| Decisão Texto Integral: | Acordam no Tribunal da Relação de Lisboa
I. Relatório:
Plena Planície – Agro-pecuária, Ld.ª, com o N.I.F. 507 635 353, propôs contra Caixa de Crédito Agrícola Mútuo da Beira Baixa (Sul), CRL, com o N.I.F. 500 918 910, e Caixa Central – Caixa Central de Crédito Agrícola Mútuo, CRL, com o N.I.F. 501 464 301, ação declarativa com a forma de processo comum, pedindo a condenação das RR. no pagamento da quantia global de € 21 390,43, acrescida de juros de mora, à taxa legal, vencidos e vincendos, até efetivo e integral pagamento.
Para tanto, alegou, em síntese, o seguinte: firmou com a primeira R. um contrato de abertura de conta e depósito, tendo aderido ao serviço de homebanking disponibilizado pelas RR. Para tal, forneceu a estas os seus elementos de identificação e o seu contacto, após o que as mesmas lhe forneceram os elementos de acesso ao referido serviço.
No dia 17 de novembro de 2022 o gerente da A. acedeu à página web referente ao mencionado serviço de homebanking e introduziu as credenciais de acesso. O mesmo gerente, já na área reservada do dito serviço, por lhe ter sido solicitada, procedeu à alteração da password. Em simultâneo, aquele gerente recebeu uma chamada telefónica de alguém que se identificou como funcionária das RR., que lhe solicitou os códigos token que ia recebendo via SMS no telemóvel associado ao serviço de homebanking.
No mesmo dia, mais tarde, o gerente da A. constatou a realização de duas transferências, nos montantes de € 10 695,22 e de € 10 695,21, que não solicitara nem autorizara. Tendo contactado as RR., estas informaram-no não ser possível reverter as operações de transferência, nem intervir relativamente ao dinheiro já saído da conta bancária da A.
Mais alegou a A. que sempre atuou com a diligência e zelo devidos, ao contrário do que sucedeu com as RR., o que levou a que tivesse suportado um prejuízo de € 21 390,43.
*
As RR. contestaram, para o que alegaram, sinteticamente, o que segue: não ocorreu qualquer falha no sistema de segurança do homebanking das RR.; a A., por intermédio do seu gerente, para além de ter autorizado as transferências em apreço, atuou com negligência grosseira ao fornecer a terceiros todos os seus dados de acesso remoto à conta bancária por si titulada.
*
Em 22 de abril de 2025 foi proferida sentença que julgou a ação procedente, condenando as RR. a pagarem à A. o montante de € 21 390,43, acrescido de juros de mora, à taxa legal, vencidos desde 17 de novembro de 2022, até integral pagamento.
*
Inconformadas com aquela sentença, as RR. vieram apresentar recurso, formulando as seguintes conclusões, que aqui se transcrevem (com exceção das notas de rodapé):
«A. A sentença de que ora se recorre assenta em dois erros quanto à apreciação da matéria de facto que se impõem ser revertidos.
B. Com efeito, o Documento n.º 3 junto com a Contestação, que consiste na gravação da chamada efetuada pelo Legal Representante da Recorrida para a Linha Directa, serviço de apoio ao cliente das Recorrentes, denota, nos minutos 08:54 e ss., que o Legal Representante da Autora/Recorrida introduziu o seu contacto telefónico na página fraudulenta a que acedeu.
C. Aliás, esta declaração fundamenta a convicção formada pelo Tribunal quanto ao facto não provado C), porquanto o Tribunal acabou por entender que o teor do Documento n.º 3 junto com a contestação não permitia dar como provado que o “o gerente da autora não tenha facultado o seu número de telefone a terceiros que o utilizaram para realizar a chamada telefónica acima mencionada em 28. (artigo 43.º da petição inicial)”.
D. Assim, por ter suporte na prova documental, designadamente, no Documento n.º 3 junto com a Contestação, ter sido alegado pelas Rés no artigo 64.º da sua Contestação, e por ser relevante para a apreciação do grau de negligência do Legal Representante da Autora/Recorrida, as ora Apelantes consideram que deve ser também aditado ao rol um facto provado com a seguinte redação: a. 24-A: “O gerente da Autora, na página que aparentava ser a do serviço “CA Online”, inseriu também o contacto telefónico associado à adesão ao serviço”.
E. Por sua vez, o facto provado n.º 32 deverá ser reduzido na parte em que se fez constar que “No decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou amplo conhecimento bancário, usando linguagem técnica da área financeira (…)”.
F. Com efeito, este juízo foi formulado por recurso ao documento n.º 16 junto com a Petição Inicial, mas de tal documento apenas se extrai que “a pessoa se identificado como uma funcionária do CA, muito simpática e bem falante: - disse que estava a contactar no seguimento da minha atualização de dados; - tendo dado instruções que como teria que resolver o assunto(…)”.
G. Ou seja, deste documento não se extrai qualquer elemento que permita provar o facto que se fez constar do facto provado n.º 32, na parte impugnada.
H. O mesmo se diga quanto ao Documento n.º 3 da Contestação, do qual nada resulta quanto à linguagem utilizada pela pessoa que terá contactado o Legal Representante da Autora.
I. Não existe, pois, qualquer evidência que sustente o referido facto, devendo, por isso, ser removido da listagem de factos provados, ficando a redação do facto provado n.º 32 reduzida ao seguinte: a. 32: “No decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou conhecer as informações bancárias das contas de que o gerente da autora era titular, como os últimos movimentos de conta por este efetuados na sua conta pessoal (artigo 35.º da petição inicial).”.
J. Por sua vez, a fundamentação jurídica em que assentou a sentença também não se poderá manter.
K. Com efeito, as operações bancárias em causa nos autos têm de qualificar-se como operações bancárias autorizadas, considerando que, nos termos do artigo 103.º, n.ºs 1 e 3 do RJSPME, uma operação se considera autorizada se o ordenante consentir na sua execução, na forma acordada entre este e o prestador de serviços de pagamento; pelo que, a contrario, uma operação não se considera autorizada se tiver sido realizada sem ser mediante a execução dos passos acordados entre o ordenante e o prestador de serviços de pagamento.
L. No caso dos autos, a forma acordada entre as partes decorre da interpretação conjugada da Cláusula 1., n.º 4, als. c) e d) e das Cláusulas 2.1., 2.6. e 2.11. do Documento n.º 4 junto com a Petição Inicial, nos termos do qual a Recorrida autoriza a realização das operações de pagamento efetuadas mediante a introdução no sistema (i) do número de adesão, (ii) da chave multicanal, (iii) de três dígitos aleatórios da password e (iv) da OTP de autorização.
M. Ora, resultando dos factos provados n.º 26, 36, 65 e 66, que as duas operações de pagamento executadas a partir da adesão titulada pela Autora/Recorrida, foram realizadas através da introdução de três posições aleatórias da password e das respetivas OTP de autorização constantes das mensagens recebidas pelo Legal Representante da Autora/Recorrida que expressamente identificavam a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autenticação, impõe-se concluir que as mesmas foram autorizadas, nos termos e para os efeitos do disposto no artigo 103.º, n.ºs 1 e 3 do RJSPME.
N. A este propósito, importa recordar que (i) a chave multicanal, a password e os códigos de autorização apenas são (ou devem ser) conhecidos pelo Legal Representante da Recorrida, enquanto titular da adesão atribuída à mesma, conforme facto provado n.º 10, (ii) que a chave multicanal é obrigatoriamente alterada aquando do primeiro acesso ao serviço (Cláusula 1. do Documento n.º 4 da Petição Inicial, definição “Primeiro Acesso ao serviço Online Empresas”) – e foi-o no caso dos autos, conforme resulta do facto provado n.º 15 –, e que (iii) as OTP de acesso e autorização foram enviadas de forma encriptada para o número de telemóvel associado à adesão ao serviço – conforme resulta dos factos provados n.º 58 e 66.
O. Assim, tendo sido divulgadas pelo Legal Representante da Autora/Recorrida, como o mesmo confessa – e resulta dos factos provados n.º 24 a 26 e 36 –, impõe-se concluir que as transferências em causa nos presentes autos foram autorizadas, na medida em que foram efetuadas em conformidade com as instruções dadas através do CA Online pela adesão titulada pela Recorrida, atribuída ao seu Legal Representante e com recurso às credenciais que apenas o próprio conhece ou devia conhecer.
P. Por outro lado, as Recorrentes demonstraram, nos termos e para os efeitos do disposto no artigo 113.º do Decreto-Lei n.º 91/2018, que as duas operações bancárias em causa nos autos: a. foram autenticadas através da introdução do número de adesão, da chave multicanal, da OTP de acesso, das três posições aleatórias da password pedidas na execução de cada uma das duas ordens de transferência e das duas OTP de autorização constantes das mensagens recebidas no número de telemóvel associado à adesão da Recorrida ao CA Online e atribuída ao seu Legal Representante, sendo que as SMS que continham as OTP de autorização expressamente identificavam a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autorização; b. foram devidamente registadas, uma vez que tais operações constavam da movimentação da conta titulada pela Recorrida e estavam aí refletidas; c. foram contabilizadas, isto é, refletidas no saldo da conta bancária da Recorrida; d. não foram afetadas por avaria técnica, uma vez que foram realizadas de acordo com os procedimentos contratualmente estabelecidos para o efeito. De resto, não houve qualquer avaria registada no sistema; e. não foram afetadas por qualquer deficiência do serviço prestado pelo prestador de serviços de pagamento, uma vez que resultaram de uma atuação criminosa perpetrada por terceiro burlão, conforme resulta da Queixa-Crime apresentada pela Recorrida.
