Acórdão do Tribunal da Relação de Lisboa | |||
| Processo: |
| ||
| Relator: | CRISTINA SILVA MAXIMIANO | ||
| Descritores: | HOMEBANKING OPERAÇÕES FRAUDULENTAS NEGLIGÊNCIA GRAVE | ||
| Nº do Documento: | RL | ||
| Data do Acordão: | 06/16/2026 | ||
| Votação: | UNANIMIDADE | ||
| Texto Integral: | S | ||
| Texto Parcial: | N | ||
| Meio Processual: | APELAÇÃO | ||
| Decisão: | IMPROCEDENTE | ||
| Sumário: | Sumário (elaborado pela relatora e da sua inteira responsabilidade - art. 663º, nº 7 do Cód. Proc. Civil): I - No âmbito do serviço de homebanking, para se desonerar da responsabilidade de reembolso ao cliente das perdas por este sofridas, decorrentes de operações fraudulentas sobre a sua conta, incumbe à entidade bancária, na qualidade de prestadora de serviços de pagamento, a prova: (i) que as operações de pagamentos que executou foram devidamente autenticadas pelo cliente e devidamente registadas e contabilizadas [art. 70º, nº 1 do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, aprovado pelo Decreto Lei nº 317/2009, de 30 de Outubro, alterado pelo Decreto Lei nº 242/2012, de 07/11, e pelo Decreto Lei nº 157/2014, de 24/10, que transpôs para a ordem jurídica interna a Directiva nº 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro, aplicável a situações ocorridas em 2016]; (ii) que tais operações de pagamento não foram afectadas por avaria técnica ou qualquer outra deficiência [mesma norma]; (iii) que o utilizador de serviços de pagamento actuou de forma fraudulenta ou incumpriu, de forma deliberada ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67º daquele Regime [nº 2 do mesmo preceito]. II - Age com negligência grave o utilizador que, após abrir um e-mail que lhe pareceu proveniente da instituição bancária, com o pedido de activação do cartão matriz, sendo-lhe solicitado, para o efeito, que acedesse a um link e introduzisse todas as coordenadas desse cartão, assim o fez, aí fornecendo a totalidade daquelas coordenadas, num comportamento contrário aos avisos que, já então, constavam do site da instituição bancária a este respeito, com o alerta: “Na activação do Cartão Matriz não são solicitadas posições do mesmo”. | ||
| Decisão Texto Parcial: | |||
| Decisão Texto Integral: | Acordam na 7ª Secção do Tribunal da Relação de Lisboa: I – RELATÓRIO AA intentou a presente acção declarativa sob a forma de processo comum contra “Caixa Económica Montepio Geral”, BB, CC e DD pedindo a condenação dos Réus no pagamento da quantia de € 16.000,00, a título de indemnização por danos patrimoniais e não patrimoniais, por si sofridos na sequência de actuação destes. Alegou, para o efeito, em síntese, que: é titular de uma conta bancária na Ré “Caixa Económica (…)” e que, nos dias 27 e 28 de Dezembro de 2016, foram efectuadas transferências bancárias e operações de pagamento de serviços através daquela conta bancária, com intervenção dos 2º a 4º Réus, sem o conhecimento e consentimento do Autor. A Ré “Caixa Económica (…)” contestou, defendendo a improcedência da acção; alegou, em suma, que não lhe é imputável qualquer responsabilidade, uma vez que agiu de acordo com as normas e usos aplicáveis à situação em concreto, não tendo sofrido qualquer ataque ao seu sistema informático; e, pelo contrário, o Autor violou os avisos de segurança transmitidos pela Ré no seu site, agindo com negligência grave. A Ré DD contestou defendendo a improcedência da acção; alegou, em suma, que não teve qualquer intervenção na actuação descrita pelo Autor. Os Réus BB e CC (citados editalmente) não contestaram. Foi proferido despacho saneador e fixado o objecto do litígio e os temas da prova. Efectuada a audiência final, foi proferida sentença que julgou improcedente a acção. O Autor recorre desta decisão, requerendo a respectiva revogação, com a condenação da Ré “Caixa Económica (…)” no pedido e a absolvição dos “demais R.R.”. Formula as seguintes Conclusões: “A. O A., recorrente, ativou o cartão matriz em 17.06.2016, sendo seu possuidor, portanto, há somente seis meses, à data em que os factos ocorreram (Dez/2016), não estando, ainda, na altura com suficiente literacia e experiência no domínio do homebanking. B. No dia 22.12.2016, pelas 15:22, o A., apelante, recebeu a mensagem de correio eletrónico identificada nos arts. 2º e segts. da p.i., sendo a mensagem (letra e logotipo) da CEMG em tudo idêntica àquela que o A. observava no sistema informático ou em qualquer meio de comunicação a que tinha acesso. C. Nada fazendo prever ou admitir que a mensagem em questão era falsa ou remetida por terceiros. D. O A., apelante, estava convencido de que se tratava de verdadeira informação bancária (vinda do seu banco, o Montepio), e seguindo as indicações da dita mensagem, clicou em “activar cartão matriz” e executando as demais operações, de boa fé E. Assim que se apercebeu das transferências e pagamentos de serviços da sua conta e indevidos, no