ..., por uma senhora, que se identificou como sendo do departamento de segurança da Caixa de Crédito Agrícola, ou seja, como estando a ligar da parte das Recorrentes.
42) Atenta a cronologia dos eventos mostra-se facticamente impossível que a 1ª A. tivesse facultado tal código aos burlões, pelo que nunca se pode considerar como provado o facto que as Recorrentes pretendem aditar à lista de factos provados sob o ponto 37-A.
43) A sentença “a quo” não padece de qualquer erro quanto ao julgamento que faz sobre o enquadramento jurídico, ao qual se adere totalmente. Não assistindo qualquer razão às Recorrentes quanto ao alegado para fundamentar a impugnação da matéria de Direito da douta sentença “a quo”.
44) Na impugnação da matéria de Direito, começam as Recorrentes por pugnar pela qualificação como autorizadas das operações bancárias realizadas na sequência da chamada fraudulenta, o que não pode proceder.
45) Para tal invocam as Recorrentes, o disposto no já citado art.º 103.º, nºs 1 e 3 do Decreto-Lei nº 91/2018, nos termos do qual:
“1 - Uma operação de pagamento ou um conjunto de operações de pagamento só se consideram autorizados se o ordenante consentir na sua execução.
(…)
3 - O consentimento deve ser dado na forma acordada entre o ordenante e o respetivo prestador do serviço de pagamento.”
46) E de facto, resulta, como alegam as Recorrentes, que as operações de transferência em causa nos autos foram realizadas mediante a introdução de três posições aleatórias da password e das OTP de autorização enviadas por SMS para a 1.ª A.
Contudo, tal não basta para qualificar aquelas operações como autorizadas, o que não foram! É sempre necessária a introdução das credenciais de acesso e utilização associadas à adesão: nº adesão e chave multicanal. E a 1ª A. nunca deu no decorrer da referida chamada telefónica, o n.º de adesão e chave multicanal, sendo-lhe, estes últimos, ditados ao telefone pela senhora que efetuou a chamada fraudulenta.
47) Porquanto, não se pode considerar operação autorizada à luz do referido art.º 103.º, nºs 1 e 3 do Decreto-Lei nº 91/2018, pois, as operações de transferência não se realizaram claramente na forma acordada entre o ordenante e o prestador de serviços de pagamento, pois, desde logo, ao 1ª A. não introduziu nem o nº de adesão, nem chave multicanal, depois a introdução dos elementos da password solicitados, foram-no no pressuposto de cancelamento da transação, nunca autorização da mesma.
48) A forma acordada entre cliente e prestador de serviços, nestes casos as Recorrentes, para a realização das transferências através do “CA Online”, implicam sempre, primeiramente, a introdução das chamadas credenciais de acesso: nº adesão e chave multicanal, ou seja:
1-Introdução de código login de acesso (se solicitado por não acesso há mais de 90 dias);
2-Introdução de número de adesão;
3-Introdução de Chave Multicanal;
4-Introdução de três dígitos de password solicitados;
5-Introdução códigos de autorização OTP.
49) O que pressupõe a introdução de todos esses elementos na mesma página, no mesmo momento, com a intenção subjacente de realização da transferência. A 1ª A. não o fez! A titular da conta e utilizadora autorizada não o fez!
50) A 1ª A. não realizou as operações nos termos acordados com as Recorrentes (art.º 103.º, nº 3 do Decreto-Lei nº 91/2018).
51) O casu sub judice enquadra-se no disposto no art.º 113.º, nº 3 do citado Decreto-lei nº 91/2028, nos termos do qual: “Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º”.
52) No caso de o utilizador de serviços negar ter autorizado uma operação de pagamento executada, é ao prestador do serviço de pagamento que compete provar que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência, e apesar de as Recorrentes o alegarem, também não o lograram demonstrar.
53) Impondo-se a aplicação do art.º 114.º, nº 10 do RJSPME, que foi, e bem, aplicado pelo Tribunal “a quo” nos termos do qual: “Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.”
54) Efetivamente, o ponto fulcral, para a discussão dos presentes autos prende-se com a apreciação da existência ou não da negligência grosseira da 1.ª A., que o Tribunal “a quo”, considerou, e bem, não existir!
55) A atuação da 1ª A. não pode ser entendida por negligência grave ou grosseira (V. pontos 91. a 97. da resposta às Alegações de Recurso).
56) Como bem considerou o Tribunal “a quo”:
57) “Face ao contexto de stress e urgência que rodeou a chamada que espoletou a conduta da 1ª A, aliado à total falta de conhecimento por esta, naquele momento, da anterior obtenção por terceiros das credenciais de acesso à sua conta, não se pode afirmar que a 1ª A. atuou sem o mínimo de diligência, porquanto o seu interlocutor manifestou ter conhecimento de elementos pessoais seus e de movimentos da sua conta bancária, informação que, em condições normais, só estaria disponível no banco. Esta construção levaria qualquer homem médio colocado na posição da 1ª A. a acreditar que estava a ser contactado pelo seu banco e que precisava de atuar do modo descrito para evitar a concretização da transferência iminente.
“O circunstancialismo em que ocorreu a fraude de que a Recorrida foi vítima contribuiu para criar no legal representante da Recorrida a convicção de que o contacto era fidedigno, pois a senhora que se apresentou como funcionária da Caixa Agrícola, mostrou saber o seu e-mail, e apenas se disponibilizou a enviar e-mail para enderenço diferente porque o legal representante da Recorrida informou estar em viagem e sem acesso ao e-mail que era do conhecimento das RR., mostrou também saber o nº de telefone, que era cliente da Caixa Agrícola, últimos movimentos na conta da A. e as credenciais de acesso ao CA Online: o nº de adesão e a chave multicanal.”
58) A 1.ª A. confiou, ou melhor, não duvidou que estava a conversar com colaboradora da Caixa Agrícola e agiu para cancelar transação, nunca para autorizar. Perante o que, outra não podia ser a decisão do Tribunal “a quo”, se não afastar a possibilidade de a 1.ª A. ter atuado com negligência grosseira, que não atuou!
59) A 1ª A. agiu com a diligência que lhe era exigida, pois, confrontado com a possibilidade de transação suspeita e tendo-lhe sido fornecidas informações fidedignas acerca dos últimos movimentos da sua conta, bem como mostrando, a pessoa que se identificou como contactando da parte da Caixa Agrícola, conhecer os seus dados de acesso e dados pessoais, como o nº de adesão, a chave multicanal de acesso ao serviço “CA Online”, e-mail e número de telemóvel, a 1.ª A. acreditou que estava a conversar com colaboradora do banco, agindo perante o iminente risco de a transação suspeita se concretizar, pois, confrontada com a possibilidade de terem os seus dados de acesso à conta e de que estariam a tentar fazer uma alegada transação, acredita que está a agir com todo o cuidado que lhe era exigido e acredita também que estava a ser guiada por colaboradora das Recorrentes. Pelo que, não lhe pode a sua conduta ser censurada!
60) Para efeitos de escusa de responsabilidade, era, como já várias vezes referido, às Recorrentes que competia demonstrar, a existência de fraude, de dolo ou de negligência grosseira da parte da Recorrida (art.º 114.º, nº 4 do RJSPME), o que as Recorrentes não lograram fazer.
61) Atenta a prova junta aos autos e produzida em audiência de julgamento, é inequívoco que recai sobre as Recorrentes o dever de indemnizar os Recorridos pelos danos sofridos, fruto da burla de que foram vítimas.
62) Deverá, assim, o recurso interposto pelas RR./Recorrentes ser julgado totalmente improcedente e manter-se a douta sentença já proferida pelo tribunal “a quo”».
1.8. Já nesta Relação, foi rejeitado o recurso interposto pela R. CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE SALVATERRA DE MAGOS, C.R.L., por se ter considerado que, em face do valor da sua sucumbência, a decisão era para a mesma irrecorrível.
1.9. Colhidos os vistos, cumpre decidir.
II – DELIMITAÇÃO DO OBJETO DO RECURSO
Decorre do disposto nos arts. 635.º, n.º 4, e 639.º, n.º 1 do CPC, que as conclusões delimitam a esfera de actuação do tribunal ad quem, exercendo uma função semelhante à do pedido na petição inicial (cfr., neste sentido, Abrantes Geraldes, in Recursos no Novo Código de Processo Civil, Almedina, 2017, pág. 105 a 106).
Assim, atendendo às conclusões supra transcritas, as questões essenciais a decidir consistem, basicamente, em saber:
a) se o tribunal a quo incorreu em erro de julgamento quanto à apreciação da matéria de facto;
b) se o tribunal a quo incorreu em erro quanto à apreciação do direito aplicável.
III – FUNDAMENTAÇÃO DE FACTO
3.1. A sentença sob recurso considerou provada a seguinte matéria de facto:
«1. A Caixa Central - Caixa Central de Crédito Agrícola Mútuo CRL (doravante identificada como «3ª R», «CCCAM» ou «Caixa Central») é uma instituição de crédito, sob a forma de cooperativa de responsabilidade limitada, da qual são associadas as várias Caixas de Crédito Agrícola Mútuo, que no conjunto são denominadas Sistema Integrado do Crédito Agrícola Mútuo (SICAM).
2. A Caixa de Crédito Agrícola Mútuo de Salvaterra de Magos, C.R.L. doravante designada de «1ªR», «CCAM Salvaterra», ou «Caixa de Salvaterra de Magos») e a Caixa de Crédito Agrícola Mútuo de Pernes e Alcanhões, C.R.L. (doravante designada de «2ªR», «CCAM Pernes e Alcanhões» ou «Caixa de Pernes e Alcanhões») são associadas da Caixa Central - Caixa Central de Crédito Agrícola Mútuo CRL.
3. A Caixa Central - Caixa Central de Crédito Agrícola Mútuo CRL tem como bjeto social: a) o exercício da atividade bancária, incluindo todas as operações acessórias, conexas ou similares compatíveis com essa atividade e permitidas por lei; b) Como seu organismo central, coordenar e representar o sistema integrado de crédito agrícola mútuo; c) Exercer quaisquer outras atribuições que lhe sejam conferidas por lei ou por contrato.
4. A Caixa de Crédito Agrícola Mútuo de Salvaterra de Magos e a Caixa de Crédito Agrícola Mútuo de Pernes e Alcanhões têm por objeto social: o exercício de funções de crédito agrícola a favor dos seus associados e a prática dos demais atos inerentes à atividade bancária, nos termos da legislação aplicável e, ainda, o exercício de atividade de agente da Caixa Central, nos termos previstos na lei e no contrato de agência que entre ambas venha a ser celebrado.
5. O sistema multicanal consiste na faculdade conferida ao Cliente para efectuar um conjunto de operações bancárias, designadamente, de consulta e/ou movimentação, relativamente a contas de depósito de que seja titular único ou co-titular em regime de solidariedade e que possa livremente movimentar através de canais telemáticos: internet (CA Online – Para Mim), serviço telefónico (Linha Directa), dispositivos móveis (CA Mobile), ou outras formas de acesso que venham a ser disponibilizadas pelo Crédito Agrícola».
6. O sistema multicanal é gerido, de forma centralizada, pela Ré Caixa Central – Caixa Central de Crédito Agrícola Mútuo, C.R.L.
7. O Serviço «CA Online – Para mim» (doravante «CA Online») é um dos serviços oferecidos pelo sistema multicanal e consiste no serviço de homebanking do Crédito Agrícola, disponível através do endereço www.creditoagricola.pt.
8. A adesão aos serviços do sistema multicanal realiza-se através de uma infraestrutura de segurança que contempla os seguintes dados pessoais:
i) número de adesão: código numérico de oito posições, gerado pelo sistema após ser efetuado, com sucesso, um Pedido de Adesão ao sistema multicanal, ficando associado ao número de cliente;
ii) chave multicanal: código numérico de 8 posições que permite, em conjunto com o número de adesão, identificar inequivocamente o Cliente para o acesso à realização de Consultas no CA Online – Para Mim e na Linha Directa;
iii) password: código numérico composto por entre 8 a 12 dígitos, dos quais apenas três são solicitados de forma aleatória, aquando da realização de transações de cariz financeiro.
iv) PIN: código numérico composto de quatro posições , definido pelo Cliente no momento de adesão ao CA Mobile e que permite, em conjunto com o número de adesão, identificar inequivocamente o Cliente para o acesso ao CA Mobile, bem como realizar consultas.
9. A validação da chave multicanal é feita com base numa chave encriptada a partir da chave multicanal definida pelo cliente aquando do primeiro acesso ao Serviço CA Online.
10. As Rés conhecem o número de adesão, mas desconhecem a chave multicanal.
11. A OTP (One Time Password) é uma password de utilização única, gerada automaticamente pelo sistema e enviada por mensagem para o telemóvel registado no Banco sempre que o cliente pretender realizar transferências, pagamentos de serviços, carregamento de telemóveis, cancelar a adesão ao SAF ou definir um Limite de Movimentação Diário no CA Online, tendo por finalidade a validação e confirmação das operações.
12. A partir de abril de 2022, o acesso ao CA Online passou a ser efetuado através da introdução do número de adesão, da chave multicanal e de uma OTP enviada por SMS para o número de telemóvel associado à adesão do CA Online;
13. O serviço «CA online» não permite, nem nunca permitiu, o cancelamento de operações.
14. A autorização de operações depende, necessariamente, da introdução de três dígitos da password aleatoriamente selecionados e pela introdução de uma OTP remetida pelo sistema da Caixa Central (3ª R.) para o telemóvel da 1ª A.
15. Em 04 de março de 2013, AA (adiante abreviadamente referenciada por «1ªA») e BB (doravante designado por «2º A») declararam aderir aos termos e condições gerais, pré elaborados, dos serviços de abertura de conta bancária e de depósito prestados pela Ré Caixa de Crédito Agrícola Mútuo de Pernes e Alcanhões, C.R.L e, nos termos dos quais:
«3.1. Toda a correspondência que deva ser enviada ao(s) Titular(es) da conta de Depósito à Ordem ou de outras contas e/ou produtos a ela associados, incluindo a relativa a citações judiciais, considera-se devidamente efectuada e eficaz quando seja dirigida para o último endereço por ele(s) indicado, e decorridos que estejam três (3) dias após a data de expedição. (…) 3.4 sem prejuízo do expresso nos números anteriores, as partes poderão efectuar as suas recíprocas comunicações através de correio electrónico, sendo válido para tanto, no caso da Caixa Agrícola o endereço linhadirecta@creditoagricola.pt e no caso do(s) Titular(es) qualquer um dos endereços que haja sido indicado na Ficha de Assinatura e de Abertura de Conta”.
(…)
14.4. Toda e qualquer ordem de pagamento transmitida pelo(s ordenante(s), qualquer que seja o serviço de pagamento utilizado e sem prejuizo do expresso nas cláusulas nona (9) décima terceira (13), considera-se recebida pela Caixa Agrícola:
a) no próprio dia, se recebida até às quinze horas (15h) de die útil para a Caixa Agricola;
b) no dia útil seguinte, se recebida depois das quinze horas (15h) ou em dia não útil para a Caixa Agrícola.
(…)
14.8. Igualmente sem prejuízo do disposto nas cláusulas nona (9) a décima terceira (13), toda e qualquer ordem de pagamento recebida pela Caixa Agricola nos termos do número quatro da presente cláusula (14.4) e que não tenha sido retirada ou revogada, será executada:
a) se para conta de l Depósito à Ordem domiciliada na Caixa Agricola, no próprio dia útil;
b) se para qualquer outra Instituição de Crédito, incluindo a Caixa Central e qualquer outra Caixa Agricola integrante do SICAM:
i) nas operações internas: até ao final do primeiro dia útil seguinte;
ii) nas operações transfronteiriças: até ao final do terceiro dia útil seguinte.
(…)
14.11. A Caixa Agricola reserva-se o direito de bloquear um qualquer instrumento de pagamento por motivos objectivamente fundamentados • que se relacionem com:
a) a segurança do instrumento de pagamento;
b) a suspeita de utilização não autorizada ou fraudulenta desse instrumento; c) o aumento significativo do risco de o(s) ordenante(s) não poder(em) cumprir as suas responsabilidades de pagamento, caso se trate de um instrumento de pagamento com uma linha de crédito associada.
14.12. Nos casos referidos no número anterior e salvo se essa informação não puder ser prestada por razões de segurança objectivamente fundamentadas ou for proibida por disposição legal, a Caixa Agrícola informará o(s) Titular(es), se possivel, antes de bloquear o instrumento de pagamento ou, o mais tardar, imediatamente após o bloqueio.
(…)
14.14 O(s) Titular(es) obriga(m)-se a utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, tomando todas as medidas razoáveis, em especial ao recebê-lo, para preservar a eficácia dos seus dispositivos de segurança personalizados e comunicar, sem atrasos injustificados, à Caixa Agrícola ou a quem esta indicar, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento
(…)
14.17 (…) salvo em caso de actuação fraudulenta, após ter efetuado a comunicação a que se refere supra o número catorze da presente cláusula (14.14), os ordenante(s) não suporta(m) quaisquer consequências financeiras.
16. À 1ª e ao 2ª AA. foi atribuída a conta nº ....