Q. Assim, e em linha com os recentes Acórdãos do Supremo Tribunal de Justiça, de 23 de janeiro de 2024, relatado pelo Juiz Conselheiro Nelson Borges Carneiro, no âmbito do processo n.º 379/21.0T8FAR.E1.S1 e do Tribunal da Relação de Lisboa, de 13 de março de 2025, relatado pela Juiz Desembargadora Higina Castelo, no âmbito do processo n.º 11019/23.3T8SNT.L1-2, impõe-se concluir que as operações em causa nos presentes autos foram autorizadas.
R. Sem prescindir, mesmo que assim não se entendesse, o que apenas por cautela de patrocínio se equaciona, sem conceder, a verdade é que a atuação do Legal Representante da Autora/Recorrida apenas se pode qualificar como negligentemente grosseira.
S. Com efeito, “revela um grau significativo de imprudência”, nas palavras do considerando da Diretiva (UE) 2015/2366 quem, como o Legal Representante da Recorrida (i) acede a uma página fraudulenta, através de uma pesquisa num motor de busca, (ii) introduz na página fraudulenta (ii.i) as credenciais de acesso à sua adesão particular, (ii.ii) o seu contacto telefónico; (ii.iii) a sua password integral, sob pretexto de uma suposta alteração de credenciais – o que permitiu a terceiros conhecer os três dígitos aleatoriamente solicitados pelo sistema aquando da realização de cada uma das operações bancárias –; (iii) atribui credibilidade à chamada telefónica recebida – sabendo, ou devendo saber, que as Recorrentes e o serviço prestado pelas mesmas não operam desse modo –; e (iv) divulga (iv.i) as duas OTP de autorização que permitiram a concretização das duas transferências ordenadas através da adesão particular por si titulada, assim como, (iv.ii) as credenciais referentes ao acesso e utilização da adesão titulada pela Autora/Recorrida e atribuída ao seu Legal Representante – i.e., o número de adesão, a chave multicanal, a OTP de acesso, a password e as duas OTP de autorização de transferências bancárias –, credenciais que, uma vez mais, são pessoais, secretas e intransmissíveis.
T. E isto apesar de: a. Desconfiar perante o pedido para “alterar” a password; b. Ser utilizador do serviço há mais de 12 anos e ser utilizador frequente e, por isso, conhecedor ou dever conhecer de que forma opera o serviço utilizado; c. Ter sido confrontado com 2 (duas) OTP de acesso e com 4 (quatro) OTP de autorização, sendo que, das OTP de autorização, expressamente consta a conta bancária da qual é debitado o valor, a conta bancária em que será creditado o valor no caso de introdução da OTP e o valor que está a ser transferido; ao passo que das OTP de acesso consta, antes do respetivo código de acesso, um alerta com o seguinte teor: “NUNCA partilhe este código com NINGUEM. Se lho pedirem é BURLA”. De resto, as OTP de acesso e de autorização, foram remetidas encriptadas, e só foram disponibilizadas, naquele momento, ao Legal Representante da Recorrida, através de SMS enviadas para o número de telemóvel associado à adesão ao CA Online; d. Ter sido alertado enquanto utilizador da adesão titulada pela Recorrida, por SMS de alerta, pelo banner visível no acesso ao CA Online Empresas, para situações como a que acabou por vivenciar.
U. Perante um enquadramento como o descrito, a jurisprudência nacional tem qualificado a atuação de utilizadores como negligência grosseira, como resulta da jurisprudência citada nas alegações.
V. Impõe-se, assim, revogar a sentença na parte em que julgou que o Legal Representante da Autora/Recorrida não atuou com negligência grosseira, com todas as legais e devidas consequências.
W. Por fim, considerando a manifesta negligência grosseira do Legal Representante da Autora/Recorrida, é evidente que não utilizou “o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização”, como dispõe a alínea a) do n.º 1 do artigo 110.º do RJSPME, daqui decorrendo que incumpriu as obrigações do utilizador do serviço.
X. Com efeito, a conduta de introduzir e, desse modo, divulgar (i) o número de adesão, (ii) a chave multicanal, (iii) a OTP de acesso, (iv) a sua password integral e (ii) duas OTP de autorização de transferências, consiste, evidentemente, no incumprimento da obrigação a que se encontrava adstrito, nos termos das Cláusulas 2.4, 2.5 e 4.2 do Documento n.º 4 junto com a Petição Inicial e, consequentemente, com o disposto no artigo 110.º, n.º 1, al. a) do Decreto-Lei n.º 91/2018.
Y. Em face do exposto, sendo evidente que as operações realizadas foram autorizadas, que o Legal Representante da Autora atuou com negligência grosseira e incumpriu as obrigações contratuais estabelecidas entre as Partes e, consequentemente, legais a que estava adstrito, a sentença proferida violou o disposto nos artigos 103.º, n.ºs 1 a 3, 104.º, 110.º, n.º 1, al. a), 113.º, n.º 1 e 115.º, n.º 4 do RJSPME, assim como o artigo 13.º do Regulamento Delegado (UE) 2018/389, pelo que se impõe, naturalmente, a sua revogação.».
*
Por seu turno, a A. contra-alegou, formulando as seguintes conclusões:
«1) O recurso apresentado pelas Recorrentes terá, necessariamente, que improceder ao contrário do que as mesmas alegam, pois que o Tribunal “a quo” julgou corretamente os factos e fez uma correta aplicação das normas jurídicas.
2) A matéria de facto provada deve manter a redação que lhe foi conferida pelo Tribunal “a quo”, não merecendo qualquer reparo, pelo que devem improceder as sugestões de alteração de redação, de aditamento e de remoção requeridas pelas Recorrentes nas suas alegações de recurso.
3) A pretensão das Recorrentes de adição aos factos provados do ponto 24-A deve ser julgada improcedente.
4) Por forma a fundamentar tal pretensão alegam as Recorrentes que, “recorrendo à prova documental, conclui-se ainda que o Legal Representante da Autora/Recorrida introduziu o seu contacto telefónico na página “que aparentava ser a do serviço “CA Online””. O que não se concede.
5) Alegam as Recorrentes que, tal circunstância “infere-se, desde logo, do facto não provado sob a alínea C. da sentença recorrida, do qual decorre que não ficou provado que “o gerente da autora não tenha facultado o seu número de telefone a terceiros que o utilizaram para realizar a chamada telefónica acima mencionada em 28. (artigo 43.º da petição inicial)”. Sucede, contudo, que, a consideração de um facto como não provado, não implica que o seu contrário se considere provado.
6) De facto, tal não resultou provado, pois o gerente da Recorrida, a única pessoa conhecida que sabe o que foi dito na chamada telefónica em causa nos autos não prestou declarações de parte e como tal, não pôde a Exma. Juiz “a quo” considerar provado que o gerente da A. não facultou o seu número de telefone, mas tal nunca pode determinar a consideração contrária.
7) O Tribunal “a quo”, em momento algum considera demonstrado que o legal representante da Recorrida facultou a terceiro mal-intencionado o seu número de telefone, nem o poderia fazer apenas com base na gravação da chamada realizada pelo gerente da A. para a linha direta, junta pelas RR. como Doc. 3 da Contestação, pois,
8) Em momento algum o gerente da Recorrida diz de forma expressa e inequívoca que o introduziu o seu número de telefone no CA Online. O gerente da Recorrida repete várias vezes todo o processo da burla de que foi vítima, mas não a colocação do número de telefone no CA Online nem o seu fornecimento por via telefónica à pessoa que lhe fazia a chamada telefónica. A circunstância da solicitação do número de telefone é referida apenas pela colaboradora da linha telefónica, não foi referida de forma espontânea pelo gerente da A. como todos os outros elementos que assume ter introduzido no CA Online.
9) Não existe qualquer outro elemento probatório que permita afirmar tal facto.
10) A matéria de facto provada tem de resultar da prova produzida em julgamento. Não foi corroborado por qualquer prova produzida em julgamento que o gerente da A. tenha facultado o seu nº de telefone o que o tenha introduzido no CA Online.
11) Não pode assim, merecer acolhimento a pretensão das Recorrentes.
12) Pelo que, o ponto 24. da matéria de facto provada deve manter a redação que lhe foi dada pelo Tribunal “a quo”, sem adição do ponto 24-A.
13) Bem assim como, o facto provado sob o nº 32. deve manter a redação que lhe foi conferida pelo Tribunal “a quo”.