dia 27.12.2016, o A. apelante denunciou junto da Polícia de Segurança Pública, os movimentos na sua conta bancária acima descritos, como não autorizados (Facto nº 15 e artigo 13º da petição inicial)., dando origema processo de inquérito F. E, após contactos diretos com o Balcão, no dia 30.12.2016 o autor solicitou à ré CEMG, por escrito, a restituição das quantias retiradas indevidamente da sua conta bancária. G. Em 02.01.2017 e 05.01.2017, e após intervenção dos serviços da ré, foram restituídas à conta acima identificada… as quantias de € 2.496,55 e € 2.000,00. H. A Ré., apelada, respondeu à comunicação em 14.03.2017, dizendo que foi possível recuperar o montante total de 4.496,55€, correspondente às transferências, não tendo sido possível recuperar as restantes verbas reclamadas, referentes ao pagamento de serviços, no montante total da 8.693,31€ . I. O apelante utilizava a conta bancária referida somente para efectuar depósitos. J. Assim, o apelante não movimentava a conta bancária através de cartão de débito ou de crédito. K. A não recuperação da totalidade dos identificados deixou o autor enervado e angustiado. L. Se a ré, CEMG, apelada, tivesse nos seus sistemas verdadeiros “alertas” que detetassem estas situações, com as devidas cautelas, os citados valores nunca teriam sido retirados da conta do apelante. M. E, ao efectuar algumas diligências para reaver o dinheiro, a ré CEMG reconhece e confessa tacitamente que o dinheiro havia sido retirado indevidamente, por terceiros, através de métodos proibidos. N. A própria apelada, reconhece expressamente que o “autor foi vítima de esquema fraudulento…”. O. Assim, não tem razão a apelada ao dizer que o autor, apelante, atuou de forma “gravemente negligente, cedendo os dados a terceiros correndo assim por si a perda da dita quantia”. P. À data, e conforme legislação então em vigor, eram obrigações do utilizador, além do mais, comunicar sem atrasos injustificados ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento – o que o A. fez, presencialmente e por escrito junto da Ré, apelada. Q. Nos termos da mesma legislação então em vigor, “sem prejuízo do disposto no artigo 69º, em relação a uma operação de pagamento não autorizada, o prestador de serviços de pagamento do ordenante deve reembolsá-lo imediatamente do montante da operação de pagamento não autorizada e, for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada” – o que não foi cumprido pela Ré, ora apelada. R. Na douta sentença, apelada, consta: entende-se não merecer um juízo de severa censura a obediência ao teor do email, mediante o seguimento do link que levaria à pretensa ativação do cartão matriz (14) – ainda que o cartão matriz do autor já estivesse ativado. S. Ora, se não há juizo de severa censura também esta não pode ser graduada em leve ou qualquer outra. T. Nem mesmo a atribuição de um qualquer juízo de censura sobre a conduta adoptada pelo A., apelante, ou que a sua atuação tenha sido gravemente não diligente como, erradamente, consta da mesma sentença apelada. U. Na verdade, como se disse, a própria apelada já reconheceu que o apelante foi vítima de esquema fraudulento e este sempre interveio de boa fé, pois foram-lhe devolvidas algumas quantias retidas indevidamente, mas não as restantes, apesar de reclamadas . V. Bem sabendo a ré apelada, que o A., apelante, somente utilizava a dita conta para depósitos e que não a movimentava através de cartão de débito ou a crédito. W. Estando provado que o autor acreditou que a indicada mensagem de correio eletrónico tinha sido remetida pela ré CEMG. X. A apelada, apesar de ter devolvido a parte do dinheiro, que diz ter recuperado (€ 4.496,55), aplicou outro critério quando se recusou a devolver o restante ainda em falta (€ 8.693,31). Y. Foi demonstrado ainda que a não recuperação da totalidade dos montantes acima identificados deixou o autor enervado e angustiado. Z. E, ao contrário do doutamente decidido, para além dos danos patrimoniais sofridos (quantia não devolvida de € 8.693,31, o A., apelante, tinha também direito ao pagamento da indemnização dos danos morais, de € 7.290,57, como peticionado. AA. Conforme bem consta do Ac. STJ, de 23/01/2024 – Proc. 379/21.0T8FAR.E1.S1, Rel. Dr. Nelson Borges Carneiro: -Apenas o prestador do serviço de pagamento (banco) pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento garantindo também a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento. -Por essa razão, recai sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema, impendendo ainda sobre o mesmo o ónus da prova de que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência.” As Rés “Caixa Económica (…)” e DD apresentaram contra-alegações, pugnado pela improcedência do recurso. Colhidos os vistos, cumpre decidir. II – QUESTÕES A DECIDIR De acordo com as disposições conjugadas dos arts. 635º, nº 4 e 639º, nº 1, do Cód. Proc. Civil, é pelas