| Decisão Texto Integral: | Acordam os Juízes na 6ª Secção Cível do Tribunal da Relação de Lisboa
I. Relatório
augusta freitas unipessoal lda. instaurou a presente acção declarativa de condenação sob a forma de processo comum contra caixa de crédito agrícola mútuo de médio ave crl e caixa central – caixa central de crédito agrícola mútuo crl pedindo a condenação solidária das Rés:
a) pagar à A. a quantia de € 30.000,00 (trinta mil euros), a título de danos patrimoniais sofridos, acrescida de juros de mora acrescida de 10 % nos termos do art.º 114.º, nºs 1, 4 e 10 do RJSPME no valor de € 2.554,52 (dois mil quinhentos e cinquenta e quatro euros e cinquenta e dois cêntimos), assim como em juros vincendos à taxa de juro cível de 4,00 %, acrescida de 10 % nos termos do art.º 114.º, nºs 1, 4 e 10 do RJSPME, após citação e ainda custas;
b) A não se entender assim, pela responsabilidade solidária das R.R., deverá, a R. que for efetivamente considerada responsável, ser condenada a pagar à A. as quantias anteriormente pedidas.
Alega, em síntese, que:
- as RR., exercem profissionalmente a actividade bancária e dessa atividade auferem lucros;
- A 2ª R., Caixa Central, conjuntamente com a 1ª R., disponibilizam aos clientes o serviço “CA Online”, o qual é um erviço de Internet Banking prestado pelo Crédito Agrícola e que faz parte dos serviços oferecidos pelo Sistema Multicanal. Este sistema permite que o cliente, a partir de qualquer computador com acesso à Internet, possa efetuar consultas à carteira de produtos que detém nas suas contas bancárias no grupo “Crédito Agrícola” e realizar operações financeiras nas suas contas de depósito à ordem.
- A A., por intermédio da sua gerente, AA, em 24 de outubro de 2018, celebrou com a 1ª R., Caixa de Vila Nova de Famalicão, contrato de abertura de conta e de depósito, originando assim, a conta nº 40307868993 e, na sequência de tal contrato, a A., em 09 de julho de 2019, aderiu ao referido serviço “CA Online”;
- Para acesso ao serviço “CA Online”, as RR., atribuíram, à gerente da A., um elemento de identificação secreto (nº adesão), uma chave multicanal e password (tendo a gerente da A. alterado a chave multicanal atribuída aquando da activação do serviço), os quais teriam de ser introduzidos sempre que a gerente da A. pretendesse aceder remotamente à sua conta;
- igualmente desde essa data a Autora aderiu ao sistema de autenticação forte para acesso à área reservada, pelo que sempre que a A., por intermédio da sua gerente, pretendesse realizar um pagamento ou transferência remotamente, esta só se realizava após a introdução de um código de autorização composto por seis dígitos que era enviado por mensagem escrita (sms) remetida pelo sistema da Caixa Central (2ª R.) para o número de telemóvel da gerente da A associado a essa mesma conta;
- a gerente da A., em 24 de novembro de 2022, pelas 10h30m, solicitou ao seu filho - BB -, que, na sua presença, acedesse ao serviço “CA Online Empresas”, através do link “www.creditoagricola.pt” para efetuar transferência em nome da A.
- após introduzir os dados de acesso, surge uma mensagem que indicava a necessidade de proceder à alteração da sua password, por a mesma não ser alterada há mais de 90 dias, bloqueando o site qualquer acção enquanto tal não sucedesse;
- simultaneamente a tal operação a gerente da A. recebeu, no seu telemóvel, chamada telefónica, solicitando-se que seja oficiada a MEO - Serviços de Comunicações e Multimédia, S.A., a fim de vir aos autos informar das chamadas telefónicas recebidas pelo nº ... no dia 24 de novembro de 2022, no período entre as 10h00 e as 11h00 e respetivo período de duração, chamada telefónica essa , atendida pelo filho da gerente da A. a pedido da mãe, foi realizada por uma senhora, que se identificou como sendo funcionária do Banco Caixa de Crédito Agrícola Mútuo;
- Após iniciar a chamada, a colaboradora da Caixa Agrícola questionou se estava a falar com a Sra. AA, e nesse contexto, a colaboradora informou o filho da gerente da A. de que iria proceder a uma confirmação de dados relativos à conta de que a A. era titular, e que estava a ligar na sequência do pedido de alteração de password de acesso ao serviço CA online;
- seguindo as indicações da colaboradora da Caixa clicou no botão que permitia validar a password, sem nunca a ter revelado àquela;
- nesse momento apareceu no ecrã ima mensagem “solicitamos simulação de transferência”, tendo a funcionária da Caixa quando q1uestionada sobre a mesma referido que eram procedimentos normais por forma a garantir a segurança da conta bancária, não sendo necessário inserir nenhum número de destino;
- depois de finalizados todos os passos foi referido que com vista à conclusão do procedimento não poderia aceder à conta num horizonte temporal de 1h e 30 mnts;
- voltando a aceder à conta às 12h desse mesmo dia a gerente da Autora constatou terem sido realizadas duas transferências bancárias de €15 000,00/cada para o IBAN titulado por CC;
-em choque contactou a linha directa, tendo sido informada que a Caixa Agrícola nunca pede simulação de transferências;
- de imediato solicitou o cancelamento das mesmas e deslocou-se ao balcão acompanhada do seu filho, tendo sido informada que nada havia a fazer posto que o dinheiro já havia saído da sua conta;
- tendo o gerente do balcão os informado que haviam sido alvo de uma burla e responsabilizando-os pelo sucedido.
