Acórdão do Tribunal da Relação de Coimbra
Processo:
3606/20.8CBR.C1
Nº Convencional: JTRC
Relator: RUI MOURA
Descritores: PHARMING
HOMEBANKING
RESPONSABILIDADE DA ENTIDADE BANCÁRIA
ILISÃO DA PRESUNÇÃO DE CULPA DO ARTIGO 799º
1 DO CC
Data do Acordão: 07/10/2024
Votação: MAIORIA COM * VOT VENC
Tribunal Recurso: JUÍZO LOCAL CÍVEL DE COIMBRA
Texto Integral: S
Meio Processual: APELAÇÃO
Decisão: CONFIRMADA
Legislação Nacional: ARTIGOS 110.º A 115, DO DL 91/2018, DE 12/11
ARTIGO 113.º, 3, DO RJSPME
ARTIGOS 349.º; 799.º, 1; 1185.º E 1187.º, DO CÓDIGO CIVIL
Sumário: I . Sendo o “homebanking” um serviço prestado ao cliente pelo Banco, a este compete diligenciar pela sua segurança de modo a que o seu utilizador não fique privado dos valores nele depositados pelo abusivo acesso a terceiros, sem a sua autorização ou consentimento, ou seja, o cliente tem de poder confiar nesse sistema de acesso à sua conta bancária e respectiva movimentação.
II. Sobre o Banco impende a obrigação de prestar um serviço eficaz e seguro, tendo o ónus de ilidir a presunção de culpa, decorrente do art.º 799.º/1 do C. Civil, quanto a deficiências de funcionamento do sistema que utiliza para prestar esse serviço, correndo por sua conta o risco de acessos fraudulentos.

III. Provando a Ré que o Autor fez uma utilização imprudente, negligente e descuidada desse serviço, revelando a terceiros, na internet, os seus códigos pessoais de acesso ao serviço, e que, após uma intromissão destes terceiros visando uma saída (transferência) de numerário para uma conta diferente, alertou electronicamente para o efeito, o Autor, e este confirmou/validou pessoal e expressamente a operação, ( procedendo à introdução das coordenadas do cartão matriz que lhe foram, novamente solicitadas, como primeiro elemento de confirmação da operação, e, seguidamente, introduzindo também o código SMS Token que lhe foi remetido pela Ré para o seu telemóvel para autenticação desta operação concreta, para a conta de destino indicada ), não é exigível àquela o pagamento da quantia por estes indevidamente movimentada.

Decisão Texto Integral: -//-

Acordam os Juízes na 2ª Secção Judicial do Tribunal da Relação de Coimbra:

I - RELATÓRIO

i)-

Em 17 de Setembro de 2020 vieram AA, e mulher, BB, residentes na Rua ..., ..., ..., intentar a presente acção declarativa sob a forma de processo comum contra Caixa Geral de Depósitos S.A., com sede na Av. ..., Lisboa, pedindo na sua procedência, a condenação da Ré a:
a) Restituir aos Autores a quantia indevidamente transferida da sua conta com o nº ...100 no valor de 5.000,00€ (cinco mil euros) acrescida de juros legais
vencidos e vincendos, calculados de acordo com a aplicação da taxa e respetivo acréscimo referido no art.º 71 do regime anexo ao Dec.º Lei nº 317/2009 e até efetivo e integral restituição a contar da data em que reclamou junto da Caixa Geral de Depósitos;
b) Serem declaradas nulas, porque contrárias à boa-fé e porque alteram as regras respeitantes ao ónus da prova, as clausulas 9 e 10 do contrato – tipo de adesão do serviço CaixaDirecta subscrito pelos Autores.
c) Ser a Ré condenada a pagar aos Autores indemnização por despesas e danos morais em montante nunca inferior a 3.000,00€.
Alegam para tanto, em síntese- socorrendo-nos para tal, com a devida vénia, do bem conseguido relatório da sentença recorrida -, que os Autores são clientes da Ré há mais de 30 anos, tendo celebrado entre si há mais de 30 anos, por contrato de abertura de conta, duas contas bancárias conjuntas na Caixa Geral de Depósitos no Balcão ... em ..., nomeadamente a conta com o n.º ...900 e da conta com o nº ...100, que têm vindo a movimentar, quer a crédito, quer a débito, nela fazendo depósitos de recursos monetários e sobre elas fazendo os mais diversos pagamentos.
Por contrato nº ...99 celebrado entre as partes há mais de 15 anos, a Ré forneceu aos Autores o Serviço CaixaDirecta para a conta ...900, sendo que quando utilizam este serviço os Autores têm acesso a todas as suas contas da Caixa Geral de Depósitos, permitindo este serviço aos Autores a possibilidade de efetuar operações bancárias através da internet, concretamente pagamentos e transferências sem a intervenção direta dos funcionários do banco.
No dia 27 de Julho de 2020, os Autores encontravam-se de férias na sua casa da ..., depois do almoço, o Autor acedeu ao seu computador para verificar os emails, o computador funcionou normalmente.
Decidiu o Autor aceder à CaixaDirecta conta ...900 para fazer o pagamento de 40,42 €, tendo para o efeito introduzido como era costume as credenciais fornecidas pela Ré.
O Autor entrou na conta e efetuou a transferência de 40,42€, e apareceu-lhe uma página que tinha no canto superior direito os dizeres “Aplicação IBM- Segurança
de Dados”, o correr dessa página bloqueou o funcionamento do computador, pelo que após várias tentativas para sair daquela página não resultaram o Autor encerrou o computar.
O Autor reiniciou o computador como sempre fazia, apareceu a mesma página, o Autor introduziu o código enviado por SMS e o programa continuava a correr e a página continuou bloqueada.
Ficando na dúvida se o pagamento tinha sido feito, e porque precisava de consultar os saldos das contas, o Autor dirigiu-se a uma agência da Ré na ..., nomeadamente a uma máquina para consultar os movimentos das suas cadernetas, e constatou que, efetivamente tinha sido feio o pagamento dos 40,42€ da conta ...900, e da sua conta com o nº ...100 tinham sido transferidos 5.000,00€ (cinco mil euros).
Pensando tratar-se de um erro, apesar da agência já estar com a porta de vidro interior fechada, o Autor conseguiu falar com uma funcionária a quem explicou o
sucedido, que lhe disse que ele tinha sido vítima de uma burla informática, e que ela não podia fazer nada, e para ligar imediatamente para um número da Caixa Directa, para cancelar os acessos à conta, o que o Autor fez, tendo o funcionário com que falou informado o Autor que tinha sido vitima de burla informática, bem como a página fraudulenta “Truste da Caixadireta IBM” página que aparecia no ecrã do computador, e que o valor em causa tinha sido transferido para uma conta da Caixa Geral de Depósitos e que a conta era de um balcão de Chaves, cuja identidade do titular não lhe podia fornecer devido à política de proteção de dados, e que o Autor tinha de apresentar queixa na polícia.
Através da sua filha a quem forneceu o número da conta para a qual havia sido feita a transferência, apurou que o seu destinatário era CC, pessoa que os Autores não conhecem e com quem nunca tiveram qualquer contacto seja a que título.
Com esta informação, o Autor nesse dia 27 de Julho de 2018 apresentou queixa na PSP, que deu origem ao Inquérito nº 765/20.....
No dia 28 de Julho de 2020, cerca das 9.30 horas o Autor dirigiu-se ao Balcão da Ré da Agência ... em ..., aferindo da possibilidade de a Ré obter do seu cliente CC a devolução dos 5000,00€, tendo sido informado que não, e perguntando quem lhe iria devolver o dinheiro indevidamente transferido sem a sua autorização, foi informado que o era da sua responsabilidade, utilizador do serviço, pelo que a Ré nada tinha a pagar ou a fazer.
O Autor, constatando que os representantes da Ré nada fariam para resolver a situação, nem sequer lhe pareceram preocupados, nesse mesmo dia 30 de Julho apresentou a sua reclamação por escrito, que deu início ao processo de mediação.
No dia 05 de Agosto, o Autor dirigiu-se à agência da Ré de ... e falou com a sua gestora de conta perguntando-lhe quem é que lhe iria devolver o dinheiro indevidamente transferido sem a sua autorização, tendo por esta sido informado que o risco era da responsabilidade do Autor, utilizador do serviço, pelo que a Ré nada tinha a pagar ou a fazer, posição que lhe foi reiterada por escrito pela Ré em 19 de Agosto.
Na referida comunicação a Ré exime-se às suas responsabilidades, e responsabiliza o Autor pela transferência que ele não fez.
Os Autores nunca comunicaram ou facilitaram ou cederam por qualquer meio quaisquer dados pessoais e intransmissíveis a terceiros; sempre utilizaram os registos e credenciais fornecidos pela Ré, para aceder aos serviços da Caixa Directa de acordo com as instruções que lhe foram dadas pela Ré; nunca puseram em causa a segurança dos elementos que lhe davam acesso aos serviços Caixa Directa, e foram vítimas de um processo fraudulento que a Ré tinha obrigação de impedir que acontecesse.
No dia 27 de Julho de 2020, desconheciam em absoluto os Autores que estavam a ser vítimas de fraude, pelo que era impossível comunicar previamente à Ré que a operação não era autorizada, já que desconheciam a existência da mesma, só tendo o Autor noção do que tinha acontecido quando a funcionária da agência da Caixa Geral de Depósitos da ..., lhe referiu que tinham sido vítimas de fraude informática e o funcionário da CaixaDireta lhe disse o que aconteceu com a página e o bloqueio do seu computador, tendo sido por esse motivo que no seu questionário referiu que viu a Página de segurança e que de forma “inadvertida” ou seja sem qualquer desconfiança, porque pensou ser uma página normal de segurança da Caixa Geral de Depósitos tal como constava da mesma, procedeu normalmente.
O Autor não acedeu através da CaixaDirecta à conta com o nº ...100 de onde foram transferidos os 5000,00€ mas sim à conta ...900 para pagar dos 40,42€ onde tinha um saldo de pouco mais de 1000,00€.
A Ré nunca prestou aos Autores qualquer colaboração ou apoio para a resolução da questão, não lhe fornecendo elementos para tanto, inclusive para esclarecer as autoridades competentes, tratou-os como se fossem criminosos, e culpabilizou-os, apenas se preocupando em informar o Autor que eles não tinham qualquer responsabilidade pelo sucedido, invocando, inclusive, a cláusula 10 do contrato, cláusula essa nula, como bem sabido pela Ré, por ser considerada absolutamente proibida; viram os Autores as suas férias interrompidas, tudo o que lhes causou grande angústia, sofrimento e desgaste emocional.
Não podem os Autores ser prejudicados, ficando sem o seu dinheiro que tanta falta lhes faz, por falta de segurança de um serviço que é da responsabilidade da Ré, sendo que os Autores sempre respeitaram todas as recomendações de segurança mantendo os códigos secretos na sua posse e secretos; mantendo a confidencialidade dos seus dados pessoais, utilizando esse serviço apenas no seu computador pessoal, ao qual são os únicos que têm acesso, e no qual estava instalado sistema antivírus; nunca por qualquer meio divulgaram ou cederam, os seus dados a terceiros; nunca tiveram comportamentos negligentes ou dolosos.
O movimento, fraudulento foi feito de forma ilegítima e não consentida nem autorizada pelos Autores numa conta que não estava a ser movimentada pelo Autor, e tal transferência só foi possível devido às fragilidades do sistema de segurança do serviço CaixaDirecta da Ré.
Quem acedeu à conta bancária dos Autores só pôde fazê-lo porque o sistema de segurança da Ré o permitiu, ou seja, não é tão seguro como deveria ser, pelo que, os riscos pela utilização normal do sistema, correm por conta do prestador de serviços, devendo, por isso, ser a Ré a suportar o prejuízo resultante da operação não autorizada pelo cliente.
Ademais, a Ré, que identificou a fraude, não impediu de imediato a transferência, não sendo diligente a impedir a fraude e a repor a situação no estado em que se encontrava devolvendo o dinheiro à conta dos Autores.
Juntaram procuração e documentos.