17. Em data não concretamente apurada, o teor das Condições Gerais do serviço de abertura de conta da 2ªR. foi alterado.
18. A versão atual das Condições Gerais tem o seguinte teor:
Cláusula 21 (Contrato-Quadro), número 29, estipulou-se que "O(s) Titular(es) obriga(m)-se a utilizar o instrumento de pagamento de acordo com as condições que regem a sua disponibilização e utilização, tomando todas as medidas razoáveis, em especial ao recebê-lo, para preservar a segurança das suas credenciais de segurança personalizadas e comunicar, sem atrasos injustificados, ao Crédito Agrícola ou a quem este indicar, logo que deles tenha conhecimento, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento"
"No caso de operações não autorizadas resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou de apropriação abusiva de instrumento de pagamento imputável ao(s) Titular(es), este(s) suportará(ão) todas as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento até um máximo de 50,00 € (cinquenta euros), salvo se: i) as operações de pagamento forem devidas a actuação fraudulenta ou incumprimento deliberado de uma ou mais obrigações das consagradas supra no número vinte e nove (29.) da presente cláusula 21. Contrato-Quadro, caso em que o(s) Titular(es) suportará(ão) todas as perdas sem aquele limite, ou ii) se existir negligência grosseira do(s) Titular(es), caso em que este(s) suporta(m) as perdas até ao limite do saldo disponível ou da linha de crédito associadas à conta ou ao instrumento de pagamento."
19. No dia 02 de maio de 2013, a 1ª A e o 2ª A. declararam aderir às condições gerais do serviço «CA Online Para mim», nos termos das quais:
(…)
2. PROCESSO DE ADESÃO AO SISTEMA MULTICANAL:
(…)
2.6 A partir da adesão ao sistema MULTICANAL, o cliente autoriza o crédito agrícola, de forma irrevogável, e sempre que considere necessário:
(…)
c) a não executar ordens quando (…) existam dúvidas razoáveis sobre a identidade da pessoa a transmitir a ordem.
3. UTILIZAÇÃO DO SISTEMA MULTICANAL:
(…)
3.3. No primeiro acesso ao SISTEMA MULTICANAL, o Cliente deverá alterar, obrigatoriamente, a Chave MultiCanal atribuída aquando da ativação do Serviço.
(…)
3.7 Para realizar Transferências, Pagamento de Serviços e Carregamento de Telemóveis no CA Online- Para mim, o Cliente deve aderir ao SISTEMA DE AUTENTICAÇAO FORTE (SAF). Para realizar as restantes transações financeiras disponíveis nos serviços que não carecem da utilização do SAF para validação é solicitada a inserção de três dígitos aleatórios da PASSWORD,, anteriormente enviada para o Cliente.
(…)
3.11. Não obstante o referido no número anterior, em qualquer momento pode o Crédito Agrícola, através do SISTEMA MULTICANAL, solicitar que as ordens sejam confirmadas, mediante comunicação por carta ou fax, sempre que hajam dúvidas objectivas quanto à identidade do ordenante, ou sempre que os montantes envolvidos na operação sejam de elevado valor, ou ainda sempre que se julgue necessário, para a concretização de adesões a redutos ou serviços, ou a inclusão de documentação adicional.
(…)
3.13. O Crédito Agrícola reserva-se o direito de bloquear o acesso ao SISTEMA MULTICANAL, no todo, ou em parte, por motivos objectivamente fundamentados que se relacionem com:
a) a segurança do serviço;
b) a suspeita de utilização não autorizada ou ilícita do serviço, incluindo a recepção de contactos de alerta oriundos de outras Instituições de Crédito referentes movimentos a débito ou a crédito indevidos ou suspeitos.
(…)
6. CONFIDENCIALIDADE E DEVER DE COMUNICAÇÃO
6.1. O Crédito Agrícola compromete-se a manter sob rigorosa confidencialidade os códigos ( acesso e a informação constante nos mesmos.
6.2. O Cliente obriga-se a guardar sob segredo os seus elementos de identificação e códigos de acesso, bem como a sua utilização estritamente pessoal designadamente:
a) Não permitindo a sua utilização por terceiros, ainda que seu procurador ou mandatário;
b) Não os revelando, nem por qualquer forma os tornando acessíveis ao conhecimento de terceiros;
c) Memorizando-os e abstendo-se de OS registar quer directamente quer por qualquer forma ou meio que sejam inteligíveis por terceiros;
d) Proceder regularmente à alteração dos seus códigos de acesso na opção disponível no CA Online - Para Mim "Gestão do Serviço •Segurança"
6.3. O Cliente obriga-se a comunicar imediatamente ao Crédito Agrícola quaisquer ocorrências anómalas, nomeadamente:
a) O lançamento de movimentos em conta não ordenados;
b) O lançamento incorrecto de qualquer operação, seja ela a débito ou a crédito.
6.4. O Cliente deve verificar com regularidade os movimentos efectuados nas suas contas de modo a aperceber-se o mais cedo possível das ocorrências a que se referem os ponto anteriores.
6.5. O Cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do SISTEMA MULTICANAL por parte de terceiros, com excepção dos motivados por perda, roubo ou extravio dos códigos de acesso, os quais, quando ocorram, devem ser de imediato comunicados ao serviço de atendimento Clientes do Crédito Agrícola (…);
6.6. Deve, igualmente, confirmar o ocorrido, e referido no ponto anterior, através de carta endereçada ao Balcão do Crédito Agrícola d Cliente, num prazo não superior a 48 horas contar da data da ocorrência, bem com apresentar cópia da participação junto das autoridades policiais.
6.7. O Crédito Agrícola apenas será responsável pelos prejuízos ocorridos após recepção da comunicação da referida ocorrência e se se provar que o Crédito Agrícola não actuou de forma diligente.
20. Para efeito de adesão ao serviço, a 1ª e o 2º AA. facultaram às 2ª e 3ª R. os seus dados pessoais, incluindo os seus e-mails e contactos telefónicos.
21. Por seu turno, as RR. atribuíram aos AA. o número de adesão 56437610 e uma chave multicanal.
22. A 1ª A. alterou a chave multicanal aquando da ativação do serviço.
23. Desde então, a Autora AA é utilizadora frequente deste serviço.
24. Em 06 de janeiro de 2021, AA e BB deslocaram-se ao balcão da Glória do Ribatejo e, em nome e representação da filha menor de idade, CC (adiante abreviadamente referenciada por «3ªA»), declararam aderir aos termos e condições gerais, previamente elaboradas pela R., dos serviços de abertura de conta bancária e de depósito prestados pela Ré Caixa de Crédito Agrícola Salvaterra de Magos, C.R.L e, nos termos dos quais:
“40.2 O Cliente obriga-se a guardar sob segredo os seus elementos de identificação e códigos de acesso, bem como a sua utilização estritamente pessoal designadamente: a) Não permitindo a sua utilização por terceiros, ainda que seu procurador ou mandatário; b) Não os revelando, nem por qualquer forma os tornando acessíveis ao conhecimento de terceiros; c) Memorizando-os e abstendo-se de os registar quer directamente quer por qualquer forma ou meio que sejam inteligíveis por terceiros”.
25. À 3ª A. foi atribuída a conta nº ....
26. Na mesma data, a 1º A. e o 2. A., declararam, em nome e representação da 3ªA., aderir às condições gerais do serviço «CA Online Para mim».
27. Para efeito de adesão ao serviço, o 1ª e 2ª A facultaram às 2ª e 3ª R. os seus dados pessoais, incluindo os seus e-mails e contactos telefónicos.
28. A 1ª A. alterou a chave multicanal atribuída aquando da ativação do serviço.
29. No dia 25 de fevereiro de 2022, às 19:43:47, o Crédito Agrícola enviou para o número de telemóvel da 1ª A. um SMS com o seguinte teor «ALERTA CA // Esteja atento a possíveis tentativas de fraude ou burla. Não aceda a links e nunca forneca codigos de acesso aos canais se for contactado por telefone».
30. No dia 15 de agosto de 2022, pelas 13h57m, a 1ª A. recebeu uma mensagem telefónica escrita, enviada pela Caixa Agrícola, com o seguinte teor:
Autenticacao Forte - Login
NUNCA partilhe este dado com terceiros
Cod. Aut.: 749001 •
31. Pelas 13h57m, do mesmo dia, a 1ª A. foi contactada, por chamada telefónica, através do número de telemóvel ..., por uma senhora, que se identificou como sendo funcionária do departamento de segurança da Caixa de Crédito Agrícola e questionou se estava a efetuar uma transferência no valor de €1.999,56 (mil novecentos e noventa e nove euros e cinquenta e seis cêntimos).
32. A 1ª A. negou e informou que não utilizava o serviço “CA Online” desde o dia 12 de agosto de 2022.
33. A referida senhora informou a 1ªA. que alguém estaria a realizar transferência bancária suspeita no valor de €1.999,56 (mil novecentos e noventa e nove euros e cinquenta e seis cêntimos) através de conta bancária titulada pela 1ª A
34. A 1ª A. questionou como é que terceiros poderiam ter acesso à sua conta, uma vez que, nunca forneceu a ninguém os seus dados de acesso à sua conta, ao que foi questionada se tinha efetuado pagamentos em entidades recetoras, como a Booking.
35. A 1ª A. confirmou.
36. A interlocutora de identidade desconhecida comunicou que a 1ª A. teria de cancelar a transferência, devendo aceder à sua área pessoal do serviço “CA Online”.
37. A 1ª A. questionou qual o número de adesão que fora clonado, sendo-lhe transmitido que fora o número de adesão 56437610, que corresponde ao número de adesão da 1ªA
38. A mencionada senhora transmitiu, ainda, à 1ª A. a número da chave multicanal associada aquele número de adesão e enumerou vários movimentos bancários recentes realizados com a conta da Autora.
39. A 1ª A. confiou na origem e fiabilidade da chamada telefónica e correspondente informação que lhe era dada, após o que aceitou seguir os passos que lhe eram indicados convicta que estaria a “cancelar” a transferência que, alegadamente, terceiros estavam a tentar efetuar através da sua conta.
40. A 1ª A. foi informada pela senhora com quem mantinha a conversa telefónica que, por virtude da tentativa de cancelamento da transferência o acesso à conta pela via normal se encontrava bloqueado por precaução, e que a 1ª A. teria de aceder à sua área reservada do serviço de homebanking através de link que seria enviado para o seu e-mail, método pelo qual, segundo a senhora que se identificou como colaborada da Caixa de Crédito Agrícola, poderia cancelar a transferência.
41. Durante tal telefonema a senhora colaboradora da Caixa Agrícola, informou a 1ª A que seriam necessários quatro passos para concluir a operação de cancelar a transação:
1º- Clicar onde diz “cancelar transação” no e-mail enviado à 1ª A, que continha link que redirecionava para a página da Caixa Agrícola;
2º- Inserir o “Código” que lhe seria enviado por “SMS”;
3º- Alterar a “palavra passe”;
4º- Inserir Código que lhe seria enviado para cancelar operação;
42. Em momento algum, no decorrer da chamada, a 1ª A. indicou o seu endereço de e-mail.
43. Pelas 14h02m, a 1ª A. recebeu um correio eletrónico, remetido através do endereço de «agricola.gestor.credito@gmail.com» por remetente designado «Gestor de Crédito», com o seguinte teor:
«CANCELAMENTO DE TRANSAÇÕES
Exmo(a) Sr(a) AA
Bem vindo, aqui você poderá se identificar e fazer o controle total de suas transações.
Faça o cancelamento da suposta transação de forma simples e segura.
Caso não conclua o processo online, seu N° de adesão, PIN e cartões de débito/crédito serão desactivados.
Cancelar Transação
Agradecemos desde já a sua colaboração.
Cumprimentos,
Caixa Central de Crédito Agrícola Mútuo»
44. No correio eletrónico descrito no ponto anterior constava o logótipo do Crédito Agrícola.
45. A 1ª A. carregou na opção “cancelar transação”, que continha um link, tendo sido direcionada para uma página da internet idêntica à do sistema da Caixa Central de Crédito Agrícola, ficando convencida que estaria nessa aludida página.
46. Pelas 14h18m, a 1ª A. recebeu uma «SMS», enviada pela Caixa de Crédito Agrícola, com o seguinte teor:
Transf. Contas CA
Conta Debitar: ...
IBAN Creditar:
...
Montante: 1999.56 EUR
Cod. Aut.: 659158
47. A 1º A. foi informada pela senhora que se apresentou como sendo colaboradora da Crédito Agrícola, que teria de introduzir tal código para proceder ao cancelamento da operação e que deveria fazê-lo rapidamente para impedir a saída dos valores da sua conta.
48. A 1ªA introduziu o código recebido na página de internet para a qual for direcionada através do link recebido no seu correio eletrónico.
49. Após, foi-lhe solicitado que, no referido site, alterasse a sua Password de acesso ao serviço “CA Online”, com o fundamento de que quem estaria a tentar efetuar a transação teria a sua Password.
50. A 1ªA selecionou a opção de alteração da Password, introduziu a sua Password e digitou uma nova Password.
51. De seguida, a 1ª A. recebeu outra SMS, enviada pela Caixa de Crédito Agrícola, com o seguinte teor:
Transf. Contas CA
Conta Debitar: ...
IBAN Creditar:
...
Montante 1698.51 EUR
Cod. Aut.: 766379
52. A senhora que se apresentou como sendo colaboradora da Crédito Agrícola informou a 1ª A. que teria de introduzir tal código para que a transferência fosse efetivamente cancelada.
53. Após ter concluído estes quatro passos e colocar o código, a senhora informou a 1ªA. que estava tudo resolvido e desligou a chamada.
54. A 1ª A. acedeu ao serviço “CA Online” e constatou que havia sido transferido um montante de €1.698,51 (mil seiscentos e noventa e oito euros e cinquenta e um cêntimos) para HH, ....
55. A 1ª A. ligou para o número de telemóvel pelo qual havia sido contactada, e constatou que o referido número já se encontrava desligado.
56. Tentando, em seguida, aceder novamente ao link contido no ícone que lhe havia sido enviado por e-mail, mas o mesmo redirecionava agora para uma página do Google.
57. Enquanto a 1ª A. executava os passos descritos em 41. a 53., e sem o conhecimento desta, terceiros não identificados acederam à conta CA Online da 1ª A. e aí foram introduzindo os códigos que a 1ª A. digitou na página de internet para a qual foi reencaminhada a partir do link descrito em 43., e a cujo conteúdo tinham acesso.
58. A 1ª A. ligou para a linha direta da Caixa Agrícola e informou o que havia sucedido.
59. A 1ª A. pediu que cancelassem a transferência efetuada, informando que havia sido burlada.
60. O recetor da chamada da linha direta da Caixa Agrícola informou que iria tentar resolver a situação.
61. Depois de alguns minutos de espera, o colaborador da Caixa Agrícola transmitiu que não seria possível fazer nada, por estarem em causa transferências imediatas entre duas contas da Caixa Agrícola, que não são revertíveis, aconselhando a 1ª A. a expor a situação para o endereço de e-mail “linhadireta@creditoagricola.pt”.
62. A 1ª A. dirigiu-se à GNR de Marinhais e apresentou queixa crime, dando origem ao processo-crime nº 289/22.4... que corre termos no DIAP do Cartaxo.
63. A 1ª A. efetuou mais quatro chamadas telefónicas para a linha direta da Caixa Agrícola e foi informada que haviam também sido transferidos €1.999,56 (mil novecentos e cinquenta e seis cêntimos), da conta nº ..., de que é titular a 3ªA.
64. No dia 15 de agosto de 2022, a 1ª A remeteu um correio eletrónico, com o seguinte teor, para o endereço eletrónico “linhadireta@creditoagricola.pt”:
Exmos. Srs.
Caixa de Crédito Agrícola
Venho por este meio apresentar queixa contra uma burla sofrida hoje. Já contactei a linha direta, onde expus toda a situação.
Hoje, às 13:57 recebi uma mensagem intitulada "autenticação forte" com um código supostamente da caixa agrícola. Logo de seguida, recebi uma chamada do número ... em que se intitularam como Caixa de Segurança da Crédito Agrícola. Disseram-me que estavam a tentar realizar uma transferência em meu nome e que tinha de cancelar de imediato a transferência. De seguida, recebi um email, conforme print abaixo, em que devia seguir as instruções, de modo a cancelar a transferência. Nessa sequência, recebi um sms supostamente da caixa agrícola, com um código para inserir. Continuando os passos, seguidamente, pediram-me para alterar a minha password. Nesse campo, coloquei a password atual e depois criei uma nova. Depois voltei a receber outro código sms da Caixa Agrícola. A partir desse momento, disseram-me que estava tudo resolvido. Quando terminei a chamada, fui à minha conta e percebi que tinham transferido um montante elevado de dinheiro (cerca de 1658€ não me recordo do valor, pois fiquei demasiado nervosa) para HH.
Peço o cancelamento imediato desta transação, uma vez que na linha direta não o conseguiram fazer.
65. No dia 16 de agosto de 2022, a 1ª A. reportou a situação no balcão da 2ª R. de Pernes e Alcanhões, tendo sido informada, pelo gerente, que nada poderia ser feito porque as transferências foram autorizadas com base em dados facultados pela 1ª A. a terceiros.
66. A 1ª A. questionou se não poderia ser acionado o seguro de responsabilidade e foi informada que o seguro só pode ser acionado quando o banco (R.) tem qualquer tipo de responsabilidade, o que não aconteceria na situação em causa.
67. A única solução apresentada pelo gerente do balcão da R. de Pernes e Alcanhões foi a de lhe conceder empréstimo bancário com duração de sete anos por forma a ficar com liquidez imediata na conta.