- o sucedido ocorreu por falha de segurança das Rés, na protecção dos dados dos seus clientes, sendo que se impunha o bloqueio das movimentações nas contas de destino, atenta a cláusula 2.8 das condições grais de utilização das contas MOEY;
- em virtude do sucedido viu-se lesada no valor de €30 000,00.
Conclui assim pela responsabilidade das Rés e respectiva condenação das mesmas no pedido formulado.
Devidamente citadas vieram as Rés contestar, por impugnação, alegando, em suma, que:
- o sistema homebanking implementado cumpre todos os preceitos legais e normativos e não sofreu qualquer ingerência fraudulenta que tenha exposto dados de clientes;
- os danos reclamados são imputáveis à actuação negligente da Autora, que incumpriram as regras de acesso e utilização pessoais e intransmissíveis e acederam a um link diverso do de acesso ao CA Online Empresas;
- a Ré comprometeu irremediável e negligentemente os elementos de segurança de acesso aos canais director, os quais são únicos, pessoais e intransmissíveis;
- cabe ao cliente o especial dever de não revelar, nem por qualquer forma tornar acessível ao conhecimento de terceiros, os seus elementos de identificação e os códigos de acesso, seja o número de adesão, seja o código multicanal, seja a password, sejam as OTP de acesso ao serviço ou de autorização de operações, dados que são confidenciais e intransmissíveis;
- apenas a gerente da Autora figurava como Autorizadora/Utilizadora e, por isso, o filho da gerente da Autora não só não tinha legitimamente credenciais de acesso à Adesão da Autora ao CA Online Empresas, como ainda agia em total conivência da sua mãe, como a própria Autora confessa ao longo da Petição Inicial, e, desse modo, da Autora, pelo que todos os actos praticados pelo filho da gente da Autora não podem deixar de ser imputáveis à Autora;
- o filho da gerente da Autora não acedeu directamente ao link www.creditoagricola.pt, ao invés pesquisou pelo termo “caixa agrícola” no motor de pesquisa Google, tendo de seguida, entrado num link malicioso, que não o do Crédito Agrícola, com o título 138.68.78.45;
- ao proceder à alteração solicitada por esse link – que não o das Rés - a Autora acabou por divulgar ao burlão a totalidade da password, o que permitiu ao mesmo seleccionar os três dígitos aleatoriamente pedidos aquando da realização de operações de pagamento;
- constata-se em todo o processo descrito pela Autora vários sinais de alerta que levariam qualquer um, com mínima diligência, a suspeitar e recusar o solicitado por terceiro;
- as Rés só contactam os clientes na sequência de pedidos formulados pelos próprios, e nunca por sua iniciativa;
- ao longo de 2022 as Rés remeteram por SMS alertas dando conta de tentativas de phishing, as quais foram recepcionadas pela Autora no seu telemóvel, da mesma forma que colocaram um banner na página de acesso/log in dando igualmente conta de que nunca contacta telefonicamente os seus clientes, nem solicita códigos de acesso;
- Bastava que a Autora, na pessoa da sua gerente e do filho desta, tivesse atendido aos diversos avisos com que foi confrontada e às circunstâncias que reconheceu como atípicas, para que esta situação não tivesse ocorrido;
- relativamente ao acesso aos dados pessoais da Autora, existem diferentes formas de o terceiro mal-intencionado poder ter tido acesso a essa informação (através de redes de wi-fi públicas, através da instalação de malware ou spyware nos dispositivos informáticos ou electrónicos), que de modo algum fazem repercutir sobre as Rés a responsabilidade pelos danos peticionados nos presentes autos;
- as Rés não poderiam proceder ao bloqueio da conta de destino das transferências em apreço, pese embora o disposto na Cláusula 2.8 das Condições Gerais de Utilização de Contas à ordem moey!