ii)-

Citada, ofereceu a Ré contestação, arguindo excepção dilatória de erro na forma de processo por violação do princípio da adesão consagrado no art. 71º do CPP, alegando para tanto, em síntese, que como os Autores referem no art. 31º da p.i., apresentaram em 27.07.2020 queixa crime que deu origem ao processo de inquérito nº 765/20...., o qual não foi arquivado nem está parado há mais de 8 meses, não se verificando qualquer outra das circunstâncias referidas no art. 72º do CPP, pelo que perante a pendência do referido processo crime, sempre os Autores teriam de fazer valer os seus direitos no âmbito do referido processo crime em obediência ao prescrito no art. 71º do CPP.
Em sede de impugnação, alega, em síntese, que contrariamente ao alegado pelos Autores, o pagamento de serviços registado pelo Autor, no valor de € 40,42 e a transferência fraudulenta de € 5.000,00 foram concretizados na mesma sessão do CaixaDirecta e não em sessões diferentes.
Que numa primeira sessão, pelas 13 horas e 13 minutos, o Autor acedeu ao CaixaDireta Online, e de repente ter-se-á verificado tentativa de transferência para a conta destino fraudulenta no valor de € 5.000,00, não tendo o Autor, nesta ocasião, preenchido as coordenadas solicitadas para esse efeito, tendo num segundo momento, preenchido as coordenadas solicitadas, pelo que foi enviado automaticamente para validação da operação, o SMS Token, o segundo elemento para autenticação e confirmação de operações de montante superior a € 499,99, que o autor não introduziu, não tendo sido concretizada, nesse momento, a transferência solicitada de € 5.000,00, por não ter sido autenticada, mediante a introdução pelo autor, de tal código, elemento de autenticação, cuja introdução pelo titular do contrato e utilizador do serviço, é imprescindível para o efeito.
Este terá sido o momento em que, aparentemente, o Autor suspeitou de algo anómalo na sessão e desligou o computador, sendo que dez minutos mais tarde o Autor iniciou a 2ª Sessão no CaixaDireta Online, e nessa ocasião realizou, então, o pagamento serviços à EDP no valor de € 40,42, o que ocorreu às 13h e 31m, e de seguida, ainda dentro da mesma sessão (2ª Sessão), o Autor executou a transferência de € 5.000,00 para a mesma conta que já havia sido tentada na sessão anterior, pois que, contrariamente ao que havia feito na 1ª Sessão, procedeu à introdução das coordenadas do cartão matriz que lhe foram, novamente solicitadas, como primeiro elemento de confirmação da operação, e, seguidamente, introduziu também o código SMS Token que lhe foi remetido pela CGD para o seu telemóvel para autenticação desta operação concreta de € 5.000,00, para a conta de destino que indica no artigo 29º da p.i.
Acresce que quando se faz um pagamento de serviços no montante de € 40,42, o CaixaDirecta Online solicita apenas 3 coordenadas da matriz; mas para a execução da transferência de € 5.000,00 o Autor, teve de introduzir a dupla credenciação: 3 coordenadas da matriz e o código de confirmação enviado via SMS para o seu telemóvel na posse do Autor, do qual consta, a descrição completa da operação: “Para confirmar a transferência para a conta 0000000000000 no valor de 5.000,00 EUR, introduza o código 000000.”, conforme mensagens de SMS Token que foram remetidas ao autor.
Mesmo tendo dúvidas de que o pagamento de € 40,42 tivesse sido efetuado, não faz sentido o Autor introduzir novamente as credenciais quando o SMS Token enviado refere explicitamente uma conta desconhecida (a conta indicada agora por si no artigo 29º da p.i.) e um valor de uma operação que, segundo refere, não foi por si registada/solicitada.
O Autor, como utilizador frequente do CaixaDirecta Online não pode desconhecer a recomendação na página de login, nem as recomendações de segurança na página de autenticação que são apresentadas em cada login rotativamente.
Bastava o Autor não ter introduzido o código SMS Token para que a operação não tivesse sido concretizada.
O comportamento do Autor foi grosseiramente negligente, pois a operação de transferência foi confirmada, obrigatoriamente, através de código “SMS” (SMS Token), remetido pela Ré para o número de telefone associado pelos autores ao contrato CaixaDirecta em causa, tendo em conta a circunstância de o seu valor ser
superior a € 499,99, o que não permite a sua validação por recurso somente aos dados constantes do cartão matriz.
Na presença destes dois requisitos cumulativos (autenticação no Serviço e validação das operações, no caso concreto através do recurso às três coordenadas do cartão matriz e código SMS Token, atendendo aos valores em questão), a CGD, perante a instrução que recebeu para a realização da operação bancária em causa, não tinha motivos para obstaculizar a sua concretização, porquanto, era e foi considerada legítima.
Os Autores, incumpriram com as regras de segurança amplamente divulgadas pela Ré para acesso e utilização ao Serviço CaixaDireta, impondo-se-lhes que tivessem adotado comportamento diferente na utilização do serviço em questão, em conformidade com o contrato que subscreveram.
A transferência ocorrida na conta dos Autores só foi concretizada porque o Autor tendo recepcionado uma SMS com o código SMS Token, mensagem que indicava que se destinava à confirmação de uma transferência para a conta indicada no artigo 29º da sua Petição Inicial e no valor de € 5,000,00, introduziu o referido código e assim confirmou a operação solicitada.
Admitindo que os Autores tenham sido vítimas de uma fraude, tal só aconteceu porque estes não deram a devida importância às informações e alertas prestados e difundidos pela Ré, tendo sido a actuação directa do Autor que permitiu a concretização da fraude ora reclamada.
Quanto à não devolução da quantia em questão, refere que o montante transferido foi logo de seguida mobilizado da conta destino, levantamento efetuado às 14:25:52, antes do reporte do Autor junto da Ré.
Em nenhum momento a Ré suspeitou, nem poderia suspeitar, que a ordem não partia do legítimo titular, pelo que nenhuma razão havia para obstar à sua concretização, tanto mais que as ordens legitimamente transmitidas são irrevogáveis (cfr. cláusula 13º das Condições Gerais do contrato).
Não foi da acção da Ré que resultou qualquer prejuízo para os Autores, pelo que não lhe poderá ser assacada qualquer culpa, nem a título de negligência, já que cumpriu com todas as normas e procedimentos a que se mostra obrigada, o mesmo não se passando no que respeita aos Autores, pois o Autor concorreu diretamente para a produção do dano.
Termina pedindo a procedência da arguida excepção dilatória, com a consequente absolvição da Ré da instância, ou a assim se não entender, a improcedência da acção, com a consequente absolvição da Ré dos pedidos.
Juntou documentos e procuração.

iii)-

Responderam os Autores à defesa por excepção do banco Réu.

iv)-

Por douto despacho de 8-7-2021 aa instância foi suspensa por prejudicialidade, até que fosse proferida decisão no processo de inquérito nº 765/20.....

v)-

A fls. 70 e ss foi junta informação sobre o processo de inquérito nº 765/20..... Nesse inquérito foi em 15-12-2022 proferida decisão final de acusação crime, em processo comum e juiz singular de CC, pela autoria da prática de actos que terão levado à subtracção da conta dos Autores da quantia de € 5.000,00, que preenchem assim em abstracto a comissão, em autoria material, na forma consumada e em concurso real de infracções, de um crime de burla informática p. e p. pelo artigo 221º, 1 do CP, de um crime de falsidade informática p. e p. pelo artigo 3º, 1, da Lei nº 109/2009, de 15-9 (Lei do Cibercrime) e de um crime de acesso ilegítimo, p. e p. pelo artigo 6º, 1 da referida Lei do Cibercrime.

vi)-

Em consequência foi declarada cessada a suspensão da instância.

vii)-

Em sede de audiência prévia foi julgada improcedente a excepção invocada pelo Banco Réu.
Saneou-se o processo.
Foi fixado o valor da causa.
Identificou-se o objecto do litígio.
Indicaram-se os temas da prova ( 1º- decidir se houve acesso por terceiros à conta bancária dos Autores, contra a vontade e sem autorização destes; 2º- se a Ré incumpriu de forma culposa as obrigações que para sai advinham dos contratos de depósito bancário e de CaixaDirecta Online que celebrou com os autores, por não ter adoptado as medidas necessárias a evitar o acesso  fraudulento por terceiros à conta  dos Autores através de operações de homebanking, e, na afirmativa, quais os prejuízos sofridos pelos Autores em consequência de tal; 3º - nulidade da cláusula contratual geral 10ª do contrato CaixaDirecta. )

viii)-

Realizou-se audiência final com gravação dos trabalhos.

Produziu-se douta sentença – ref. citius 914826652, em 27-07-2023.

*

Nela dão-se como provados os seguintes factos:

1. O autor é professor na Escola Superior ....
2. A autora, sua mulher, está atualmente está reformada, e foi enfermeira nos Hospitais ....
3. A ré, é uma instituição de crédito, cuja atividade consiste em receber do público depósitos ou outros fundos reembolsáveis a fim de os aplicar por conta própria mediante a concessão de crédito, podendo ainda efetuar todas as demais operações previstas no artigo 4º do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
4. Os autores são clientes da ré há mais de 30 anos.
5. Há mais de 30 anos os autores e ré celebraram entre si, um contrato de abertura de conta, que deu origem a duas contas bancárias conjuntas na Caixa Geral de Depósitos no Balcão ... em ....
6. Sendo desde então titulares nesse Balcão ... em ... ora ré, da conta nº ...900, e da conta com o nº ...100.
7. Desde a sua abertura, os autores têm vindo a movimentar as supra identificadas contas, quer a crédito, quer a débito, nela fazendo depósitos de recursos monetários e sobre elas fazendo os mais diversos pagamentos.
8. Por contrato nº ...99 celebrado entre as partes há mais de quinze anos, a ré forneceu aos autores o Serviço CaixaDirecta para a conta ...900 (cfr. doc. nº 3 junto com a p.i., cujo teor aqui dou por integralmente reproduzido).
9. Quando utilizam o referido serviço CaixaDirecta, os autores têm acesso a todas as contas que de que são titulares na Caixa Geral de Depósitos, para consulta e movimentação.
10. Este serviço permite aos autores a possibilidade de efetuar operações bancárias através da internet, concretamente pagamentos e transferências sem a intervenção direta dos funcionários do banco.
11. Nos termos da cláusula 1. das condições gerais do contrato supra referido em 8., “O serviço CaixaDirecta consiste na faculdade conferida ao cliente, que seja pessoa singular e que ao mesmo adira, de estabelecer relações com a CGD consistentes, designadamente, na aquisição de serviços, realização de consultas e de operações bancárias relativamente a contas que seja único titular ou co-titular em regime de solidariedade, e que possa livremente movimentar, utilizando, para o efeito, canais telemáticos: telefone (serviço telefónico), internet (serviço on-Line), WAP (Wireless Application Protocol), ... (Interactive TV) ou outras formas de acesso que venham a ser definidas pela caixa”.
12. No ponto 2.1. das Condições Gerais consigna-se que “O acesso ao Serviço CaixaDirecta, independentemente de outras regras que venham a ser definidas no futuro, processar-se-á através de elementos de identificação estritamente pessoais e intransmissíveis.
13. No ponto 2.2. das mesmas Condições Gerais consta que “Os elementos de identificação referidos na cláusula anterior serão fornecidos ao aderente no acto de adesão ou, sempre que a CGD entenda que se justifique, posteriormente e a este acto”.
14. No ponto 2.3. das mesmas Condições Gerais consta que: “A CGD poderá estabelecer outros sistemas de controlo consoante o montante das operaçãos, exigindo, designadamente, a respectiva confirmação por escrito”.
15. No ponto 6. das mesmas Condições Gerais consta que: “O aderente obriga-se a garantir a segurança dos elementos de identificação referidos na cláusula 2.1., bem como a sua utilização estritamente pessoal, designadamente:
a) Não facultando a sua utilização por terceiros, ainda que procurador ou mandatário:
b) Não revelando nem por qualquer forma os tornando acessíveis ao conhecimento de terceiros;
c) Memorizando-os e abstendo-se de os registar, quer directamente, quer por qualquer forma ou meio que sejam inteligíveis por terceiros”.
16. No ponto 9. das mesmas Condições Gerais, consigna-se que “Sempre que uma operação seja realizada mediante os procedimentos referidos nas cláusulas anteriores e no Guia do Utilizador, presume-se que foi feita pelo Aderente.
17. No ponto 10. das mesmas Condições Gerais, consigna-se que “Se, no entanto, se provar que a operação foi realizada por terceiro, presumir-se-á que tal consentimento foi consentido ou culposamente facilitado pelo aderente”.
18. No ponto 11. das mesmas Condições Gerais, consigna-se que “Qualquer ordem regularmente transmitida é irrevogável”.
19. Os autores tomaram conhecimento das cláusulas desse contrato, assumindo com a sua subscrição todos os compromissos constantes das Condições Gerais do mesmo.
20. Para a utilização do Serviço Caixa Direta Online, é imprescindível a autenticação do utilizador daquele serviço, o que é do conhecimento dos autores.
21. Tal autenticação é concretizada por acesso à página Institucional do Banco, mediante a inserção das respetivas credenciais de autenticação, isto é, código de acesso e password, elementos pessoais e intransmissíveis, o que é do conhecimento dos autores.
22. Em segundo lugar, tem que se verificar a validação ou confirmação das operações solicitadas, o que é do conhecimento dos autores.
23. A confirmação das operações bancárias, dá-se através da utilização dos mecanismos de autenticação associados ao contrato, no caso, o cartão matriz e/ou
código “SMS Token”, o que é do conhecimento dos autores.
24. Para operações bancárias inferiores a € 499,99, apenas é necessário como elemento de autenticação da operação a introdução de três coordenadas aleatórias do cartão matriz fornecidas pelos serviços da ré.
25. Para operações bancárias superiores a € 499,99, é necessário como primeiro elemento de autenticação da operação a inserção de três coordenadas do cartão matriz aleatoriamente selecionadas pelo sistema, e para validação/confirmação da operação, obrigatoriamente, a inserção de código SMS Token remetido pelos serviços da ré para o número de telefone que o cliente escolheu como ficando associado ao serviço CaixaDirecta.
26. O código “SMS Token”, é enviado para o número de telefone que o cliente escolheu como ficando associado ao contrato Caixa Direta, quando procedeu à sua ativação.
27. O número de telefone associado pelos autores ao contrato Caixa Direta que celebraram com a ré, é o nº ...32.
28. Aquando da subscrição do serviço Caixa Directa on-line foi fornecido pela ré aos autores, na ativação deste serviço, um número de contrato, um código de acesso e um cartão matriz com um conjunto único de 64 combinações de números de três algarismos cada, que funciona como um elemento de segurança adicional para as operações realizadas no serviço CaixaDirecta.
29. Os autores tinham consciência das recomendações de segurança de utilização do sistema de CaixaDirecta da ré, nomeadamente do carácter pessoal dos dados pessoais que lhe foram fornecidos aquando da celebração do contrato: número do contrato e respetiva password e cartão matriz associado ao contrato.
30. Qualquer um desses três dados é pessoal, secreto e intransmissível, o que é do conhecimento dos autores.
31. Os autores sempre mantiveram esses códigos na sua posse e secretos.
32. Os autores, nunca divulgaram ou cederam os seus dados a terceiros.
33. No dia 27 de Julho de 2020, os autores encontravam-se de férias na sua casa da ..., tendo o autor cerca das 13.00 horas e antes das 13.30 horas, decidido aceder através de computador ao Serviço CaixaDirecta, a fim de efectuar o pagamento de serviços à EDP, no valor de € 40,42, através da sua conta ...900.
34. Para o efeito, introduziu como habitualmente as credenciais de autenticação fornecidas pela ré: código de acesso e password.
35. Ao entrar no serviço CaixaDirecta, apareceu-lhe uma página que tinha os dizeres “Aplicação IBM- Segurança de Dados”.
36. O correr dessa página “bloqueou” o funcionamento do computador.
37. Tendo nessa ocasião ocorrido tentativa de transferência da conta dos autores com o nº ...100 para a conta a que corresponde o IBAN nº  ...23, no valor de € 5.000,00.
38. Na sequência desta tentativa de transferência, foi efetuado por parte dos serviços da ré um primeiro pedido de inserção de três coordenadas do cartão matriz aleatoriamente selecionadas pelo sistema, como primeiro elemento de autenticação da operação de transferência que estava a ser solicitada.
39. Não tendo o autor, nesta ocasião, preenchido as coordenadas solicitadas para esse efeito.
40. De seguida foi feito por parte dos serviços da ré um segundo pedido de coordenadas de matriz, tendo o autor preenchido as coordenadas solicitadas.
41. Por tal, pelas 13.20 horas, pelos serviços da ré foi enviado automaticamente para validação da operação, um SMS Token, para o telefone nº ...32, com os seguintes dizeres: “Para confirmar a transferência para a conta  ...23 no valor de 5.000, 00 EUR, introduza o código ...75”.
42. Não tendo o autor introduzido no serviço caixa directa o código SMS Token que lhe foi enviado, necessário para efectuação de transferências bancárias superiores a € 5.000,00, pelo que a mesma transferência bancária não foi concretizada.
43. De seguida, o autor encerrou o computador/e a sessão do Serviço CaixaDirecta.
44. Após, entre as 13.30 horas e as 13.36, o autor acedeu de novo ao Serviço CaixaDirecta, tendo para tanto de fazer um novo login com a autenticação através do número do contrato e código de acesso.
45. Tendo nesta segunda sessão realizado o pagamento dos serviços à EDP no valor de € 40,42, através da sua conta com o n.º ...900, para o que introduziu as três coordenadas do cartão matriz aleatoriamente selecionadas pelo sistema da ré que lhe foram envidas pelos serviços desta.
46. E de seguida, nesta segunda sessão, após nova solicitação da realização da transferência da conta dos autores com o nº ...100 para a conta a que corresponde o IBAN nº  ...23, no valor de € 5.000,00, pelos serviços da ré foi novamente solicitado o preenchimento de três coordenadas do cartão matriz, aleatoriamente selecionadas pelo sistema, como primeiro elemento de autenticação da operação.
47. Coordenadas essas que o autor preencheu.
48. Como tal, pelas 13:34 foi enviado automaticamente pelos serviços da ré para o telefone dos autores nº ...32 associado ao contrato, código SMS Token, com os seguintes dizeres: “Para confirmar a transferência para a conta  ...23 no valor de 5.000, 00 EUR, introduza o código ...11”, cuja introdução no serviço CaixaDirecta era necessário para efectuar tal transferência.
49. De seguida, o autor, sem ter lido a mensagem que lhe foi enviada pelos serviços da ré para o seu telemóvel, introduziu o código SMS Token enviado pelos serviços da ré para o seu telemóvel.
50. Face à autenticação no serviço CaixaDirecta e validação da operação, com a introdução pelo autor das três coordenadas aleatórias do cartão matriz e introdução do código SMS Token enviado pelas 13.34 horas pelos serviços da ré para o telefone dos autores nº ...32 associado ao contrato, minutos depois, os serviços da ré efectuaram a transferência bancária no valor de € 5.000,00 da conta bancária dos autores nº ...100 da Caixa Geral de Depósitos para a conta bancária com o nº ...23, titulada por CC, na ré, Balcão de Chaves.
51. Nesse dia 27.07.2020, pelas 14.24 horas, ao Balcão da agência de Chaves da Caixa Geral de Depósitos, CC procedeu ao levantamento da quantia de € 4.990,00 que assim havia sido transferida da conta bancária dos autores nº ...100 da Caixa Geral de Depósitos para a conta bancária com o nº ...23, de que o referido CC era titular, fazendo-a sua e dando-lhe destino não concretamente apurado.
52. Tendo ficado na dúvida se o pagamento de serviços à EDP tinha sido feito, e por querer consultar os saldos das suas contas, nesse dia 27.07.2020 o autor dirigiu-se a uma agência da Caixa Geral de Depósitos da ..., nomeadamente a uma máquina para consultar os movimentos das suas cadernetas, e constatou que tinha sido feio o pagamento dos 40,42€ da conta ...900.
53. E que da sua conta com o nº ...100 tinham sido transferidos € 5.000,00.
54. Apesar da agência já estar com a porta de vidro interior fechada o autor pediu a uma funcionária que lhe abrisse a porta explicando-lhe o sucedido, tendo-lhe a mesma dito que teria sido vítima de burla informática, e para ligar imediatamente para a linha de apoio da CaixaDireta, para cancelar os acessos à conta, fornecendo ao autor o respectivo contacto telefónico.
55. De imediato, pelas 15.46.27 horas, o autor ligou para a linha de apoio da Caixa Directa que lhe foi fornecida, tendo falado com um funcionário da ré, tendo a chamada sido gravada, cuja transcrição se encontra junta com a contestação e constante de fls. 51 v. a 54, cujo teor aqui dou por integralmente reproduzido.
56. No decurso desse contacto, pelos serviços da ré foi feito o cancelamento das credenciais de segurança de acesso e de autenticação de operações no âmbito daquele serviço, isto é, o cartão matriz e SMS Token.
57. A autora contou à filha o sucedido, tendo esta solicitado o número da conta para onde foi feita a transferência, e depois deslocou-se a uma caixa multibanco fez uma transferência de um cêntimo para a conta em causa.
58. Tendo constatado que o nome do destinatário com aquele NIB era CC.
59. Os autores não conhecem CC, nunca tendo tido qualquer contacto seja a que título fosse com o mesmo.
60. Ante o conhecimento da identificação do titular da conta destino, o autor no dia 27.07.2020, pelas 17.01 horas, apresentou queixa na PSP ..., contra CC, por burla informática, que deu origem ao NUIPC: 000765/20.... seguindo o processo para a Policia Judiciária que deu origem ao inquérito nº 765/20.....
61. Nesses autos de inquérito foi em 15.12.2022 proferida acusação contra CC, imputando-lhe a prática em autoria material, na forma consumada e em concurso real de:
- Um crime de burla informática, p. e p., pelo art. 221º, nº 1 do Código Penal;
- Um crime de falsidade informática, p. e p. pelo art. 3º, nº 1 da Lei do Cibercrime;
- Um crime de acesso ilegítimo, p. e p. pelo art. 6º, nº 1 da Lei do Cibercrime.
62. No dia 28 de Julho de 2020, às primeiras horas da manhã, o autor dirigiu-se ao Balcão da Caixa Geral de Depósitos Agência ... em ..., informando DD, bancária naquela instituição, que tinha sido vítima de burla informática, tendo a mesma implementado os procedimentos instituídos pela ré em tais situações.
63. Verificando que não lhe seria devolvida pela ré a quantia de € 5.000,00, em 30 de Julho de 2020, o autor apresentou a reclamação escrita junta com a p.i. sob o doc. nº 7, cujo teor aqui dou por integralmente reproduzido.
64. No dia 31 de Julho de 2020, o autor recebeu um email da DECO a informar que estabelecera contacto com a CGD e com o Banco de Portugal iniciando a mediação do processo, conforme doc. nº 8 junto com a p.i., cujo teor aqui dou por
integralmente reproduzido.
65. No dia 05 de Agosto, o autor dirigiu-se à agência da Caixa Geral de Depósitos de ... e falou com a sua gestora de conta EE, que entretanto tinha regressado de Férias, contando-lhe o sucedido, e solicitou um extrato da conta, constatando que não tinha havido mais nenhum movimento anormal da conta.
66. No dia 19 de Agosto, o autor recebeu o email da ré junto com a p.i. sob o doc. nº 10, cujo teor aqui dou por integralmente reproduzido, com seguinte teor:
“From: Espaço Cliente CGD <cgd.gtr@cgd.pt> Data: qua, 19/08/2020 às 08:35 Assunto: Movimento não reconhecido Para: <..........@.....>
Assunto: Conta à ordem - movimento não reconhecido (transferência) N/
Referências: ...37 e ...83 S/ Referências: Livro de Reclamações - Folha Nº 893341 e PMED-...90-2020 Estimado Cliente,
Reportamo-nos aos seus contactos com a Caixa, um através do Livro de Reclamações eletrónico, outro através da DECO, relativo a movimento não reconhecido efetuado através do serviço CaixaDirecta, que nos mereceram a melhor atenção.
Da análise efetuada, constata-se que para a execução do movimento em apreço foram corretamente inseridos o número de contrato e a respetiva "password", que é pessoal e intransmissível;
Começamos por salientar que a transação a que alude foi efetuada com recurso ao serviço CaixaDirecta constando-se que para a execução do movimento relativo à transferência de 5 mil euros foram corretamente inseridos o número de contrato e a respetiva "password", que são dados pessoais e intransmissíveis.
A concretização da aludida transferência exigiu a inserção de um código numérico, selecionado aleatoriamente e extraível do cartão matriz associado ao contrato e ainda um código enviado por "SMS" para o telemóvel associado ao contrato (telemóvel pessoal), sem o qual a dita operação nunca seria possível.
A operação referida foi autenticada, registada e contabilizada, sem que tenha sido afetada por avaria técnica ou qualquer outra deficiência, não podendo a Caixa obstaculizar à sua realização, dado que a mesma foi devidamente autorizada, em face do disposto no n.º 1, do artigo 113º e dos n.ºs 3 e 4, do artigo 115º, do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (Decreto-Lei n.º 91/2018, de 12 de novembro).
Mais esclarecemos que nos termos da cláusula 46.ª das Condições Gerais de Abertura de Conta e Prestação de Serviços, as operações realizadas através do serviço CaixaDirecta em que tenham sido introduzidos os elementos de identificação (número do contrato e o código de acesso, que é confidencial, e que assim deve ser conservado pelo utilizador) e de validação adicionais, consideram-se autorizadas pelo titular, e serão da responsabilidade do mesmo, salvo se este tiver previamente comunicado à Caixa qualquer situação de utilização não autorizada do serviço por terceiro.
Analisada a situação exposta pela respetiva área de especialidade temos a considerar que o titular do contrato pôs em causa a segurança destes elementos supra referidos, ao efetuar o registo de credenciais em ambiente extra-CGD ou em situação descontextualizada, conforme declarou no questionário efetuado no contacto com a linha de apoio ao CaixaDirecta para registo do repúdio da operação.
Não tendo sido possível a recuperação das verbas junto do destinatário, e independentemente do facto de a Caixa ser alheia à transação subjacente à utilização do serviço CaixaDirecta, a Caixa disponibilizará as informações que as entidades judiciais considerem pertinentes solicitar, no contexto de participação efetuada junto das autoridades competentes.
Na expectativa de um desfecho favorável, apresentamos os melhores cumprimentos, Direção de Organização e Qualidade FF (Coordenadora Adjunta) Nota - Por favor não responda a este e-mail - Contacte-nos através do Espaço Cliente em www.cgd.pt”.
67. Os autores nunca comunicaram ou cederam dados pessoais e intransmissíveis a terceiros.
68. Os autores são tidos como pessoas sérias e honestas.
69. Os autores sempre haviam utilizado os registos e credenciais fornecidos pela ré para aceder ao serviço CaixaDirecta de acordo com as instruções que lhe foram dadas pela ré.
70. No questionário que fez perante a ré no dia 27.07.2020, o autor exarou:
“…Pelas 13h 30 a fazer pagamento pelo caixadirecta da EDP, no valor de 40,42 € iniciou-se um programa que diz ser de segurança de dados, começou a correr e bloqueia qualquer actividade no computador.
Após várias tentativas desligou e envia um sms token, Caixa Geral de Depósitos, e inadvertidamente introduzi o código”.
71. No início de Setembro de 2020, o autor recebeu do Banco de Portugal a comunicação junta com a p.i. sob o doc. nº 13, cujo teor aqui dou por integralmente reproduzido, da qual consta:
 “Assunto: reclamação relativa a CAIXA GERAL DE DEPÓSITOS, SA
Folha nrº ROR ...41 do livro de reclamações –N/refª
RCL/2020/...27
Exmo(a) senhor(a)
Vimos trazer ao conhecimento de V. Exa. que, depois de analisada a reclamação acima identificada, o Banco de Portugal não encontrou indícios de infração por parte da entidade reclamada.
A intervenção do Banco de Portugal na apreciação de reclamações está delimitada à verificação do cumprimento das normas que regem a atividade das instituições de crédito, sociedades financeiras, instituições de pagamento e instituições de moeda eletrónica no âmbito da comercialização de produtos e serviços nos mercados bancários de retalho.
Sem prejuízo do acima exposto, poderá V. Exª, se assim o entender, submeter a situação que originou a reclamação à apreciação judicial ou aos meios de resolução extrajudicial de litígios. Caso entenda acionar meios de resolução extrajudicial de litígio, sugerimos a consulta do Portal do Cliente Bancário (clientebancario.bportugal.pt) onde poderá encontrar informação sobre as entidades de resolução alternativa de litígios a que a instituição em causa aderiu e às que se pode dirigir.
Com a presente comunicação o Banco de Portugal Considera encerrado o processo de reclamação
Com os melhores cumprimentos
Banco de Portugal”.
72. Na chamada telefónica supra referida em 55., o autor pagou a quantia de € 15,36.
73. O autor utiliza frequentemente há mais de 15 anos, o serviço CaixaDirecta Online.
74. Desde há anos que a ré divulga versões aos seus clientes sob a forma de janelas tipo “pop-up” de recomendações de segurança na página de autenticação do serviço CaixaDirecta online (página de login), que são apresentadas rotativamente, alertando-os para os diversos riscos de fraude de que os clientes podem ser alvo, conforme docs. 1, 2, 5, juntos com a contestação, cujo teor aqui dou por integralmente reproduzido.
75. Em 31.03.2020 a ré publicou um específico alerta de segurança no seu site institucional, - Phishing Módulo de Segurança no qual refere: “Perante ecrãs suspeitos, não forneça qualquer dado e contacte de imediato a CGD” e onde a ré refere quais as regras de segurança que os utilizadores do serviço devem adotar perante o surgimento no seu computador destes ecrãs maliciosos (cfr. doc. 4 junto com a contestação cujo teor aqui dou por integralmente reproduzido).
76. Na área de Segurança do Serviço, também estão identificados outros exemplos de fraude que têm vindo a ser conhecidas do Banco, envolvendo os ataques de “phishing” de que os Clientes são alvo (cfr. doc. nº 5 cujo teor aqui dou por integralmente reproduzido).
77. Após a reclamação do autor no dia 27.08.2020, e analisar a situação, a ré verificou que já não era tecnicamente viável o estorno da quantia de € 5.000,00, porquanto o titular da conta de destino, já havia procedido ao levantamento da verba em questão.
78. Na comunicação supra referida em 55., o autor referiu ao seu interlocutor “… eu estava era a aceder através de uma rede net que não era fiável, acho eu …”.