conclusões da alegação do Recorrente que se delimita o objecto e o âmbito do recurso, seja quanto à pretensão do Recorrente, seja quanto às questões de facto e de direito que colocam. Esta limitação objectiva da actuação do Tribunal da Relação não ocorre em sede de qualificação jurídica dos factos ou relativamente a questões de conhecimento oficioso, desde que o processo contenha os elementos suficientes a tal conhecimento [cfr. art. 5º, nº 3 do Cód. Proc. Civil]. Nestes termos, no caso, e atendendo a que no recurso o apelante não se insurge contra a improcedência da acção relativamente aos Réus BB, CC e DD e consequente absolvição do pedido, a questão a decidir é: - se a Ré “Caixa Económica Montepio Geral” deve ser condenada a pagar ao Autor indemnização a título de danos patrimoniais e não patrimoniais em consequência de incumprimento contratual. III - FUNDAMENTAÇÃO DE FACTO A sentença recorrida considerou como provados os factos da seguinte forma: “1. O autor é titular das Contas de Depósito à Ordem, a prazo e à ordem abertas na ré Caixa Económica – Montepio Geral (doravante, ré CEMG), com os n.ºs 029 10.013223-1; 029 15.007856-5 e 029 15.007865-6. 2. Em 08.06.2016 o autor subscreveu a adesão ao serviço de homebanking da ré CEMG, designado “Montepio24”, associado à conta bancária n.º 029 10.013223-1 acima identificada. 3. O Montepio24 é um serviço através do qual os clientes podem, entre outros, realizar operações sobre todas as contas em figuram como titulares ou autorizados. 4. Para acesso e utilização do serviço Montepio24, a ré CEMG forneceu ao autor credenciais de utilização. 5. As credenciais de utilização fornecidas pela ré CEMG são pessoais e intransmissíveis e consistem i) num número de identificação Montepio, atribuído e entregue ao cliente no momento da adesão; ii) num código PIN multicanal, composto por seis dígitos, atribuído e entregue ao cliente no momento da adesão, PIN esse que o cliente altera, obrigatoriamente, aquando do seu primeiro acesso ao serviço; iii) num cartão matriz, com 72 posições, cada uma com 3 dígitos. 6. O cartão matriz é remetido via CTT para o endereço do cliente. 7. A ativação do cartão matriz é efetuada pelo cliente na página Montepio24, mediante introdução do número de cliente e do código PIN multicanal. 8. Após envio do cartão matriz via CTT, e antes da respetiva ativação, na área pessoal de cliente na página Montepio24 consta a seguinte mensagem: 9. O autor ativou o cartão matriz em 17.06.2016. 10. À data, a utilização conjugada das credenciais número de identificação e código PIN multicanal permitia a realização de operações e consultas sem alteração de património. 11. À data, a utilização conjugada das credenciais número de identificação código PIN multicanal e cartão matriz permitia a realização de operações com alteração de património. 12. No dia 22.12.2016, pelas 15:22, o autor recebeu a seguinte mensagem de correio eletrónico: 13. O autor acreditou que a indicada mensagem de correio eletrónico tinha sido remetida pela ré CEMG. 14. O autor seguiu as indicações da dita mensagem, clicando em “activar cartão matriz”. 15. De seguida, no endereço para onde foi direcionado, o autor introduziu todas as coordenadas do cartão matriz. 16. No dia 27.12.2016 foram efetuadas operações de pagamento de serviços, a partir da conta acima identificada n.º 029 10.013223-1, para a entidade 11249, nos seguintes montantes: i. € 482,26; ii. € 484,31; iii. € 483,80; iv. € 481,75; v. € 482,78; e vi. € 483,90. 17. No dia 28.12.2016 foram efetuadas operações de pagamento de serviços, a partir da conta acima identificada n.º 029 10.013223-1, para a entidade 11249, nos seguintes montantes: i. € 483,80; ii. € 483,80; iii. € 480,21; iv. € 483,90; v. € 482,78; vi. € 481,75; vii. € 482,78; viii. € 483,90; ix. € 482,98; x. € 482,86; xi. € 482,87; e xii. € 483,88. 18. No dia 28.12.2016 foi efetuada uma transferência a partir da conta acima identificada n.º 029 10.013223-1, para conta bancária titulada por “EE”, no valor de € 2.496,55. 19. No dia 28.12.2016 foi efetuada uma transferência a partir da conta acima identificada n.º 029 10.013223-1, para conta bancária titulada por “FF”, no valor de € 2.000,00. 20. No dia 28.12.2016 foram retiradas da conta acima identificada n.º 029 10.013223-1 as seguintes quantias referentes a despesas com as transferências acima mencionadas nos n.ºs 18 e 19: € 15,50 + € 0,62 + € 0,35 + € 0,01. 21. No dia 27.12.2016 o autor denunciou junto da Polícia de Segurança Pública os movimentos na sua conta bancária acima descritos, como não autorizados. 22. A denúncia mencionada deu origem ao processo de inquérito n.º 1095/16.0SDLSB. 23. No dia 30.12.2016 o autor solicitou à ré CEMG, mediante comunicação escrita, a restituição das quantias retiradas da sua conta bancária acima mencionadas em 16., 17., 18., 19. e 20.. 24. No dia 02.01.2017, após intervenção dos serviços da ré, foi restituída à conta acima identificada n.