14) Conforme demonstrado nos pontos 33. e 34. das Alegações, será lógico que as informações sobre as contas de que o gerente da Recorrida era titular terão sido, no âmbito da chamada, transmitidas utilizando linguagem própria da área financeira, pois, o que o gerente da Recorrida não terá estranhado, e, tanto assim é, que na gravação da chamada efetuada para a Linha Direta _ Doc. 3 da Contestação _ demonstra que o gerente da Recorrida acreditava até esse momento que havia sido contactado por colaboradora da Caixa Agrícola, ou seja, que a chamada fraudulenta havia sido feita pela Caixa Agrícola.
15) Bem assim como não o estranharam, as restantes testemunhas que prestaram depoimento em sede de audiência de julgamento, também elas vítimas de burlas semelhantes àquela de que o gerente da A. empresa foi vítima, e de cujos depoimentos se extrai também esse conhecimento por parte da pessoa que efetuava a chamada. A não ser demonstrado amplo conhecimento da área financeira e não sendo usada linguagem própria da mesma não teriam certamente sido vários clientes da Caixa Agrícola vítimas de práticas similares, o que resulta, desde logo, das regras da experiência comum.
16) Pelo que, deve também o facto provado sob o nº 32 manter a redação que lhe foi dada pelo Tribunal “a quo”.
17)A sentença “a quo” não padece de qualquer erro quanto ao julgamento que faz sobre o enquadramento jurídico, ao qual se adere totalmente. Não assistindo qualquer razão às Recorrentes quanto ao alegado para fundamentar a impugnação da matéria de Direito da douta sentença “a quo”.
18) Na impugnação da matéria de Direito, começam as Recorrentes por pugnar pela qualificação como autorizadas as operações bancárias realizadas na sequência da chamada fraudulenta, o que não pode proceder.
19) Para tal invocam as Recorrentes, o disposto no já citado art.º 103.º, nºs 1 e 3 do Decreto-Lei nº 91/2018, nos termos do qual: “1 - Uma operação de pagamento ou um conjunto de operações de pagamento só se consideram autorizados se o ordenante consentir na sua execução. (…) 3 - O consentimento deve ser dado na forma acordada entre o ordenante e o respetivo prestador do serviço de pagamento.”
20) E de facto, resulta, como alegam as Recorrentes, que as operações de transferência em causa nos autos foram realizadas mediante a introdução das credenciais de acesso da Recorrida ao CA Online.
21) Contudo, tal não basta para qualificar aquelas operações como autorizadas, o que não foram!
22) Conforme o disposto no art.º 103.º do RJSPME é necessário para a consideração de uma operação autorizada que, o ordenante consinta na sua execução, na forma acordada entre este e o prestador de serviços de pagamento, o que fora, aliás, também considerado no ponto 26. das Alegações das Recorrentes, e, como resulta claro da matéria de facto provada, o gerente da Recorrida inseriu no CA Online credenciais de acesso no pressuposto de que estava a alterar a password para garantir a segurança da sua conta, conforme lhe fora solicitado aquando do acesso a essa página online, nunca para autorização de qualquer transação.
23) Não se pode assim, considerar operação autorizada à luz do referido art.º 103.º, nºs 1 e 3 do Decreto-Lei nº 91/2018, pois, nunca o gerente da Recorrida introduziu na sua área reservada da CA Online as suas credenciais de acesso para realização de uma qualquer transferência.
24) A forma acordada entre cliente e prestador de serviços, nestes caso as Recorrentes, para a realização das transferências através do “CA Online”, implica sempre a introdução dos seguintes elementos: a. Introdução de código login de acesso (se solicitado por não acesso há mais de 90 dias); b. Introdução de número de adesão; c. Introdução de Chave Multicanal; d. Introdução de três dígitos de password solicitados; e. Introdução códigos de autorização OTP.
25) O que pressupõe a introdução de todos esses elementos na mesma página, no mesmo momento, com a intenção subjacente de realização da transferência.
26) O legal representante da Recorrida empresa não o fez! O titular da conta e utilizador autorizado não o fez! Nunca teve intenção de autorizar qualquer transferência.
27) O gerente da Recorrida empresa não realizou as operações nos termos acordados com as Recorrentes (art.º 103.º, nº 3 do Decreto-Lei nº 91/2018).
28) Não merece também qualquer reparo a consideração do Tribunal “a quo” de que a atuação do gerente da Recorrida “não é merecedora de especial juízo de censura, não existindo, assim negligência grosseira na transmissão de dados descrita em 36., que permitiu a concretização das operações referidas em 43.”
29) O legal representante da Recorrida confiou, ou melhor, não duvidou que estava a conversar com colaboradora da Caixa Agrícola e agiu para garantir a segurança da sua conta, nunca para autorizar transação. Perante o que, outra não podia ser a decisão do Tribunal “a quo”, se não afastar a possibilidade de o legal representante da Recorrida ter atuado com negligência grosseira, que não atuou!
30) O gerente da Recorrida agiu com a diligência que lhe era exigida, pois, confrontado com a possibilidade de transação suspeita e tendo-lhe sido fornecidas informações fidedignas acerca dos últimos movimentos de conta da Recorrida, bem como mostrando, a pessoa que se identificou como contactando da parte da Caixa Agrícola, conhecer as suas informações bancárias relativas ao serviço “CA Online”, o gerente da Recorrida acreditou que estava a conversar com colaboradora do banco, agindo para garantir a segurança da sua conta através da alteração de password, acreditou que estava a agir com o cuidado que lhe era exigido e acreditou também que estava a ser guiado por colaboradora das Recorrentes. Pelo que, não lhe pode a sua conduta ser censurada!
31) Para efeitos de escusa de responsabilidade, era, como já várias vezes referido, às Recorrentes que competia demonstrar, a existência de fraude, de dolo ou de negligência grosseira da parte da Recorrida (art.º 114.º, nº 4 do RJSPME), o que as Recorrentes não lograram fazer.
32) Ora, tal prova, não se pode considerar ter sido feita pelas Recorrentes. As Recorrentes alegam para esse efeito que a Recorrida, na pessoa do seu gerente, facultou todos os dados de acesso necessários para concretizar duas operações bancárias, enunciando para tal os passos que o gerente da Recorrida teve de realizar para que os terceiros lograssem conseguir a realização de tais transferências (V. pontos 65. a 69. das Alegações de Recurso das Recorrentes).
33) Contudo, e conforme doutamente entendido pelo Tribunal “a quo” tal não pode bastar para afirmar a negligência grosseira do gerente da Recorrida.
34) Não se pode olvidar que, a transmissão de dados provada nos autos verificou-se na convicção – errada, é certo – do gerente da autora de que cumpria instruções emanadas das Recorrentes, nunca vislumbrando a possibilidade de estar a facultar dados a terceiros, o que é claramente percetível a circunstância de ter aguardado o tempo que lhe fora solicitado pela “colaboradora” das Recorrentes no âmbito da chamada fraudulenta.
35) É assim pois, a consideração de negligência grosseira exige um incumprimento deliberado das obrigações que impendem sobre o cliente (V. Carolina Barreira, ob. Cit., p. 53), e tal considerando as circunstâncias concretas do caso sub judice, nunca poderia ser afirmado, pois não existiu da parte do gerente da Recorrida qualquer incumprimento deliberado das obrigações que sobre ele impendiam, tendo-se visto numa teia ardilosamente montada pelos “burlões”, acreditando que estava a facultar dados às Recorrentes, nunca a um terceiro.
36) O gerente da Recorrida atuou como qualquer homem médio colocado na sua situação atuaria. Tanto assim é, que têm sido vários os clientes da Caixa de Crédito Agrícola vítimas destas fraudes informáticas, conforme resultou do depoimento das testemunhas indicadas pela Recorrida, também elas vítimas de práticas semelhantes.
37) Não se podendo também olvidar que, o gerente da Recorrida tinha 70 anos de idade, à data dos factos, o que torna ainda mais flagrante o seu desconhecimento quanto a utilização de meios eletrónicos, comum à sua geração. O qual confrontado com telefonema que seria proveniente da entidade bancária, após aceder a sítio da internet totalmente idêntico ao da “CA Online”, perante a credibilidade da informação transmitida e conhecimentos demonstrados pela senhora que encetou a chamada telefónica, não ponderou em momento algum que não estivesse efetivamente em contacto com colaborador da Caixa Agrícola, e que, o sítio da internet a que acedera não se mostrava fidedigno.
38) “(A) cedência pelo utilizador, no quadro de uma solicitação de pharming, dos elementos de acesso e movimento do homebanking, não o coloca, por via de regra, e salvo se o prestador provar dolo ou negligência grave daquele, numa situação responsabilizante” (Acórdão do Tribunal da Relação de Coimbra, de 31-03-2020, processo nº 93/15.6T8TND.C1).
39) O circunstancialismo em que tal ocorreu contribuiu para criar no legal representante da A. a convicção de que o contacto era fidedigno, pois a senhora que se apresentou como funcionária da Caixa Agrícola, evidenciou saber informações bancárias das contas de que o gerente da Recorrida era titular, enunciando os últimos movimentos de conta efetuados pelo gerente da Recorrida na sua conta pessoal, bem como conhecer o saldo bancário das várias contas, atento o montante das transferências realizadas.
40) Foi nestas circunstâncias, o legal representante da A. confiou, ou melhor, não duvidou que estava a conversar com colaboradora da Caixa Agrícola e agiu para garantir a segurança das contas bancárias de que era titular e por forma a proteger os dados de acesso às mesmas.