Nela dão-se como não provados os seguintes factos:

1.1. No dia 27 de Julho de 2020, depois do almoço, o autor acedeu ao seu computador para verificar os emails, tendo o mesmo funcionado normalmente.
2.2. Nas circunstâncias de tempo e lugar supra referidas em 33. dos factos provados, após ter introduzido as credenciais de autenticação e códigos fornecidos pelos serviços da ré, o autor efectuou a transferência de € 40,42, através da sua conta ...900, e apareceu-lhe a página com os dizeres “Aplicação IBM- Segurança de Dados”, tendo após várias tentativas para sair daquela página que não resultaram, o autor encerrado o computar.
3.3. Quando o autor reiniciou o computador, apareceu-lhe a mesma página, tendo o autor introduzido o código enviado por SMS e o programa continuava a correr e a página continuou bloqueada.
4.4. Nas circunstâncias de tempo e lugar supra referidas em 62., dos factos provados, o autor solicitou a DD que o informasse se era possível a ré obter do seu cliente CC, a devolução dos € 5.000,00, tendo-o a mesma informado que o dinheiro não lhe poderia ser devolvido.
5.5. O autor perguntou-lhe quem é que lhe iria devolver o dinheiro indevidamente transferido sem a sua autorização, tendo sido informado por aquela funcionária, que o risco era da responsabilidade do utilizador do serviço da Caixa Directa, pelo que a ré nada tinha a pagar ou a fazer.
6.6. O autor solicitou que o informasse quais os mecanismos da Caixa Geral de Depósitos para resolver estas situações, tendo sido informado por tal funcionária que nada poderia fazer, uma vez que a responsabilidade pelas transferências fraudulentas ou não, era sempre da exclusiva responsabilidade do autor tal como estava no contrato de adesão ao serviço CaixaDirecta.
7.7. Os autores não são especialistas informáticos, utilizando o computador na ótica do utilizador, de forma cuidadosa e responsável.
8.8. O autor só teve noção do que tinha acontecido quando a funcionária da agência da Caixa Geral de Depósitos da ... onde se dirigiu no dia 27.07.2020, lhe referiu que tinham sido vítimas de fraude informática e o funcionário da Caixa Direta lhe disse o que aconteceu com a página e o bloqueio do seu computador.
9.9. Por esse motivo, o autor, no seu questionário referiu que viu a página de segurança e aí escreveu a palavra “inadvertidamente”, porque pensou ser uma página normal de segurança da Caixa Geral de Depósitos tal como constava da mesma, e procedeu normalmente.
10.10. Naquele momento o autor não desconfiou nem se apercebeu da fraude de que estava a ser vítima.
11.11. No dia 27.07.2020 o autor não acedeu através da CaixaDirecta à conta º conta com o nº ...100 de onde foram transferidos os € 5000,00, mas sim à conta ...900 para pagar dos € 40,42 onde tinha um saldo de pouco mais de € 1000,00.
12.12. Os autores ficaram muito chocados por serem cliente da ré há mais de 30 anos, e terem sido por esta tratados como se fossem criminosos.
13.13. O autor sentiu-se completamente abandonado e culpabilizado pela ré.
14.14. A ré recusou-se a prestar aos autores qualquer apoio ou a fornecer-lhes elementos, para resolução da questão da referida transferência, sabendo que estava a dificultar a apresentação de queixa às autoridades competentes pelos autores, não lhes fornecendo depois de solicitada a tanto por estes, os dados da pessoa para quem foi feita a transferência.
15.15. Os autores viram as suas férias e o seu descanso interrompidos, tiveram que cancelar a sua deslocação a Lisboa para estarem com as netas para virem para ... tentar resolver a situação.
16.16. Tudo o que lhes causou grande angústia, sofrimento e desgaste emocional.
17.17. Os autores utilizavam o serviço CaixaDirecta apenas no seu computador pessoal, ao qual são os únicos que têm acesso.
18.18. Os autores tinham e têm instalado no computador em causa um programa antivírus devidamente atualizado da Microsoft licenciado pela ESEnfC ao abrigo do contrato de licenciamento Campus.
19.19. Os autores só se aperceberam da referida transferência bancária depois do autor marido se ter dirigido no dia 27.07.2020, à agência da Caixa Geral de Depósitos da ..., e ter atualizado as cadernetas.
20.20. A ré sabia que a operação de transferência dos € 5.000,00 não foi autorizada pelos autores, e apesar de imediato avisada, nada fez para impedir a transferência, nem para a devolver o dinheiro à conta dos autores.
21.21. Os autores sentiram-se roubados, enganados, impotentes e abandonados pela ré por não ter bloqueado a transferência para uma conta que também lhe pertencia, uma vez que foi avisada atempadamente.
22.22. O comportamento da ré gerou nos autores uma desconfiança e desconforto enorme em relação ao “Banco do Estado”, no qual toda a vida confiaram em absoluto e onde sempre pensaram que as suas economias para a velhice estariam seguras.

*
Motivou-se a decisão sobre a matéria de facto.

*

Aplicado o direito aos factos provados, decidiu-se do mérito e a final deu-se a acção como improcedente, absolvendo-se a Ré Caixa Geral de Depósitos SA, dos pedidos contra ela formulados.
As custas ficaram pelos Autores.

ix)-

Inconformados, recorrem os Autores, recurso que foi admitido como de apelação, a subir imediatamente, nos próprios autos e efeito meramente devolutivo.

Alegam e conclui muito em síntese:
(…)
Impugnam a decisão proferida sobre a matéria de facto.

Pretendem ver como provados os factos vindos como não provados com os nºs – 7.7., 8.8. e 10.10., 11.11., 17.17., 18.18 e 19.19.   

(…)
Pretendem não ter o Autor agido com negligência, e muito menos negligência grosseira.
Pretendem ver constatado que se verifica vulnerabilidade da página da Ré como prestador de serviços de homebanking.

(…)

87- Se o Autor não introduzisse o Código do SMS Token, não seria feita a transferência? ou seja não se daria a fraude?
88- A partir do momento em que o “meliante CC” também cliente da Ré, que sem dúvida, conhece muito bem o sistema da CaixaDirecta conseguiu, ultrapassar os primeiros elementos de segurança (não se sabe como nem quando) e aceder ás contas do Autor , fosse com SMS Token ou sem ele , a fraude seria cometida na mesma.
89- Porque tal como referido pela testemunha da Ré Sr. GG, o “vírus” tem acesso a todas as contas e vai injetando as informações e fazendo as transferências para a conta ou contas mula, sem que o utilizador veja ou tenha acesso por qualquer meio às suas contas.
90- No caso concreto como a transferência era de 5000,00 € foi enviado o SMS Token, no entanto o “vírus” poderia fazer várias transferências de 499,99€ cada uma, e de qualquer conta do Autor, e nem sequer era enviado nenhum SMS Token e a fraude concretizava-se na mesma.
91- Pelo que, com o devido respeito, e ao contrário do entendimento da Mmª Juiz do Tribunal “a quo” não foi a “negligência” do autor ao inserir o Código do SMS Token que permitiu a Fraude.
92- Ou seja, a partir do momento em que a segurança do sistema da Caixa direta foi comprometido, o envio do SMS Token e a inserção do seu código ou não neste caso era irrelevante, não servindo o SMS Token para garantir ou dar segurança a nada, já que a fraude poderia ser concretizada na mesma e até de forma mais discreta sem que o Autor se apercebesse.
93- Num caso destes o SMS Token , considerada segurança forte, apenas serve para dar uma aparência de segurança ao utilizador da caixa Direta, e vender melhor este serviço da Ré.
94- Esta segurança “forte” é falsa porque depois de ultrapassado o sistema de proteção do computador, o SMS Token não faz qualquer proteção, dado que os valores das contas bancárias dos clientes podem ser transferidos sem sequer ativar aquele código, já que o “ vírus “pode ficar dias adormecido ou ir fazendo o “trabalho” para que foi programado sem ninguém se aperceber desde que faça várias transferências de 499,99€.
95- Como já referido, o Autor, não forneceu os seus Códigos nem passwordes a ninguém e não tinha controlo sobre o seu próprio computador. O autor, apenas teve 60 segundo para introduzir o Código SMS Token
96- No entanto a Ré, apesar de ter registos de todas as entradas e saídas e várias tentativas naquele dia e naquela conta, e apesar de conhecer de forma pormenorizada este tipo de Fraude, a Ré procedeu á transferência de 5000,00€ de imediato, para a conta de outro cliente seu, e passado meia hora entregou o valor em causa ao “meliante seu cliente” no Balcão de Chaves.
97- Dúvidas não há, que o acesso não autorizado à conta do Autor é conseguido pela quebra de segurança do sistema controlado pelo banco, havendo a interceção das senhas enquanto estão a ser digitadas (conhecido por keylogging).
98- No caso concreto, e é fácil de perceber pelas explicações da testemunha da Ré Sr. GG e dúvidas não há que os dados pessoais (número de conta ou de contrato, senha e os códigos de validação das operações) foram conhecidos pelo terceiro também cliente da Ré que atuou fraudulentamente pela técnica de pharming.
99- Ou seja, sem saber, o Autor indicou os códigos pessoais (número de contrato e senha) que devido a uma quebra de segurança do sistema da Ré permitiram ao terceiro aceder à conta na página verdadeira, tanto era a página verdadeira que o Autor fez o pagamento à EDP.
100- O autor é cliente caixa à mais de 30 anos, e utiliza a caixa direta desde que a mesma foi criada, nunca tendo tido até Julho de 2020 qualquer problema.
101- Ora, com o devido respeito, e de acordo com o exposto não nos parece que o autor tenha agido com culpa grave ou negligência grosseira, por ter digitado um código em 60 segundos sem ler a mensagem, uma vez que qualquer cidadão médio normal poderia e tem sido vítima deste tipo de fraude.
101- E mesmo que o autor tivesse lido a mensagem e não tivesse inserido o código, nada impedia o Terceiro de cometer a Fraude em causa, obrigando apenas este a fazer mais transferências de valor mais baixo.
102- Aliás; se em situações como estas a responsabilidade passar para o cliente e se forem desresponsabilizadas as instituições Bancárias, as quais já são muito beneficiadas com este tipo de serviços on line uma vez que reduzem os custos com mão de obra e instalações físicas, cada vez vão investir menos em segurança.
103- E mesmo sem aumentarem custos com a segurança, podem adotar outras formas de segurança que até já são utilizadas noutras situações, entre outras:
104- Quando se fazem transferências bancárias entre dois bancos diferentes, as transferências em regra só são efetuadas 48 horas depois, não se compreende que em casos como este, as instituições bancárias por serem contas do mesmo banco façam a transferência de imediato.
105- O sistema de segurança pode e deve evitar a possibilidade de o “vírus “aceder a todas as contas do cliente independentemente de este aceder a elas ou não, tornando-as independentes.
106- Dúvidas também não há, que terceiros entram no sistema informático de forma desconhecida que revela a fragilidade desse sistema de segurança, competindo ao Banco reforça-lo, de forma a impedir que tal possa ocorrer.
102- É entendimento abundante na Jurisprudência e na Doutrina que o risco dos danos causados pela fragilidade do sistema pertence ao banco, solução que se justifica inteiramente, tendo em conta que a instituição de sistema de pagamentos eletrónicos não é benéfica apenas para o titular, indo ao encontro dos interesses do banco, na medida em que diminui os seus custos operativos, nomeadamente com funcionários e instalações.
103- Nessa medida, os bancos estão adstritos a apertados deveres de segurança, devendo garantir a confidencialidade e integridade dos sistemas informáticos de que se socorrem para operacionalizar as transações eletrónicas.
104- Ora, no caso concreto, está bem patente que a Ré não logrou provar o cumprimento desse dever de garantir a confidencialidade e integridade do sistema informático.
105- E ao contrário do referido na douta sentença, esse dever não ficou garantido pelo simples facto de cumprir os avisos e mandar um SMS Token que tem que ser conferido e inserido em 60 segundos, que pode ilibar a instituição bancária, uma vez que o resto das coordenadas nunca foram transmitidas de forma negligente ou fraudulenta pelo autor a terceiros.
106- Pelo que, com o devido respeito, entende o Autor e é entendimento é abundante na Doutrina, que deve ser a instituição bancária a assumir a responsabilidade e reembolsar o autor pelos prejuízos sofridos.

Pugnam pela revogação da sentença recorrida.