68. A 1ª A. recusou a “solução” apresentada pelo gerente de balcão da R. de Pernes e Alcanhões.
69. No dia 16 de agosto de 2022, a 1ª A. enviou e remeteu um correio eletrónico para o endereço eletrónico geral@ca-seguros.pt, com conhecimento de todas as RR., manifestando o seu desagrado com a recusa de responsabilização.
70. Em 16 de agosto de 2022, a 1ª A. expôs a situação ao Banco de Portugal.
71. No dia 17 de agosto de 2022, a 2ª R. remeteu um e-mail à 1ª A., comunicando a recusa de responsabilidade de qualquer das RR., por entender que as transações financeiras resultaram da violação, pela 1ªA., dos deveres de cuidado que impendem sobre os clientes na utilização dos serviços de internet ao ter colocado «numa página falsa da internet, totalmente alheia ao Crédito Agrícola, os seus dados de acesso Online (Número de Adesão, Chave Multicanal, e número de telemóvel)».
72. No dia 19 de agosto de 2022, a 1ª A. comunicou o ocorrido à R. Caixa de Salvaterra de Magos, a qual informou que iria analisar o sucedido.
73. No dia 06 de setembro de 2022, a 1º A. enviou nova comunicação ao Banco de Portugal.
74. O número de telefone e endereço de correio eletrónico da 1 ªA, o número de adesão ao serviço CA-Online e respetiva chave multicanal foram obtidos em data e por forma não concretamente apurada, por terceiros desconhecidos que tiveram acesso à área reservada do CA Online da A.., em momento prévio ao contacto telefónico descrito nos pontos anteriores.
75. A 1ª A. nunca tinha vivido situação similar e não tinha conhecimento de como as RR. procediam em caso de transação suspeita, pelo que, perante toda a informação que lhe foi dada na referida chamada telefónica, pensou estar efetivamente em contacto com colaborador das RR.
76. A 1ª A. não dispõe de literacia financeira e informática.
77. Grande parte da população portuguesa não detém literacia financeira digital que a capacite a identificar e reagir a tentativas de fraude como a descrita nos autos.
78. Quando as RR. contratam com os clientes o serviço «CA Online» não exigem que os mesmos detenham literacia digital informática.
79. Ao receber o email descrito em 49. a 1ª A. podia e devia ter lido o endereço de e-mail do remetente e constatado que não correspondia ao endereço de e-mail indicado no contrato para efeitos de comunicação com a 3ª R.
80. Ao receber as mensagens com as OTP, a 1ª A. podia e devia ter lido o conteúdo das mesmas.
81. Vários clientes da Caixa de Crédito Agrícola vítimas destas fraudes informáticas.
82. Em virtude do sucedido, a 1ª e 2ª AA. ficaram bastante transtornados e afetados.
83. Em ... foi diagnosticado um carcinoma papilar da tiroideia à 1ª A.
84. Esta situação veio agravar toda a angústia, ansiedade, sofrimento que vivenciavam naquele momento das suas vidas.
85. Os valores objeto da 1ª transferência eram provenientes de pagamentos do Instituto da Segurança Social relativos à baixa médica da 1ª A., em consequência da doença oncológica de que foi vítima e que a impossibilitou de exercer a sua atividade profissional.
86. Durante esse período, todo o agregado familiar dos AA. passou a depender exclusivamente do ordenado do 2ª A., no valor de € 850,00 (oitocentos e cinquenta euros).
87. O sucedido causou à 1ª A. grande angústia por depender de ajuda do seu marido para todas as despesas.
88. As RR. não sofreram qualquer ataque informático que tenha exposto os dados dos seus clientes.
89. O serviço CA Online não sofreu avaria técnica ou deficiência».
3.2. A sentença recorrida considerou não provados os seguintes factos:
«a. A 1ª A. forneceu os seus dados de acesso ao serviço CA online (nr. de adesão e chave
multicanal) a terceiros.
b. A 1ª A. forneceu o seu número de telefone e endereço de email a terceiros.
c. As RR. são a única instituição bancária que exige, no acesso online à conta, a introdução da totalidade da chave multicanal.
d. Como consequência necessária e direta da conduta das RR:
- A 1ª A. sentiu-se bastante deprimida, angustiada e revoltada com todo o sucedido;
- A 1ª A, não pode passear com a filha, viajar, apreciar gastronomia, fazer com esta várias atividades, por ter ficado sem possibilidades económicas;
- Os AA. ficaram muitas noites sem dormir.
- A 1ª A. reforçou a toma de calmantes para atenuar todos esses sentimentos e conseguir descansar.
e. A Ré CCCAM tentou contactar o destinatário das transferências bancárias reportadas pela Autora AA, de forma que este justificasse a origem e finalidade das mesmas, bem como no sentido de justificar a utilização da conta em questão.
f. O cliente não atendeu nenhum dos contactos tentados, nem tampouco respondeu ao email enviado, não tendo sido possível, deste modo, obter qualquer resposta.
g. A 9 de fevereiro de 2022, a 25 de fevereiro de 2022 e no decurso de ..., foram lançados pop-ups de alerta na página de acesso / login ao sistema CA Online que advertiam, cada acesso ao CA Online, após a introdução da chave multicanal, para novas tentativas de phishing, destacando os dados que não são pedidos pelo CA Online, e frisando os elementos que os autores deste tipo de práticas solicitavam, reiterando os cuidados que os utilizados do CA Online devem ter, conforme documento que ora se junta e aqui se dá por integralmente reproduzido para todos os legais e devidos efeitos.
h. No dia 31 de março de 2022, o sistema CA Online remeteu aos seus utilizadores um email no qual aludia que «A segurança na utilização dos serviços internet é um factor determinante na prevenção da ocorrência de burlas / fraudes nos serviços à distância, em particular nos serviços de homebanking "CA Online”. Neste sentido, tem sido preocupação constante do Crédito Agrícola, a disponibilização de procedimentos alternativos que dificultem a obtenção dos dados pessoais dos Clientes, bem como a realização frequente de comunicações de "Alerta" para novos ataques de phishing que vão aparecendo, através da actualização de conteúdos no Site CA, no CA Online e por SMS.
Assim, dado o crescimento das técnicas maliciosas que os bancos têm vindo a registar, as quais visam a obtenção indevida de credenciais de acesso aos serviços à distância e dados de contacto do Cliente, vimos informar que a opção de "Gestão de Limites Diários de Segurança", deixou de estar disponível no CA Online, passando a ser realizada, sempre que necessário, através do serviço Linha Directa ou da sua Agência do Crédito Agrícola.
Aproveitamos para solicitar que consulte as recomendações de segurança "CA Segurança Online", no site do Crédito Agricola em www.creditoagricola.pt/para-mim/ca-seguranca-online.
Esteja atento a comunicações e contactos recebidos, a sua segurança depende de si!».
i. Entre janeiro de 2021 e agosto de 2022, o Crédito Agrícola foi também remetendo por SMS alertas dando conta das tentativas de phishing que estavam a ser perpetradas e a alertar os clientes para não acederem a links, nem a fornecerem códigos de acesso aos canais, caso fossem contactados por telefone.
j. O Crédito Agrícola remeteu uma mensagem aos seus clientes com o seguinte teor:
“Nos últimos tempos, temos vindo a registar um elevado número de ataques de “Phishing”, quer por mensagens de e-mail com link em nome do CA, a alertar para “Transferências e / ou Pagamentos” que sugerem o seu cancelamento, quer por envio de SMS com o mesmo teor.
Estas mensagens têm por objetivo comprometer a segurança e a privacidade dos nosso Clientes, através da captura de dados de acesso aos serviços e respectivo número de telefone do Cliente. Na posse destes dados, o “pirata informático” realiza contactos telefónicos, fazendo-se passar por um suposto colaborador do Crédito Agrícola e com a mensagem de estar a ajudar para “cancelar determinada transacção – transferência ou pagamento”, solicita ao Cliente os dados de validação das mesmas, e concretiza a burla.”
k. Em data anterior a 15.08.2022, o Banco de Portugal lançou uma campanha, designada “#ficaadica: Fraude financeira digital: também caía nesta?”, para alertar para este problema, colocando na sua página de internet um alerta com o seguinte teor:
“Recebe um e-mail ou uma mensagem do seu banco ou outro prestador de serviços de pagamento ou de uma entidade com a qual contratou um serviço. Dizem que a sua conta pode estar comprometida ou bloqueada e pedem que faça login para recuperar o acesso. Clica no link e insere as suas credenciais ou transmite-as por telefone, sem pensar duas vezes?
É provável que esteja perante uma forma comum de phishing, isto é, um ataque destinado a captar os seus dados pessoais. E há outras técnicas fraudulentas, aparentemente inofensivas e igualmente eficazes, que são usadas por pessoas que, em qualquer parte do mundo, se podem apropriar dos seus dados. Muitas vezes os piratas informáticos utilizam informação que obtêm nas redes sociais e utilizam a manipulação psicológica para ganhar a confiança da vítima e, assim, obter informações confidenciais”».
IV – FUNDAMENTAÇÃO DE DIREITO
4.1. Comecemos pela impugnação da matéria de facto.
A este respeito, importa não esquecer que o regime processual vigente restringe a possibilidade de revisão da matéria de facto a questões de facto controvertidas, relativamente às quais sejam manifestadas e concretizadas divergências por parte do recorrente, admitindo-se, apenas, a reapreciação de concretos meios probatórios relativos a determinados pontos de facto impugnados.
Rejeitaram-se, desta forma, quer soluções maximalistas que determinam a repetição de julgamentos ou a reapreciação de todos os meios de prova anteriormente produzidos, quer a possibilidade de recursos genéricos contra a decisão de facto (cfr. Abrantes Geraldes, Recursos em Processo Civil, Almedina, Coimbra, 7.ª ed., 2022, p. 194 e segs.).
Assim, versando o recurso sobre a decisão relativa à matéria de facto, o art. 640.º do CPC estabelece que o recorrente deve, obrigatoriamente, indicar os concretos pontos de facto que considera incorrectamente julgados (com enunciação na motivação do recurso e síntese nas conclusões) e, fundando-se a impugnação em meios de prova constantes do processo ou que nele tenham sido registados, especificar, na motivação, aqueles que, em seu entender, determinam uma decisão diversa quanto a cada um dos factos, devendo, ainda, consignar, na motivação do recurso, a decisão que, no seu entender, deve ser proferida sobre as questões de facto impugnadas, tendo em conta a apreciação crítica dos meios de prova produzidos (cfr. Abrantes Geraldes, Ob. Cit., p. 197 e 198).
No caso que nos ocupa, as recorrentes, cumprindo os referidos ónus, defendem que:
a) O facto provado sob o n.º 21 deve passar a ter a seguinte redacção:
«21. À 1.ª A foi atribuído o número de adesão 56437610 e uma chave multicanal. Este número de adesão foi atribuído apenas à 1.ª Autora».
Argumentam que o facto em causa não foi alegado pelas partes nos termos redigidos pelo tribunal a quo, pelo que o mesmo não pode considerar-se assente por acordo, sendo que dos documentos n.ºs 2 e 7 juntos com a petição inicial e n.º 2 junto com a contestação, bem como do depoimento da testemunha XX, resulta que o número de adesão 56437610 foi atribuído apenas à 1.ª A. e não aos demais AA.
É a seguinte a redacção do n.º 21 dos factos provados:
«21. Por seu turno, as RR. atribuíram aos AA. o número de adesão 56437610 e uma chave multicanal».
O tribunal a quo entendeu que tal facto resulta provado por acordo nos termos do disposto no artigo 574.º, n.º 2, do CPC, e que “encontra arrimo” na prova documental junta aos autos (documentos n.ºs 1 a 3, 5, 7 da petição inicial e documentos n.ºs 1 e 3 da contestação).
Ora, na petição inicial os AA. alegaram, genericamente, que a 1.ª A. e o 2.º A., primeiro, e a 3.ª A., depois, aderiram ao referido serviço CA Online e que, para acesso a esse serviço, as RR. atribuíram-lhes um elemento de identificação secreto (n.º adesão) e uma chave multicanal.
Decorre dos factos provados que a adesão dos 1.ª e 2.º AA. ocorreu em 13.05.2013 (n.º 19 dos factos provados) e que a adesão da 3.ª A. verificou-se em 06.01.2021 (n.º 26 dos factos provados).
A matéria contida no n.º 21 dos factos provados respeita, portanto, à adesão dos 1.ª e 2.º AA. ocorrida em 13.05.2013 (o que se percebe, desde logo, pela sequência dos factos n.ºs 20 e 21 e a utilização da expressão, no n.º 21, “por seu turno”).
Sucede que, na petição inicial, os AA. juntaram um documento emitido pela 2.ª R. (CCAM de Pernes e Alcanhões) em 07.11.2022, do qual consta a declaração de que «…a adesão n.º 56437610, pertencente a AA, foi solicitada através de contacto para o serviço Linha Directa em 17/04/2013 e ativada através de contacto para a mesma Linha em 02/05/2013».
Tal documento, repete-se, foi junto pelos AA., para prova do alegado no art. 12.º da petição inicial, pelo que resulta inequívoco que os mesmos pretenderam prevalecer-se do respectivo teor, não pondo em causa a sua veracidade ou genuinidade.
Acresce que dos autos não consta qualquer outro elemento de prova que, contrariando a declaração contida no documento referido, evidencie que o número de adesão 56437610 tenha sido atribuído, também, aos demais AA.
Assim sendo, procede o recurso nesta parte, passando o n.º 21 dos factos provados a ter a seguinte redacção:
«21. Por seu turno, à 1.ª A. foi atribuído o número de adesão 56437610 e uma chave multicanal».
b) O facto provado sob o n.º 74 deve passar a ter a seguinte redacção:
«74. O número de telefone e endereço de correio eletrónico da 1 ªA, o número de adesão ao serviço CA-Online e respetiva chave multicanal foram obtidos junto da 1.ª Autora em data e por forma não concretamente apuradas, por terceiros desconhecidos, em momento prévio ao contacto telefónico descrito nos pontos anteriores.».
E, em consequência, o facto não provado sob a al. a), deve passar para facto provado, sob o n.º 74-A, com a seguinte redacção:
«74-A. A 1ª A. forneceu voluntaria ou involuntariamente os seus dados de acesso ao serviço CA online (nr. de adesão e chave multicanal) a terceiros».
Consideram as recorrentes que, atendendo à forma de funcionamento do CA Online, ao facto de não ter ocorrido qualquer falha ou avaria técnica no CA Online, ao modus operandi de phishing em utilização à data dos factos relatados pelas testemunhas EE e XX e à situação de fraude relatada pela testemunha FF, terá que concluir-se que, aquando dos movimentos efectuados pela 1.ª A., terceiros desconhecidos já estavam munidos do seu número de adesão e da sua chave multicanal, recolhidos necessariamente (ainda que inconscientemente) junto da 1.ª A., por forma que se desconhece.
São as seguintes as redacções do n.º 74 dos factos provados e da al. a) dos factos não provados:
«74. O número de telefone e endereço de correio eletrónico da 1 ªA., o número de adesão ao serviço CA-Online e respetiva chave multicanal foram obtidos em data e por forma não concretamente apurada, por terceiros desconhecidos que tiveram acesso à área reservada do CA Online da A., em momento prévio ao contacto telefónico descrito nos pontos anteriores».
«a. A 1ª A. forneceu os seus dados de acesso ao serviço CA online (nr. de adesão e chave multicanal) a terceiros».
O tribunal a quo não justificou, isoladamente, a sua decisão quanto ao referido n.º 74, motivando-a juntamente com outros factos (n.ºs 30 a 63, 66 a 68, 74 a 76, 79 e 81 a 87), o que não permite perceber, com rigor e exatidão, quais os meios de prova em que assentou a convicção de que o número de telefone e endereço de correio eletrónico da 1.ª A., bem como o número de adesão ao serviço CA-Online e a respectiva chave multicanal foram obtidos por terceiros desconhecidos através de acesso à área reservada do CA Online da A. e em momento prévio ao contacto telefónico ocorrido no dia 15.08.2022.
No que concerne aos factos vertidos na al. a), o tribunal a quo limitou-se a consignar, genericamente, que não foi «produzido qualquer meio de prova que os sustente».
Vejamos.
O tribunal a quo alude às declarações de parte da 1.ª A., mas esta, tal como bem se salienta na sentença recorrida, limitou-se a descrever «…a dinâmica dos eventos no dia 15.08.2022 e seguintes, descrevendo a ocorrência e teor do contacto telefónico que recebeu, das mensagens e do email recebidos, da informação que lhe foi transmitida pela senhora (nomeadamente, nr de adesão, chave multicanal, histórico de movimentos), o que a levou a confiar na mesma (informação pessoal que lhe foi transmitida…», negando, para além do mais, ter facultado o seu número de telefone, o seu endereço de correio eletrónico, o número de adesão ao serviço CA-Online e a chave multicanal.
Dos documentos referidos pelo tribunal a quo (nomeadamente, do CD referente à gravação da primeira chamada telefónica estabelecida pela 1.ª A. e a linha directa da 3ª R., no dia 15.08.2022; dos documento n.ºs 8 e 12 da petição inicial, referentes a fotografias das mensagens recebidas pela 1.ª A., no dia 15.08.2022; do documento n.º 9 da petição inicial, referente a uma fotografia do histórico de chamadas recebidas pela 1.ª A, no dia 15.08.2022; do documento n.º 11 da petição inicial, referente a uma fotocópia do e-mail recebido pela 1.ª A.; do documento n.º 27 da petição inicial, relativo a uma notícia do semanário regional O Mirante, que relata a existência de oito vítimas de burla, com recurso à aplicação CA online) também nada se retira no sentido de que terá ocorrido um acesso de terceiros à área reservada do CA Online da 1.ª A. e que foi, desta forma, que foram recolhidos os dados de acesso a ela respeitantes.