- da aludida Cláusula resulta a possibilidade de bloqueio automático de qualquer tipo de movimentação da Conta à ordem moey! nos casos em que tal é exigido e/ou imposto ao Crédito Agrícola, legal, regulamentar ou administrativamente, não existindo norma legal ou regulamentar que impusesse às Rés tal obrigação.
Termina assim requerendo a improcedência da presente acção.
Foi designada data para realização de audiência prévia, a qual se realizou a 20-12-2024 ena qual (i) se fixou valor à presente acção, (ii) proferiu despacho saneador tabelar, (iii) se fixou o objecto do litígio, (iv) elencaram os termas de prova, (v) se decidiu da admissibilidade dos requerimentos probatórios e (vi) designou data para julgamento.
Procedeu-se a audiência de discussão e julgamento e em 31-08-2025 foi proferida sentença na qual se decidiu julgar a acção procedente, e, em consequência, condenar solidariamente as Rés Caixa de Crédito Agrícola Mútuo de Médio Ave, CRL e Caixa Central - Caixa Central de Crédito Agrícola Mútuo, CRL a pagar à AutoraAA, Unipessoal, Lda. a quantia de € 30.000,00 (trinta mil euros), acrescida de juros de mora vencidos e vincendos contabilizados à taxa de 14% desde o dia 24-11-2022, até efectivo e integral pagamento.
Inconformadas, as Réu interpuseram recurso de apelação para esta Relação, formulando na sua alegação as seguintes conclusões:
I. O facto provado n.º 10 não se poderá manter, porquanto o mesmo não foi alegado por nenhuma das partes e, consequentemente, não é um facto suscetível de acordo entre as partes. Em função do alegado pela Autora, nos artigos 11.º e 12.º da Petição Inicial, e da aceitação de tais factos pelas Rés, o facto provado n.º 10 deve ter a seguinte redação:
10. Momento em que foram, pela gerente da Autora, facultados à 1.ª Ré, os seus dados pessoais, incluindo o seu e-mail e contacto telefónico.
II. O facto provado n.º 13 não se poderá manter porquanto nenhuma das partes o alegou, pelo que tampouco pode ser considerado acordado entre as partes. As Condições Gerais que regem as relações contratuais entre as partes são alteradas, acompanhando a evolução legislativa, pelo que, à data dos factos, em discussão, vigoravam as Condições Gerais juntas como Documentos n.º 1 e 2 da Contestação. Assim, considerando os Documentos n.ºs 1 e 2 juntos com a Contestação, o facto provado n.º 13 deve ter a seguinte redação:
13. À data dos factos ora em discussão, o Contrato de Adesão ao CA Online Empresas era regulado pelo Documento n.º 2 junto com a Contestação e complementado pelo disposto nas Condições Gerais do Contrato de Depósito juntas como Documento n.º 1 da Contestação.
III. Também o julgamento dos factos provados n.º 37 e 62 carece de ser alterado.
IV. Como decorre dos factos provados n.º 24, 25 e 26 e do facto não provado sob a alínea A), não é verdade que as ações que estavam a ser solicitadas à Legal Representante da Recorrida o estivessem a ser para introduzir “na área reservada da “CA Online Empresas” ou “após entrar na área reservada da CA Online”, uma vez que, depois de aceder ao primeiro resultado que lhe apareceu no motor de busca Google com as palavras “caixa agrícola” (facto provado n.º 25), a Legal Representante da Recorrida entrou numa página falsa, na qual introduziu os dados de acesso (facto provado n.º 26), não tendo chegado a aceder, efetivamente, ao CA Online Empresas.
V. Ademais, resulta das próprias condições gerais de acesso ao Serviço CA Online Empresas que i) o acesso é feito através do endereço www.creditoagricola.pt (cf. Cláusula 1, al. d) do Documento n. º 4 junto com a Petição Inicial) e ii) a Legal Representante da Recorrida não podia ter acedido à área reservada no CA Online Empresas, porquanto tal serviço não solicita a alteração da password de 90 em 90 dias.