*
Contra-motiva o banco Réu, referindo:

1. Os Recorrentes vêm interpor recurso da decisão proferida pelo tribunal a quo, requerendo que seja revogada a Sentença Recorrida e seja alterada a matéria de facto dada como provada, passando da mesma a constar os factos 7.7., 8.8, 10.10, 11.11, 17.17, 18.18, 19.19.
2. Além disso, nas suas alegações de recurso, referem os Autores que: “Também não concorda o Autor, com o entendimento da Mmª Juiz do Tribunal “a quo” na classificação da conduta do Autor que: “configura negligência grave, preenchendo a previsão estatuída no artigo 113º, nº 3.”
3. Não possuem razão os Recorrentes.
4. A circunstância de o Autor ser professor na escola superior de enfermagem e a sua esposa ter sido enfermeira nos hospitais de ..., não permite demonstrar que não são especialistas informáticos, utilizando o computador na ótica do utilizador, de forma cuidadosa e responsável.
5. A circunstância de que “Também ficou provado nos factos 67, 68 e 69 que os autores que são clientes da Ré há mais de 30 anos, nunca comunicaram ou cederam dados pessoais e intransmissíveis a terceiros e que, sempre haviam utilizado os registos e credenciais fornecidos pela ré para aceder ao serviço Caixa Directa de acordo com as instruções que lhe foram dadas pela ré”, não permitiria dar como provado o referido ponto 7.7 dos factos não provados.
6. De resto, da transcrição das declarações prestadas pelo Autor, que consta das alegações dos Recorrentes (página 15), nada resulta que permita efetivamente comprovar o facto 7.7, já supra referido.
7. O argumento invocado pelos Recorrentes de que “Inclusive, os autores por uma questão de cautela, e como pessoas cuidadosas que são, tinham uma conta com um saldo de pouco mais de mil euros, que era de onde faziam os pagamentos através da CaixaDirecta que foi onde o Autor acedeu no dia 27 de Julho de 2020 e a conta conta com o nº ...100 onde tinha cerca de 9000,00€ de onde, sem sua autorização, foi feita a transferência dos 5000,00€ não tendo o autor acedido naquele dia àquela conta via CaixaDireta., não é suficiente para prova do mencionado facto 7.7, ou seja, que os autores não são especialistas informáticos, utilizando o computador na ótica do utilizador, de forma cuidadosa e responsável, além de nem poderia constar por não ter sido levada a cabo qualquer prova nesse sentido, motivo pelo qual este argumento também não poderia servir para dar como provado o facto 7.7 dos factos não provados.
8. A parte da transcrição das declarações do Recorrente que consta da página 16 das, aliás, doutas alegações de recurso, também não permite demonstrar nem o argumento expendido, nem o facto 7.7 dos factos não provados.
9. O facto 8.8 não podia ter sido dado como provado face à circunstância de que o Recorrente se apercebeu, em momento anterior ao da conversa com funcionária da Recorrida, da transferência dos € 5.000,00 em questão, conforme resulta dos factos 52, 53 e 54 dos factos provados, em particular os factos 52 e 53, que referem respetivamente que “Tendo ficado na dúvida se o pagamento de serviços à EDP tinha sido feito, e por querer consultar os saldos das suas contas, nesse dia 27.07.2020 o autor dirigiu-se a uma agência da Caixa Geral de Depósitos da ..., nomeadamente a uma máquina para consultar os movimentos das suas cadernetas, e constatou que tinha sido feio o pagamento dos 40,42€ da conta ...900.” E que da sua conta com o nº ...100 tinham sido transferidos € 5.000,00.”
10. Ainda que estes dois factos tivessem sido dados como provados, tal não afastaria a culpa do Autor, ora Recorrente, que atuou com negligência grosseira ou culpa grave e, por isso, não conduziria a decisão diversa da proferida.
11. Caso o Recorrente tivesse atentado, não só nos vários alertas publicados pela Ré, ora Recorrida, acerca de fraudes como aquela de que terá sido alvo e, mais do que isso caso não tivesse descurado o teor e conteúdo do SMS Token recebido para confirmação da operação em causa e reclamada, esta não teria sido concretizada e Autor não ter sido alvo de fraude.
12. O Recorrente não atentou no texto da referida SMS e introduziu o código recebido, sem ler a mensagem que lhe indicava expressamente o tipo de operação que visava confirmar e qual o seu montante, conforme resulta das suas declarações: “Não li a mensagem, senhora doutora, estava de tal maneira de tal maneira nervoso, queria desbloquear a situação. Apenas olhei, como fazia praticamente sempre, porque as mensagens eram sempre as mesmas da Caixa Geral de Depósitos. Era uma mensagem e depois vinha um código. Eu olho para o código e introduzo o código no computador”.
13. Bem sabia o Recorrente qual objetivo destas mensagens SMS Token, isto é, para que serviam, tendo referido o seguinte: Magistrada Judicial: E é-lhe remetido esse SMS para quê em concreto? Autor: Habitualmente, quando era para confirmar determinado tipo de transferências ou determinado tipo de pagamentos era, digamos assim, que eu entendia como um reforço em termos de segurança por parte da Caixa. Geral de Depósitos.
14. Referem, ainda, os Recorrentes que a testemunha da Ré “especialista neste tipo de fraudes Sr. GG referiu que o “vírus” está a apropriar-se das coordenadas, entrar nas contas e a mandar as informações ao banco, a fazer o pedido de transferências para as contas mula etc”.
Não foi isto que esta testemunha referiu. O que esta testemunha disse é que o vírus solicita as coordenadas do cartão matriz e do SMS Token.
15. Os elementos para confirmação da operação, isto é, as três coordenadas do cartão matriz e o código Token foram introduzidos pelo Recorrente, conforme é por si confessado, não só nas suas declarações, mas também na chamada telefónica que fez para o Caixa Contact Center e da transcrição da chamada que foi junta com o Requerimento de 27.10.2020 e a que coube a Referência 36927584.
16. Resultou de toda a prova produzida que foi a introdução destas duas credencias de confirmação das operações que permitiu a concretização da operação reclamada.
17. Invocam os Recorrentes que o facto 11.11 dos factos não provados facto deveria ter sido dado como provado e sustentam este entendimento nos documentos 4, junto com a Petição Inicial e os documentos 2 e 4 juntos aos autos em 18.04.2023 onde mencionam que é referido o seguinte: “No que diz respeito à conta nrº ...00 informamos que, no período compreendido de 26/06/2020 a 28/06/2020 não foram efetuados movimentos via caixa direta”.
18. Este documento reporta-se a datas completamente diferentes da data dos factos e, pese embora os Recorrentes referiram, que “…na comunicação da Ré, há um lapso manifesto na data, que não é mês 6 mas sim o mês 7, no entanto não pode deixar de se ter em conta que a resposta seria da data dos factos ou seja mês 7”, não se vislumbra de onde podem retirar tal conclusão.
19. Como refere a Sentença recorrida, “Do teor dos depoimentos das referidas testemunhas e declarações de parte do autor, resultou que quando se acede/utiliza o serviço CaixaDirecta, os utilizadores têm acesso a todas as contas bancárias de que são titulares na Caixa Geral de Depósitos, podendo consultar e movimentar todas elas, dúvidas não tendo ficado no Tribunal de que no dia 27.07.2020 quando o autor utilizou o serviço CaixaDirecta, acedeu às duas contas de que era co-titular (conta º conta com o nº ...100, e conta nº ...900), podendo consultar/movimentar qualquer uma delas ou as duas.”.
20. A Sentença recorrida acerca deste aspeto refere e bem que “Do teor do depoimento da testemunha EE, gestora de conta dos autores há vários anos, conjugado com as declarações de parte do autor, contrato homebanking junto aos autos, doc. 12 junto com a p.i., e docs juntos com a contestação (não numerados) constantes de fls. 40 a 46, firmou o Tribunal a firme convicção de que os autores tinham perfeita consciência das cláusulas contratuais do contrato homebanking que celebraram com a ré, modo como se processa o acesso/utilização de tal serviço, operações que permite realizar, como se faz a autenticação do utilizador, das recomendações de segurança de utilização do serviço, nomeadamente do carácter pessoal e intransmissível dos dados pessoais que lhe foram.”
21. A testemunha EE referiu sobre este assunto o seguinte: Magistrada Judicial:
Pronto, e depois feita essa operação quando se acede a esse serviço acede-se a uma das contas que foi selecionada? Acede-se a todas as contas…
EE: Ao seu património todo.
Magistrada Judicial: E imagine que o cliente não selecionou alguma das contas se aceder a este serviço também se acede a essas contas?
EE: Se não fizer nenhuma edição sua a dizer que não quer que aquelas lá estejam, acede a todas as contas onde é titular.
Magistrada Judicial: Só não acede aquelas que eu digo, eu não quero que estas estejam disponíveis na CaixaDirecta?
EE: Exato. Senão acede ali a todas.
22. A testemunha GG ao contrário do que é alegado pelos Recorrentes, referiu “que independentemente do Autor entrar naquela conta ou não, o “Vírus” tem capacidade para entrar em todas as contas”, mas sim que “o vírus tem esta capacidade de bloquear temporariamente o computador”.
23. Esta testemunha, quando questionado pela Meritíssima Juiz, quanto a se haveria alguma possibilidade de ter sido concretizada a transferência reclamada, tendo em conta as capacidades do vírus, caso o Autor, ora Recorrente, não tivesse introduzido as três coordenadas do cartão matriz, aleatoriamente selecionadas, e o código SMS Token, rececionado no seu telemóvel, respondeu o seguinte:
GG: “Nenhuma, nenhuma possibilidade, aliás, não é possível realizar operações sem a, que seja solicitado pelo menos uma credencial de autenticação forte. Ou seja, operações de baixo valor ou de menor risco…”
24. Das declarações do Recorrente, transcritas na página 21 das alegações de Recurso, não resulta que os Recorrentes utilizavam o serviço caixa direta somente no seu computador particular, pelo que não poderia ter sido dado como provado o facto 17.17 dos factos não provados.
25. Conforme, refere e bem acerca deste aspeto, a Sentença recorrida, na sua página 34, com interesse para esta matéria, “Do documento junto com a p.i. sob o nº 11, resulta que o computador aí identificado está protegido por antivírus licenciado. Nas suas declarações de parte referiu o autor no dia 27.07.2020 quando acedeu ao serviço CaixaDirecta o fez através de uma rede de internet pessoal, segura, e que o computador que utilizou não tinha vírus. Não foi produzida qualquer prova, porém, que no dia 27.07.2020 o autor acedeu ao serviço CaixaDirecta a partir daquele computador; nem que acede sempre a esse serviço através do seu computador pessoal. E, as declarações do autor nesta parte não colheram por manifesta parcialidade/interesse, tendo ademais, sido infirmadas pela demais prova produzida. Com efeito, da comunicação telefónica que logo nesse dia 27.07.2020 o autor estabeleceu com a linha CaixaDirecta (doc. de fls. 51 v. a 54), o próprio referiu ao seu interlocutor “… eu estava era a aceder através de uma rede net que não era fiável, acho eu …”. De igual forma a testemunha EE quando dias após foi contactada pelo autor, referiu que o mesmo lhe disse que utilizou uma “rede aberta”.
26. O facto facto 18.18 dos factos não provados não poderia, ter sido dado como provado, contrariamente ao pretendido pelos Recorrentes, uma vez que, conforme refere a Sentença recorrida que não foi feita prova de que o computador utilizado no dia em questão para aceder ao serviço de caixa direta, tivesse sido o computador identificado no documento 11 junto com a Petição Inicial, pelo que, data venia, não poderia a Sentença recorrida ter dado como provado o facto 18.18 dos factos não provados.
27. A versão apresentada pelo Recorrente, em sede de julgamento não poderia colher, tendo em conta as declarações que espontaneamente prestou na chamada que efetuou para o Caixa Contact Center, no dia dos factos e em que referiu o seguinte (página 4 da transcrição da chamada que foi junta com o Requerimento de 27.10.2020 e a que coube a Referência 36927584):
Cliente: Foi online, no computador.
Assistente: Nesse computador, já alguma vez alguém acedeu…ou existe aqui algum contrato de empresas por trás?
Cliente: Não, eu estava era a aceder através de uma rede net que não era fiável, acho eu. Era de…
28. O Recorrente estava convencido de ter acedido de uma rede que não era fiável.
29. A testemunha GG não referiu, como alegam os Recorrentes que “que mesmo um computador com antivírus pode ser infetado e ser objeto deste tipo de Fraude”, mas disse que
Eu leio a peça, eu estive a ler o… a peça, não que disparate… a coisa telefónica, a chamada telefónica do cliente, o cliente refere que estava a aceder a uma conexão eu tenho aqui as palavras, que não era segura. Eu não sei… deixe cá ver o que é que o cliente diz na chamada telefónica para a Caixa… deixe cá ver aqui um bocadinho… diz que, eu estava a aceder através de uma rede Net que não era muito fiável. Pronto qualquer coisa assim, disse o cliente. E, portanto, eu não sei o que é que cliente dizer com isto, mas o cliente sabe que arriscou porque senão, não diria uma coisa destas, portanto...
30. Quanto à importância da fiabilidade da rede de internet usada, esta testemunha referiu o seguinte:
Mandatária: Então diga-me uma coisa, o que é que rede Net tem influência na segurança dos nossos computadores, mesmo com antivírus?
GG: Tem.
Mandatária: Você é que o técnico, eu não sou.
GG: Tem toda.
Mandatária: Tem toda.
GG: Vou-lhe dizer, tem toda. Eu vou-lhe explicar se eu estiver a aceder à Internet, através de um de um WiFi com o router que não tenha encriptação correta, portanto, ou seja, o que é que isto quer dizer, tem a ver com a chave, com a troca de chaves da segurança, da ligação. É que o meu computador, Wi-Fi e, por exemplo, router ou até no meu telemóvel é antena da MEO ou da NOS, se não for seguro, qualquer pessoa, qualquer terceiro, consegue apanhar as comunicações, se me estou a fazer entender e portanto esta afirmação do cliente também tem muita relevância, ele sentia que era possível e que arriscou.”
31. Invocam os Recorrentes que o facto 19.19. devia ter sido dado como provado e para o justificar os Recorrentes invocam novamente tudo o que anteriormente já haviam explanado, relativamente à alegada circunstância de no dia em questão (27.07.2020) o Autor nunca ter acedido à conta conta com o nº ...100, o que como verificámos supra não corresponde à realidade, reiterando a recorrida tudo o acima exposto acerca deste assunto nomeadamente nos artigos 42º a 52º acima.
32. Ao contrário do alegado pelos Recorrente, não se verifica qualquer incorreta aplicação do Direito ao caso dos autos.
33. Ao abrigo do n.º 1 do artigo 113º do RJSPME (Decreto-Lei nº 91/2018 de 12 de Novembro), sempre que o utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento (ou alegue que a operação foi incorretamente executada), incumbe ao respetivo prestador fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência.
34. De acordo com o n.º 3 deste artigo, “a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, por si só, não é necessariamente suficiente para provar que a operação de pagamento foi autorizada pelo ordenante, que este agiu de forma fraudulenta ou que não cumpriu deliberadamente ou por negligência grave, uma ou mais das suas obrigações decorrentes do artigo 110º.”
35. O nº 4 do acima referido preceito legal estabelece que, para provar que a operação de pagamento foi autorizada pelo ordenante, isto é, pelo utilizador de serviços pagamento, o prestador de serviços de pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.
36. O art.º 115 (que corresponde ao artigo 74º da DSP2- Diretiva dos Serviços de Pagamentos revista) introduz derrogações importantes ao regime-regra e responsabilidade que é instituído pelo RJSPME (Decreto-Lei nº 91/2018), redistribuindo o risco de utilização dos instrumentos de pagamento, através da apreciação de novos critérios.
37. O nº 4 do artigo 115º do supra referido diploma legal, estabelece que “Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50.
38. Sobre o conceito de negligência grosseira ou culpa grave debruça-se a primeira parte do Considerando 72 da DSP 2 Diretiva dos Serviços de Pagamentos revista (DSP2): “Para avaliar a eventual negligência ou negligência grosseira cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias. Os elementos de prova e o grau da alegada negligência deverão ser avaliados nos termos do direito nacional. Todavia, embora o conceito de negligência implique uma violação do dever de diligência, a negligência grosseira deverá significar mais do que mera negligência, envolvendo uma conduta que revela um grau significativo de imprudência; por exemplo, conservar as credenciais utilizadas para autorizar uma operação de pagamento juntamente com o instrumento de pagamento, num formato que seja aberto e facilmente detetável por terceiros.”
39. Acerca do conceito de negligência grave pronunciou-se de forma muito ilustrativa a Prof.ª Ana Prata que esclarece que culpa grave é o mesmo que “negligência grosseira, erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes” (vide “Cláusulas de Exclusão e Limitação da Responsabilidade Contratual”, Reimpressão, págs. 306 a 308 e nota-de-rodapé 643 in fine).
40. A jurisprudência também tem vindo pronunciar-se acerca deste mesmo conceito, destacando-se, a mero título de exemplo, o Acórdão do Tribunal da Relação de Lisboa de 24.01.2023, cuja Relatora foi Micaela Sousa e que, a propósito deste conceito, refere o seguinte:“… a negligência grosseira não se basta com a falta de cuidado que uma pessoa normalmente diligente teria naquela situação, dentro das circunstâncias do caso concreto, exigindo-se um nível de falta de cuidado mais elevado, um descuido ou desmazelo inadmissível para qualquer pessoa colocada naquela situação.”
41. Alegam os Recorrentes que a atuação do Recorrente não configurou atuação com culpa grave ou negligência grosseira e invocam par o fundamentar que “Em primeiro lugar ficou provado em 31 e 32, que o autor manteve os códigos secretos e na sua posse e nunca os divulgou a terceiros.
42. Pese embora tais factos tenham sido dados como provados, a sua prova não significaria que, no caso concreto, o Recorrente não atuou em negligência grosseira.
43. Com interesse para aferir da atuação do Recorrente, mais concretamente do grau de negligência, também foram dados como provados os seguintes factos dos factos provados: 23, 25, 26, 45, 46,47, 48, 49 e 50.
44. A atuação do Recorrente, já sobejamente acima descrita e que consta dos factos provados acima indicados e em particular dos factos 46, 47, 48 e 49, se traduziu, em síntese, em ter inserido/introduzido, não só as três coordenadas do cartão matriz que lhe foram solicitadas, mas ainda o código SMS Token, para confirmação de uma operação que não havia solicitado, (recordemos que o Recorrente pretendia fazer um pagamento de serviços de pouco mais de 40 € e a operação descrita na referida mensagem era uma transferência bancária no valor de 5000,00 €), sem ter lido sequer o texto de tal mensagem (facto 78 dos fatos provados).
45. Merecem destaque, por se reportarem a situação consideravelmente semelhante à do caso sub judice, o Acórdão do Tribunal da Relação de Lisboa de 12.07.2018, proferido no Processo nº2256/17.0T8LSB.L1-7, cujo Relator foi Higina Castelo, Acórdão, desta feita do Tribunal da Relação de Lisboa, datado de 14.02.2023, proferido no âmbito do processo nº 450/20.6T8MTA.L2-7, cujo Relator foi Carlos Oliveira e que se encontram disponíveis em www.dgsi.pt
46. Como ficou provado e resulta da Sentença recorrida, o Recorrente efetuou o 2º login (2ª Sessão) no serviço CaixaDirecta, tendo registado o pagamento de serviços que pretendia, no valor de € 40,42, para o qual só foi, atento o valor ser inferior a € 499,99, solicitado como elemento de autenticação da operação três coordenadas do cartão matriz.
47. Inusitadamente, perante novo comportamento estranho do computador e uma 2ª mensagem SMS para concretização de uma operação/transferência para um IBAN desconhecido, de um valor absurdo, o Recorrente, mesmo assim, decidiu prosseguir e confirmar a operação, introduzindo o código SMS Token que lhe havia sido enviado para esse efeito, sem ter lido a mensagem (além de introduzir as três coordenadas do cartão matriz, no momento, aleatoriamente escolhidas pelo sistema para realização desta operação)
48. Ficou demonstrado que a mensagem remetida com o código SMS Token dizia expressamente a que operação de destina, indicando conta (IBAN) e valor concreto da operação.
49. A mensagem do SMS Token em causa na situação dos autos, refere expressamente, conforme consta do facto 41 dos factos provados, que a sua introdução tem como objetivo confirmar a realização de tal operação. (“Para confirmar a transferência para a conta  ...23 no valor de 5.000, 00 EUR, introduza o código ...75”).
50. Ficou, igualmente, comprovado que bastava o Recorrente não ter introduzido este código para que a operação não tivesse sido concretizada (facto 50 dos factos provados).
51. Ficou também demonstrado que o Recorrente é conhecedor dos meios de validação e autenticação das operações, tendo conforme supra exposto, referido saber que o código SMS Token servia para confirmar operações de pagamento ou transferências – vide declarações do Recorrente transcritas no artigo 34º acima e facto 29 dos factos provados.
52. O antecedentemente exposto demostra inequivocamente que o Recorrente, incumpriu com as regras de segurança amplamente divulgadas pela Recorrida para acesso e utilização ao Serviço CaixaDirecta e que conhecia, conforme consta do facto 29 dos factos provados.
53. Merece particular atenção o alerta/ anúncio de segurança já referido no artigo 82º da Contestação da Recorrida que descreve comportamento idêntico ao relatado pelos Recorrentes e onde a Recorrida refere quais as regras de segurança que os utilizadores do serviço devem adotar perante o surgimento no seu computador destes ecrãs maliciosos.
54. Refere o dito anúncio que “Perante ecrãs suspeitos, não forneça qualquer dado e contacte de imediato a CGD e ao mesmo encontra-se junta imagem de ecrã fraudulento semelhante à que o Recorrente descreve (factos 74, 75 e 76 dos factos provados)
55. Não corresponde à verdade, por tudo o que anteriormente se expôs, a afirmação dos Recorrentes de que cumpriram com as obrigações de zelo, cautela e vigilância necessárias para a utilização deste serviço, uma vez que, embora acedessem ao serviço, nesta situação em particular ficou demonstrado que o Recorrente desconsiderou os avisos de segurança expressos que constam do respetivo site de acesso ao serviço.
56. Aos Recorrentes era exigível que tivessem adotado comportamento diferente na utilização do Serviço em questão.
57. O conjunto de factos provados e designadamente os antecedentemente expostos, relacionados com introdução pelo Recorrente do código Token, sem sequer ter lido a respetiva mensagem, bem sabendo o fim que se destinam tais mensagem e tendo consciência das recomendações de segurança de utilização do sistema de CaixaDirecta da ré, nomeadamente do carácter pessoal e secreto das credenciais de confirmação das operações, evidencia que o comportamento do Recorrente foi, com todo o respeito, grosseiramente negligente.