41) E mais, não obstante o alerta que terá sido remetido por SMS ao gerente da Recorrida em 25-02-2022, o teor do mesmo, conforme facto provado sob o nº 62., não reflete nem se assemelha à prática fraudulenta de que a Recorrida foi vítima. Pelo que, não pode ser considerado para afirmar falta de diligência censurável por parte do gerente da Recorrida.
42) E não fazendo tal aviso rececionado expressa menção a este tipo de fraudes, e considerando que o pedido fraudulento de alteração de password ocorreu numa em que estava aberta a sessão de homebanking legítima, tal fez com que o cliente compreensivelmente confiasse na sua veracidade (V. ponto 102. da presente resposta ao recurso).
43) Atenta a prova junta aos autos e produzida em audiência de julgamento, é inequívoco que recai sobre as Recorrentes o dever de indemnizar a Recorrida pelos danos sofridos, fruto da burla de que foi vítima.
44) Deverá, assim, o recurso interposto pelas RR./Recorrentes ser julgado totalmente improcedente e manter-se a douta sentença já proferida pelo tribunal “a quo”.».
*
O recurso foi devidamente admitido.
*
Recebida a apelação e colhidos os vistos legais, cumpre apreciar e decidir.
II. Do objeto do recurso:
O âmbito do recurso, sempre ressalvadas as questões de conhecimento oficioso, encontra-se delimitado pelas conclusões que nele foram apresentadas e que atrás se transcreveram (art.ºs 635.º n.º 4 e 639.º n.º 1, ambos do C. P. Civil).
*
As questões a decidir consistem em: determinar se, face à prova produzida, deve ser alterada a matéria de facto provada e não provada; saber se a Recorrida, através do seu gerente, autorizou a transferência bancária em apreço, e, em caso negativo, se a mesma atuou com negligência grosseira.
*
III. Fundamentação:
De facto:
A) O tribunal a quo deu como provados os seguintes factos:
1. A autora é uma microempresa constituída sob a forma de sociedade por quotas que tem como objeto social a produção e comércio de produtos agrícolas e agropecuários (artigos 1.º e 2.º da petição inicial).
2. A segunda ré, doravante “Caixa Central”, é uma instituição de crédito, sob a forma de cooperativa de responsabilidade limitada, da qual são associadas várias Caixas de Crédito Agrícola Mútuo, que no conjunto são denominadas Sistema Integrado do Crédito Agrícola Mútuo (SICAM) (artigo 3.º da petição inicial).
3. A primeira ré, doravante “Caixa Agrícola da Beira Baixa”, é associada da ré Caixa Central (artigo 4.º da petição inicial).
4. O CA Online é o serviço de internet banking prestado pelo Crédito Agrícola e que faz parte dos serviços oferecidos pelo Sistema Multicanal (artigo 10.º da petição inicial).
5. Este sistema permite que o cliente, a partir de qualquer computador com acesso à internet, possa efetuar consultas à carteira de produtos que detém nas suas contas bancárias no grupo Crédito Agrícola e realizar operações financeiras nas suas contas de depósito à ordem e cartões (artigo 10.º da petição inicial).
6. O serviço CA Online é gerido pela ré Caixa Central (artigo 9.º da petição inicial).
7. Os serviços disponibilizados pelo CA Online/Sistema Multicanal são prestados pela ré Caixa Central (artigo 11.º da petição inicial).
8. A autora, por intermédio do seu gerente, AA, em 13.02.2006 celebrou com a ré Caixa Agrícola da Beira Baixa contrato de abertura de conta e de depósito, a que corresponde a conta n.º 40202311511 (artigo 12.º da petição inicial).
9. Com a celebração do dito contrato, a autora forneceu às rés o endereço de correio eletrónico e um contacto telefónico (artigo 13.º da petição inicial).
10. No dia 01.10.2010 a autora subscreveu a proposta de adesão ao serviço CA Online, que a ré Caixa Central na mesma data aceitou, regida à data pelas condições gerais de utilização de serviço descritas no documento n.º 4 junto pela petição inicial e que aqui se consideram integralmente reproduzidas, destacando-se as seguintes:
  (artigos 14.º e 16.º da petição
inicial).
11. Esta adesão permite à pessoa autorizada, no caso, o gerente da autora, consultar e movimentar a conta de depósito à ordem n.º 40202311511, através da internet – acedendo ao CA Online Empresas – ou através de dispositivos móveis – acedendo ao CA Mobile (artigo 14.º da contestação, artigos 10.º e 15.º da petição inicial).
12. O número de adesão 71448550 está apenas associado à conta bancária n.º 40202311511 titulada pela autora (artigo 27.º da contestação).
13. Para acesso ao serviço CA Online as rés atribuíram ao gerente da autora um elemento de identificação secreto (número de adesão), uma chave multicanal e password (artigo 17.º da petição inicial, artigos 24.º, 25.º da contestação).
14. A password corresponde a um código numérico composto por entre 8 a 12 dígitos, dos quais são apenas solicitados, de forma aleatória, três, aquando da consulta de informação considerada sensível, do acesso a documentos digitais e da realização de transações de cariz financeiro (artigo 40.º da contestação).
15. Aquando da ativação do serviço CA Online, o gerente da autora alterou a chave multicanal atribuída (artigo 18.º da petição inicial, artigo 31.º da contestação).
16. Em 01.10.2010 a autora aderiu ao sistema de autenticação forte (artigo 20.º da petição inicial, artigo 45.º da contestação).
17. Para validação de qualquer operação ordenada no CA Online é exigida a introdução de três dígitos aleatórios da password e de uma OTP de autorização, o que constitui o sistema de autenticação forte (artigo 41.º da contestação).
18. A autora forneceu às rés o número de telemóvel do seu gerente, 917321525, para utilização do serviço de homebanking e sistema de autenticação forte (artigos 23.º e 24.º da petição inicial).
19. Até 13.09.2019 o acesso ao CA Online era efetuado com a introdução do número de adesão e da chave multicanal (artigo 37.º da contestação).
20. A partir de 14.09.2019, o acesso ao CA Online passou a exigir a introdução do número de adesão, da chave multicanal e, a cada 90 dias, de uma OTP (one time password) de acesso ou de login enviada por SMS para o número de telemóvel associado à adesão do CA Online (artigo 38.º da contestação).
21. A partir de 25.10.2022 tornou-se obrigatória a introdução de uma OTP de acesso ou de login em cada acesso ao CA Online Empresas, para além dos sempre necessários número de adesão e chave multicanal (artigo 39.º da contestação).
22. No dia 17.11.2022, pelas 11h49, o gerente da autora procurou aceder ao serviço “CA Online”, para efetuar transferência em nome pessoal (artigo 26.º da petição inicial).
23. Para tanto, o gerente da autora pesquisou no Google pelo endereço do serviço “CA Online” (alínea a) do n.º 2 do artigo 5.º do Código de Processo Civil).
24. Em página que aparentava ser a do serviço “CA Online” o gerente da autora introduziu o número de adesão e a chave multicanal para aceder à sua conta pessoal (artigo 27.º da petição inicial).
25. Após entrar na área reservada, surgiu uma mensagem que indicava a necessidade de alteração da password, por não ser alterada há mais de 90 dias (artigo 28.º da petição inicial).
26. Apesar de tal nunca ter sucedido, mas por estar na convicção de que se encontrava na real página do serviço “CA Online”, o gerente da autora, após ter introduzido os dados de acesso, procedeu à alteração solicitada (artigo 29.º da petição inicial).
27. Nesse seguimento, surgiu no ecrã a indicação no ecrã de que tal alteração estaria a ser processada, através de uma “bolinha/temporizador” que girava sobre si mesma (artigo 30.º da petição inicial).
28. Praticamente em simultâneo a tal operação, o gerente da autora recebeu chamada telefónica proveniente do n.º 962656738 (artigo 31.º da petição inicial).
29. Essa chamada telefónica foi realizada por uma senhora que se identificou como sendo funcionária do Banco Caixa de Crédito Agrícola Mútuo e informando que estaria a ligar na sequência da atualização de dados efetuada (artigo 32.º da petição inicial)
30. No decurso da conversação telefónica, a dita senhora que se identificou como funcionária das rés informou o gerente da autora dos passos necessários para concluir a atualização de dados, que se mostrava necessário para a segurança das contas da autora e do seu gerente (artigo 33.º da petição inicial).
31. Pelo que, a referida senhora ia indicando os campos onde o gerente da autora teria de clicar e os campos onde introduzir os códigos que, entretanto, ia recebendo através de SMS (artigo 34.º da petição inicial).
32. No decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou amplo conhecimento bancário, usando linguagem técnica da área financeira, bem como, evidenciou conhecer as informações bancárias das contas de que o gerente da autora era titular, como os últimos movimentos de conta por este efetuados na sua conta pessoal (artigo 35.º da petição inicial).
33. Ao longo do telefonema, a dita pessoa fez referência às várias contas de que o gerente da autora era titular, distinguindo se se tratava de conta particular ou empresarial (artigo 36.º da petição inicial).