VI. Em face do exposto, impõe-se alterar a redação destes factos provados nos seguintes termos:
37. O filho da gerente da Autora, por indicação desta e após sugestão da senhora com quem mantinha conversa telefónica, introduziu na página web a que acedeu o referido código.
62. A gerente da Autora acreditou que as ações solicitadas na página web a que acedeu – alteração de password – o estavam a ser pela própria instituição, bem como estava convicta de o contacto telefónico rececionado em simultâneo à mensagem de solicitação de alteração de password era realizado pelas Rés.
VII. O Tribunal a quo julgou ainda provado, sob o facto provado n.º 45, que “As transferências não foram autorizadas pela gerente da Autora”, assentando tal julgamento (i) no depoimento da testemunha BB e (ii) na atuação dos funcionários do Banco, nomeadamente, das testemunhas DD e EE.
VIII. Salvo melhor opinião, o Tribunal a quo errou ao julgar este facto provado, na medida em que (i) se trata de um facto conclusivo, que implica uma apreciação do conceito jurídico de “operação autorizada” – e diz respeito ao thema decidendum; e, em todo o caso, (ii) o que releva para efeitos de formulação de tal conclusão é que o consentimento dado pelo ordenante esteja em conformidade com a forma acordada entre este e o respetivo prestador do serviço de pagamento, como resulta do artigo 103.º, n.º 3 do Decreto-Lei n.º 91/2018. Não releva, pois, (i) a negação por parte do filho da gerente da Autora/Recorrida, nem (ii) a crença que uma qualquer testemunha [in casu, funcionários do banco] possa ter a esse respeito.
IX. Por outro lado, como bem referiu a testemunha Eng.º FF, os elementos que permitem identificar a Recorrida, na pessoa da sua Legal Representante, são as credenciais de acesso e utilização da adesão por si titulada ao CA Online Empresas, pelo que, aquando da introdução do número de adesão, da chave multicanal, da OTP de login remetida para o contacto telefónico associado à adesão, dos três dígitos da password aleatoriamente solicitados pelo sistema aquando da execução de cada operação bancária e da OTP de autorização remetida para o contacto telefónico associado à adesão, as Recorrentes apenas podem assumir que as operações foram ordenadas pelo titular da adesão, uma vez que mais ninguém deve conhecer/aceder/deter qualquer uma das credenciais ora discriminadas, nos termos conjugados do disposto na Cláusula 1., n.º 2. alíneas q), r) e s) do Documento n.º 2 junto com a Contestação132, com as Cláusulas 4., n.º 5 e 8., n.º 2 do Documento n.º 2 junto com a Contestação, com a Cláusula 4.5 do Documento n.º 4 junto com a Petição Inicial e com a Cláusula 18., n.º 41., do Documento n.º 1 junto com a Contestação.
X. À luz das considerações e elementos probatórios que se cuidaram de sumariar, impõe-se remover tal facto da lista de factualidade provada, por se tratar de um facto conclusivo ou, caso assim não se entenda, por a sua manutenção ser incompatível com os factos provados n.º 14, 15, 20, 21, 22, 25, 26, 56 e 70.
XI. O Tribunal a quo deu como provado, sob o facto n.º 58, que “A gerente da Autora, por intermédio do seu filho, considerando toda a informação que lhe era dada via telefone, confiou na fiabilidade e fonte fidedigna das informações que lhe foram transmitidas” com base (i) no declarado pela testemunha BB, (ii) no facto de a testemunha GG ter revelado que “o engano de que a Autora foi vítima, através da sua gerente, poderá ter advindo da utilização de uma página falsa, emergente do primeiro resultado obtido no motor de busca utilizado, em tudo semelhante à página web do banco, sendo esta uma das formas conhecidas pelo banco utilizadas por burlões para se apropriar de quantias da conta bancária de clientes” e, por fim, (iii) nos depoimentos das testemunhas arroladas pela Autora que “à semelhança da gerente da Autora, foram ludibriados”.
XII. Ora, a informação que foi transmitida à Autora/Recorrida era referente a uma alteração da password em razão da mesma estar expirada e a uma subsequente simulação de transferências. Considerando (i) que tal procedimento nunca tinha sido anteriormente solicitado à Autora/Recorrida, como reconhece o filho da sua gerente, (ii) que as mensagens recebidas pela Autora/Recorrida seguiam os exatos termos das anteriores mensagens recebidas com o propósito de autorizar uma transferência, indicando claramente a realização de transferências reais, com IBANs a creditar e a debitar e valores específicos e um código de autorização e, por fim, (iii) a atipicidade da solicitação de uma “simulação de transferências”, não se alcançam as razões que permitem sustentar a fiabilidade e fidedignidade de tal comunicação.