Nestes termos e nos mais de direito, deverá negar-se provimento ao recurso, confirmando-se a douta sentença apelada.

x)-

Dispensados os vistos, cumpre apreciar e decidir.

II- ENQUADRAMENTO JURÍDICO

Pelas conclusões das alegações do recurso se afere e delimita o objecto e o âmbito do mesmo.

III – OBJECTO DO RECURSO

As questões que se colocam ao julgador na apelação têm a ver com saber quais os factos a considerar e com aquilatar do acerto da decisão de mérito.

IV- mérito do recurso

1ª questão

Os Apelantes ora Autores Pretendem ver como provados os factos vindos como não provados com os nºs – 7.7., 8.8. e 10.10., 11.11., 17.17., 18.18 e 19.19.  

Mas sem razão.

A Ré impugnou a versão dos factos trazida aos autos pelos Autores, como se vê do artigo 23º e ss da petição inicial.
Alega a Ré ter havido uma sessão na CaixaDirecta iniciada pelo Autor às 13h e 13m do dia 27-7-2020 e uma segunda sessão iniciada pelo Autor às 13h e 30 m desse mesmo dia.
Nesta segunda sessão o Autor terá pago à EDP e na mesma sessão, introduzindo as coordenadas do cartão matriz e ainda o código SMS Token que lhe fora enviado, validou a operação de transferência para a conta fraudulenta.
A versão dos Autores de que a actuação do Autor terá sido a de um utilizador normal e atento do serviço homebanking da Ré e de que a fraude só ocorreu por fia da fragilidade do sistema electrónico da página do serviço CaixaDirecta da Ré, não colheu vencimento face à prova produzida. 
A versão dos Autores não tem respaldo nas explicações técnicas da operação efectuada trazidas ao julgamento pelas testemunhas HH, EE, GG e II (sobretudo esta última que procedeu a uma análise dos acesos ao serviço CaixaDirecta da Ré desse dia), quando confrontados com as declarações de parte do Autor.

Foi dito que no dia 27-7-2020 o serviço da CaixaDirecta da Ré não sofreu avaria – testemunha GG.

Ficou claro que quando o Autor se apercebeu da fraude e comunicou à Ré o sucedido, já havia sido levantado da sua conta bancária o montante de € 5.000,00.

O Autor confessou não ter lido os SMS da Ré a solicitar a introdução das coordenadas  da matriz do cartão e a introdução do código token  para viabilizar a operação solicitada da transferência para uma conta fraudulenta, mas apesar disso introduziu as coordenadas e o código, autorizando a operação que aguardava seguimento.  

Pretendem ver como provados os factos vindos como não provados com os nºs – 7.7., 8.8. e 10.10., 11.11., 17.17., 18.18 e 19.19.  

Quanto ao ponto 7.7.-

Não foi efectuada prova de tal factualidade.
Os Apelantes pretendem ver provada esta factualidade presumindo-a a partir dos factos dados como provados em 1, 2, 67, 68 e 69.

As presunções judiciais são ilações que o julgador tira de um ou mais factos conhecidos para firmar um facto desconhecido – cfr- artigo 349º do CC.
Parte-se de uma “base da presunção”, o facto ou factos conhecidos, - no caso os aludidos factos já provados -, para se chegar ao “facto presumido”, no caso seria o factualismo do ponto 7.7.. Para este procedimento o julgador recorre a elementos de racionalidade lógica e técnico-experiencial actuando por meio de indução sobre a base da presunção.

No caso não retiramos dos referidos factos provados que, com base na experiência, os Autores não são especialistas informáticos, utilizando o computador na óptica do utilizador, fazendo-o de forma consciente e criteriosa.

Aliás o Autor disse – cfr. Doc. a pág- 54 – que no dia 27-7-2020 estava a aceder ao sistema homebanking da Ré “através de uma rede net que não era fiável”, afirmação que – vinda de quem vem – inquina a recolha da visada prova por presunção.

Improcede a pretensão.

Quanto aos pontos 8.8., 10.10. e 19.19-
   
O Autor apercebeu-se de que algo “estava a correr mal”, “que lhe tinham retirado 5000 euros de uma das suas contas”  logo que inseriu as coordenadas do cartão matriz e o código sms token na ligação ao serviço homebanking da Ré. cfr. Doc. a pág- 52 verso – e não com a informação prestada por uma funcionária da Ré da Agência da ....
O Recorrente não atentou no texto da referida SMS e introduziu o código recebido, sem ler a mensagem que lhe indicava expressamente o tipo de operação que visava confirmar e qual o seu montante, conforme resulta das suas declarações: “Não li a mensagem, senhora doutora, estava de tal maneira de tal maneira nervoso, queria desbloquear a situação. Apenas olhei, como fazia praticamente sempre,…”

Foi a actuação do Autor que validou a operação fraudulenta e permitiu executar a transferência.

Improcede a pretensão.

Quanto ao ponto 11.11.-

Quando o Autor acede ao serviço CaixaDirecta online acede a todas as contas bancárias que tem na Ré, a não ser que as exclua expressamente. Cfr. ponto provado 9.
Não resulta da produção da prova haver lapso de datas do documento de fls. 99.

Improcede a pretensão.

Quanto aos pontos 17.17. e 18.18-

Não está apurado que os Autores acediam ao serviço CaixaDirecta sempre a partir do seu portátil com protecção antivírus.

O Autor aquando comunicou telefonicamente com a Ré disse – cfr. Doc. a pág- 54 – que no dia 27-7-2020 estava a aceder ao sistema homebanking da Ré “através de uma rede net que não era fiável”, o que levantou sempre dúvidas sobre se nesse dia o Autor estava a aceder ao serviço bancário em apreço a partir do seu pc, com protecção. Isso mesmo refere o 1º grau a fls. 128 verso.

As dúvidas, consultada a prova, não se dissiparam, na Relação.

Improcede a pretensão.


*
**
*

Os factos a ter em conta são os já dados como provados no 1º grau, supra transcritos, para que se remete, que não cabe alterar oficiosamente nem padecem de contradição ou ambiguidade.

2ª questão

Os Autores demandam a Ré para, em sede de responsabilidade civil contratual, exigirem desta o reembolso dos montantes (com juros e ressarcimento de danos emergentes) que saíram de uma conta bancária sediada na Ré, através de transferência para outra conta bancária, sem consentimento dos Autores, vítimas de “phishing”, ou burla informática.

Em causa o que se dispõe no DL n.º 91/2018, de 12 de Novembro, REGIME JURÍDICO DOS SERVIÇOS DE PAGAMENTO E DA MOEDA ELETRÓNICA, que entrou em vigor a 13-11-2018, na versão aplicável ao caso (anterior às alterações efectuadas pelo DL n.º 66/2023, de 08/08).
Assim

Artigo 110.º
Obrigações do utilizador de serviços de pagamento associadas aos instrumentos de pagamento
1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objetivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.