34. Demonstrando também conhecer o saldo bancário das várias contas a que fez referência (artigo 37.º da petição inicial).
35. O gerente da autora, convicto de que estava a contactar com funcionária das rés, acedeu em seguir os passos que lhe iam sendo solicitados (artigos 38.º e 41.º da petição inicial).
36. Nesse telefonema, o gerente da autora transmitiu o número de adesão do CA Online empresas, a chave multicanal do CA Online Empresas, a OTP de acesso à conta referente à adesão do CA Online Empresas e duas OTP de autorização de transferências bancárias (artigo 90.º da contestação).
37. O gerente da autora atuou na convicção que o estava a fazer para segurança das suas contas bancárias e da conta bancária de que a autora era titular e por forma a proteger os dados de acesso às mesmas (artigo 39.º e 41.º da petição inicial).
38. Depois de finalizar todos os passos solicitados pela senhora que se identificou como funcionária da ré com vista à conclusão do procedimento de alteração de dados, foi-lhe transmitido por aquela que num intervalo de duas horas não poderia aceder às contas de que era titular para que a operação de alteração de dados ser concluída (artigo 44.º da petição inicial).
39. Nessa sequência, cumprindo o solicitado, o gerente da autora apenas voltou a aceder à “CA Online”, por volta das 17h00 desse mesmo dia 17.11.2022 (artigo 45.º da petição inicial).
40. Nesse momento, o gerente da autora constatou uma transferência realizada da sua conta pessoal, que não reconheceu como tendo sido autorizada por si (artigo 46.º da petição inicial).
41. Consequentemente, o gerente da autora ligou de imediato para a linha direta da Caixa de Crédito Agrícola, por forma a perceber o que havia ocorrido (artigo 47.º da petição inicial).
42. O gerente da autora foi então informado nesse momento que haviam sido efetuadas mais três transferências em contas de que era titular (artigo 48.º da petição inicial).
43. Tomando conhecimento de que haviam sido realizadas duas transferências da conta titulada pela autora que não reconheceu como tendo autorizado, no valor total de € 21.390,43:
a. Uma no valor de € 10.695,22 a favor de BB, para a conta com o IBAN PT .. .... .... .... .... .... .;
b. Outra no valor de € 10.695,21 a favor de CC, para a conta com o IBAN PT .. .... .... .... . (artigos 49.º, 50.º, 51.º e 52.º da petição inicial).
44. O gerente da autora solicitou às rés, mediante contacto telefónico, o cancelamento das identificadas transferências (artigo 54.º da petição inicial).
45. Foi então o gerente da autora informado que tal não era possível às rés (artigo 55.º da petição inicial).
46. O gerente da autora foi também informado que as rés apenas poderiam proceder ao bloqueio das contas de que o gerente da autora era titular, por forma a prevenir possíveis transferências futuras não autorizadas (artigo 56.º da petição inicial).
47. O que foi feito, com a concordância do gerente da autora (artigo 57.º da petição inicial).
48. No mesmo dia o gerente da autora tentou aceder novamente à página da “CA Online”, pelo mesmo link a que tinha acedido por volta das 11h49, tendo surgido a seguinte informação:
 (artigo 60.º da petição
inicial).
49. No dia 18.11.2022 o gerente da autora deslocou-se à Polícia de Segurança Pública – Comando Distrital de Castelo Branco, onde apresentou queixa-crime, que deu origem ao processo n.º 847/22.7PBCTB, a correr termos no DIAP de Castelo Branco (artigos 63.º e 64.º da petição inicial).
50. Após, o gerente da autora dirigiu-se ao balcão da primeira ré, onde foi informado de que nada poderia reverter as transferências realizadas e não pretendidas, disponibilizando-se os funcionários da ré a reportar a situação aos serviços centrais (artigo 70.º da petição inicial).
51. O gerente da autora remeteu ao presidente do conselho de administração da Caixa Central de Crédito Agrícola Mútuo uma comunicação expondo os factos acima descritos (artigos 77.º a 79.º da petição inicial).
52. As rés responderam à dita comunicação mediante mensagem de correio eletrónico remetida em 05.01.2023, recusando a responsabilidade pelo sucedido e recusando o ressarcimento do valor transferido desde a conta da autora (artigos 81.º e 82.º da petição inicial).
53. Vários clientes da Caixa de Crédito Agrícola têm sido vítimas de fraudes como a sofrida pela autora (artigo 95.º da petição inicial).
54. O gerente da autora tem 72 anos de idade (artigo 97.º da petição inicial).
55. Em novembro de 2022 as rés tinham pleno conhecimento das práticas fraudulentas acima descritas conforme inclusive publicitavam no seu sítio da internet (artigo 105.º da petição inicial).
56. Desde a adesão ao serviço de homebanking das rés, a autora é utilizadora regular (artigo 56.º da contestação)
57. Entre o dia 17.08.2022 e 15.11.2022 a autora acedeu ao CA Online Empresas 67 vezes (artigo 57.º da contestação).
58. Após a introdução do número de adesão e da chave multicanal no CA Online, tal como após ser ordenada uma transferência bancária, o sistema do Crédito Agrícola remete uma mensagem encriptada para a operadora que, consequentemente, remete uma mensagem encriptada com a OTP respetiva para o telemóvel associado à adesão do CA Online indicado na proposta de adesão (artigo 95.º da contestação).
59. Aquando da adesão ao CA Online, o Crédito Agrícola disponibiliza aos clientes um documento com recomendações de segurança (artigo 114.º da contestação).
60. Ao longo do ano de 2022, o Crédito Agrícola remeteu, por SMS, alertas dando conta das tentativas de phishing que estavam a ser perpetradas (artigo 115.º da contestação).
61. Tais mensagens de texto foram rececionadas pelo número de telemóvel associado à adesão titulada pela autora, nas datas de envio das mesmas (artigo 116.º da contestação).
62. Em 25.02.2022, o Crédito Agrícola remeteu por SMS o seguinte alerta: “Alertamos para possíveis tentativas de fraude ou burla. Nao aceda a links e nunca forneca por telefone os seus codigos de acesso aos canais se for contactado” (artigo 117.º da contestação).
63. Em 21.09.2022 foi lançado na página de acesso ao CA Online Empresas uma banner com a seguinte mensagem: “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola, alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços - são pessoais e intransmissíveis” (artigo 118.º da contestação).
64. O mencionado banner de alerta que aparecia sempre aquando de cada acesso ao CA Online Empresas (artigo 119.º da contestação).
65. As mensagens com as OTP remetidas para o número de telemóvel associado à adesão titulada pela autora mencionadas em 36. continham, antes do código de acesso, o seguinte alerta: “NUNCA partilhe este código com NINGUEM. Se lho pedirem é BURLA” (artigo 125.º da contestação).
66. As mensagens com a OTP de autorização mencionadas em 36. continham a conta bancária da qual é debitado o valor, a conta bancária em que será creditado o valor no caso de introdução da OTP e o valor que está a ser transferido (artigo 126.º da contestação).
67. O presidente do Conselho de Administração da Ré CCAM Beira Baixa (Sul) reuniu com o gerente da autora e com o filho deste, a pedido (artigo 171.º da contestação).
68. No dia 17.11.2023 não foi registada qualquer avaria ou deficiência técnica no sistema de serviço de homebanking das rés que tenha afetado as operações acima mencionadas em 43. (artigo 209.º do Código de Processo Civil).
B) O tribunal a quo considerou como não provada a seguinte facticidade:
A. Os dados de acesso (n.º de adesão e chave multicanal) da autora eram os mesmos utilizados no acesso à conta pessoal do seu gerente (artigo 25.º da petição inicial).
B. Os dados de acesso introduzidos mencionados em 24. permitissem aceder à conta da autora (artigo 27.º da petição inicial).
C. O gerente da autora não tenha facultado o seu número de telefone a terceiros que o utilizaram para realizar a chamada telefónica acima mencionada em 28. (artigo 43.º da petição inicial).
D. As transferências efetuadas acima referidas em 43. tenham sido em valor mais elevado do que os movimentos habitualmente ordenados desde a conta da autora (artigo 103.º da petição inicial).
E. As alterações às condições gerais da utilização do CA Online tenham sido comunicadas à autora (artigo 16.º da contestação).
*
Por via da presente ação, pretende a Recorrida que as Recorrentes lhe paguem a quantia global de € 21 390,43, acrescida de juros de mora, à taxa legal, vencidos e vincendos, até efetivo e integral pagamento, quantia essa que foi indevidamente apropriada por terceiros da conta bancária que tinha aberto na Caixa de Crédito Agrícola Mútuo da Beira Baixa (Sul), CRL.
Da impugnação da matéria de facto:
Tendo sido proferida sentença favorável às pretensões daquela Recorrida, as Recorrentes vieram apresentar o presente recurso, impugnando, desde logo, a matéria factual tida por provada.
Na verdade e alicerçadas no documento n.º 3 junto com a contestação, consideram as Impugnantes que, em complemento do facto dado como provado sob o n.º 24 (“Em página que aparentava ser a do serviço “CA Online” o gerente da autora introduziu o número de adesão e a chave multicanal para aceder à sua conta pessoal”), dever-se-á introduzir um outro, com a seguinte redação: o gerente da A., na página que aparentava ser a do serviço “CA Online”, inseriu também o contacto telefónico associado à adesão ao serviço.