Dos depoimentos das testemunhas II, GG, JJ, KK e FF, todos clientes da 3.ª R. e que, no mesmo período de tempo, terão sido vítimas de actuação idêntica, também nada se extrai, de forma segura e inequívoca, relativamente ao acesso de terceiros à área reservada do CA Online da 1.ª A., já que, como refere o tribunal a quo «… prestaram depoimentos sobre as suas experiências, descrevendo cenários idênticos ao relatado pela A.», o que, quanto muito, permite concluir que, no verão de 2022, ocorreram vários casos de phishing, com um modus operandi similar.
Não se vislumbra, pois, qualquer elemento de prova que indicie que terceiros tiveram acesso à área reservada do CA Online da A. e que tenha sido dessa forma que obtiveram o número de telefone e o endereço de correio eletrónico da 1.ª A, o número de adesão ao serviço CA-Online e a respectiva chave multicanal.
Acresce que decorre da factualidade provada (cfr. n.ºs 11 e 12) que, para aceder à área reservada do CA Online, era necessária (para além do número de adesão e da chave multicanal) uma password de utilização única (OTP) enviada por SMS para o número de telemóvel da 1.ª A., pelo que não se compreende como terceiros, sem essa OTP de acesso (recebida, necessariamente, no telemóvel da 1.ª A.), pudessem ter tido acedido à referida área reservada.
Ademais, e tal como bem salientam as recorrentes, o número de adesão e a chave multicanal são credenciais de acesso ao CA Online e, portanto, pressupostos de acesso ao mesmo, pelo que não podem ser recolhidas por acesso ao próprio CA online, antes tendo de ser conhecidas previamente.
Aliás, a chave multicanal nem sequer é conhecida das RR. (cfr. n.º 10 dos factos provados), o que demonstra, por si só, que seria impossível obtê-la por acesso ao CA Online (cfr., a este respeito, o depoimento a testemunha DD, na passagem citada nas alegações de recurso, sob o art. 37.º)
De resto, provou-se que as RR. não sofreram qualquer ataque informático que tenha exposto os dados dos seus clientes e que o serviço CA Online não sofreu avaria técnica ou deficiência (cfr. n.ºs 88 e 89 dos factos provados), ficando, assim, por perceber em que elementos fundou o tribunal a quo a convicção de que ocorreu um acesso de terceiros à área reservada do CA Online da 1.ª A. e que foi através desse acesso que os mesmos obtiveram os dados da 1.ª A.
Os recorridos, nas contra-alegações, invocam a factualidade vertida nos n.ºs 34, 37, 38 e 42 dos factos provados como demonstrativa de que os dados da 1.ª A. só podem ter sido obtidos pelos terceiros através de acesso ao CA Online, mas são os próprios recorridos que referem que dessa factualidade, apenas, resulta que os «burlões sabiam de antemão, aquando da chamada, os últimos movimentos de conta, o n.º de adesão, a chave multicanal e o e-mail…», conhecimento que podem ter adquirido por outras formas (nomeadamente, como avançaram as testemunhas DD, LL e MM, através de acesso, por parte do próprio cliente, a páginas falsas das RR., onde, sem se aperceber dessa falsidade, introduziu os seus dados relevantes) e não, necessariamente, por acesso do próprio terceiro ao CA Online.
Sucede que não existem, também, elementos probatórios que evidenciem, como pretendem as recorrentes, que os dados da 1.ª A. tenham sido obtidos por terceiros junto da mesma ou de que esta, inadvertidamente, lhes possa ter fornecido uma OTP de acesso para o efeito (o que, de resto, a 1.ª A negou), não constando dos autos quaisquer dados manifestos, objectivos e seguros que permitam concluir, inequivocamente, nesse sentido, ainda que por “exclusão de partes” ou por presunção judicial (os depoimentos testemunhais referidos pelas recorrentes relativos ao modus operandi de phishing em utilização à data dos factos não chegam, quanto cremos, para sustentar, só por si, o entendimento de que os dados de acesso foram recolhidos, necessariamente, junto da 1.ª A.).
Assim sendo, improcede o recurso quanto à al. a) dos factos não provados, procedendo, parcialmente, quanto ao n.º 74 dos factos provados, que passará a ter a seguinte redacção:
«74. O número de telefone e endereço de correio eletrónico da 1.ª A, o número de adesão ao serviço CA-Online e respectiva chave multicanal foram obtidos, em data e por forma não concretamente apuradas, por terceiros desconhecidos, em momento prévio ao contacto telefónico descrito nos pontos anteriores.».
Em consequência, adita-se aos factos não provados uma al. l), com a seguinte redacção:
«l. Os terceiros desconhecidos referidos no n.º 74 tiveram acesso à área reservada do CA Online da A., em momento prévio ao contacto telefónico descrito nos pontos anteriores».
c) O facto provado sob o n.º 76 deve ser eliminado, por não ser objectivo e não ter suporte em qualquer elemento de prova.
É a seguinte a redacção do n.º 76:
«76. A 1ª A. não dispõe de literacia financeira e informática»
O tribunal a quo fundamentou a sua decisão da seguinte forma: «o facto descrito em 76) foi extraído das declarações da 1ª A., uma vez que a parte denotou dificuldade em denominar os vários códigos pessoais necessários ao uso do serviço da CA Online (designadamente, a password) e revelou incompreensão do fenómeno de que foi vítima, referindo constantemente que os seus dados foram «clonados» num ataque informático ao Banco».
Consideramos que a afirmação contida no n.º 76 é conclusiva, não permitindo apreender a realidade que se pretende compreender dentro do conceito de “literacia financeira e informática”, o qual encerra um juízo de valor que pressupõe a demonstração dos factos concretos e objectivos em que assenta.
Alberto dos Reis, in Código de Processo Civil Anotado, III, 1985 , p. 206 e 207, ensinava que «é questão de facto tudo o que tende a apurar quaisquer ocorrências da vida real, quaisquer eventos materiais e concretos, quaisquer mudanças operadas no mundo exterior», sendo «questão de direito tudo o que respeita à interpretação e aplicação da lei».
Assim, na matéria de facto, à qual se irá, em momento posterior, aplicar o direito, não pode conter-se «qualquer valoração segundo a interpretação ou aplicação da lei, ou qualquer juízo, indução ou conclusão jurídica» (cfr. Miguel Teixeira de Sousa, Estudos sobre o Novo Código de Processo Civil, Lex, 1997, p. 312).
Como refere Helena Cabrita, in A Fundamentação de Facto e de Direito da Decisão Cível, Coimbra Editora, Coimbra, 2015, p. 106-107, «os factos conclusivos são aqueles que encerram um juízo ou conclusão, contendo desde logo em si mesmos a decisão da própria causa ou, visto de outro modo, se tais factos fossem considerados provados ou não provados toda a ação seria resolvida (em termos de procedência ou improcedência) com base nessa única resposta».
Não desconhecemos que a mais recente jurisprudência dos tribunais superiores tem vindo a admitir a inclusão na decisão de facto de factos com alguma componente conclusiva, desde que tenham, ainda, um substracto relevante para o acervo dos factos que importam para uma decisão justa (cfr., neste sentido, por exemplo, o acórdão do STJ de 14.07.2021, in www.dgsi.pt), por se considerar ser praticamente impossível formular questões rigorosamente simples, que não tragam em si implicados juízos conclusivos sobre outros elementos de facto.
Contudo, mesmo essa jurisprudência exige que se esteja perante realidades apreensíveis e compreensíveis pelos sentidos e pelo intelecto dos homens, estando vedado ao julgador da matéria de facto a formulação de juízos sobre questões de direito.
Ora, a afirmação que consta do n.º 76 dos factos provados é conclusiva, na medida em que pressupõe a prova de realidades ou de circunstâncias da vida desconhecidas e indemonstradas, subjacentes às valorações que tece.
Embora seja certo que o actual Código de Processo Civil não contém norma, absolutamente, equivalente à do art. 646.º, n.º 4, do anterior Código, a verdade é que o art. 607.º, n.º 4 do CPC, consagra o mesmo princípio ao prever que da fundamentação da sentença devem constar os factos julgados provados e não provados. A expressa menção aos “factos” reconduz-se ao velho princípio de que a fundamentação de facto deve ser expurgada de toda e qualquer matéria susceptível de ser qualificada como de direito, conceito que abarca, de igual modo, os juízos conclusivos (cfr. acórdãos da RG de 18.1.2024, da RP de 13.07.2022, da RG de 30.06.2022, da RE de 28.6.2018, disponíveis em www.dgsi.pt).
A decisão de facto só pode, pois, conter factos simples, assertivamente afirmados e demonstrados, que permitam a percepção da realidade concreta, dela não podendo fazer parte conceitos de direito (salvo os que transitaram para a linguagem corrente, por assimilação pelo cidadão comum) ou conclusões, que mais não são do que a lógica ilação de premissas, como sucede com a matéria que consta do n.º 76.
Acresce que parece resultar da motivação supra transcrita que o tribunal a quo considerou que a literacia financeira e informática tem que ver com o conhecimento e domínio das várias credenciais para utilização de um sistema de homebanking.
Sucede que a literacia financeira reporta-se ao nível do conhecimento e de compreensão de conceitos financeiros que conferem a capacidade de tomar decisões informadas e responsáveis no que se refere à gestão do dinheiro, envolvendo competências como gerir um orçamento, compreender taxas de juro e inflação, avaliar riscos e vantagens de produtos financeiros.
Ora, tal como bem defendem as recorrentes, «considerando que o conceito de literacia financeira se reporta ao nível de conhecimento para adotar decisões de gestão do património, não foi produzida qualquer prova sobre essa matéria», sendo certo que a 1.ª A. era utilizadora do CA Online desde 02.05.2013 (cfr. n.ºs 19 e 23 dos factos provados), que as suas declarações revelam conhecimento e prática de utilização das credenciais de segurança para utilização do sistema CA Online e para concretização de operações bancárias, não permitindo, salvo melhor opinião, entender que a mesma tenha revelado «incompreensão do fenómeno de que foi vítima», denotando, ao invés, capacidade de entender a “fraude” de que foi vítima (até porque havia sido já alertada para tais fenómenos – cfr. n.º 29 dos factos provados) e logrando até adiantar explicações para tanto e justificar os procedimentos por si adoptados, utilizando, sem dificuldades, termos e expressões próprios da linguagem informática.
Procede, assim, o recurso nesta parte, impondo-se eliminar o n.º 76 do elenco dos factos provados.
d) O facto provado sob o n.º 77 deve ser eliminado, por não ter relevância para a boa decisão da causa, não ter sido alegado e ser conclusivo.
É a seguinte a redacção do n.º 77:
«77. Grande parte da população portuguesa não detém literacia financeira digital que a capacite a identificar e reagir a tentativas de fraude como a descrita nos autos»
O tribunal a quo consignou que «…gizou a sua convicção com base nas regras da experiência comum, que autorizam a apreciar um comportamento determinado em função da cultura e comportamento social de um determinado povo, num tempo determinado», socorrendo-se de um relatório da OCDE, do qual extraiu que «…os dados mais recentes revelam que apenas 30% dos Portugueses têm conhecimentos digitais de nível básico ou superior e que, no que tange à aplicação de medidas básicas de segurança online e à adoção de atitudes e comportamentos financeiros digitais seguros, o índice de literacia financeira digital da população portuguesa é limitada» e concluindo que «…sendo inegável que a capacitação da população para identificar e reagir em caso de fraude financeira num contexto digital depende, necessariamente, da sua literacia financeira digital, e visto que o contexto nacional ainda apresenta séria lacunas neste âmbito, é convicção deste Tribunal que um número muito significativo de Portugueses não dispõe de conhecimentos que os capacitem a identificar o esquema de que a 1ª A. foi vítima como sendo uma tentativa de burla».
Ora, tal como bem salientam as recorrentes, a matéria em causa não foi alegada pelos AA., nem foi produzida prova sobre ela (tanto que não constava dos temas de prova), sendo certo que não pode considerar-se que estamos em face de factos notórios (isto é, do conhecimento geral dos cidadãos regularmente informados, com acesso aos meios normais de informação), para os efeitos previstos no art. 412.º, n.º 1 do CPC. Aliás, o próprio tribunal a quo teve necessidade de socorrer-se de um relatório da OCDE e de outro do Banco de Portugal para concluir que “grande parte da população portuguesa não detém literacia financeira digital”, o que parece negar o carácter notório dos “factos” em causa.
Acresce que, também aqui, estamos em face de matéria conclusiva (quer no que concerne ao conceito de “literacia financeira digital”, quer no que respeita à utilização da expressão “grande parte da população”), valendo, inteiramente, as considerações acabadas de fazer a propósito do n.º 76 dos factos provados.
Assiste, também, razão às recorrentes quando, mas suas alegações, afirmam que «…mesmo resultando de um relatório elaborado pela OCDE, em 2023, que o índice de literacia financeira digital da população portuguesa é limitado, a verdade é que de tal relatório não resulta que a população portuguesa não detém literacia financeira digital que a capacite a identificar e reagir a tentativas de fraude como a descrita nos autos, como o Tribunal a quo sustenta».
Finalmente, a matéria em causa em nada releva para a boa decisão da causa, para o que é, completamente, indiferente o nível de literacia financeira digital da população portuguesa em geral (ainda que na perspectiva, defendia pelos recorridos, de apreciação do “critério do homem médio”), relevando, isso sim, o comportamento levado a cabo pela 1.ª A. no caso vertente e, quanto muito, o seu nível de literacia financeira, bem como o padrão de conduta exigível ao utilizador normal do serviço de homebanking (padrão esse que, obviamente, poderá não corresponder ao da população portuguesa em geral).
Procede, assim, o recurso nesta parte, devendo eliminar-se o n.º 77 do elenco dos factos provados.
e) O facto provado sob o n.º 78 deve ser eliminado, por não ser objectivo, não ter relevância para a boa decisão da causa e não ter sido alegado.
É a seguinte a redacção do n.º 78:
«78. Quando as RR. contratam com os clientes o serviço «CA Online» não exigem que os mesmos detenham literacia digital informática»
Na motivação deste facto, o tribunal a quo referiu que «…qualquer cidadão que já tenha aderido aos serviços de homebanking sabe que a entidade bancária não questiona sobre os seus conhecimentos informáticos ou financeiros digitais, bastando-se com a vontade do cliente, independentemente da sua aptidão para compreender o serviço e de percecionar os riscos que lhe estão associados, delegando tal apreciação para o cliente».
Mais uma vez, a matéria em causa não foi alegada pelas partes, nem constituía tema da prova, não sendo, ainda, um facto complementar que pudesse ter sido considerado pelo tribunal recorrido, sem a observância das exigências previstas no art. 5.º, n.º 2 do CPC.
O tribunal a quo parece, pois, ter partido da sua experiência relativa à contratação de serviços de homebanking, para daí extrair que «quando as RR. contratam com os clientes o serviço «CA Online» não exigem que os mesmos detenham literacia digital informática».
Trata-se de uma ilação do tribunal a quo que não se encontra, minimamente, apoiada por dados objectivos que a corroborem, sendo certo que se limita a afirmar que “qualquer cidadão…sabe”, sem demonstrar a fidedignidade do que afirma.
Acresce que os procedimentos das RR. na contratação/adesão de clientes em geral constitui matéria completamente indiferente para a boa solução da causa, pois que o que releva são os contratos, concretamente, firmados com os AA., a quem as RR., indubitavelmente, permitiram aderir ao serviço em causa, com o nível conhecimentos informáticos e financeiros que possuíam na altura, fosse ele qual fosse.
Procede, de igual forma, o recurso nesta parte, devendo eliminar-se o n.º 78 do elenco dos factos provados.
f) O facto não provado sob a al g) deve ser considerado provado.
É a seguinte a redacção da al. g):
«g. A 9 de fevereiro de 2022, a 25 de fevereiro de 2022 e no decurso de ..., foram lançados pop-ups de alerta na página de acesso/login ao sistema CA Online que advertiam, cada acesso ao CA Online, após a introdução da chave multicanal, para novas tentativas de phishing, destacando os dados que não são pedidos pelo CA Online, e frisando os elementos que os autores deste tipo de práticas solicitavam, reiterando os cuidados que os utilizados do CA Online devem ter, conforme documento que ora se junta e aqui se dá por integralmente reproduzido para todos os legais e devidos efeitos»
Consideram as recorrentes que os factos em causa decorrem do documento n.º 9 junto com a contestação, dos depoimentos das testemunhas LL e MM e das declarações de parte da 1.ª A.