 Artigo 111.º
Obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento
1 - O prestador de serviços de pagamento que emite um instrumento de pagamento deve:
a) Assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior;
b) Abster-se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído;
c) Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à comunicação prevista na alínea b) do n.º 1 do artigo 110.º ou solicitar o desbloqueio nos termos do n.º 4 do artigo 108.º;
d) Facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a comunicação prevista na alínea b) do n.º 1 do artigo 110.º, de que efetuou essa comunicação ou solicitou o desbloqueio nos termos do n.º 4 do artigo 108.º;
e) Impedir qualquer utilização do instrumento de pagamento logo que a comunicação prevista na alínea b) do n.º 1 do artigo 110.º tenha sido efetuada.
2 - O prestador de serviços de pagamento assegura que a comunicação a que se refere a alínea c) do n.º 1 é efetuada a título gratuito, cobrando apenas, e se for caso disso, os custos diretamente imputáveis à substituição do instrumento de pagamento.
3 - O risco do envio ao utilizador de serviços de pagamento de um instrumento de pagamento ou das respetivas credenciais de segurança personalizadas corre por conta do prestador do serviço de pagamento.

Artigo 112.º
Comunicação e retificação de operações de pagamento não autorizadas ou incorretamente executadas
1 - O utilizador do serviço de pagamento obtém do prestador de serviços de pagamento a retificação de uma operação de pagamento não autorizada ou incorretamente executada que dê origem a uma reclamação, nomeadamente ao abrigo dos artigos 130.º e 131.º, se comunicar a operação ao prestador de serviços de pagamento logo que dela tenha conhecimento e sem atraso injustificado, e dentro de um prazo nunca superior a 13 meses a contar da data do débito.
2 - Sempre que, relativamente à operação de pagamento em causa, o prestador do serviço de pagamento não tenha prestado ou disponibilizado as informações a que está obrigado nos termos do capítulo ii do presente título iii, não é aplicável o prazo máximo referido no número anterior.
3 - Em caso de intervenção de um prestador do serviço de iniciação do pagamento, o utilizador de serviços de pagamento obtém a retificação do prestador de serviços de pagamento que gere a conta, nos termos dos n.os 1 e 2 do presente artigo, sem prejuízo do disposto nos n.os 5 a 9 do artigo 114.º e nos artigos 130.º e 132.º

Artigo 113.º
Prova de autenticação e execução da operação de pagamento
1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
2 - Se a operação de pagamento tiver sido iniciada através de um prestador do serviço de iniciação do pagamento, recai sobre este último o ónus de provar que, no âmbito da sua esfera de competências, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º
4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.

Artigo 114.º
Responsabilidade do prestador de serviços de pagamento em caso de operação de pagamento não autorizada
1 - Sem prejuízo do disposto no artigo 112.º, o prestador de serviços de pagamento do ordenante deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação.
2 - O prestador de serviços de pagamento do ordenante não está obrigado ao reembolso no prazo previsto no número anterior se tiver motivos razoáveis para suspeitar de atuação fraudulenta do ordenante e comunicar por escrito esses motivos, no prazo indicado no número anterior, às autoridades judiciárias nos termos da lei penal e de processo penal.
3 - Sempre que haja lugar ao reembolso do ordenante, o prestador de serviços de pagamento do ordenante deve assegurar que a data-valor do crédito na conta de pagamento do ordenante não é posterior à data em que o montante foi debitado na conta.
4 - No caso previsto no número anterior, o prestador de serviços de pagamento do ordenante, se for caso disso, repõe a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada.
5 - Caso a operação de pagamento seja iniciada através de um prestador do serviço de iniciação do pagamento, o prestador de serviços de pagamento que gere a conta deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação.
6 - O prestador de serviços de pagamento que gere a conta não está obrigado ao reembolso no prazo previsto no número anterior se o prestador do serviço de iniciação do pagamento lhe der conhecimento de que tem motivos razoáveis para suspeitar de atuação fraudulenta do ordenante e de que comunicou por escrito esses motivos às autoridades judiciárias nos termos da lei penal e de processo penal.
7 - Sempre que haja lugar ao reembolso ao ordenante, o prestador de serviços de pagamento que gere a conta deve, se for caso disso, repor a conta de pagamento debitada na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada.
8 - Se o prestador do serviço de iniciação de pagamento for responsável pela operação de pagamento não autorizada, deve indemnizar imediatamente o prestador de serviços de pagamento que gere a conta, a pedido deste, pelos danos sofridos ou pelos montantes pagos em resultado do reembolso ao ordenante, incluindo o montante da operação de pagamento não autorizada.
9 - Nos casos a que é aplicável o disposto no n.º 2 do artigo 113.º, recai sobre o prestador de serviços de iniciação do pagamento o ónus de provar que, no âmbito da sua esfera de competência, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
10 - Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.

Artigo 115.º
Responsabilidade do ordenante em caso de operação de pagamento não autorizada
1 - Em derrogação do disposto no artigo 114.º, o ordenante pode ser obrigado a suportar as perdas relativas às operações de pagamento não autorizadas resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou da apropriação abusiva de um instrumento de pagamento dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 50.
2 - O disposto no n.º 1 do presente artigo não se aplica caso:
a) A perda, o furto, o roubo ou a apropriação abusiva de um instrumento de pagamento não pudesse ser detetada pelo ordenante antes da realização de um pagamento; ou
b) A perda tiver sido causada por atos ou omissões de um trabalhador, de um agente ou de uma sucursal do prestador de serviços de pagamento, ou de uma entidade à qual as suas atividades tenham sido subcontratadas.
3 - O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º, caso em que não são aplicáveis os limites referidos no n.º 1.
4 - Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50.
5 - Se o prestador de serviços de pagamento do ordenante não exigir a autenticação forte do ordenante, este não deve suportar quaisquer perdas relativas a operação de pagamento não autorizada, salvo se tiver agido fraudulentamente.
6 - Caso o beneficiário ou o seu prestador de serviços de pagamento não aceite a autenticação forte do cliente, reembolsa os prejuízos financeiros causados ao prestador de serviços de pagamento do ordenante.
7 - Após ter procedido à comunicação a que se refere a alínea b) do n.º 1 do artigo 110.º, o ordenante não deve suportar quaisquer consequências financeiras resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou abusivamente apropriado, salvo em caso de atuação fraudulenta.
8 - Se o prestador de serviços de pagamento não fornecer meios apropriados que permitam a comunicação, a qualquer momento, da perda, furto, roubo ou da apropriação abusiva de um instrumento de pagamento, conforme requerido pela alínea c) do n.º 1 do artigo 111.º, o ordenante não fica obrigado a suportar as consequências financeiras resultantes da utilização desse instrumento de pagamento, salvo nos casos em que tenha agido de modo fraudulento.

*

Designa-se por contrato de conta bancária (ou abertura de conta) o acordo havido entre uma instituição bancária e um cliente «através do qual se constitui, disciplina e baliza a respectiva relação jurídica bancária», cfr Engrácia Antunes, Direito dos Contratos Comerciais, 483.
Associado a essa abertura de conta, aparece-nos o depósito bancário (regulado pelo DL 430/91, de 2 de Novembro com as alterações introduzidas pelo DL 88/2008, de 29 de Maio), operação essa que se encontra indissociavelmente ligada à abertura de conta e que constitui um pressuposto sine qua non desta, já que nenhuma conta poderá ser aberta sem quaisquer fundos.
De qualquer modo, aquela abertura de conta constitui o ponto de partida para o vasto complexo negocial que constitui a relação bancária, cfr- Engrácia Antunes, ibidem, 484; Menezes Cordeiro, Manual de Direito bancário, 6ª edição, 325/417.
Esta complexa figura contratual, tem sido subsumida a nível jurisprudencial e pela maior parte da doutrina na espécie negocial de depósito, tal como a mesma nos é definida pelos artigos 1185º e 1187º do CCivil, através do qual os Autores colocaram à disposição do Réu o seu dinheiro e para que este o guardasse e o restituísse quando fosse exigido, constituindo esta figura um depósito irregular ao qual se aplicam as regras do mútuo, com as necessárias adaptações, cf Calvão da Silva, Direito Bancário, 2001, 347/351; Ac STJ de 22 de Fevereiro de 2011 (Relator Sebastião Póvoas) e de 24 de Outubro de 2013 (Relator Granja da Fonseca), in www.dgsi.pt.
Sem prejuízo do exposto, os Autores outorgaram com o Réu um contrato denominado um contrato de adesão ao serviço de “homebanking”, designado por “serviço CaixaDirecta – facto 8.
Não obstante se encontrar provada a outorga de «outros contratos» com o Réu, não estamos perante uma multiplicidade de relações contratuais autónomas e estanques entre si, mas antes perante um complexo negocial interligado, configurando uma união de contratos, o qual tem por base aquele convénio principal e que vai ter a sua existência e razão de ser no mesmo, continuando o banco a ter a obrigação de guardar o dinheiro depositado, restituindo-o quando e se lhe for solicitado; sobre os depositantes, poderão acrescer outros deveres, consoante as obrigações que forem assumindo com o depositário por via de outras vias negociais encetadas e às quais podem ter acesso por serem titulares daquele contrato de conta bancária, maxime, através da submissão a cláusulas contratuais gerais, cfr Engrácia Antunes, ibidem, 483/488; Pedro Pais de Vasconcelos, Direito Comercial, Volume I, 221/222; Quirino Soares, Contratos Bancários, in Scientia Iuridica, separata, Janeiro-Abril, 2003. Tomo LII-nº295.
Resulta da factualidade provada, que

Cfr- Ac. TRL de 1-10-2020 prolatado no p. nº 19530/17.9T8LSB.L1-8, Relatora Amélia Ameixoeira, que seguimos de peto, acessível no site da dgsi.net.

Conforme a factualidade provada - 10. Este serviço permite aos Autores a possibilidade de efetuar operações bancárias através da internet, concretamente pagamentos e transferências sem a intervenção directa dos funcionários do banco.

Vale ainda a factualidade de 11 a 32.

Ficou provado ainda o seguinte:
33. No dia 27 de Julho de 2020, os autores encontravam-se de férias na sua casa da ..., tendo o autor cerca das 13.00 horas e antes das 13.30 horas, decidido aceder através de computador ao Serviço CaixaDirecta, a fim de efectuar o pagamento de serviços à EDP, no valor de € 40,42, através da sua conta ...900.
34. Para o efeito, introduziu como habitualmente as credenciais de autenticação fornecidas pela ré: código de acesso e password.
35. Ao entrar no serviço Caixa Directa, apareceu-lhe uma página que tinha os dizeres “Aplicação IBM- Segurança de Dados”.
36. O correr dessa página “bloqueou” o funcionamento do computador.
37. Tendo nessa ocasião ocorrido tentativa de transferência da conta dos autores com o nº ...100 para a conta a que corresponde o IBAN nº  ...23, no valor de € 5.000,00.
38. Na sequência desta tentativa de transferência, foi efetuado por parte dos serviços da ré um primeiro pedido de inserção de três coordenadas do cartão matriz aleatoriamente selecionadas pelo sistema, como primeiro elemento de autenticação da operação de transferência que estava a ser solicitada.
39. Não tendo o autor, nesta ocasião, preenchido as coordenadas solicitadas para esse efeito.
40. De seguida foi feito por parte dos serviços da ré um segundo pedido de coordenadas de matriz, tendo o autor preenchido as coordenadas solicitadas.
41. Por tal, pelas 13.20 horas, pelos serviços da ré foi enviado automaticamente para validação da operação, um SMS Token, para o telefone nº ...32, com os seguintes dizeres: “Para confirmar a transferência para a conta  ...23 no valor de 5.000, 00 EUR, introduza o código ...75”.
42. Não tendo o autor introduzido no serviço caixa directa o código SMS Token que lhe foi enviado, necessário para efectuação de transferências bancárias superiores a € 5.000,00, pelo que a mesma transferência bancária não foi concretizada.
43. De seguida, o autor encerrou o computador/e a sessão do Serviço Caixa Directa.
44. Após, entre as 13.30 horas e as 13.36, o autor acedeu de novo ao Serviço Caixa Directa, tendo para tanto de fazer um novo login com a autenticação através do número do contrato e código de acesso.
45. Tendo nesta segunda sessão realizado o pagamento dos serviços à EDP no valor de € 40,42, através da sua conta com o n.º ...900, para o que introduziu as três coordenadas do cartão matriz aleatoriamente selecionadas pelo sistema da ré que lhe foram envidas pelos serviços desta.
46. E de seguida, nesta segunda sessão, após nova solicitação da realização da transferência da conta dos autores com o nº ...100 para a conta a que corresponde o IBAN nº  ...23, no valor de € 5.000,00, pelos serviços da ré foi novamente solicitado o preenchimento de três coordenadas do cartão matriz, aleatoriamente selecionadas pelo sistema, como primeiro elemento de autenticação da operação.
47. Coordenadas essas que o autor preencheu.
48. Como tal, pelas 13:34 foi enviado automaticamente pelos serviços da ré para o telefone dos autores nº ...32 associado ao contrato, código SMS Token, com os seguintes dizeres: “Para confirmar a transferência para a conta  ...23 no valor de 5.000, 00 EUR, introduza o código ...11”, cuja introdução no serviço Caixa Directa era necessário para efectuar tal transferência.
49. De seguida, o autor, sem ter lido a mensagem que lhe foi enviada pelos serviços da ré para o seu telemóvel, introduziu o código SMS Token enviado pelos serviços da ré para o seu telemóvel.
50. Face à autenticação no serviço CaixaDirecta e validação da operação, com a introdução pelo autor das três coordenadas aleatórias do cartão matriz e introdução do código SMS Token enviado pelas 13.34 horas pelos serviços da ré para o telefone dos autores nº ...32 associado ao contrato, minutos depois, os serviços da ré efectuaram a transferência bancária no valor de € 5.000,00 da conta bancária dos autores nº ...100 da Caixa Geral de Depósitos para a conta bancária com o nº ...23, titulada por CC, na ré, Balcão de Chaves.
51. Nesse dia 27.07.2020, pelas 14.24 horas, ao Balcão da agência de Chaves da Caixa Geral de Depósitos, CC procedeu ao levantamento da quantia de € 4.990,00 que assim havia sido transferida da conta bancária dos autores nº ...100 da Caixa Geral de Depósitos para a conta bancária com o nº ...23, de que o referido CC era titular, fazendo-a sua e dando-lhe destino não concretamente apurado.
52. Tendo ficado na dúvida se o pagamento de serviços à EDP tinha sido feito, e por querer consultar os saldos das suas contas, nesse dia 27.07.2020 o autor dirigiu-se a uma agência da Caixa Geral de Depósitos da ..., nomeadamente a uma máquina para consultar os movimentos das suas cadernetas, e constatou que tinha sido feio o pagamento dos 40,42€ da conta ...900.