A acrescer e ao contrário do que se fez constar da fundamentação de facto da sentença recorrida, o documento n.º 16 junto com a petição inicial (e o documento n.º 3 anexado à contestação) não permite concluir que “no decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou amplo conhecimento bancário, usando linguagem técnica da área financeira (…).” (n.º 32 dos factos assentes), mas apenas e tão-só que “no decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou conhecer as informações bancárias das contas de que o gerente da autora era titular, como os últimos movimento de conta por este efetuados na sua conta pessoal (artigo 35.º da petição inicial).”.
Em sede de contra-alegações, a Recorrida defendeu a manutenção, nos seus precisos termos, dos factos provados.
Vejamos então se, nesta parte, assiste, ou não, razão às Impugnantes.
A propósito daquela facticidade, em sede de fundamentação da mesma o tribunal recorrido escreveu o seguinte: “A matéria descrita nos n.ºs 22 a 43 ficou adquirida pela apreciação do teor do documento n.º 16, documento subscrito pelo representante da autora em que relata o sucedido, documento que não suscitou quaisquer dúvidas quanto à fidedignidade e interpretação pelo tribunal e que, de todo o modo, não foi impugnado pela ré. A narração dos factos acima descrito consta também do telefonema efetuado pelo gerente da autora à lista de apoio a clientes das rés, cuja gravação se mostra junta aos autos como documento n.º 3 com a contestação, não havendo nos autos elementos para desacreditar a fidedignidade da gravação junta, nomeadamente não tendo a autora invocado que a chamada telefónica não é a que foi gravada e junta como documento n.º 3 mencionado.”.
Da audição do CD-ROM junto aos autos em 19 de maio de 2023 (que constitui o documento n.º 3 da contestação) extrai-se que na conversa telefónica havida com uma funcionária do banco a propósito das transferências bancárias que o legal representante da Recorrida não reconheceu, em momento algum este aludiu ao facto de a pessoa que o contactou telefonicamente em ato prévio à concretização das ditas transferências ter evidenciado amplo conhecimento bancário e/ou recorrido a linguagem técnica da área financeira.
Assim sendo, é de deferir a pretendida limitação do texto do n.º 32 dos factos provados, passando este a ter a seguinte redação: no decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou conhecer as informações bancárias das contas de que o gerente da autora era titular, bem como os últimos movimento de conta por este efetuados na sua conta pessoal.
Concomitantemente, dar-se-á como não provado que: no decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou amplo conhecimento bancário, usando linguagem técnica da área financeira.
Quanto à questão de saber se o gerente da Recorrida, em página que aparentava ser a do serviço “CA Online”, para além de ter introduzido o número de adesão e a chave multicanal para aceder à sua conta pessoal, também inseriu o contacto telefónico associado à adesão ao serviço, cumpre referir o seguinte: da audição do mencionado CD-ROM não resulta que o gerente da Recorrente tenha inserido o contacto telefónico associado à adesão ao serviço, mas apenas que este lhe foi solicitado e que o revelou.
Sequentemente, a redação do n.º 36 dos factos provados passa a ser a seguinte: nesse telefonema, o gerente da autora transmitiu o número de adesão do CA Online empresas, a chave multicanal do CA Online Empresas, a OTP de acesso à conta referente à adesão do CA Online Empresas, duas OTP de autorização de transferências bancárias e o contacto telefónico associado à adesão ao serviço.
À laia de conclusão, determina-se que:
i. O n.º 32 dos factos provados passe a ter a seguinte redação: no decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou conhecer as informações bancárias das contas de que o gerente da autora era titular, como os últimos movimento de conta por este efetuados na sua conta pessoal;
ii. O aditamento à matéria de facto não provada do seguinte: no decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das rés evidenciou amplo conhecimento bancário, usando linguagem técnica da área financeira;
iii. A redação do n.º 36 dos factos provados passe a ser a seguinte: nesse telefonema, o gerente da autora transmitiu o número de adesão do CA Online empresas, a chave multicanal do CA Online Empresas, a OTP de acesso à conta referente à adesão do CA Online Empresas, duas OTP de autorização de transferências bancárias e o contacto telefónico associado à adesão ao serviço o contacto telefónico associado à adesão ao serviço.
Do Direito:
Passando agora para a fase da subsunção dos factos ao Direito, é consabido que a frenética vida atual empurra-nos para a adoção de formas mais céleres de comunicação, incluindo à distância.
Um daqueles meios de comunicar, criado na era digital, é o homebanking, que, de acordo com a Infopédia (Dicionários da Porto Editora), consiste num “serviço disponibilizado pelos bancos que permite aos clientes registados efetuar vários tipos de operações bancárias através do telefone ou usando a internet”.
Também no site do Banco de Portugal surge a definição de banco on-line ou homebanking, nos seguintes termos: “canal facultado pela maioria das instituições de crédito para interação com os seus clientes através da internet e que, mediante a adoção de medidas de segurança adequadas, possibilita o acesso aos serviços oferecidos pela instituição a qualquer hora e em qualquer lugar.”.
Assim, o homebanking consiste num sistema de canais digitais disponibilizado por um banco via internet, que permite aos clientes obter informações sobre a sua conta bancária, efetuar transferências e pagamentos, entre outras operações bancárias, e que tradicionalmente apenas eram feitas nas instalações físicas da instituição bancária.
O contrato de homebanking é um contrato atípico e acessório do de conta bancária, que regula os direitos e deveres das partes no acesso e movimentação da(s) conta(s) bancária(s) pelo cliente bancário através de canais digitais disponibilizados pelo banco.
Conhecedor da importância das facilidades atribuídas ao uso do homebanking, mas também das violações dos sistemas de segurança que o rodeiam, o legislador, com o Decreto-lei n.º 91/2018, de 12 de novembro, que aprovou o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (doravante, RJSPME), veio criar a denominada “autenticação forte”, introduzindo dois elementos de segurança para aceder àquele sistema: o primeiro consiste na atribuição ao utilizador pelo prestador de serviço bancário de uma chave de segurança constituída por vários algarismos, sendo que em cada transação via homebanking é apenas solicitada a introdução de alguns desses algarismos; o segundo tem a ver com a atribuição do chamado código token que é enviado para o telemóvel associado à conta bancária, código esse que tem de ser inserido na plataforma digital e que expira num curto período de tempo.
Conforme refere Miguel Pestana de Vasconcelos (na revista Julgar, n.º 42 do ano de 2020): “cabe ao utilizador manter sistemas de segurança, de diversa natureza, state of the art, para impedir que a conta do utilizador dos serviços seja acedida por terceiros, sem a autorização deste. Como vimos, trata-se de uma verdadeira obrigação de resultado, próxima de uma obrigação de garantia. A sua justificação económica é clara: o cliente paga diversas comissões, em crescendo, pela realização de operações de pagamento. O seu cerne, diríamos que um dos núcleos da contraprestação do banco pela comissão paga (que tem sempre nos termos da lei de ter como correspetivo um serviço efetivo por parte do banco – art. 3.º, al. f), do Decreto-Lei n.º 58/2013 de 8 de maio), é que a segurança dos fundos que confia ao banco seja protegida. Ela desdobra-se, ou tem consagração direta, nos deveres de assegurar a proteção das credenciais e na deteção de operações abusivas ou fraudulentas. Mas tem caráter geral, como se vê. As operações abusivas ou fraudulentas podem assumir configurações muito diversas e, num momento em que sistemas de inteligência artificial possam dar vantagem aos hackers, o banco tem de assegurar a proteção das contas. Violado o sistema, salvo em casos bastante restritos, de força maior, responde. A autentificação forte consiste num meio eficiente de proteção adicional. Mas não é inviolável. Nada é, aliás, como bem se pode constatar pela constante penetração dos mais sofisticados sistemas de segurança.”.
Resulta sinteticamente dos factos provados que a Recorrida, representada pelo respetivo gerente, firmou com a primeira Recorrente, em 13 de fevereiro de 2006, um contrato de abertura de conta e de depósito, sendo que no dia 1 de outubro de 2021 aquela Recorrida subscreveu a adesão ao serviço CA Online.
Na data de 17 de novembro de 2022, pelas 11h49min, o gerente da Recorrida procurou aceder ao serviço CA Online para efetuar transferência em nome pessoal. Para o efeito, pesquisou no Google pelo endereço do serviço CA Online. Em página que aparentava ser a do serviço CA Online, o gerente da Recorrida introduziu o número de adesão e a chave multicanal para aceder à sua conta pessoal. Depois de entrar na área reservada, surgiu uma mensagem que indicava a necessidade de alteração da password. Após proceder à solicitada alteração, o mesmo gerente recebeu um telefonema de uma pessoa que se identificou como sendo funcionária do banco, dizendo àquele os passos a dar para concluir a atualização de dados, o que foi feito. Nesse telefonema, o gerente da Recorrida transmitiu o número de adesão do CA Online empresas, a chave multicanal do CA Online Empresas, a OTP de acesso à conta referente à adesão do CA Online Empresas, duas OTP de autorização de transferências bancárias e o contacto telefónico associado à adesão ao serviço. Depois de finalizar todos os passos solicitados, foi transmitido ao gerente da empresa que num intervalo de duas horas não poderia aceder às contas de que era titular, para que a operação de alteração de dados fosse concluída.