O tribunal a quo justificou a sua decisão da seguinte forma: «…finda a produção de prova subsistiu a dúvida quanto à sua verificação, a qual foi resolvida em prejuízo da parte à qual aproveitavam (a R.), em conformidade com o critério de julgamento previsto no artigo 414.º do C.P.C.» e «…quanto às comunicações alegadamente efetuadas pelas RR., a prova produzida reconduziu-se à junção de imagens que ilustram, unicamente, textos contendo advertências, daí não resultando que tais imagens tenham sido publicadas no endereço de internet das RR. (seja sob a forma de janela pop up, envio de mensagem privada ou outra) e, muito menos, quando. Não descuramos que as testemunhas EE e MM depuseram no sentido de que tais comunicações foram colocadas na internet e transmitidas aos clientes, todavia, quanto a tais factos os seus depoimentos afiguraram-se genéricos, sendo certo que nenhuma das testemunhas teve intervenção direta nos alegados atos de transmissão da informação ao cliente, não gozando, por isso, de conhecimento direto nem pessoal sobre tal factualidade, o que fragilizou os seus depoimentos, não logrando convencer».
Não acompanhamos este entendimento.
Com efeito, o documento n.º 9 junto com a contestação reproduz a imagem de três Pop-ups ou mensagens de alerta que surgiam na página de acesso/login ao CA Online Particulares, com a menção de três datas em que estiveram disponíveis (09.02.202, 25.02.2022 e ...).
Como se sabe, um “pop-up” constitui uma janela gráfica que surge, automaticamente (isto é, sem que o utilizador o solicite), sobre o conteúdo principal de uma página web, projectada para captar a atenção do utilizador para determinada informação.
Ora, o documento n.º 9 consiste, precisamente, no “print” de três janelas gráficas que surgiam na página de acesso ao CA Online.
Os AA. declararam impugnar tal documento «…por não ter o ser teor a virtualidade para o efeito desejado» (cfr. requerimento de 20.11.2024), o que não se traduz numa verdadeira impugnação da veracidade ou genuinidade do documento, mas das ilações que dos mesmos as RR. pretendiam retirar (o que, aliás, é patente na afirmação que os AA. fazem no art. 7.º do seu requerimento de 22.02.2023, onde se pronunciaram sobre tal documento: «Pretendem também as RR. demonstrar, com os documentos juntos, sobretudo os documentos nº 7 a 13, que os AA., na pessoa da 1ª A., não agiram com a diligência devida, tendo a sua atuação se caracterizado por negligência grosseira, razão pela qual, se recusam ao reembolso. O que também não colhe»).
Os AA. não colocaram em causa que o documento reproduza, efectivamente, as três janelas gráficas que surgiam na página de acesso ao CA Online, nem que as mesmas tenham surgido nas datas neles mencionadas. Por isso, tal documento tem a força probatória prevista no art. 376.º do CC, fazendo prova pena das declarações nele contidas.
Acresce que a testemunha LL foi confrontada com tal documento e confirmou conter “printscreens” feitos por si, que também colocou a data em que estiveram disponíveis.
De resto, o tribunal a quo considerou que as testemunhas EE, MM e DD (todos trabalhadores da Caixa Central de Crédito Agrícola, exercendo funções no departamento de segurança da R. e conhecendo, em virtude das suas funções, o funcionamento do sistema de homebanking das RR. e das suas condições de segurança) «depuseram de forma escorreita, distanciada e sem contradições, o Tribunal deu credibilidade a tais depoimentos», pelo que não se vislumbra motivos para não ter os seus depoimentos, também, por isentos e credíveis quanto à factualidade contida na al. g), sobretudo quando corroborados pelo documento mencionado.
Finalmente, e como bem salientam as recorrentes, a própria 1.ª A. confirmou, em declarações de parte, a existência de pop-ups quando entrava no homebanking, que avisavam para a existência de fraudes.
Assim sendo, procede o recurso quanto à al. g) dos factos não provados, que se elimina, passando a constar dos factos provados um n.º 90, com a seguinte redacção:
«90. A 9 de fevereiro de 2022, a 25 de fevereiro de 2022 e no decurso de ..., foram lançados pop-ups de alerta na página de acesso/login ao sistema CA Online que advertiam, em cada acesso ao CA Online, após a introdução da chave multicanal, para novas tentativas de phishing, destacando os dados que não são pedidos pelo CA Online, e frisando os elementos que os autores deste tipo de práticas solicitavam, reiterando os cuidados que os utilizados do CA Online devem ter, conforme documento n.º 9 junto com a contestação, que se dá por integralmente reproduzido»
g) O facto não provado sob a al i) deve ser considerado provado.
É a seguinte a redacção da al. i):
«i. Entre janeiro de 2021 e agosto de 2022, o Crédito Agrícola foi também remetendo por SMS alertas dando conta das tentativas de phishing que estavam a ser perpetradas e a alertar os clientes para não acederem a links, nem a fornecerem códigos de acesso aos canais, caso fossem contactados por telefone»
As recorrentes advogam que tal matéria de facto foi demonstrada pelo documento n.º 11 junto com a contestação e pelos depoimentos das testemunha LL e GG.
O tribunal a quo justificou a sua decisão nos termos supra mencionados na al. g).
Mas, também aqui, não seguimos o seu entendimento.
É que, mais uma vez, a veracidade do documento n.º 11 junto com a contestação (que reproduz quatro SMS - short message service - das RR. alertando para burlas e fraudes), não foi impugnada pelos AA., possuindo o mesmo a força probatória prevista no art. 376.º do CC, e foi corroborado pela testemunha LL (que, em virtude das funções que desempenha na 3.ª R., revelou conhecimento directo dos factos em causa, que confirmou de forma inequívoca, sem que tenha sido posta em causa a sua isenção) e pela testemunha GG (cliente da R. e, também, vítima de uma situação de phishing, que confirmou ter recebido SMS de alerta).
Assim sendo, procede o recurso quanto à al. i) dos factos não provados, que se elimina, passando a constar dos factos provados um n.º 91, com a seguinte redacção:
«91. Entre janeiro de 2021 e agosto de 2022, o Crédito Agrícola foi também remetendo por SMS alertas dando conta das tentativas de phishing que estavam a ser perpetradas e a alertar os clientes para não acederem a links, nem a fornecerem códigos de acesso aos canais, caso fossem contactados por telefone»
h) O facto não provado sob a al j) deve ser considerado provado
É a seguinte a redacção da al. j):
«j. O Crédito Agrícola remeteu uma mensagem aos seus clientes com o seguinte teor: “Nos últimos tempos, temos vindo a registar um elevado número de ataques de “Phishing”, quer por mensagens de e-mail com link em nome do CA, a alertar para “Transferências e / ou Pagamentos” que sugerem o seu cancelamento, quer por envio de SMS com o mesmo teor.
Estas mensagens têm por objetivo comprometer a segurança e a privacidade dos nosso Clientes, através da captura de dados de acesso aos serviços e respectivo número de telefone do Cliente. Na posse destes dados, o “pirata informático” realiza contactos telefónicos, fazendo-se passar por um suposto colaborador do Crédito Agrícola e com a mensagem de estar a ajudar para “cancelar determinada transacção – transferência ou pagamento”, solicita ao Cliente os dados de validação das mesmas, e concretiza a burla»
As recorrentes defendem que tal matéria de facto resulta provada pelo documento n.º 6 junto com a contestação e pelo depoimento da testemunha LL, decorrendo, também do facto provado sob o n.º 12.
O tribunal a quo justificou a sua decisão nos termos supra mencionados na al. g).
Mais uma vez, discordamos deste entendimento.
A genuinidade do documento n.º 6 junto com a contestação, que constitui o print da mensagem remetida, em 11.04.2022, para a caixa de correio de mensagens do CA Online, não foi impugnada pelos AA., tendo sido, ao invés, confirmada pela testemunha LL, sem que se tenham evidenciado quaisquer razões que descredibilizem o seu depoimento.
Assim sendo, procede o recurso quanto à al. j) dos factos não provados, que se elimina, passando a constar dos factos provados um n.º 92, com a seguinte redacção:
«92. No dia 11.04.2022, o Crédito Agrícola remeteu, para a caixa de correio de mensagens do CA Online, uma mensagem aos seus clientes com o seguinte teor: “Nos últimos tempos, temos vindo a registar um elevado número de ataques de “Phishing”, quer por mensagens de e-mail com link em nome do CA, a alertar para “Transferências e / ou Pagamentos” que sugerem o seu cancelamento, quer por envio de SMS com o mesmo teor. Estas mensagens têm por objetivo comprometer a segurança e a privacidade dos nosso Clientes, através da captura de dados de acesso aos serviços e respectivo número de telefone do Cliente. Na posse destes dados, o “pirata informático” realiza contactos telefónicos, fazendo-se passar por um suposto colaborador do Crédito Agrícola e com a mensagem de estar a ajudar para “cancelar determinada transacção – transferência ou pagamento”, solicita ao Cliente os dados de validação das mesmas, e concretiza a burla”».
i) Deve ser dado como provado, sob o n.º 37-A, o seguinte facto:
«37-A. A 1.ª Autora transmitiu a terceiros desconhecidos a OTP de acesso (identificada no facto provado n.º 30) recebida pelas 13:57 exclusivamente no seu telemóvel, antes das 14:00:22, momento no qual foi introduzida no CA Online»
Argumentam as RR. que tal facto decorre demonstrado das seguintes circunstâncias:
- resulta do facto n.º 30 e do documento n.º 12 junto com a petição inicial que a 1.ª A. recebeu, no seu telemóvel, uma OTP de login pelas 13h57 do dia 15.08.2022;
- resulta do facto n.º 12 que o início de sessão no CA Online só se concretiza mediante a introdução do número de adesão, da chave multicanal e da OTP de acesso;
- resulta da operação com o id n.º ... do documento n.º 1 junto em 25.11.2024, que a OTP de acesso, recebida única e exclusivamente no telemóvel da 1.ª A., foi inserida no CA Online às 14:00:22 do dia 15.08.2022;
- resulta dos depoimentos de XX e de LL que a A. teve, necessariamente, de transmitir a OTP de acesso recebida no seu telemóvel;
- resulta da operação com o id n.º ... do documento n.º 1 do requerimento junto em 25.11.2024 e do depoimento de XX que os terceiros desconhecidos só tiveram acesso aos últimos movimentos efectuados através da conta bancária da Autora, após terem introduzido, no CA Online, a OTP de acesso (e as restantes credenciais de acesso).
Pelas razões já supra mencionadas na al. b), não existem elementos probatórios inequívocos que evidenciem, como pretendem as recorrentes, que a 1.ª A. tenha transmitido a terceiros desconhecidos a OTP de acesso (identificada no facto provado n.º 30) .
A A. negou tal facto, sendo que os depoimentos das testemunhas MM e LL resultaram, a este respeito, meramente conjecturais ou especulativos, não constando dos autos quaisquer dados manifestos, objectivos e seguros que permitam concluir, inequivocamente, que foi a 1.ª A. que transmitiu a OTP de acesso a terceiros, ainda que dos factos n.ºs 12 e 30 resulte que o acesso ao CA Online só fosse possível com a introdução de uma OTP e que a OTP recebida pela 1.ª A. em 15.08.2022, pelas 13h57, foi a, efectivamente, utilizada para a realização das operações em causa, nada permitindo excluir que os ditos terceiros tivessem tido, também, acesso à referida OTP sem a “colaboração” da 1.ª A., por outras formas desconhecidas, atenta a sagacidade da sua actuação fraudulenta e a sofisticação dos meios por si habitualmente utilizados.
Assim sendo, improcede o recurso nesta parte.
4.2. Na sequência do decidido no ponto 4.1., passarão a ser os seguintes os factos provados e não provados a considerar:
4.2.1. Factos provados
«1. A Caixa Central - Caixa Central de Crédito Agrícola Mútuo CRL (doravante identificada como «3ª R», «CCCAM» ou «Caixa Central») é uma instituição de crédito, sob a forma de cooperativa de responsabilidade limitada, da qual são associadas as várias Caixas de Crédito Agrícola Mútuo, que no conjunto são denominadas Sistema Integrado do Crédito Agrícola Mútuo (SICAM).
2. A Caixa de Crédito Agrícola Mútuo de Salvaterra de Magos, C.R.L. doravante designada de «1ªR», «CCAM Salvaterra», ou «Caixa de Salvaterra de Magos») e a Caixa de Crédito Agrícola Mútuo de Pernes e Alcanhões, C.R.L. (doravante designada de «2ªR», «CCAM Pernes e Alcanhões» ou «Caixa de Pernes e Alcanhões») são associadas da Caixa Central - Caixa Central de Crédito Agrícola Mútuo CRL.
3. A Caixa Central - Caixa Central de Crédito Agrícola Mútuo CRL tem como bjeto social: a) o exercício da atividade bancária, incluindo todas as operações acessórias, conexas ou similares compatíveis com essa atividade e permitidas por lei; b) Como seu organismo central, coordenar e representar o sistema integrado de crédito agrícola mútuo; c) Exercer quaisquer outras atribuições que lhe sejam conferidas por lei ou por contrato.
4. A Caixa de Crédito Agrícola Mútuo de Salvaterra de Magos e a Caixa de Crédito Agrícola Mútuo de Pernes e Alcanhões têm por objeto social: o exercício de funções de crédito agrícola a favor dos seus associados e a prática dos demais atos inerentes à atividade bancária, nos termos da legislação aplicável e, ainda, o exercício de atividade de agente da Caixa Central, nos termos previstos na lei e no contrato de agência que entre ambas venha a ser celebrado.
5. O sistema multicanal consiste na faculdade conferida ao Cliente para efectuar um conjunto de operações bancárias, designadamente, de consulta e/ou movimentação, relativamente a contas de depósito de que seja titular único ou co-titular em regime de solidariedade e que possa livremente movimentar através de canais telemáticos: internet (CA Online – Para Mim), serviço telefónico (Linha Directa), dispositivos móveis (CA Mobile), ou outras formas de acesso que venham a ser disponibilizadas pelo Crédito Agrícola».
6. O sistema multicanal é gerido, de forma centralizada, pela Ré Caixa Central – Caixa Central de Crédito Agrícola Mútuo, C.R.L.
7. O Serviço «CA Online – Para mim» (doravante «CA Online») é um dos serviços oferecidos pelo sistema multicanal e consiste no serviço de homebanking do Crédito Agrícola, disponível através do endereço www.creditoagricola.pt.
8. A adesão aos serviços do sistema multicanal realiza-se através de uma infraestrutura de segurança que contempla os seguintes dados pessoais:
i) número de adesão: código numérico de oito posições, gerado pelo sistema após ser efetuado, com sucesso, um Pedido de Adesão ao sistema multicanal, ficando associado ao número de cliente;
ii) chave multicanal: código numérico de 8 posições que permite, em conjunto com o número de adesão, identificar inequivocamente o Cliente para o acesso à realização de Consultas no CA Online – Para Mim e na Linha Directa;
iii) password: código numérico composto por entre 8 a 12 dígitos, dos quais apenas três são solicitados de forma aleatória, aquando da realização de transações de cariz financeiro.
iv) PIN: código numérico composto de quatro posições , definido pelo Cliente no momento de adesão ao CA Mobile e que permite, em conjunto com o número de adesão, identificar inequivocamente o Cliente para o acesso ao CA Mobile, bem como realizar consultas.
9. A validação da chave multicanal é feita com base numa chave encriptada a partir da chave multicanal definida pelo cliente aquando do primeiro acesso ao Serviço CA Online.
10. As Rés conhecem o número de adesão, mas desconhecem a chave multicanal.
11. A OTP (One Time Password) é uma password de utilização única, gerada automaticamente pelo sistema e enviada por mensagem para o telemóvel registado no Banco sempre que o cliente pretender realizar transferências, pagamentos de serviços, carregamento de telemóveis, cancelar a adesão ao SAF ou definir um Limite de Movimentação Diário no CA Online, tendo por finalidade a validação e confirmação das operações.
12. A partir de abril de 2022, o acesso ao CA Online passou a ser efetuado através da introdução do número de adesão, da chave multicanal e de uma OTP enviada por SMS para o número de telemóvel associado à adesão do CA Online;
13. O serviço «CA online» não permite, nem nunca permitiu, o cancelamento de operações.
14. A autorização de operações depende, necessariamente, da introdução de três dígitos da password aleatoriamente selecionados e pela introdução de uma OTP remetida pelo sistema da Caixa Central (3ª R.) para o telemóvel da 1ª A.
15. Em 04 de março de 2013, AA (adiante abreviadamente referenciada por «1ªA») e BB (doravante designado por «2º A») declararam aderir aos termos e condições gerais, pré elaborados, dos serviços de abertura de conta bancária e de depósito prestados pela Ré Caixa de Crédito Agrícola Mútuo de Pernes e Alcanhões, C.R.L e, nos termos dos quais:
«3.1. Toda a correspondência que deva ser enviada ao(s) Titular(es) da conta de Depósito à Ordem ou de outras contas e/ou produtos a ela associados, incluindo a relativa a citações judiciais, considera-se devidamente efectuada e eficaz quando seja dirigida para o último endereço por ele(s) indicado, e decorridos que estejam três (3) dias após a data de expedição. (…) 3.4 sem prejuízo do expresso nos números anteriores, as partes poderão efectuar as suas recíprocas comunicações através de correio electrónico, sendo válido para tanto, no caso da Caixa Agrícola o endereço linhadirecta@creditoagricola.pt e no caso do(s) Titular(es) qualquer um dos endereços que haja sido indicado na Ficha de Assinatura e de Abertura de Conta”.
(…)
14.4. Toda e qualquer ordem de pagamento transmitida pelo(s ordenante(s), qualquer que seja o serviço de pagamento utilizado e sem prejuizo do expresso nas cláusulas nona (9) décima terceira (13), considera-se recebida pela Caixa Agrícola:
a) no próprio dia, se recebida até às quinze horas (15h) de die útil para a Caixa Agricola;
b) no dia útil seguinte, se recebida depois das quinze horas (15h) ou em dia não útil para a Caixa Agrícola.