XIII. De resto, nem do depoimento do filho da gerente da Autora/Recorrida, nem dos depoimentos das testemunhas arroladas pela mesma se pode sustentar, pelo facto de terem acreditado na informação que lhes era transmitida por um terceiro mal-intencionado, que a informação que foi facultada à Autora/Recorrida era fiável e provinha de fonte fidedigna, na medida em que concluir pela fiabilidade e fidedignidade de tal informação corresponde a um juízo de valor e não a um facto.
XIV. Por fim, do depoimento do Eng.º GG apenas se extrai que o engano poderá ter advindo da utilização de uma página falsa, não confirmando a fiabilidade da informação transmitida e a fidedignidade da fonte transmissora.
XV. Em face dos elementos probatórios que se citaram, requer-se que ao facto provado n.º 58 seja dada a seguinte redação:
58. A gerente da autora, por intermédio do seu filho, considerando a informação que lhe era dada via telefone, confiou nas informações que lhe foram transmitidas.
XVI. O facto provado n.º 61 deverá ser excluído da lista de factos provados, desde logo, porque (i) consubstancia um facto conclusivo, que implica uma apreciação jurídica sobre o comportamento da Legal Representante da Recorrida, no qual se conclui que o mesmo não se qualifica como grosseiramente negligente. Como é bom de ver, este julgamento diz respeito ao thema decidendum e, por isso, não é suscetível de constar da listagem de factos provados. Ademais, (ii) tratando-se de um facto conclusivo, não há qualquer afirmação constante do depoimento do filho da Legal Representante da Recorrida – ou, em bom rigor, de qualquer depoimento testemunhal – que o sustente.
XVII. Em todo o caso, (iii) não é verdade que a testemunha BB tenha respondido de forma isenta a tudo o que lhe foi perguntado, porquanto a testemunha tinha, evidentemente, interesse na decisão da presente ação, na medida em que (i) teve intervenção direta nos factos em discussão e (ii) a empresa na qual a sua mãe é Legal Representante viu-se lesada em 30.000,00€.
XVIII. Por outro lado, (iv) dos excertos do depoimento prestado pelo Eng.º GG, considerados pelo Tribunal, não resulta qualquer referência feita no sentido de que a Recorrida, por intermédio do filho da sua Legal Representante, atuou como a maioria das pessoas atuaria perante o circunstancialismo descrito.
XIX. Por fim, (v) o facto de, para além da Legal Representante da Recorrida, outros três Clientes das Recorrentes terem sido vítimas de fraude, não pode evidencia que a Legal Representante da Recorrida “atuou como a maioria das pessoas atuaria perante o circunstancialismo descrito”, sob pena de estarmos perante uma generalização falaciosa, contrariada pelo depoimento da testemunha HH.
XX. Também o julgamento quanto à matéria de facto subjacente ao facto provado n.º 63 está errado.
XXI. O Tribunal assenta a sua convicção no depoimento da testemunha BB e no facto de “não obstante a testemunha HH referir que este não é o modo de operar das rés e que inclusive já tinham sido enviados alertas de seguranças aos clientes, nenhuma prova foi feita no sentido de contrariar a afirmação de que esta foi a primeira vez que lhe sucedeu e que, por isso, acreditou na veracidade da chamada.”.
XXII. Para aferir se a Legal Representante da Recorrida conhecia – ou devia conhecer – o procedimento a adotar pelas Recorrentes em tal cenário, em vez de ser considerado o facto de que esta nunca esteve perante uma situação semelhante à sucedida, deviam ter sido consideradas (i) as recomendações de segurança juntas como Documento n.º 7 da Contestação, entregues aquando da adesão da Recorrida ao CA Online Empresas, a 09 de julho de 2019, (ii) as regras contratuais a que, voluntariamente, se vinculou139; (iii) as SMS alertas que lhe foram remetidas ao longo do ano de 2022140, (iv) o banner com que foi confrontada em cada início de sessão no CA Online Empresas após 21 de setembro de 2022; (v) e os padrões de diligência que devem recair sobre um utilizador de homebanking, particularmente reforçados à luz do facto de a Legal Representante da Autora ser utilizadora frequente há cerca de três anos e meio.