O referido gerente voltou a aceder à CA Online por volta das 17h do mesmo dia, altura em que constatou uma transferência realizada da sua conta pessoal, que não reconheceu como tendo sido autorizada por si.
Há diversas formas de intromissão indevida no sistema bancário, em prejuízo dos utilizadores deste. A propósito, explica elucidativamente o Acórdão do Tribunal da Relação de Lisboa de 13 de março de 2025 (consultável em www.dgsi.pt), que: “i. no phishing, o lesado recebe um e-mail (ou outra mensagem digital, v.g. via SMS, MMS ou WhatsApp) com um link e, ao clicar neste, é direcionado para um site falso; ii. no typosquatting, espécie de cybersquatting, o lesado acede por lapso seu ao site falso, seja através de um motor de busca, seja pela errada digitação do endereço na respetiva barra; iii. no pharming o utilizador digita o endereço certo, ou escolhe o site certo, mas é redirecionado para o falso porque o seu cache de DNS foi previamente viciado por um vírus ou porque (caso muito raro) o próprio servidor de DNS foi atacado.”.
Atenta a matéria de facto provada, forçoso se torna concluir que, in casu, ocorreu uma situação de typosquatting, que depois teve desenvolvimentos subsequentes.
Tendo em consideração que é apenas o banco que possui os mecanismos necessários para assegurar a operacionalidade do complexo sistema informático que utiliza e a regularidade do seu funcionamento – garantindo igualmente a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento –, é natural que sobre ele incida o ónus de provar que as ordens de pagamento dadas pelo cliente foram devidamente autorizadas através da utilização efetiva dos mecanismos de autenticação disponibilizados, bem como foram corretamente registadas e contabilizadas, e que a sua execução foi isenta de qualquer avaria técnica ou devido a deficiência do serviço prestado pelo prestador de serviços de pagamento. Ou, em alternativa, o ónus de provar a ocorrência de comportamento negligente, gravemente negligente ou doloso do utilizador (art.º 70.ºdo RJSPME).
Se tal prova não for realizada pela instituição bancária, esta será responsável pelo imediato pagamento do montante da operação de pagamento não autorizada, repondo a conta na situação em que estaria se a operação de pagamento não autorizada não tivesse sido executada (art.º 114.º n.º 1 do RJSPME).
No entanto, se for apurada responsabilidade do ordenante por operações de pagamento não autorizadas, regerá o art.º 115.º do RJSPME, nos seguintes termos:
se as operações de pagamento não autorizadas resultantes de perda, de roubo ou da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados for imputável ao ordenante, este suporta as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 50; já se as perdas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no art.º 110.º o RJSPME, o ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas (sem que seja aplicável o referido limite do saldo disponível ou da linha de crédito associada à conta/instrumento de pagamento atrás referidos); finalmente, se ocorrer negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50, dependendo da natureza dos dispositivos de segurança personalizados do instrumento de pagamento e das circunstâncias da sua perda, roubo ou apropriação abusiva.
Em síntese: face a uma operação não autorizada, cabe ao prestador do serviço a restituição do valor. Porém, nos casos específicos da utilização de um instrumento de pagamento perdido, furtado, roubado ou da apropriação abusiva de um instrumento de pagamento, a lei aloca essa perda ao cliente até ao montante de € 50. Depois desse valor, a responsabilidade cabe ao banco, no que consiste numa verdadeira responsabilidade pelo risco. Só há um afastamento da responsabilidade do banco no âmbito das operações indevidas em caso de fraude ou de atuação dolosa. Fora destas hipóteses, só uma atuação com negligência grosseira do utilizador do serviço afasta a responsabilidade do banco para além do valor de € 50. A simples negligência, a culpa leve, não afasta a responsabilidade do banco.
Assim e em primeiro lugar, cumpre referir que resultou provado que no dia 17 de novembro de 2023 não foi registada qualquer avaria ou deficiência técnica no sistema de serviço de homebanking das RR. que tenha afetado as operações.
Mais resulta dos documentos n.ºs 9 e 10 juntos com a petição inicial que as operações de transferência bancária em discussão foram devidamente registadas e contabilizadas.
A acrescer, igualmente se provou o seguinte: em página que aparentava ser a do serviço “CA Online”, o gerente da autora introduziu o número de adesão e a chave multicanal para aceder à sua conta pessoal; após entrar na área reservada, surgiu uma mensagem que indicava a necessidade de alteração da password, por não ser alterada há mais de 90 dias; apesar de tal nunca ter sucedido, mas por estar na convicção de que se encontrava na real página do serviço “CA Online”, o gerente da A., após ter introduzido os dados de acesso, procedeu à alteração solicitada.
Assim, o legal representante da Recorrida, depois de ter facultado a terceiros os elementos confidenciais que são o número de adesão de utilizador, a chave multicanal de utilizador e a password do utilizador, recebeu das Recorrentes, em cumprimento do derradeiro passo a dar no contratado sistema de autenticação forte (explicitados nas diversas alíneas da cláusula 1.ª, n.º 4, do documento n.º 4 anexado à petição inicial), as SMS’s (remetidas para o número de telemóvel associado à adesão ao CA Online empresas) com as OTP de autorização de transferências bancárias (a este propósito, provou-se que após a introdução do número de adesão e da chave multicanal no CA Online, tal como após ser ordenada uma transferência bancária, o sistema do Crédito Agrícola remete uma mensagem encriptada para a operadora que, consequentemente, remete uma mensagem encriptada com a OTP respetiva para o telemóvel associado à adesão do CA Online indicado na proposta de adesão).
Não obstante aquelas SMS’s conterem a conta bancária da qual é debitado o valor, a conta bancária em que será creditado o valor no caso de introdução da OTP, e o valor que está a ser transferido, mesmo assim o gerente da Recorrida materializou as transferências bancárias que mais tarde veio a não reconhecer.
Atento que se deixou ínsito, há que concluir que as apontadas transferências devem ser qualificadas como autorizadas (cfr. o art.º 103.º n.ºs 1 a 3 do RJSPME), porquanto as mesmas foram levadas a cabo em conformidade com as instruções dimanadas do CA Online aquando da adesão a este e com recurso às credenciais que apenas o legal representante da Recorrida devia conhecer.
Sendo assim, estando-se perante transferências bancárias autorizadas, fica afastada a responsabilidade das Recorrentes.
Ainda que assim não se entendesse, vejamos de a Recorrida, representada pelo seu gerente, terá na situação em presença atuado com negligência grosseira.
A negligência grosseira constitui uma negligência temerária, qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes.
Tem vindo a ser entendido de forma pacífica pela nossa jurisprudência e também pela doutrina que o conceito de negligência grosseira a que alude o art.º 115.º n.º 4 do RJSPME deve ser equiparado ao conceito de culpa grave no Direito Civil, podendo recorrer-se ao disposto no art.º 487.º n.º 2 do C. Civil, o qual estabelece que a culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso.