(…)
14.8. Igualmente sem prejuízo do disposto nas cláusulas nona (9) a décima terceira (13), toda e qualquer ordem de pagamento recebida pela Caixa Agricola nos termos do número quatro da presente cláusula (14.4) e que não tenha sido retirada ou revogada, será executada:
a) se para conta de l Depósito à Ordem domiciliada na Caixa Agricola, no próprio dia útil;
b) se para qualquer outra Instituição de Crédito, incluindo a Caixa Central e qualquer outra Caixa Agricola integrante do SICAM:
i) nas operações internas: até ao final do primeiro dia útil seguinte;
ii) nas operações transfronteiriças: até ao final do terceiro dia útil seguinte.
(…)
14.11. A Caixa Agricola reserva-se o direito de bloquear um qualquer instrumento de pagamento por motivos objectivamente fundamentados • que se relacionem com:
a) a segurança do instrumento de pagamento;
b) a suspeita de utilização não autorizada ou fraudulenta desse instrumento; c) o aumento significativo do risco de o(s) ordenante(s) não poder(em) cumprir as suas responsabilidades de pagamento, caso se trate de um instrumento de pagamento com uma linha de crédito associada.
14.12. Nos casos referidos no número anterior e salvo se essa informação não puder ser prestada por razões de segurança objectivamente fundamentadas ou for proibida por disposição legal, a Caixa Agrícola informará o(s) Titular(es), se possivel, antes de bloquear o instrumento de pagamento ou, o mais tardar, imediatamente após o bloqueio.
(…)
14.14 O(s) Titular(es) obriga(m)-se a utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, tomando todas as medidas razoáveis, em especial ao recebê-lo, para preservar a eficácia dos seus dispositivos de segurança personalizados e comunicar, sem atrasos injustificados, à Caixa Agrícola ou a quem esta indicar, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento
(…)
14.17 (…) salvo em caso de actuação fraudulenta, após ter efetuado a comunicação a que se refere supra o número catorze da presente cláusula (14.14), os ordenante(s) não suporta(m) quaisquer consequências financeiras.
16. À 1ª e ao 2ª AA. foi atribuída a conta nº ....
17. Em data não concretamente apurada, o teor das Condições Gerais do serviço de abertura de conta da 2ªR. foi alterado.
18. A versão atual das Condições Gerais tem o seguinte teor:
Cláusula 21 (Contrato-Quadro), número 29, estipulou-se que "O(s) Titular(es) obriga(m)-se a utilizar o instrumento de pagamento de acordo com as condições que regem a sua disponibilização e utilização, tomando todas as medidas razoáveis, em especial ao recebê-lo, para preservar a segurança das suas credenciais de segurança personalizadas e comunicar, sem atrasos injustificados, ao Crédito Agrícola ou a quem este indicar, logo que deles tenha conhecimento, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento"
"No caso de operações não autorizadas resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou de apropriação abusiva de instrumento de pagamento imputável ao(s) Titular(es), este(s) suportará(ão) todas as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento até um máximo de 50,00 € (cinquenta euros), salvo se: i) as operações de pagamento forem devidas a actuação fraudulenta ou incumprimento deliberado de uma ou mais obrigações das consagradas supra no número vinte e nove (29.) da presente cláusula 21. Contrato-Quadro, caso em que o(s) Titular(es) suportará(ão) todas as perdas sem aquele limite, ou ii) se existir negligência grosseira do(s) Titular(es), caso em que este(s) suporta(m) as perdas até ao limite do saldo disponível ou da linha de crédito associadas à conta ou ao instrumento de pagamento."
19. No dia 02 de maio de 2013, a 1ª A e o 2ª A. declararam aderir às condições gerais do serviço «CA Online Para mim», nos termos das quais:
(…)
2. PROCESSO DE ADESÃO AO SISTEMA MULTICANAL:
(…)
2.6 A partir da adesão ao sistema MULTICANAL, o cliente autoriza o crédito agrícola, de forma irrevogável, e sempre que considere necessário:
(…)
c) a não executar ordens quando (…) existam dúvidas razoáveis sobre a identidade da pessoa a transmitir a ordem.
3. UTILIZAÇÃO DO SISTEMA MULTICANAL:
(…)
3.3. No primeiro acesso ao SISTEMA MULTICANAL, o Cliente deverá alterar, obrigatoriamente, a Chave MultiCanal atribuída aquando da ativação do Serviço.
(…)
3.7 Para realizar Transferências, Pagamento de Serviços e Carregamento de Telemóveis no CA Online- Para mim, o Cliente deve aderir ao SISTEMA DE AUTENTICAÇAO FORTE (SAF). Para realizar as restantes transações financeiras disponíveis nos serviços que não carecem da utilização do SAF para validação é solicitada a inserção de três dígitos aleatórios da PASSWORD,, anteriormente enviada para o Cliente.
(…)
3.11. Não obstante o referido no número anterior, em qualquer momento pode o Crédito Agrícola, através do SISTEMA MULTICANAL, solicitar que as ordens sejam confirmadas, mediante comunicação por carta ou fax, sempre que hajam dúvidas objectivas quanto à identidade do ordenante, ou sempre que os montantes envolvidos na operação sejam de elevado valor, ou ainda sempre que se julgue necessário, para a concretização de adesões a redutos ou serviços, ou a inclusão de documentação adicional.
(…)
3.13. O Crédito Agrícola reserva-se o direito de bloquear o acesso ao SISTEMA MULTICANAL, no todo, ou em parte, por motivos objectivamente fundamentados que se relacionem com:
a) a segurança do serviço;
b) a suspeita de utilização não autorizada ou ilícita do serviço, incluindo a recepção de contactos de alerta oriundos de outras Instituições de Crédito referentes movimentos a débito ou a crédito indevidos ou suspeitos.
(…)
6. CONFIDENCIALIDADE E DEVER DE COMUNICAÇÃO
6.1. O Crédito Agrícola compromete-se a manter sob rigorosa confidencialidade os códigos ( acesso e a informação constante nos mesmos.
6.2. O Cliente obriga-se a guardar sob segredo os seus elementos de identificação e códigos de acesso, bem como a sua utilização estritamente pessoal designadamente:
a) Não permitindo a sua utilização por terceiros, ainda que seu procurador ou mandatário;
b) Não os revelando, nem por qualquer forma os tornando acessíveis ao conhecimento de terceiros;
c) Memorizando-os e abstendo-se de OS registar quer directamente quer por qualquer forma ou meio que sejam inteligíveis por terceiros;
d) Proceder regularmente à alteração dos seus códigos de acesso na opção disponível no CA Online - Para Mim "Gestão do Serviço •Segurança"
6.3. O Cliente obriga-se a comunicar imediatamente ao Crédito Agrícola quaisquer ocorrências anómalas, nomeadamente:
a) O lançamento de movimentos em conta não ordenados;
b) O lançamento incorrecto de qualquer operação, seja ela a débito ou a crédito.
6.4. O Cliente deve verificar com regularidade os movimentos efectuados nas suas contas de modo a aperceber-se o mais cedo possível das ocorrências a que se referem os ponto anteriores.
6.5. O Cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do SISTEMA MULTICANAL por parte de terceiros, com excepção dos motivados por perda, roubo ou extravio dos códigos de acesso, os quais, quando ocorram, devem ser de imediato comunicados ao serviço de atendimento Clientes do Crédito Agrícola (…);
6.6. Deve, igualmente, confirmar o ocorrido, e referido no ponto anterior, através de carta endereçada ao Balcão do Crédito Agrícola d Cliente, num prazo não superior a 48 horas contar da data da ocorrência, bem com apresentar cópia da participação junto das autoridades policiais.
6.7. O Crédito Agrícola apenas será responsável pelos prejuízos ocorridos após recepção da comunicação da referida ocorrência e se se provar que o Crédito Agrícola não actuou de forma diligente.
20. Para efeito de adesão ao serviço, a 1ª e o 2º AA. facultaram às 2ª e 3ª R. os seus dados pessoais, incluindo os seus e-mails e contactos telefónicos.
21. Por seu turno, à 1.ª A. foi atribuído o número de adesão 56437610 e uma chave multicanal.
22. A 1ª A. alterou a chave multicanal aquando da ativação do serviço.
23. Desde então, a Autora AA é utilizadora frequente deste serviço.
24. Em 06 de janeiro de 2021, AA e BB deslocaram-se ao balcão da Glória do Ribatejo e, em nome e representação da filha menor de idade, CC (adiante abreviadamente referenciada por «3ªA»), declararam aderir aos termos e condições gerais, previamente elaboradas pela R., dos serviços de abertura de conta bancária e de depósito prestados pela Ré Caixa de Crédito Agrícola Salvaterra de Magos, C.R.L e, nos termos dos quais:
“40.2 O Cliente obriga-se a guardar sob segredo os seus elementos de identificação e códigos de acesso, bem como a sua utilização estritamente pessoal designadamente: a) Não permitindo a sua utilização por terceiros, ainda que seu procurador ou mandatário; b) Não os revelando, nem por qualquer forma os tornando acessíveis ao conhecimento de terceiros; c) Memorizando-os e abstendo-se de os registar quer directamente quer por qualquer forma ou meio que sejam inteligíveis por terceiros”.
25. À 3ª A. foi atribuída a conta nº ....
26. Na mesma data, a 1º A. e o 2. A., declararam, em nome e representação da 3ªA., aderir às condições gerais do serviço «CA Online Para mim».
27. Para efeito de adesão ao serviço, o 1ª e 2ª A facultaram às 2ª e 3ª R. os seus dados pessoais, incluindo os seus e-mails e contactos telefónicos.
28. A 1ª A. alterou a chave multicanal atribuída aquando da ativação do serviço.
29. No dia 25 de fevereiro de 2022, às 19:43:47, o Crédito Agrícola enviou para o número de telemóvel da 1ª A. um SMS com o seguinte teor «ALERTA CA // Esteja atento a possíveis tentativas de fraude ou burla. Não aceda a links e nunca forneca codigos de acesso aos canais se for contactado por telefone».
30. No dia 15 de agosto de 2022, pelas 13h57m, a 1ª A. recebeu uma mensagem telefónica escrita, enviada pela Caixa Agrícola, com o seguinte teor:
Autenticacao Forte - Login
NUNCA partilhe este dado com terceiros
Cod. Aut.: 749001 •
31. Pelas 13h57m, do mesmo dia, a 1ª A. foi contactada, por chamada telefónica, através do número de telemóvel ..., por uma senhora, que se identificou como sendo funcionária do departamento de segurança da Caixa de Crédito Agrícola e questionou se estava a efetuar uma transferência no valor de €1.999,56 (mil novecentos e noventa e nove euros e cinquenta e seis cêntimos).
32. A 1ª A. negou e informou que não utilizava o serviço “CA Online” desde o dia 12 de agosto de 2022.
33. A referida senhora informou a 1ªA. que alguém estaria a realizar transferência bancária suspeita no valor de €1.999,56 (mil novecentos e noventa e nove euros e cinquenta e seis cêntimos) através de conta bancária titulada pela 1ª A
34. A 1ª A. questionou como é que terceiros poderiam ter acesso à sua conta, uma vez que, nunca forneceu a ninguém os seus dados de acesso à sua conta, ao que foi questionada se tinha efetuado pagamentos em entidades recetoras, como a Booking.
35. A 1ª A. confirmou.
36. A interlocutora de identidade desconhecida comunicou que a 1ª A. teria de cancelar a transferência, devendo aceder à sua área pessoal do serviço “CA Online”.
37. A 1ª A. questionou qual o número de adesão que fora clonado, sendo-lhe transmitido que fora o número de adesão 56437610, que corresponde ao número de adesão da 1ªA
38. A mencionada senhora transmitiu, ainda, à 1ª A. a número da chave multicanal associada aquele número de adesão e enumerou vários movimentos bancários recentes realizados com a conta da Autora.
39. A 1ª A. confiou na origem e fiabilidade da chamada telefónica e correspondente informação que lhe era dada, após o que aceitou seguir os passos que lhe eram indicados convicta que estaria a “cancelar” a transferência que, alegadamente, terceiros estavam a tentar efetuar através da sua conta.
40. A 1ª A. foi informada pela senhora com quem mantinha a conversa telefónica que, por virtude da tentativa de cancelamento da transferência o acesso à conta pela via normal se encontrava bloqueado por precaução, e que a 1ª A. teria de aceder à sua área reservada do serviço de homebanking através de link que seria enviado para o seu e-mail, método pelo qual, segundo a senhora que se identificou como colaborada da Caixa de Crédito Agrícola, poderia cancelar a transferência.
41. Durante tal telefonema a senhora colaboradora da Caixa Agrícola, informou a 1ª A que seriam necessários quatro passos para concluir a operação de cancelar a transação:
1º- Clicar onde diz “cancelar transação” no e-mail enviado à 1ª A, que continha link que redirecionava para a página da Caixa Agrícola;
2º- Inserir o “Código” que lhe seria enviado por “SMS”;
3º- Alterar a “palavra passe”;
4º- Inserir Código que lhe seria enviado para cancelar operação;
42. Em momento algum, no decorrer da chamada, a 1ª A. indicou o seu endereço de e-mail.
43. Pelas 14h02m, a 1ª A. recebeu um correio eletrónico, remetido através do endereço de «agricola.gestor.credito@gmail.com» por remetente designado «Gestor de Crédito», com o seguinte teor:
«CANCELAMENTO DE TRANSAÇÕES
Exmo(a) Sr(a) AA
Bem vindo, aqui você poderá se identificar e fazer o controle total de suas transações.
Faça o cancelamento da suposta transação de forma simples e segura.
Caso não conclua o processo online, seu N° de adesão, PIN e cartões de débito/crédito serão desactivados.
Cancelar Transação
Agradecemos desde já a sua colaboração.
Cumprimentos,
Caixa Central de Crédito Agrícola Mútuo»
44. No correio eletrónico descrito no ponto anterior constava o logótipo do Crédito Agrícola.
45. A 1ª A. carregou na opção “cancelar transação”, que continha um link, tendo sido direcionada para uma página da internet idêntica à do sistema da Caixa Central de Crédito Agrícola, ficando convencida que estaria nessa aludida página.
46. Pelas 14h18m, a 1ª A. recebeu uma «SMS», enviada pela Caixa de Crédito Agrícola, com o seguinte teor:
Transf. Contas CA
Conta Debitar: ...
IBAN Creditar:
...
Montante: 1999.56 EUR
Cod. Aut.: 659158
47. A 1º A. foi informada pela senhora que se apresentou como sendo colaboradora da Crédito Agrícola, que teria de introduzir tal código para proceder ao cancelamento da operação e que deveria fazê-lo rapidamente para impedir a saída dos valores da sua conta.
48. A 1ªA introduziu o código recebido na página de internet para a qual for direcionada através do link recebido no seu correio eletrónico.
49. Após, foi-lhe solicitado que, no referido site, alterasse a sua Password de acesso ao serviço “CA Online”, com o fundamento de que quem estaria a tentar efetuar a transação teria a sua Password.
50. A 1ªA selecionou a opção de alteração da Password, introduziu a sua Password e digitou uma nova Password.
51. De seguida, a 1ª A. recebeu outra SMS, enviada pela Caixa de Crédito Agrícola, com o seguinte teor:
Transf. Contas CA
Conta Debitar: ...
IBAN Creditar:
...
Montante 1698.51 EUR
Cod. Aut.: 766379
52. A senhora que se apresentou como sendo colaboradora da Crédito Agrícola informou a 1ª A. que teria de introduzir tal código para que a transferência fosse efetivamente cancelada.
53. Após ter concluído estes quatro passos e colocar o código, a senhora informou a 1ªA. que estava tudo resolvido e desligou a chamada.
54. A 1ª A. acedeu ao serviço “CA Online” e constatou que havia sido transferido um montante de €1.698,51 (mil seiscentos e noventa e oito euros e cinquenta e um cêntimos) para HH, ....
55. A 1ª A. ligou para o número de telemóvel pelo qual havia sido contactada, e constatou que o referido número já se encontrava desligado.
56. Tentando, em seguida, aceder novamente ao link contido no ícone que lhe havia sido enviado por e-mail, mas o mesmo redirecionava agora para uma página do Google.
57. Enquanto a 1ª A. executava os passos descritos em 41. a 53., e sem o conhecimento desta, terceiros não identificados acederam à conta CA Online da 1ª A. e aí foram introduzindo os códigos que a 1ª A. digitou na página de internet para a qual foi reencaminhada a partir do link descrito em 43., e a cujo conteúdo tinham acesso.
58. A 1ª A. ligou para a linha direta da Caixa Agrícola e informou o que havia sucedido.
59. A 1ª A. pediu que cancelassem a transferência efetuada, informando que havia sido burlada.
60. O recetor da chamada da linha direta da Caixa Agrícola informou que iria tentar resolver a situação.
61. Depois de alguns minutos de espera, o colaborador da Caixa Agrícola transmitiu que não seria possível fazer nada, por estarem em causa transferências imediatas entre duas contas da Caixa Agrícola, que não são revertíveis, aconselhando a 1ª A. a expor a situação para o endereço de e-mail “linhadireta@creditoagricola.pt”.
62. A 1ª A. dirigiu-se à GNR de Marinhais e apresentou queixa crime, dando origem ao processo-crime nº 289/22.4... que corre termos no DIAP do Cartaxo.