Afigura-se que no caso,  com os elementos apurados e salvo melhor opinião, a transferência ocorrida da conta dos Autores foi devida a uma fraude informática, fraude essa caracterizada de “pharming”, pois o Autor foi conduzido para uma página web falsa, diferente da real..
Os Apelantes sustentam tratar-se do mesmo método - cfr- fls. 175 verso.

Voltando a seguir de perto o Ac. do TRL referido, de 1-10-2020:

Na verdade, sendo o homebanking plena de benefícios, surgem situações patológicas em que o cliente vê o dinheiro sair da sua conta.
E essas situações são essencialmente caracterizadas em duas modalidades que passamos a enunciar, na senda do exposto no Ac. do STJ de 18-12-2013, relatado pela Senhora Juíza Conselheira Ana Paula Boularot, no Proc. nº 6479/09.8TBBRG.G1.S1, 6ª SECÇÃO, nos termos seguintes:
“O progresso tecnológico dos últimos anos, veio revolucionar todo o comércio jurídico, nomeadamente a nível das relações bancárias, pois começamos com a emissão de cartões, de crédito e de débito, sendo que com estes se podem realizar uma infinidade de operações utilizando-se para o efeito os terminais de caixa automática, vulgo ATM e podemos agora, através dos sistemas de homebanking, aceder a uma variedade de operações bancárias, on line, utilizando para o efeito um computador pessoal.
Para o efeito os bancos fornecem aos seus clientes senhas de acesso pessoais, bem como cartões matriz constituídos por uma infinidade de composições numéricas, que normalmente são solicitadas no final de cada operação efectuada por meios telemáticos e por forma a autentica-la, já que esse cartão matriz deverá apenas ser do conhecimento do cliente, único a poder utiliza-lo, não lhe sendo permitido fornecer nenhum dos dados nele insertos a terceiros, uma vez que, quer o protocolo da página bancária, quer o tráfego de toda a informação nela processada, o que inclui as sobreditas senhas de acesso, são encriptadas, tornando quase impossível um terceiro obter ou alterar a informação depois de enviada.
Todavia a criptografia, apanágio deste sistema, por si só, não elimina a possibilidade de ataques informáticos por hackers e a intercepção das senhas enquanto estão a ser digitadas, vulgo keylogging.
Embora os sites bancários sejam de uma maneira geral fiáveis, não nos podemos esquecer que a internet constitui uma fonte inesgotável de conhecimento e informação o que gera, concomitantemente e necessariamente uma apetência por banda dos aficionados na busca de quebras dos sistemas, sendo que estas actuações maliciosas são facilitadas pela circunstância de tudo na rede é tendencialmente anónimo, podendo-se tomar como certas determinadas actuações que na vida real nunca seriam admissíveis.
Os ataques cibernautas tornaram-se comuns, tendo surgido novas modalidades de actuações ilícitas como o phishing e o pharming, que visam essencialmente as instituições de crédito.
O phishing (do inglês fishing «pesca») pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente, cfr Pedro Verdelho, in Phishing e outras formas de defraudação nas redes de comunicação, in Direito da Sociedade De Informação, Volume VIII, 407/419: Maria Raquel Guimarães, in Cadernos de Direito Privado, nº41, Janeiro/Março de 2013; Mark A Fox, Phishing, Pharming and Identity Theft in The Banking Industry, in Journal of international banking law and regulation, editado por Sweet and Maxwel (2006), Issue 9, 548/552; Roberto Flor, Phishing, Identity Theft e Identity Abuse. Le Prospecttive Applicative Del Diritto Penale Vigente, in Revista Italiana di Diritto e Procedura Penale, Fasc 2/3-Aprile-Settembre 2007, 899/9446.
A outra modalidade de fraude online é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma pagina Web falsa, clonada da página real, cfr ibidem.
O processo baseia-se, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem, cfr ibidem.
Qualquer uma destas técnicas visam a obtenção fraudulenta de fundos, obrigando os usuários a ter de usar das maiores precauções no uso destes meios informáticos, sendo usual os conselhos no sentido de verificar sempre os remetentes de e-mails e nunca abrir nenhum e-mail cujo remetente seja desconhecido; não abrir nem executar ficheiros que não tenham sido solicitados; ter sempre um antivírus actualizado no computador; ter sempre o Windows actualizado; e possuir um firewall habilitado.
Estas são as actuações pertinentes com vista a evitar qualquer ataque fraudulento ao sistema, sem embargo de, apesar de tais indicações serem seguidas à risca, o sistema não ser infalível, podendo mesmo com a observância de todos os cuidados adequados, ser alvo de brechas.
(Sobre esta distinção, cfr ainda Ac. da RP de 13-10-2016, Proc. nº 2513/14.8TBVFR.PI).

*
**
*
Na sentença recorrida o Senhor Juiz subsumiu os factos provados à norma e caminhou no sentido de concluir que o Autor agiu com negligência grave, resultando a efectivação da transferência de valores ilegítima para uma conta de terceiro, da falta de cuidado do Autor, pois não deu atenção às advertências efectuadas no sentido de o evitar, incumprindo as regras de segurança acordadas, para acesso e utilização do serviço CaixaDirecta, não tendo direito ao reembolso e indemnização pedidas – cfr- artigo 113º, 3, parte final, do RJSPME.

Daí a improcedência da acção.

Na sentença recorrida escreveu-se a propósito:

(…) impunha-se ao autor, como utilizador do serviço homebanking tomar todas as medidas razoáveis para preservar a eficácia dos mecanismos de segurança personalizados associados ao instrumento de pagamento por homebanking.
Face à essencialidade do conhecimento dos códigos de acesso para cumprir a função de autenticação, o utilizador fica, naturalmente, vinculado ao dever de garantir a segurança desses elementos.
Este dever de confidencialidade quanto aos dados personalizados que permitem o acesso ao serviço de banca eletrónica é fundamental visto que é impossível realizar qualquer transferência através daquele serviço sem a introdução das chaves de acesso que constam do cartão matriz e/ou SMS Token, que são aleatoriamente escolhidas pelo sistema informático, além de que uma vez digitada a chave e código correctos, o sistema valida-os e presume que está presente o seu verdadeiro portador.
Através destes códigos de acesso, o banco pretende verificar a coincidência entre a pessoa que pretende aceder ao serviço de homebanking e o cliente que subscreveu o respetivo contrato, isto é, o credor do serviço eletrónico que a instituição bancária se obrigou a prestar. Estes deveres decorrem das regras que, segundo um padrão de normalidade, o comum utilizador da internet sabe que devem ser observadas.
Incumbindo-lhe a obrigação de evitar que os seus dados pessoais de acesso ao serviço informático sejam objeto de apropriação ilegítima por terceiros, e tendo recebido (na segunda sessão que iniciou), pelas 13:34 um código sms token enviado automaticamente pelos serviços da ré para o telefone dos autores nº ...32 associado ao contrato, com os seguintes dizeres: “Para confirmar a transferência para a conta  ...23 no valor de 5.000, 00 EUR, introduza o código ...11”, cuja introdução no serviço Caixa Directa era necessário para efectuar tal transferência, o autor se fosse prudente e previdente, como podia, e devia, e se lhe impunha, se agisse como um bonus pater familias nas concretas circunstâncias em causa, antes de introduzir o código que lhe foi enviado nessa mensagem, teria procedido à leitura da mesma, por forma a assegurar e preservar os mecanismos de segurança personalizados associados ao instrumento de pagamento por homebanking que lhe foram enviados pelos serviços da ré, reitera-se, para o seu telefone associado ao contrato, que visavam precisamente confirmar/validar a operação de transferência bancária em questão (validação forte).
Mas assim não procedeu.
Com efeito, ao receber tal mensagem na qual de forma expressa estava indicada a concreta operação bancária em questão (transferência para a conta  ...23 no valor de 5.000,00 EUR, introduza o código ...11”), o autor, “inadvertidamente”, sem ter atentado (lido), o teor dessa mensagem, introduziu o código nela indicado, que visava precisamente a confirmação/validação da operação de transferência bancária em questão.
E foi apenas porque o autor introduziu esse código, nos termos e pela forma supra descrita, que a operação em referência foi registada, autenticada/validada, pelos serviços da ré, como associada ao contrato de caixa directa dos autores, tornando-se irrevogável, e assim tendo vindo a ser realizada pela ré.
A transferência apenas foi concretizada, pelo facto de o autor, por desatenção e incúria inexplicável e indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes, sem previamente ter atentado (lido), a mensagem sms token que lhe foi enviada para confirmação/validação da operação de transferência bancária em questão (“validação forte”), ter introduzido no sistema Caixa Directa, o código sms token que lhe foi enviado para o seu telefone pelos serviços da ré para confirmação/validação da mesma.
Validada a operação através da introdução das três coordenadas do cartão matriz aleatoriamente seleccionadas pelos serviços da ré, e introdução do código sms token enviado pelos serviços da ré para o telemóvel do autor, na qual de forma expressa estava indicada a concreta operação bancária em questão, não tinha a ré motivos para considerar ilegítima tal ordem, e recusar a realização de tal transferência.
Agiu, pois, o autor com negligência grosseira, incumprindo com manifesta incúria, os deveres acessórios de conduta que como utilizador do serviço estava obrigado a tomar, não tendo tomado as medidas razoáveis para preservar a eficácia dos mecanismos de segurança personalizados associados ao instrumento de pagamento por homebanking, assim dando causa única e exclusivamente a que o sistema da ré validasse e confiasse que a ordem e validação provinha do titular do serviço/autor.
O autor, incumpriu com as regras de segurança amplamente divulgadas pela ré para acesso e utilização ao Serviço CaixaDireta, que conhecia, impondo-se-lhe que tivesse adotado comportamento diferente na utilização do serviço em questão, em conformidade com o contrato que os autores subscreveram, como podia, devia e era capaz.
A conduta do autor mostra-se grosseiramente negligente, resultando a apropriação ilegítima da sua falta de cuidado, pois não deu atenção às advertências efetuadas no sentido de o evitar, incumprindo as regras de segurança amplamente divulgadas pela ré para acesso e utilização ao Serviço Caixa Direta.
Cumpre ademais referir, que tendo a operação em referência sido validada/confirmada pelas 13.34 horas do dia 27.07.2020, tendo a transferência para a conta bancária com o nº ...23, titulada por CC, na ré, Balcão de Chaves, sido efectuada minutos depois, tendo este, nesse dia 27.07.20220, pelas 14.24 horas, ao Balcão da agência de Chaves da Caixa Geral de Depósitos, procedido ao levantamento da quantia que assim havia sido transferida da conta bancária dos autores nº ...100 da Caixa Geral de Depósitos para a conta bancária com o nº ...23, de que o referido CC era titular, fazendo-a sua e dando-lhe destino não concretamente apurado, e tendo o autor pelas 15.46.27 horas, ligado para a linha de apoio da Caixa Directa, que de imediato procedeu ao cancelamento das credenciais de segurança de acesso e de autenticação de operações no âmbito daquele serviço, isto é, o cartão matriz e SMS Token, era impossível para a ré estornar a referida quantia, porquanto quando o autor deu conhecimento à ré da ocorrência, a quantia em questão já se não encontrava na conta destino.

Corroboramos inteiramente a subsunção.

O Autor fez uma utilização imprudente e descuidada do serviço que lhe foi disponibilizado pela Ré.
Sobre a Ré impende a obrigação de prestar um serviço eficaz e seguro, e o art.º 799.º/1  do C. Civil prescreve que “Incumbe ao devedor provar que a falta de cumprimento ou o cumprimento defeituoso da obrigação não procede de culpa sua”, o mesmo é dizer que a Ré tinha o ónus de ilidir a presunção de culpa quanto a deficiências de funcionamento do sistema que utiliza para prestar esse serviço, correndo por conta dela o risco de acessos fraudulentos.
E esta provou que o Apelante fez uma utilização imprudente, negligente e descuidada desse serviço, o que afasta a sua responsabilidade pelos movimentos bancários efectuados por terceiros

A factualidade provada não permite outra conclusão, nomeadamente que passe por considerar o comportamento do Autor como o de um utilizador normal, diligente e atento, ou como considerar o sistema informático de suporte ao serviço do banco Réu como frágil, vulnerável.

Provada a ausência de culpa do banco Réu e a actuação culposa do Apelante, torna-se irrelevante a questão da validade/invalidade do n.º 10º das Condições Gerais de Utilização do Serviço Online CaixaDirecta.
Neste mesmo sentido, bem como do da nulidade desta cláusula, ver o Ac. TRL de 12-12-2013 prolatado no p. nº 164/11.8TBSRT.L1-6 (Tomé Ramião) acessível no site da dgsi.net.

*
Improcedem por isso as conclusões da Apelação. 

V – decisão

Pelo que fica exposto, acorda-se neste Tribunal da Relação em julgar improcedente a apelação, confirmando a sentença recorrida.
Custas na Relação, pelos Autores, ora Apelantes.

Valor da causa - € 8.000,00.

Coimbra, 10 de Julho de 2024.

(Rui António Correia Moura)

(João Moreira do Carmo

Que apresenta a seguinte declaração:
"Voto de Vencido

A responsabilidade do recorrente de acordo com o art. 113º, nº 3 e 4, do REGIME JURÍDICO DOS SERVIÇOS DE PAGAMENTO E DA MOEDA ELETRÓNICA, exige negligência grosseira.
Face ao conjunto dos factos provados entendemos não ter havido negligência grosseira do A., de acordo com o conceito doutrinal associado à mesma. Não basta pois, uma utilização imprudente, negligente e descuidada - uma negligência simples -, como se diz no acórdão.
Julgaria procedente o recurso.
*
Moreira do Carmo"

(Fonte Ramos)