Volvendo aos contornos do caso concreto, relembremos que se provou que: no dia 17 de novembro de 2022, pelas 11h49min, o gerente da A. procurou aceder ao serviço “CA Online”, para efetuar transferência em nome pessoal. Para tanto, o gerente da A. pesquisou no Google pelo endereço do serviço “CA Online”. Em página que aparentava ser a do serviço “CA Online”, o gerente da A. introduziu o número de adesão e a chave multicanal para aceder à sua conta pessoal. Após entrar na área reservada, surgiu uma mensagem que indicava a necessidade de alteração da password, por não ser alterada há mais de 90 dias. Apesar de tal nunca ter sucedido, mas por estar na convicção de que se encontrava na real página do serviço “CA Online”, o gerente da A., após ter introduzido os dados de acesso, procedeu à alteração solicitada. Nesse seguimento, surgiu no ecrã a indicação de que tal alteração estaria a ser processada, através de uma “bolinha/temporizador” que girava sobre si mesma. Praticamente em simultâneo a tal operação, o gerente da A. recebeu chamada telefónica proveniente do n.º 962656738. Essa chamada telefónica foi realizada por uma senhora que se identificou como sendo funcionária do Banco Caixa de Crédito Agrícola Mútuo e informando que estaria a ligar na sequência da atualização de dados efetuada. No decurso da conversação telefónica, a dita senhora que se identificou como funcionária das RR. informou o gerente da A. dos passos necessários para concluir a atualização de dados, que se mostrava necessário para a segurança das contas da A. e do seu gerente. Pelo que, a referida senhora ia indicando os campos onde o gerente da A. teria de clicar e os campos onde introduzir os códigos que, entretanto, ia recebendo através de SMS. No decurso da chamada telefónica, a referida pessoa que se identificou como estando a contactar da parte das RR. evidenciou conhecer as informações bancárias das contas de que o gerente da A. era titular, como os últimos movimentos de conta por este efetuados na sua conta pessoal. Ao longo do telefonema, a dita pessoa fez referência às várias contas de que o gerente da A. era titular, distinguindo se se tratava de conta particular ou empresarial, demonstrando também conhecer o saldo bancário das várias contas a que fez referência. O gerente da A., convicto de que estava a contactar com funcionária das RR., acedeu em seguir os passos que lhe iam sendo solicitados. Nesse telefonema, o gerente da A. transmitiu o número de adesão do CA Online empresas, a chave multicanal do CA Online Empresas, a OTP de acesso à conta referente à adesão do CA Online Empresas, duas OTP de autorização de transferências bancárias e o contacto telefónico associado à adesão ao serviço. O gerente da A. atuou na convicção que o estava a fazer para segurança das suas contas bancárias e da conta bancária de que a A. era titular e por forma a proteger os dados de acesso às mesmas. Depois de finalizar todos os passos solicitados pela senhora que se identificou como funcionária da R. com vista à conclusão do procedimento de alteração de dados, foi-lhe transmitido por aquela que num intervalo de duas horas não poderia aceder às contas de que era titular para que a operação de alteração de dados fosse concluída. Nessa sequência, cumprindo o solicitado, o gerente da A. apenas voltou a aceder à “CA Online”, por volta das 17h desse mesmo dia 17 de novembro de 2022. Nesse momento, o gerente da A. constatou uma transferência realizada da sua conta pessoal, que não reconheceu como tendo sido autorizada por si. Consequentemente, o gerente da A. ligou de imediato para a linha direta da Caixa de Crédito Agrícola, por forma a perceber o que havia ocorrido. O gerente da A. foi então informado nesse momento que haviam sido efetuadas mais três transferências em contas de que era titular. Tomando conhecimento de que haviam sido realizadas duas transferências da conta titulada pela A. que não reconheceu como tendo autorizado, no valor total de € 21 390,43: uma no valor de € 10 695,22 a favor de BB, para a conta com o ... outra no valor de € 10 695,21 a favor de CC, para a conta com o IBAN PT .. .... .... .... .. Desde a adesão ao serviço de homebanking das RR., a A. é utilizadora regular. Entre o dia 17 de agosto de 2022 e 15 de novembro de 2022 a A. acedeu ao CA Online Empresas 67 vezes. Aquando da adesão ao CA Online, o Crédito Agrícola disponibiliza aos clientes um documento com recomendações de segurança. Ao longo do ano de 2022, o Crédito Agrícola remeteu, por SMS, alertas dando conta das tentativas de phishing que estavam a ser perpetradas. Tais mensagens de texto foram rececionadas pelo número de telemóvel associado à adesão titulada pela A., nas datas de envio das mesmas. Em 25 de fevereiro de 2022 o Crédito Agrícola remeteu por SMS o seguinte alerta: “Alertamos para possíveis tentativas de fraude ou burla. Nao aceda a links e nunca forneca por telefone os seus codigos de acesso aos canais se for contactado”. Em 21 de setembro de 2022 foi lançado na página de acesso ao CA Online Empresas uma banner com a seguinte mensagem: “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola, alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços - são pessoais e intransmissíveis”. O mencionado banner de alerta aparecia sempre aquando de cada acesso ao CA Online Empresas. As mensagens com as OTP remetidas para o número de telemóvel associado à adesão titulada pela A. mencionadas em 36. continham, antes do código de acesso, o seguinte alerta: “NUNCA partilhe este código com NINGUEM. Se lho pedirem é BURLA”. As mensagens com a OTP de autorização mencionadas em 36. continham a conta bancária da qual é debitado o valor, a conta bancária em que será creditado o valor no caso de introdução da OTP e o valor que está a ser transferido. No dia 17 de novembro de 2023 não foi registada qualquer avaria ou deficiência técnica no sistema de serviço de homebanking das RR. que tenha afetado as operações mencionadas em 43.
Conforme acima deixamos evidenciado, entre as obrigações do prestador de serviço de pagamento associadas aos instrumentos de pagamento conta-se, em primeiro lugar, a de assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento (al. a) do n.º 1 do art.º 111.º n.º 1 a) do RJSPME). Ora, ponderada a matéria factual acima elencada, há que concluir que as Recorrentes cumpriram tal obrigação.
Em contraponto, a Recorrida, na sua qualidade de utilizadora de serviços de pagamento, tinha o dever de tomar todas as medidas razoáveis para preservar o sigilo quanto às suas credenciais de segurança personalizadas (art.º 110.º n.º 2 do RJSPME), o que não fez de forma grosseira.
Na verdade e ao contrário daquilo a que se vinculou aquando da aceitação da proposta de adesão ao serviço CA Online (respeitar a confidencialidade dos dados de acesso a esse serviço e cumprir todos os deveres de cuidado de modo a garantir a confidencialidade e a segurança dos mesmos), a Recorrida, na pessoa do seu gerente, facultou as suas credenciais de segurança personalizadas a terceiros, colocando-as numa página da internet cujo endereço eletrónico, obtido através de um motor de busca, deveria ter sido previamente confirmado como sendo o oficial.
Por outro lado, não podemos olvidar os diversos alertas que as RR. foram endereçando aos seus clientes utilizadores do homebanking, Recorrida incluída, no sentido de levar ao conhecimento destes, de forma categórica e facilmente apreensível, que existia risco real de serem vítimas de burlas pela internet caso cedessem a desconhecidos os seus dados pessoais bancários de acesso ao dito sistema. Realmente, a este nível provou-se o seguinte: aquando da adesão ao CA Online, o Crédito Agrícola disponibiliza aos clientes um documento com recomendações de segurança. Ao longo do ano de 2022, o Crédito Agrícola remeteu, por SMS, alertas dando conta das tentativas de phishing que estavam a ser perpetradas. Tais mensagens de texto foram rececionadas pelo número de telemóvel associado à adesão titulada pela Recorrida, nas datas de envio das mesmas. Em 25 de fevereiro de 2022 o Crédito Agrícola remeteu por SMS o seguinte alerta: “Alertamos para possíveis tentativas de fraude ou burla. Nao aceda a links e nunca forneca por telefone os seus codigos de acesso aos canais se for contactado”. Em 21 de setembro de 2022 foi lançado na página de acesso ao CA Online Empresas uma banner com a seguinte mensagem: “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola, alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços - são pessoais e intransmissíveis”. O mencionado banner de alerta aparecia sempre aquando de cada acesso ao CA Online Empresas. As mensagens com as OTP remetidas para o número de telemóvel associado à adesão titulada pela Recorrida mencionadas em 36. continham, antes do código de acesso, o seguinte alerta: “NUNCA partilhe este código com NINGUEM. Se lho pedirem é BURLA”.
Não obstante aqueles múltiplos alertas – a maior parte deles prévios e temporalmente próximos dos factos aqui objeto de ponderação –, o certo é que a Recorrida, por intermédio do seu gerente, violou de forma grosseira todas as regras de utilização do sistema de homebanking disponibilizado pelas Recorrentes.
E tal negligência grosseira é ainda mais grave se atentarmos na circunstância de a Recorrida, conforme igualmente resultou assente, ser uma utilizadora regular daquele sistema, tanto assim que entre o dia 17 de agosto de 2022 e o dia 15 de novembro de 2022 acedeu ao CA Online Empresas sessenta e sete vezes. E na circunstância de o seu gerente, quando acedeu ao homebanking das Recorrentes, nem sequer pretender efetuar qualquer transferência bancária. E no facto de o respetivo gerente contar setenta e dois anos de idade, que corresponderão certamente a uma experiência de vida que lhe deveria fazer soar os sinais de alerta para uma possível situação de fraude. Tanto mais que este tipo de intervenções ilícitas no património alheio tem vindo a ser, de há anos a esta parte, amplamente noticiado em todos os meios de comunicação social.
A conclusão segundo a qual a Recorrida atuou com negligência grosseira não é posta em causa pelo facto de se ter provado que a pessoa que falou com o gerente da mesma ao telemóvel se ter identificado como funcionária das RR. e ter evidenciado conhecimentos quanto às contas bancárias tituladas pela Recorrente e quanto aos respetivos saldos e movimentos. Estas situações não afastam os múltiplos alertas prévio dirigidos à Recorrida pelas Recorrentes e a que acima aludimos.
Atento o que se deixou ínsito, conclui-se que deve ser dado provimento ao recurso interposto, revogando-se a sentença recorrida e substituindo-a por uma outra que julgue a ação improcedente e absolva as Recorrentes do pedido.
A Apelada, por ter ficado vencida, é responsável pelo pagamento das custas processuais (artigos 527.º e 529.º, ambos do C. P. Civil).
*
IV. DECISÃO:
Pelo exposto, acordam os Juízes desta 2.ª Secção do Tribunal da Relação de Lisboa em:
i. Julgar parcialmente procedente o recurso interposto quanto à matéria de facto, nos termos supra exarados;
ii. Julgar no demais o recurso procedente, revogando-se a sentença proferida, substituindo-a pelo presente acórdão que julga a ação totalmente improcedente, por não provada, absolvendo as Recorrentes do pedido.
Custas pela Apelada.
*
Lisboa, 05-11-2025,
João Severino
Laurinda Gemas
Inês Moura |