63. A 1ª A. efetuou mais quatro chamadas telefónicas para a linha direta da Caixa Agrícola e foi informada que haviam também sido transferidos €1.999,56 (mil novecentos e cinquenta e seis cêntimos), da conta nº ..., de que é titular a 3ªA.
64. No dia 15 de agosto de 2022, a 1ª A remeteu um correio eletrónico, com o seguinte teor, para o endereço eletrónico “linhadireta@creditoagricola.pt”:
Exmos. Srs.
Caixa de Crédito Agrícola
Venho por este meio apresentar queixa contra uma burla sofrida hoje. Já contactei a linha direta, onde expus toda a situação.
Hoje, às 13:57 recebi uma mensagem intitulada "autenticação forte" com um código supostamente da caixa agrícola. Logo de seguida, recebi uma chamada do número ... em que se intitularam como Caixa de Segurança da Crédito Agrícola. Disseram-me que estavam a tentar realizar uma transferência em meu nome e que tinha de cancelar de imediato a transferência. De seguida, recebi um email, conforme print abaixo, em que devia seguir as instruções, de modo a cancelar a transferência. Nessa sequência, recebi um sms supostamente da caixa agrícola, com um código para inserir. Continuando os passos, seguidamente, pediram-me para alterar a minha password. Nesse campo, coloquei a password atual e depois criei uma nova. Depois voltei a receber outro código sms da Caixa Agrícola. A partir desse momento, disseram-me que estava tudo resolvido. Quando terminei a chamada, fui à minha conta e percebi que tinham transferido um montante elevado de dinheiro (cerca de 1658€ não me recordo do valor, pois fiquei demasiado nervosa) para HH.
Peço o cancelamento imediato desta transação, uma vez que na linha direta não o conseguiram fazer.
65. No dia 16 de agosto de 2022, a 1ª A. reportou a situação no balcão da 2ª R. de Pernes e Alcanhões, tendo sido informada, pelo gerente, que nada poderia ser feito porque as transferências foram autorizadas com base em dados facultados pela 1ª A. a terceiros.
66. A 1ª A. questionou se não poderia ser acionado o seguro de responsabilidade e foi informada que o seguro só pode ser acionado quando o banco (R.) tem qualquer tipo de responsabilidade, o que não aconteceria na situação em causa.
67. A única solução apresentada pelo gerente do balcão da R. de Pernes e Alcanhões foi a de lhe conceder empréstimo bancário com duração de sete anos por forma a ficar com liquidez imediata na conta.
68. A 1ª A. recusou a “solução” apresentada pelo gerente de balcão da R. de Pernes e Alcanhões.
69. No dia 16 de agosto de 2022, a 1ª A. enviou e remeteu um correio eletrónico para o endereço eletrónico geral@ca-seguros.pt, com conhecimento de todas as RR., manifestando o seu desagrado com a recusa de responsabilização.
70. Em 16 de agosto de 2022, a 1ª A. expôs a situação ao Banco de Portugal.
71. No dia 17 de agosto de 2022, a 2ª R. remeteu um e-mail à 1ª A., comunicando a recusa de responsabilidade de qualquer das RR., por entender que as transações financeiras resultaram da violação, pela 1ªA., dos deveres de cuidado que impendem sobre os clientes na utilização dos serviços de internet ao ter colocado «numa página falsa da internet, totalmente alheia ao Crédito Agrícola, os seus dados de acesso Online (Número de Adesão, Chave Multicanal, e número de telemóvel)».
72. No dia 19 de agosto de 2022, a 1ª A. comunicou o ocorrido à R. Caixa de Salvaterra de Magos, a qual informou que iria analisar o sucedido.
73. No dia 06 de setembro de 2022, a 1º A. enviou nova comunicação ao Banco de Portugal.
74. O número de telefone e endereço de correio eletrónico da 1 ªA, o número de adesão ao serviço CA-Online e respetiva chave multicanal foram obtidos, em data e por forma não concretamente apurada, por terceiros desconhecidos, em momento prévio ao contacto telefónico descrito nos pontos anteriores.
75. A 1ª A. nunca tinha vivido situação similar e não tinha conhecimento de como as RR. procediam em caso de transação suspeita, pelo que, perante toda a informação que lhe foi dada na referida chamada telefónica, pensou estar efetivamente em contacto com colaborador das RR.
76. (eliminado)
77. (eliminado)
78. (eliminado)
79. Ao receber o email descrito em 49. a 1ª A. podia e devia ter lido o endereço de e-mail do remetente e constatado que não correspondia ao endereço de e-mail indicado no contrato para efeitos de comunicação com a 3ª R.
80. Ao receber as mensagens com as OTP, a 1ª A. podia e devia ter lido o conteúdo das mesmas.
81. Vários clientes da Caixa de Crédito Agrícola vítimas destas fraudes informáticas.
82. Em virtude do sucedido, a 1ª e 2ª AA. ficaram bastante transtornados e afetados.
83. Em ... foi diagnosticado um carcinoma papilar da tiroideia à 1ª A.
84. Esta situação veio agravar toda a angústia, ansiedade, sofrimento que vivenciavam naquele momento das suas vidas.
85. Os valores objeto da 1ª transferência eram provenientes de pagamentos do Instituto da Segurança Social relativos à baixa médica da 1ª A., em consequência da doença oncológica de que foi vítima e que a impossibilitou de exercer a sua atividade profissional.
86. Durante esse período, todo o agregado familiar dos AA. passou a depender exclusivamente do ordenado do 2ª A., no valor de € 850,00 (oitocentos e cinquenta euros).
87. O sucedido causou à 1ª A. grande angústia por depender de ajuda do seu marido para todas as despesas.
88. As RR. não sofreram qualquer ataque informático que tenha exposto os dados dos seus clientes.
89. O serviço CA Online não sofreu avaria técnica ou deficiência.
90. A 9 de fevereiro de 2022, a 25 de fevereiro de 2022 e no decurso de ..., foram lançados pop-ups de alerta na página de acesso / login ao sistema CA Online que advertiam, cada acesso ao CA Online, após a introdução da chave multicanal, para novas tentativas de phishing, destacando os dados que não são pedidos pelo CA Online, e frisando os elementos que os autores deste tipo de práticas solicitavam, reiterando os cuidados que os utilizados do CA Online devem ter, conforme documento n.º 9 junto com a contestação, que se dá por integralmente reproduzido.
91. Entre janeiro de 2021 e agosto de 2022, o Crédito Agrícola foi também remetendo por SMS alertas dando conta das tentativas de phishing que estavam a ser perpetradas e a alertar os clientes para não acederem a links, nem a fornecerem códigos de acesso aos canais, caso fossem contactados por telefone.
92. No dia 11.04.2022, o Crédito Agrícola remeteu, para a caixa de mensagens do CA Online, uma mensagem aos seus clientes com o seguinte teor: “Nos últimos tempos, temos vindo a registar um elevado número de ataques de “Phishing”, quer por mensagens de e-mail com link em nome do CA, a alertar para “Transferências e / ou Pagamentos” que sugerem o seu cancelamento, quer por envio de SMS com o mesmo teor. Estas mensagens têm por objetivo comprometer a segurança e a privacidade dos nosso Clientes, através da captura de dados de acesso aos serviços e respectivo número de telefone do Cliente. Na posse destes dados, o “pirata informático” realiza contactos telefónicos, fazendo-se passar por um suposto colaborador do Crédito Agrícola e com a mensagem de estar a ajudar para “cancelar determinada transacção – transferência ou pagamento”, solicita ao Cliente os dados de validação das mesmas, e concretiza a burla.”
4.2.2. Factos não provados
«a. A 1ª A. forneceu os seus dados de acesso ao serviço CA online (nr. de adesão e chave multicanal) a terceiros.
b. A 1ª A. forneceu o seu número de telefone e endereço de email a terceiros.
c. As RR. são a única instituição bancária que exige, no acesso online à conta, a introdução da totalidade da chave multicanal.
d. Como consequência necessária e direta da conduta das RR:
- A 1ª A. sentiu-se bastante deprimida, angustiada e revoltada com todo o sucedido;
- A 1ª A, não pode passear com a filha, viajar, apreciar gastronomia, fazer com esta várias atividades, por ter ficado sem possibilidades económicas;
- Os AA. ficaram muitas noites sem dormir.
- A 1ª A. reforçou a toma de calmantes para atenuar todos esses sentimentos e conseguir descansar.
e. A Ré CCCAM tentou contactar o destinatário das transferências bancárias reportadas pela Autora AA, de forma que este justificasse a origem e finalidade das mesmas, bem como no sentido de justificar a utilização da conta em questão.
f. O cliente não atendeu nenhum dos contactos tentados, nem tampouco respondeu ao email enviado, não tendo sido possível, deste modo, obter qualquer resposta.
g. (eliminada)
h. No dia 31 de março de 2022, o sistema CA Online remeteu aos seus utilizadores um email no qual aludia que «A segurança na utilização dos serviços internet é um factor determinante na prevenção da ocorrência de burlas / fraudes nos serviços à distância, em particular nos serviços de homebanking "CA Online”. Neste sentido, tem sido preocupação constante do Crédito Agrícola, a disponibilização de procedimentos alternativos que dificultem a obtenção dos dados pessoais dos Clientes, bem como a realização frequente de comunicações de "Alerta" para novos ataques de phishing que vão aparecendo, através da actualização de conteúdos no Site CA, no CA Online e por SMS.
Assim, dado o crescimento das técnicas maliciosas que os bancos têm vindo a registar, as quais visam a obtenção indevida de credenciais de acesso aos serviços à distância e dados de contacto do Cliente, vimos informar que a opção de "Gestão de Limites Diários de Segurança", deixou de estar disponível no CA Online, passando a ser realizada, sempre que necessário, através do serviço Linha Directa ou da sua Agência do Crédito Agrícola.
Aproveitamos para solicitar que consulte as recomendações de segurança "CA Segurança Online", no site do Crédito Agricola em www.creditoagricola.pt/para-mim/ca-seguranca-online.
Esteja atento a comunicações e contactos recebidos, a sua segurança depende de si!».
i. (eliminada)
j. (eliminada)
k. Em data anterior a 15.08.2022, o Banco de Portugal lançou uma campanha, designada “#ficaadica: Fraude financeira digital: também caía nesta?”, para alertar para este problema, colocando na sua página de internet um alerta com o seguinte teor:
“Recebe um e-mail ou uma mensagem do seu banco ou outro prestador de serviços de pagamento ou de uma entidade com a qual contratou um serviço. Dizem que a sua conta pode estar comprometida ou bloqueada e pedem que faça login para recuperar o acesso. Clica no link e insere as suas credenciais ou transmite-as por telefone, sem pensar duas vezes?
É provável que esteja perante uma forma comum de phishing, isto é, um ataque destinado a captar os seus dados pessoais. E há outras técnicas fraudulentas, aparentemente inofensivas e igualmente eficazes, que são usadas por pessoas que, em qualquer parte do mundo, se podem apropriar dos seus dados. Muitas vezes os piratas informáticos utilizam informação que obtêm nas redes sociais e utilizam a manipulação psicológica para ganhar a confiança da vítima e, assim, obter informações confidenciais”».
l. Os terceiros desconhecidos referidos no n.º 74 tiveram acesso à área reservada do CA Online da A., em momento prévio ao contacto telefónico descrito nos pontos anteriores.
4.3. Vejamos, agora, se, em face da matéria de facto provada, a sentença recorrida
fez uma incorrecta aplicação do direito aos factos provados, como advogam as recorrentes.
O tribunal a quo entendeu que as duas ordens de transferência bancárias efectuadas no dia 15.08.2022 constituem operações não autorizadas e que as RR. não lograram provar que as mesmas tivessem ocorrido por violação, negligente e grosseira, dos deveres de utilizador se serviços de pagamento que impendiam sobre os AA.
Vejamos.
4.3.1. As recorrentes começam por defender que o Tribunal a quo errou ao qualificar as duas operações realizadas como sendo operações não autorizadas (conclusões XXVII a XXX).
Não lhes assiste razão, em face do que decorre dos n.ºs 30 a 53 dos factos provados.
Com efeito, de acordo com o disposto no art.º 103.º n.ºs 1 a 5 do Decreto-Lei n.º 91/2018, de 12.11 (Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica – RJSPME), «uma operação de pagamento ou um conjunto de operações de pagamento só se consideram autorizados se o ordenante consentir na sua execução», sendo certo que «o consentimento deve ser dado previamente à execução da operação» e «na forma acordada entre o ordenante e o respetivo prestador do serviço de pagamento», considerando-se que a operação de pagamento não foi autorizada na falta desse consentimento.
Ora, conforme bem salientam os recorridos nas suas contra-alegações, «(…) as operações de transferência em causa nos autos foram realizadas mediante a introdução de três posições aleatórias da password e das OTP de autorização enviadas por SMS para a 1.ª A. Contudo, tal não basta para qualificar aquelas operações como autorizadas (…). É sempre necessária a introdução das credenciais de acesso e utilização associadas à adesão: nº adesão e chave multicanal. E a 1ª A. nunca deu no decorrer da referida chamada telefónica, o n.º de adesão e chave multicanal, sendo-lhe, estes últimos, ditados ao telefone pela senhora que efetuou a chamada fraudulenta».
Em situação análoga à dos autos, o recente acórdão da RL de 20.11.2025, relatado por Elsa Melo, in www.dgsi.pt, considerou que «(…) se é certo que resultou provado (…) que as operações de transferência em causa nos autos foram realizadas mediante a introdução de três posições aleatórias da password e das OTP de autorização enviadas por SMS para o legal representante da Recorrida, também é certo que, tal não basta para qualificar aquelas operações como autorizadas, pois é sempre necessária a introdução das credenciais de acesso e utilização associadas à adesão: nº adesão e chave multicanal. E o legal representante da Recorrida nunca deu no decorrer da referida chamada telefónica, o n.º de adesão e chave multicanal, sendo-lhe, esta última, ditada ao telefone pela pessoa que fazendo-se passar por funcionaria da instituição bancária efetuou a chamada fraudulenta. Desta feita, não se pode entender a operação autorizada à luz do referido art.º 103.º, nºs 1 e 3 do Decreto-Lei nº 91/2018, porquanto, as operações de transferência não se realizaram na forma acordada entre o ordenante e o prestador de serviços de pagamento, desde logo, porque o legal representante da Recorrida não introduziu nem o nº de adesão nem chave multicanal, e depois a introdução dos elementos da password solicitados, foram transmitidos no pressuposto de cancelamento da transação, nunca de autorização da mesma» (sublinhados nossos).
Também no caso vertente, as operações de transferência não se realizaram na forma acordada entre o ordenante e o prestador de serviços de pagamento, já que a 1.ª A. não introduziu, para o efeito, o número de adesão, nem a chave multicanal, sendo certo que a introdução dos demais elementos pedidos, foram-no no pressuposto do cancelamento de uma transacção e não para autorização de transferências bancárias.
Estamos, portanto, em face de uma operação não autorizada.
Não altera este entendimento o facto de não se ter provado que «os terceiros desconhecidos referidos no n.º 74 tiveram acesso à área reservada do CA Online da A., em momento prévio ao contacto telefónico descrito nos pontos anteriores» (al. l) dos factos não provados), pois que, de igual forma, não se provou que tivesse sido a 1.ª A. a fornecer-lhes os seus dados de acesso ao serviço CA online (número de adesão e chave multicanal), bem como o seu número de telefone e o seu endereço de e-mail (als. a) e b) dos factos não provados).
4.3.2. Terá, então, a 1.ª A. actuado com manifesta negligência grosseira, como pretendem as recorrentes (conclusões XXXI a XXXIX)?
Vejamos.
Nos termos preceituados no art. 110.º do RJSPME:
«1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objectivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas».
Por sua vez, prevê o art.º 111.º, n.º 1 al. a), do RJSPME, que «o prestador de serviços de pagamento que emite um instrumento de pagamento deve assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior».
E, caso ocorra uma operação de pagamento não autorizada, que dê origem a uma reclamação, nomeadamente ao abrigo dos arts. 130.º e 131.º, «o utilizador do serviço de pagamento obtém do prestador de serviços de pagamento a rectificação (…) se comunicar a operação ao prestador de serviços de pagamento logo que dela tenha conhecimento e sem atraso injustificado, e dentro de um prazo nunca superior a 13 meses a contar da data do débito» (art. 112.º, n.º 1 do RJSPME).
Quanto à prova da existência ou não de autorização ou de autenticação, o art. 113.º do RJSPME estipula, no seu n.º 1, que «caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento», sendo que, no entanto, «a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento (…) não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º» (n.º 3). Nessas situações, o prestador de serviços de pagamento «deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento» (n.º 4).
É que, tal como refere Patrícia Guerra, in A realização de operações de pagamento não autorizadas e a tutela do utilizador de serviços de pagamento em face do Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica, Revista Electrónica de Direito, Junho de 2016, nº 2, p. 26, «…em face do carácter diabólico que assumiria a demonstração por parte do utilizador de serviços de pagamento de um facto negativo – a não prestação de consentimento em dada operação de pagamento – a lei inverte o ónus da prova, em caso de operação de pagamento não autorizada. Esta inversão é ainda justificada pelo facto de os prestadores de serviços de pagamento estarem vinculados a observar um grau de competência técnica acrescido, que se reflecte na utilização de sistemas informáticos sofisticados e robustos e de técnicas de registo detalhadas, que lhes permitem obter elementos sobre a operação de pagamento reclamada».