º 029 10.013223-1 a quantia mencionada no n.º 18. 25. No dia 05.01.2017, após intervenção dos serviços da ré, foi restituída à conta acima identificada n.º 029 10.013223-1 a quantia mencionada no n.º 19. 26. A ré respondeu à comunicação mencionada no n.º 23 por comunicação de 14.03.2017 com, informando “(…) foi possível recuperar o montante total de 4.496,55€, correspondente às transferências, não tendo sido possível recuperar as restantes verbas reclamadas, referentes ao pagamento de serviços, no montante total de 8.693,31€ (…)”. 27. No processo de inquérito indicado acima indicado em 22., em 23.04.2018 foi proferido despacho de arquivamento nos seguintes termos: “(…) por não se ter logrado apurar a identidade do autor dos factos ilícitos denunciados, determino o arquivamento dos autos, sem prejuízo da possibilidade da sua reabertura a qualquer momento, caso venha a surgir, entretanto, novos elementos (…)”. 28. O autor utilizava a conta bancária acima referida nos n.ºs 6 a 10 para efetuar depósitos. 29. O autor não movimentava a conta bancária acima referida nos n.ºs 16 a 20 através de cartão de débito ou de crédito. 30. A não recuperação da totalidade dos montantes acima identificados deixou o autor enervado e angustiado. 31. Em dezembro de 2016, em todos os acessos ao Montepio24, após introdução dos dígitos correspondentes ao código de identificação de utilizador do Montepio24 e imediatamente antes da introdução do código de acesso personalizado eram visíveis as seguintes mensagens: 32. Em dezembro de 2016, a ré CEMG publicitava na sua página alertas e recomendações de segurança. 33. Desde abril de 2009 a ré CEMG faz constar, no acesso ao Montepio24, o seguinte aviso, sempre que é efetuado o acesso de um computador novo ou no mesmo computador, desde que os “cookies” tenham sido limpos, e sempre aquando do primeiro acesso dos clientes, para ativação do cartão matriz: 34. Nos dias 27.12.2016 e 28.12.2026 não se verificou qualquer quebra de segurança na criação, gestão e execução de operações no seu sítio informático da ré CEMG. 35. Cada uma das operações e transferências acima indicadas nos n.ºs 16, 17, 18 e 19 foram concretizadas mediante i ) a introdução do número de identificação Montepio, ii) a introdução do número de código Pin Montepio24 e iii) a introdução de duas coordenadas e posições do cartão matriz, solicitadas pelo sistema de forma aleatória, num total de 216 posições. 36. As posições do cartão matriz foram inseridas à primeira tentativa e sem erro. 37. A ré DD é empregada de limpeza. 38. A ré DD não conhece BB, CC, GG e BB. 39. A ré DD é titular de conta bancária aberta junto da ré CEMG. 40. Na conta bancária da ré DD aberta junto da ré CEMG, entre 26.12.2016 e 31.12.2016 não foram creditadas quaisquer quantias provenientes da conta bancária do autor acima identificada.” * O tribunal a quo considerou não provado que: “A. As quantias acima mencionadas nos n.ºs 16 e 17 tenham sido transferidas para contas bancárias dos réus BB, CC e HH.” IV - FUNDAMENTAÇÃO DE DIREITO É pacífico nos autos que entre o Autor e a Ré “Caixa Económica Montepio Geral” se estabeleceu uma relação contratual por via da abertura de uma conta bancária [entendendo-se por contrato de conta bancária aquele que é “celebrado entre um banco e um cliente através do qual usualmente se constitui, disciplina e baliza a respetiva relação jurídica bancária” – cfr. José Engrácia Antunes, in “Direito dos Contratos Comerciais”, Coimbra, Almedina, 2017, p. 483], e a adesão daquele ao sistema de homebanking disponibilizado pela Ré, denominado “Montepio24” (cfr. factos provados sob os nºs 1 a 3). O contrato de homebanking “é o acordo mediante o qual o cliente adere a um serviço prestado pelo banco, que consiste na possibilidade de manter relações via internet, de forma a: (i) aceder a informações sobre produtos e serviços do banco; (ii) obter informações e realizar operações bancárias sobre contas de que a autora fosse titular; (iii) realizar pagamentos, cobranças e operações de compra, venda, subscrição ou resgate sobre produtos ou serviços disponibilizados pelo banco.” - Acórdão do STJ de 14/12/2016, relator Pinto de Almeida, proc. nº 1063/12.1TVLSB.L1.S1, acessível em www.dgsi.pt. Este contrato de prestação de serviços de pagamento era regulado, à data dos factos, pelo Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (doravante, designado por RJSPME), aprovado pelo Decreto Lei nº 317/2009, de 30 de Outubro, alterado pelo Dec. Lei nº 242/2012, de 07/11, e pelo Dec. Lei nº 157/2014, de 24/10, que transpôs para a ordem jurídica interna a Directiva nº 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro [Regime Jurídico este, que veio a ser revogado por força da transposição para a ordem jurídica interna da Directiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25/11/2015, operada pelo Decreto Lei nº 91/2018, de 12/11, cujas disposições, atenta a data dos factos destes autos, não são aplicáveis ao caso: art. 12º do Cód. Civil]. O citado RJSPME [aprovado pelo Decreto Lei nº 317/2009, de 30/10] impõe o cumprimento de um conjunto de deveres ao utilizador e ao prestador dos serviços de pagamento associados aos instrumentos de pagamento que se desenrolam via homebanking, para além da necessária autorização do depositante. Assim, são obrigações do utilizador - art. 67º do RJSPME: - utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização (al. a) do nº 1), para o que o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial ao receber um instrumento de pagamento, para preservar a eficácia dos seus dispositivos de segurança personalizados (nº 2); - comunicar, sem atrasos injustificados, ao prestador de serviços de pagamento ou à entidade designada por este último, logo que deles tenha conhecimento, a perda, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento (al. b) do nº 1). Por seu turno, são obrigações do prestador de serviços de pagamento, entre outras - art. 68º do RJSPME: - assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior (al. a); - impedir qualquer utilização do instrumento de pagamento logo que a notificação prevista na al. b) do nº 1 do artigo anterior tenha sido efectuada (al. e). Nesta senda, dispõe o art. 70º do RJSPME, sob a epígrafe “Prova de autenticação e execução das operações de pagamento”: “1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência. 2 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 67.º” No que toca à responsabilidade por operações de pagamento não autorizadas, regem os seguintes artigos do RJSPME: - 71º, quanto à responsabilidade do prestador do serviço de pagamento: “1 - Sem prejuízo do disposto no artigo 69.º, em relação a uma operação de pagamento não autorizada, o prestador de serviços de pagamento do ordenante deve reembolsá-lo imediatamente do montante da operação de pagamento não autorizada e, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada. 2 - Sempre que o ordenante não seja imediatamente reembolsado pelo respetivo prestador de serviços de pagamento nos termos do número anterior, são devidos juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada, até à data do reembolso efetivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.” - 72º, quanto à responsabilidade do ordenante: “1 - No caso de operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 150. 2 - O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 67.º, caso em que não são aplicáveis os limites referidos no n.º 1. 3 - Havendo negligência grave do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 150, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva. (…)”. Como se esclarece no já citado Acórdão do STJ de 14/12/2016: “Compreende-se este regime: por um lado, só o prestador do serviço de pagamentos, também fornecedor deste serviço, pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo também a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento. Daí que recaiam sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema (como decorreria também do disposto no art. 796º do CC), impendendo ainda sobre este o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência. (…) Por outro lado, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe vão permitir aceder a esse serviço. Esses dispositivos de segurança personalizados têm uma função de autenticação – art. 2º, al. t) do RSP – permitindo identificar o utilizador e verificar se este é efectivamente o cliente que contratou o serviço de homebanking. Exige-se, por isso, ao utilizador que tome todas as medidas razoáveis em ordem a preservar a eficácia desses dispositivos de segurança personalizados.” Resulta do exposto que, para se desonerar da responsabilidade de reembolso ao Autor dos montantes debitados da conta deste e em causa nos autos, incumbe à Ré “Caixa Económica (…)”, na qualidade de prestadora de serviços de pagamento, a prova: (i) que as operações de pagamentos que executou foram devidamente autenticadas pelo cliente, aqui Autor, e devidamente registadas e contabilizadas (art. 70º, nº 1 do RJSPME); (ii) que tais operações de pagamento não foram afectadas por avaria técnica ou qualquer outra deficiência (mesma norma); (iii) que o Autor, na qualidade de utilizador de serviços de pagamento, actuou de forma fraudulenta ou incumpriu, de forma deliberada ou por negligência grave, uma ou mais das suas obrigações decorrentes do art. 67º (nº 2 do mesmo preceito). No caso, provou-se que: (i) as operações bancárias foram efectuadas mediante a introdução do número de identificação Montepio, do número de código Pin Montepio24 e de duas coordenadas e posições do cartão matriz, solicitadas pelo sistema de forma aleatória, num total de 216 posições, tendo estas posições do cartão matriz sido inseridas à primeira tentativa e sem erro (factos provados nºs 31, 35 e 36). Ou seja, os movimentos bancários ocorridos derivaram da introdução de credenciais e códigos pessoas do Autor (como cliente), tendo o sistema da Ré “Caixa Económica (…)”, por estarem reunidos todos os requisitos de movimentação, cumprido as instruções de operações solicitadas. Donde, foram cumpridas todas as regras de autenticação e autorização das operações em vigor, tendo sido, inclusive, utilizados os três níveis de segurança para autenticação forte: introdução do número de identificação de utilizador do Montepio24; do Pin; e de duas posições do cartão matriz; (ii) os movimentos bancários em causa foram efectuados através do Montepio24 [que é controlado pela Ré “Caixa Económica (…)” no que respeita aos acessos feitos com as legítimas credenciais dos clientes] ao abrigo das normas de segurança estabelecidas e validados com todos os dados reservados ao cliente (factos provados nºs 31, 35 e 36), e, na data da realização daqueles movimentos, não se verificou qualquer quebra de segurança na criação, gestão e execução de operações no sítio informático da Ré “Caixa Económica (…)” (factos provados nº 34). Quanto à existência de negligência grave por parte do Autor, o tribunal a quo concluiu pela sua verificação, discordando o apelante dessa qualificação relativamente à sua conduta. Apreciemos. Afirma-se nos Considerandos Iniciais nºs (32) e (33) da Directiva 2007/64/CE do Parlamento Europeu e do Conselho, de 13/11/2007: Considerando nº (32): “A fim de incentivar o utilizador dos serviços de pagamento a comunicar, sem atraso injustificado, ao respectivo prestador qualquer furto ou perda de um instrumento de pagamento, reduzindo assim o risco de operações de pagamento não autorizadas, o utilizador deverá apenas ser responsável por um montante limitado, salvo no caso de actuação fraudulenta ou de negligência grave da sua parte. (…)”. Considerando nº (33): “Para avaliar a eventual negligência cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias. As provas e o grau da alegada negligência deverão ser avaliados nos termos do direito nacional.” Dispõe o art. 487º, nº 2 do Cód. Civil, que: “A culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso”. No acórdão do TRP de 14/07/2020, relator Fernando Baptista, proc. nº 22158/17.0T8PRT.P1, acessível em www.dgsi.pt, considera-se que a negligência grosseira “constitui a grave omissão das cautelas necessárias para evitar a realização do facto anti-jurídico, quando não foi observado, de forma pouco habitual, o cuidado exigido, ou que, no caso concreto, resultaria evidente para qualquer pessoa. A negligência grosseira é, assim, como dito, uma negligência qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, adoptando-se uma conduta de manifesta irreflexão ou ligeireza. Trata-se de uma negligência temerária, consistindo na falta das precauções exigidas pela mais elementar prudência”; sendo “indiferente à qualificação de negligência como grosseira, a circunstância de o agente haver ou não previsto a realização do resultado típico (com ele não se conformando, obviamente), querendo com isto significar-se que quer a negligência consciente, quer a inconsciente podem consubstanciar este concreto tipo de culpa. / Há-de é tratar-se de temeridade, de ousadia perante o perigo quase certo, previsto ou previsível atentas as circunstâncias.” “Um acto qualificável como negligência grosseira, no âmbito da utilização de um sistema bancário electrónico de pagamentos, corresponde a um erro imperdoável, a uma desatenção inexplicável, a uma incúria inaceitável, por referência ao comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes” - Acórdão do TRP de 10/01/2023, relator Rui Moreira, proc. nº 1053/20.0T8MAI.P1, acessível em www.dgsi.pt. A culpa grave ocorrerá quando a omissão do dever de cuidado em que a negligência se traduz revelar que o comportamento observado se afastou do (contraria o) grau de diligência minimamente exigível e da observância de deveres de cuidado (resultantes da relação jurídica) ostensivamente evidentes, patentes e manifestos, traduzindo desconsideração do proceder expectável a qualquer comum utilizador do serviço de pagamento minimamente cuidadoso, apresentando-se como altamente reprovável à luz do mais elementar senso comum, revelando desconformidade com todos os padrões de referência. “O padrão de conduta exigível ao utilizador do serviço (‘a bitola com que se mede o grau de diligência’ exigível) é o prescrito no art. 487º, nº 2 do CC – e por isso que a culpa (juízo de censura ético) será apurada por referência ao modelo de uma pessoa-tipo, um sujeito ideal, o tipo de homem médio ou normal, medianamente sagaz, prudente avisado e cuidadoso (fazendo reportar estas qualidades ao do utilizador do serviço em causa) que utiliza tais serviços; a referência legal ao bom pai de família acentua mais a nota ética ou deontológica do bom cidadão do