Em caso de operação de pagamento não autorizada, e sem prejuízo do disposto no art.º 112.º, o prestador de serviços deverá reembolsar imediatamente o ordenante do montante da operação, após ter tido conhecimento da mesma, a não ser que tenha motivos razoáveis para suspeitar de actuação fraudulenta do ordenante e desde que comunique esses motivos, por escrito, às autoridades judiciárias (art. 114.º do RJSPME).
Será, contudo, o ordenante a suportar todas as perdas resultantes de operações de pagamento não autorizadas se aquelas forem devidas a actuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º e, havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento (art. 115.º do RJSPME).
Ora, da conjugação destes normativos legais resulta que o legislador fez recair sobre o banco prestador do serviço: (i) o risco das falhas e do deficiente funcionamento do sistema (como decorreria também do disposto no artigo 796º do Código Civil); (ii) o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência e/ou que houve culpa do cliente.
No caso dos autos, tendo os AA. negado terem autorizado as operações em causa, as RR. só poderiam exonerar-se de responsabilidade se, cumulativamente, provassem que:
i) a operação foi, sem afectação de avaria técnica ou qualquer deficiência, regular e devidamente autenticada, registada e contabilizada;
II) ficou a dever-se a fraude ou a incumprimento doloso ou gravemente negligente por parte do utilizador das condições de utilização do serviço ou do dever de pronta comunicação de vicissitudes referentes à segurança ou fiabilidade do instrumento de pagamento.
Quanto ao que deva entender-se por “negligência grosseira”, e de acordo com o considerando n.º 72 da Directiva (UE) 2015/2366 do Parlamento Europeu e do Conselho de 25 de Novembro de 2015 (transposta para a ordem interna pelo DL n.º 91/2918), «para avaliar a eventual negligência ou negligência grosseira cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias. Os elementos de prova e o grau da alegada negligência deverão ser avaliados nos termos do direito nacional. Todavia, embora o conceito de negligência implique uma violação do dever de diligência, a negligência grosseira deverá significar mais do que mera negligência, envolvendo uma conduta que revela um grau significativo de imprudência; por exemplo, conservar as credenciais utilizadas para autorizar uma operação de pagamento juntamente com o instrumento de pagamento, num formato que seja aberto e facilmente detectável por terceiros. As modalidades e condições contratuais relativas ao fornecimento e à utilização de um instrumento de pagamento que tenham por efeito agravar o ónus da prova que recai sobre o consumidor ou atenuar o ónus da prova que recai sobre o emitente deverão ser consideradas nulas e sem efeito. Além disso, em situações específicas e, nomeadamente quando o instrumento de pagamento não estiver presente no ponto de venda, como sucede no caso de pagamentos em linha, é adequado que o prestador de serviços de pagamento seja obrigado a apresentar provas da alegada negligência, uma vez que o ordenante apenas dispõe de meios muito limitados para o efeito em tais casos».
O acórdão da RL de 19.12.2024, in www.dgsi.pt, entendeu que «o conceito de negligência grosseira é aferido nos termos aplicáveis à responsabilidade civil (art.º 487.º, n.º 2 do CC), “que remete para a comparação entre o comportamento concretamente adoptado pelo agente e o que seria observado nas mesmas circunstâncias de facto por um utilizador do serviço de pagamento normalmente informado, diligente e cuidadoso, pois este é o padrão referencial ou parâmetro de aferição a considerar para apurar do grau de reprovação ou censura de que é merecedor a conduta do utilizador (o grau de reprovação ou de censura será tanto maior quanto mais ampla for a possibilidade de a pessoa ter agido de outro modo), donde resulta que a culpa grosseira ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do (contraria o) grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência. À míngua de outro critério legal, o padrão de conduta exigível ao utilizador do serviço, rectius, o padrão com que se mede o grau de diligência exigível é o prescrito no artigo 487.º, n.º 2, do CC. Deste modo, a culpa (juízo de censura ético) será apurada por referência ao modelo de uma pessoa-tipo, um sujeito ideal, o tipo de homem médio ou normal, medianamente sagaz, prudentemente avisado e cuidadoso (fazendo reportar estas qualidades ao do utilizador do serviço em causa) que utiliza tais serviços. (…) A negligência grosseira será de afirmar, destarte, quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de cuidado e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes – comportamento que de todo seria adotado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adotar e/ou prosseguir”».
No caso dos autos, como se viu, as operações realizadas em 15.08.2022 nas contas dos AA. não foram autorizadas, confirmadas ou consentidas por estes, pelo que competia às RR., em princípio, reembolsá-los das quantias movimentadas.
As RR. consideram, no entanto, que a sua responsabilidade está excluída, por os terceiros que realizaram tais operações terem conseguido aceder aos meios de pagamento electrónicos dos AA., por via do comportamento culposo da 1.ª A., que incumpriu as obrigações previstas no art. 110.º do RJSPME.
Ora, é indiscutível que as operações em causa foram, regular e devidamente, autenticadas, registadas e contabilizadas e que não ocorreu qualquer avaria técnica ou outra deficiência (cfr. n.ºs 88 e 89 dos factos provados).
A questão que se coloca é, apenas, a de saber se tais operações ficaram a dever-se a incumprimento gravemente negligente por parte dos AA.
E a resposta não pode deixar de ser afirmativa, em face da factualidade provada, que, salvo melhor opinião, impõe que se conclua que os AA. incumpriram, por negligência grave, os seus deveres previstos no art. 110.º, n.º 2, do RJSPME.
É certo que, no caso dos autos, não decorre dos factos provados que tenha sido a 1.ª A. que «divulgou todas as credenciais de acesso e utilização do CA Online….», como afirmam os recorrentes, não sendo, por isso, de excluir que os ditos terceiros tivessem tido acesso a tais elementos sem a “colaboração” da 1.ª A., por outras formas desconhecidas.
Também é certo, tal como bem se escreveu na sentença recorrida, que «(…) a 1.ª A. foi ludibriada por um terceiro, sem conluio da própria (…)», sendo que «(…) no momento em que agiu, a 1ª A. sequer representou como possível não ter entrado no site (verdadeiro) do Banco, atenta a semelhança gráfica entre a página falsa e a verdadeira, tendo fornecido os seus dados, movida pelo propósito de, com urgência, cancelar uma operação iminente e fraudulenta e com total desconhecimento de que os seus elementos pessoais estavam a ser transmitidos a terceiros».
Sucede que se provou que «ao receber o email descrito em 49. a 1ª A. podia e devia ter lido o endereço de e-mail do remetente e constatado que não correspondia ao endereço de e-mail indicado no contrato para efeitos de comunicação com a 3ª R.» e que «ao receber as mensagens com as OTP, a 1ª A. podia e devia ter lido o conteúdo das mesmas» (n.ºs 79 e 80 dos factos provados, com sublinhado nosso).
Acresce que as SMS que a 1.ª A. recebeu, que contêm as OTP de autorização, identificam, expressamente, a conta a debitar, a conta a creditar e o montante a transferir, para além do respectivo código de autenticação (cfr. n.ºs 46 e 51 dos factos provados), pelo que, ainda que a 1.ª A. se encontrasse em situação de estresse e urgência, era-lhe exigível que lesse, pelo menos, essas mensagens e atentasse nas informações que continham, nomeadamente, no fim a que se destinavam e nos montantes a debitar (repare-se que, inicialmente, foi dito à A. que a mesma estaria a cancelar uma transferência fraudulenta de € 1.999,56, no que ela acreditou – n.º 31 dos factos provados -, pelo que não se percebe como pode não ter, pelo menos, suspeitado da segunda SMS que recebeu, onde se referia outro valor (€ 1.698,51).
Não acompanhamos, portanto, a sentença recorrida, quando entendeu que «(…) se é certo que a 1ª A. podia e devia ter lido o conteúdo das mensagens e do e-mail, a verdade é que a surpresa e emergência da situação e a construção que foi feita para a ludibriar, poderia levar qualquer pessoa, medianamente sagaz e cuidadosa, a ser induzida em erro e a ser levada a ter exatamente o mesmo comportamento, não atentando ao teor das mensagens, quando colocada numa situação de necessidade em agir rapidamente para obstar à verificação de um prejuízo patrimonial».
Cremos que tal entendimento se traduz numa total desculpabilização e desresponsabilização do utilizador do serviço de pagamento, quando é certo que a lei lhe impõe que tome «…todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas» (cfr. art. 10.º, n.º 2 do RJSPME), distribuindo, por esta forma, os riscos contratuais configuráveis.
Assim, apesar do grau de credibilidade e sofisticação das práticas fraudulentas de que fala a sentença recorrida, entendemos que, no caso vertente, ocorreram vários indícios inequívocos de fraude, que o utilizador médio ou comum deste tipo de serviço, minimamente diligente, reconheceria e que o fariam abster-se de prosseguir as operações.
Afigura-se-nos, por isso, que a falta de representação da 1.ª A. para a situação de fraude de que estava a ser vítima não teria ocorrido caso a mesma tivesse, pelo menos, lido o endereço de e-mail do remetente e o conteúdo das mensagens com as OPT que recebeu e atentado, minimamente, para todos os alertas que as RR. emitiram, em datas próximas aos acontecimentos em apreço, relativamente a situações de fraude, com descrição de modus operandi muito similar ao que foi usado consigo.
Com efeito, provou-se que:
29. No dia 25 de fevereiro de 2022, às 19:43:47, o Crédito Agrícola enviou para o número de telemóvel da 1ª A. um SMS com o seguinte teor «ALERTA CA // Esteja atento a possíveis tentativas de fraude ou burla. Não aceda a links e nunca forneca codigos de acesso aos canais se for contactado por telefone».
90. A 9 de fevereiro de 2022, a 25 de fevereiro de 2022 e no decurso de ..., foram lançados pop-ups de alerta na página de acesso / login ao sistema CA Online que advertiam, cada acesso ao CA Online, após a introdução da chave multicanal, para novas tentativas de phishing, destacando os dados que não são pedidos pelo CA Online, e frisando os elementos que os autores deste tipo de práticas solicitavam, reiterando os cuidados que os utilizados do CA Online devem ter, conforme documento n.º 9 junto com a contestação, que se dá por integralmente reproduzido.
91. Entre janeiro de 2021 e agosto de 2022, o Crédito Agrícola foi também remetendo por SMS alertas dando conta das tentativas de phishing que estavam a ser perpetradas e a alertar os clientes para não acederem a links, nem a fornecerem códigos de acesso aos canais, caso fossem contactados por telefone.
92. No dia 11.04.2022, o Crédito Agrícola remeteu, para a caixa de mensagens do CA Online, uma mensagem aos seus clientes com o seguinte teor: “Nos últimos tempos, temos vindo a registar um elevado número de ataques de “Phishing”, quer por mensagens de e-mail com link em nome do CA, a alertar para “Transferências e / ou Pagamentos” que sugerem o seu cancelamento, quer por envio de SMS com o mesmo teor. Estas mensagens têm por objetivo comprometer a segurança e a privacidade dos nosso Clientes, através da captura de dados de acesso aos serviços e respectivo número de telefone do Cliente. Na posse destes dados, o “pirata informático” realiza contactos telefónicos, fazendo-se passar por um suposto colaborador do Crédito Agrícola e com a mensagem de estar a ajudar para “cancelar determinada transacção – transferência ou pagamento”, solicita ao Cliente os dados de validação das mesmas, e concretiza a burla.”
Vê-se, pois, que, contrariamente ao que se afirmou na sentença recorrida, as RR. lograram provar que efectuaram diversas comunicações, por SMS, mensagem privada e pop-ups, transmitindo aos clientes informações relevantes sobre as medidas de segurança que deveriam ser adoptadas para obstar a movimentações fraudulentas das contas bancárias, como a que está agora em apreciação.
E se do teor do SMS de 25.02.2022 pode não ser «possível extrair que o alerta é aplicável a todas as situações em que os clientes são contactados, inclusive por pessoas que se identificam como funcionários do banco» (como se afirma na sentença recorrida), o mesmo já não sucede com os demais alertas supra transcritos, onde é clara a descrição do modo do actuação dos “piratas informáticos” e a semelhança com a situação com que se defrontou a 1.ª A.
A 1.ª A. estava, portanto, alertada para a falta de fidedignidade do contacto telefónico que lhe foi feito, pelo que lhe era exigível, à luz de um padrão de diligência médio, que tivesse suspeitado ou desconfiado da situação e que tivesse actuado em conformidade com as indicações que as RR. lhe haviam transmitido (aliás, a falta de cuidado da 1.ª A. é patente nas declarações que prestou na audiência final, onde admite que «…havia sim pop-ups quando nós entramos no homebanking, pop-ups que avisavam, atenção às fraudes, etc. etc., mas confesso-lhe que os pop-ups, para quem é utilizador frequente, nós fechamos os pop-ups, e, e fazemos os nossos movimentos normais»).
Saliente-se, também, que se provou que a 1.ª A era utilizadora frequente de homebanking desde 2013 (cfr. n.ºs 19 e 23 dos factos provados), pelo que não pode entender-se que fosse inexperiente e desconhecedora dos seus mecanismos de funcionamento e que estivesse mais permeável a situações de fraude.
Têm, pois, razão as RR. quando referem que «apesar de ter sido confrontada com as múltiplas evidências que denotavam que o contacto e as diligências pedidas não eram legítimos, a 1.ª Autora não se absteve de agir de forma imprudente e, consequentemente, deu causa ao dano reclamado pelos Autores nos presentes autos» (art. 209.º das alegações).
Refira-se que, tal como bem evidenciam as recorrentes, não decorre da matéria de facto provada que, à data dos factos, ou seja, em 2022, «não eram tão frequentes, nem divulgados, os casos de burlas bancárias perpetradas com recurso a esquemas de phishing o pharmig», tratando-se de uma observação, meramente subjectiva, feita na sentença recorrida e que parece até contrariada pelo n.º 81 dos factos provados, onde consta que «vários clientes da Caixa de Crédito Agróciola foram vítimas destas fraudes informáticas», referindo-se ao período temporal em que, também, ocorreu a situação dos autos.
Enfim, a 1.ª A. revelou total desatenção, ligeireza, displicência e incúria como utilizadora do serviço de pagamento, o que se traduz na violação das mais elementares regras de cuidado e de prudência associadas à necessidade de acautelar a ocorrência de fraudes, que se lhe impunham por força do disposto no art. 110.º, n.º 2, do RJSPME, e para cuja observância havia sido alertada pelas RR.
À 1.ª A. impunha-se a adopção de um comportamento mais diligente e empenhado, adequado a prevenir a realização das operações em causa e os danos dela decorrentes, do qual seria capaz qualquer utilizador médio ou normal, medianamente sagaz e prudentemente avisado, pelo que a conduta da 1.ª A. tem de ter-se por gravemente reprovável.
Diga-se que tal entendimento não é contrariado pelo facto de outros clientes das RR. terem sido, também, vítimas de “fraudes informáticas”, como consta do n.º 81 dos factos provados, quer porque se desconhece o exacto modus operandi dessas fraudes, quer porque se ignora o universo e características dos clientes concretamente afectados, o que, como bem notam as recorrentes, não permite aferir o padrão médio de comportamento dos seus clientes, sendo certo que o padrão de diligência do “homem médio” não é o que a média dos cidadãos adopta, mas o que o cidadão medianamente cuidadoso e avisado adoptaria, quando confrontado com uma situação semelhante àquela com que se deparou a 1.º A.
Destarte, impõe-se concluir, ao contrário da sentença recorrida, que, em face das circunstâncias do caso concreto, as operações bancárias efectuadas são imputáveis à A. a título de negligência grosseira, não sendo legítimos, nem desculpáveis a convicção e o erro em que actuou.
E, como tal, terão que ser os AA. a suportar as perdas resultantes das operações bancárias não autorizadas em causa.
Procede, pois, o recurso.
Os efeitos do recurso são extensíveis à R. CAIXA DE CRÉDITO AGRÍCOLA MÚTUO DE SALVATERRA DE MAGOS, C.R.L., em virtude do disposto no art. 634.º, n.º 2 als. b) e c) do CPC, pois, tal como defenderam as RR. no seu requerimento de 07.01.2026, «a Ré CCAM Salvaterra de Magos foi demandada e condenada solidariamente com a Ré Caixa Central, no mesmo segmento decisório, relativamente ao pedido deduzido pela Autora CC, com base na mesma causa de pedir e no mesmo enquadramento jurídico, encontrando-se, portanto, em situação processual paralela à da Ré Caixa Central», sendo que «o interesse da Ré CCAM Salvaterra de Magos depende, essencialmente, do interesse da Ré Caixa Central, uma vez que a procedência do recurso desta implicará, pela identidade da situação fática e jurídica, a modificação da decisão também quanto à Ré CCAM Salvaterra de Magos».
Os recorridos suportarão as custas do recurso, por terem ficado vencidos (art. 527.º, n.ºs 1 e 2 do CPC).
V – DECISÃO
Pelos fundamentos expostos, acorda-se em julgar totalmente procedente a apelação, revogando-se a sentença recorrida e, em consequência, absolve-se as RR. dos pedidos contra si formulados e condenam-se, exclusivamente, os AA. nas custas da acção.
Custas da apelação pelos recorridos.
Notifique.
*
Lisboa, 15.01.2026
Rui Oliveira
Carla Matos
Amélia Puna Loupo |