que o critério puramente estatístico do homem médio (o que significa deverem ser desprezadas as práticas de desleixo, de desmazelo ou de incúria, que porventura se tenham generalizado no meio, se outra for a conduta exigível das pessoas de boa formação e são procedimento)”. A negligência grave será, pois, de afirmar quando o grau de reprovação ultrapassar a mera censura que merece a simples imprudência, irreflexão ou o impulso leviano, alcançando um mais alto grau de desleixo e incúria, decorrendo da inobservância das mais elementares regras de prudência e da não adopção do esforço e diligência minimamente exigíveis, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes – comportamento que nunca por nunca seria adoptado pela generalidade dos utilizadores do serviço de pagamento colocados perante as concretas circunstâncias que se apresentaram ao agente, pois que a diligência e cuidados exigíveis no caso os levariam a abster-se de o adoptar e/ou prosseguir – Acórdão do TRP de 18/04/2023, relator João Ramos Lopes, proc. nº 16900/21.1T8PRT.P1, acessível em www.dgsi.pt. Tendo presentes estas considerações e analisando a factualidade provada, afigura-se-nos que, no caso, o Autor actuou com culpa grave, tal como ajuizado na decisão recorrida com os seguintes fundamentos – que se acolhem: “pese embora os avisos e alertas que já então a ré CEMG disponibilizava aos clientes (31., 32. e 33.), e não obstante o aspeto rudimentar da mensagem de correio eletrónico a que o autor acedeu (12.), de que se destaca o próprio endereço de email e, bem assim, a fraquíssima qualidade do português utilizado, entende-se não merecer um juízo de severa censura a obediência ao teor do email, mediante o seguimento do link que levaria à pretensa ativação do cartão matriz (14.) – ainda que o cartão matriz do autor já estivesse ativado (9.). Porém, se se pode admitir que uma atitude mais irrefletida leve a que, num momento de imponderação, se siga determinado link recebido por mensagem de correio eletrónico, não é possível aceitar que, nesse seguimento, acrítica e mecanicamente se introduzam todas as posições do cartão matriz (15.). Não se tratou de uma ou duas posições, mas de todas as posições do cartão matriz, atitude de desleixo que, mesmo em 2016, é incompatível com uma atuação minimamente diligente e atenta.” Corroborando este entendimento, sempre se dirá: Perante a factualidade provada, afigura-se-nos cristalino que o Autor não observou a cautela mínima - exigível ao comum dos utilizadores dos serviços de homebanking, mesmo aos menos diligentes e experientes – de, após ter activado o seu cartão matriz (em 17/06/2016: factos provados nº 9), passados cerca de 6 meses, e na sequência de mensagem que recebeu no seu endereço de e-mail, iniciar novo processo para activar aquele cartão fornecendo todas as coordenadas desse cartão, mediante um procedimento em tudo diverso do que antes levara a cabo (factos provados nºs 12, 14 e 15), e sem atentar nos avisos e alertas que, já então, constavam do site da Ré “Caixa Económica (…)” a este respeito (factos provados nºs 31 a 33). Note-se, inclusive que, na data dos factos, em todos os acessos ao “Montepio24”, após introdução dos dígitos correspondentes ao código de identificação de utilizador e imediatamente antes da introdução do código de acesso personalizado eram visíveis mensagens que alertavam precisamente para: “Na activação do Cartão Matriz não são solicitadas posições do mesmo” (factos provados nºs 31 e 33). Sublinhe-se que, perante estes avisos era facilmente apreensível pelos clientes do banco Ré – e especificamente pelo Autor -, que, na activação do cartão matriz, o banco não solicitava nenhuma posição do cartão, aspecto que deveria ter levado a questionar o utilizador/Autor sobre porque razão, em contradição com tal afirmação de comportamento, na ocasião lhe era solicitada a inserção de todas as posições do cartão matriz [para além da dúvida, que sempre se suscitaria a um comum utilizador, da necessidade de voltar a activar um mesmo cartão matriz passados cerca de 6 meses da respectiva activação …]. Numa situação idêntica, o comum dos utilizadores dos serviços de homebanking, mesmo o menos diligente e experiente, ter-se-ia abstido de fornecer as (todas) coordenadas do cartão matriz até ter a certeza que estava – ou não - perante um procedimento legítimo do próprio banco. O Autor, com o seu comportamento [mormente, com a inserção de dados do cartão matriz, em procedimento totalmente inverso ao que o próprio banco referia], desconsiderou as mais elementares regras de cuidado e prudência ligadas à necessidade de acautelar a ocorrência de fraude informática, quando em confronto com o que um utilizador comum faria perante uma situação semelhante, sendo que o grau de reprovação do Autor ultrapassa a mera censura que seria feita a um simples descuido ou acto irreflectido. O Autor omitiu os mais elementares deveres de cuidado e diligência que se impunham nas concretas circunstâncias que se lhe depararam e cuja observância lhe teria permitido prever o resultado e tomar as necessárias providências para o evitar. E, ao contrário do que parece entender o apelante, a sua boa-fé [nunca ter tido dúvidas da veracidade da informação e do logótipo que lhe foi apresentado e convencido de tratar-se de uma página verdadeira, vinda da própria Ré] não afasta o reconhecimento da sua omissão dos mais elementares deveres de cuidado e diligência e que permitem qualificar a sua conduta como negligência grave, face ao que acima se deixou dito. Perante situações de facto análogas à dos autos, tem sido entendido na jurisprudência que age com culpa grave/grosseira o utente que fornece todo – ou quase todo - o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador. Cfr., neste sentido, a título exemplificativo: Acórdão do TRG de 25/11/2013, proc. nº 2869/11.4TBGMR.G1; Acórdão do TRG de 09/06/2020, proc. nº 51/18.9T8PRG.G1; Acórdão do TRL de 12/12/2013, proc. nº 164/11.8TBSRT.L1-6; Acórdão do TRL de 12/07/2018, proc. nº 2256/17.0T8LSB.L1-7; Acórdão do TRE de 25/06/2015, proc. nº 3052/11.4TBSTR.E1; e Acórdão do TRE de 12/04/2018, proc. nº 9002/16.4T8STB.E1 (todos, acessíveis em www.dgsi.pt); De igual forma, na doutrina, também Raquel Sofia Ribeiro de Lima, in “A responsabilidade pela utilização abusiva on-line de instrumentos de pagamento eletrónico na jurisprudência portuguesa”, Revista Electrónica de Direito, Outubro 2016, nº 3, p. 48, entende que: “O utilizador é constantemente alertado para os indícios de fraude, de maneira a estar, naturalmente, consciente de que os pedidos feitos nestas páginas falsas não são legítimos. Responder a um pedido incomum na página clonada, por exemplo com a indicação de todas as combinações do cartão matriz, demonstrará um enorme descuido e desatenção do titular do IP” (instrumento de pagamento). Invoca o apelante que a Ré “Caixa Económica (…)” bem sabia que o Autor utilizava a conta bancária somente para efectuar depósitos e que não movimentava tal conta através de cartão de débito ou de crédito, e que se a Ré tivesse implementado “nos seus sistemas verdadeiros “alertas” que detectassem estas eventualidades”, os valores em causa não teriam sido retirados da sua conta. Esta questão não tem relevo no sentido de eximir o Autor de responsabilidade, porquanto, por um lado, não se verificou a fiabilidade do sistema implementado pela Ré, que não foi objecto de qualquer quebra de segurança (factos provados nº 34), e, por outro lado, porquanto não recaía, na data dos factos, qualquer obrigação sobre a Ré de implementação dos específicos “alertas” a que parece aludir o apelante, nem este invoca qualquer norma nesse sentido. Na verdade, a fraude nos movimentos bancários em causa foi externa aos sistemas implementados e disponibilizados pela Ré, apenas tendo sido possibilitada pelo fornecimento indevido de coordenadas do cartão matriz pelo próprio Autor, o que viabilizou as transações. Sustenta o apelante que a Ré “Caixa Económica (…)” reconhece que os movimentos bancários em causa não foram autorizados, nem queridos pelo Autor, e que lhe devolveu parte dos montantes que tinham sido retirados da sua conta, parecendo desta asserção, querer sustentar que, por isso, a Ré lhe deveria reembolsar as demais quantias movimentadas da sua conta. Porém, a restituição das mencionadas quantias ao Autor deveu-se à respectiva recuperação das contas para onde tinham sido transferidas, recuperação essa, que a Ré logrou conseguir realizar (factos provados nºs 24 a 26), e não a qualquer assunção de responsabilidade por parte da Ré quanto ao sucedido. Em suma, é de concluir que o Autor agiu com negligência grave e que esta foi a condição necessária e adequada para a realização das operações de pagamento sucedidas, não se verificando, pelo contrário, responsabilização da Ré “Caixa Económica (…)” face aos factos ocorridos [tendo sido ilidida a presunção de culpa que sobre esta, primariamente, impendia], devendo, por isso, o Autor, cliente utilizador do serviço, suportar a totalidade dos prejuízos sofridos. Não se verificando responsabilização da Ré “Caixa Económica (…)” não existe fundamento legal para o pagamento da indemnização por danos patrimoniais e não patrimoniais sofridos pelo Autor. Assim, improcede a apelação, sendo de manter a sentença recorrida. * As custas devidas pela presente apelação são da responsabilidade do apelante - cfr. art. 527º, nºs 1 e 2 do Cód. Proc. Civil e art. 1º, nºs 1 e 2 do Regulamento das Custas Processuais. V. DECISÃO Pelo exposto, acordam os juízes desta 7.ª Secção do Tribunal de Relação de Lisboa em julgar a presente apelação totalmente improcedente, e, em consequência, manter a sentença recorrida. Custas pelo apelante. * Lisboa, 16 de Junho de 2026 Cristina Silva Maximiano João Novais Paulo Ramos de Faria |