XXIII. Assim, à luz de tudo o que foi alegado, requer-se que o facto provado n.º 77 seja removido da lista de factos provados ou, no limite, lhe seja conferida a seguinte redação:
“63. A gerente da autora nunca se tendo visto em situação similar, pensou estar efetivamente em contacto com colaborador das rés.”
XXIV. Salvo melhor opinião, o Tribunal a quo errou ao dar o facto provado n.º 59 nos termos redigidos e em considerar não provado o facto identificado sob a alínea G.
XXV. Para sustentar o facto provado n.º 59, o Tribunal a quo atendeu, essencialmente, ao depoimento de BB e ao facto de o Eng.º GG ter revelado que “o engano de que a Autora foi vítima, através da sua gerente, poderá ter advindo da utilização de uma página falsa, emergente do primeiro resultado obtido no motor de busca utilizado, em tudo semelhante à página web do banco, sendo esta uma das formas conhecidas pelo banco utilizadas por burlões para se apropriar de quantias da conta bancária de clientes”.
XXVI. Por sua vez, o Tribunal a quo deu o facto não provado identificado sob a alínea G. por considerar que as Rés “não lograram produzir qualquer prova de que a Autora tenha digitado o seu número telemóvel na página a que acedeu ou o tenha facultado à pessoa que veio a contactar seguidamente por qualquer meio”.
XXVII. Atendendo (i) ao facto de que o terceiro mal-intencionado dispunha do contacto telefónico da Autora/Recorrida, (ii) ao depoimento do Eng.º GG no qual o mesmo explanou (ii.i) não ser possível ter acesso ao contacto telefónico dos Utilizadores do CA Online Empresas através do sistema informático das Rés/Recorrentes, nem através do acesso à adesão titulada pela Autora ao CA Online Empresas, (ii.ii) o modus operandi em vigor à data dos factos ora em discussão que consistia na criação de páginas falsas nas quais os Utilizadores inseriam o seu contacto telefónico, possibilitando o contacto, por parte de terceiros mal-intencionados, apenas se pode concluir que a Recorrida, de alguma forma que as Recorrentes desconhecem, sem obrigação de conhecer – mas antecipam que tenha sido através da introdução na página fraudulenta a que acedeu – transmitiu a terceiros mal-intencionados o seu contacto telefónico.
XXVIII. Impõe-se, portanto, que seja dada a seguinte redação ao facto provado n.º 59:
59. A senhora que efetuava a chamada tinha conhecimento do seu número de telefone, conhecia também o número de conta, o saldo bancário e movimentos de conta, não lhe tendo esses sido fornecidos no decurso da chamada telefónica”.
E, bem assim, que o facto não provado sob a alínea G. seja retirado da lista de factos não provados e aditado aos factos provados, nos seguintes termos:
71. A Autora tornou disponível a terceiros o seu contacto telefónico antes da chamada telefónica referida em 29.
XXIX. Também o julgamento quanto ao facto não provado sob a alínea E., cuja convicção assentou, essencialmente, na circunstância de não se saber quando é que o banner passou a ser emitido, deve ser revogado.
XXX. Resulta do depoimento da Eng.ª HH que o banner foi disponibilizado a 21 de setembro de 2022 e que o mesmo aparecia sempre e em cada acesso concretizado ao CA Online.
XXXI. Em face do exposto, impõe-se que o facto E. seja retirado da lista de factos não provados e seja aditado, à lista dos factos provados, o seguinte facto:
72. As rés lançaram um banner de alerta na página de acesso / login ao CA Online, que aparece sempre aquando de cada acesso ao CA Online Empresas, onde se lê que “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola, alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços - são pessoais e intransmissíveis”, estando o mesmo disponível na data em que se concretizaram as duas transferências ora em apreço.
XXXII. Por fim, também não se pode manter o julgamento quanto ao facto não provado sob a alínea F., na medida em que foi produzida prova que o sustenta, seja porque (i) tal informação resulta dos alertas remetidos pelas Recorrentes a todos os seus Clientes, como se constata com a análise dos Documentos n.º 7, 8 e 9 juntos com a Contestação; seja porque (ii) resulta também da Cláusula 9., n.º 7 do contrato junto como Documento n.º 2 da Contestação e da Cláusula 9.1. do Documento n.º 4 junto com a Petição Inicial, que as Rés, ora Recorrentes, dispõem de um serviço de atendimento aos seus clientes, o que denota, por recurso ao critério literal de interpretação, que o mesmo serve para atender os clientes e não para os contactar.
XXXIII. Assim, impõe-se que o facto não provado sob a alínea F seja retirado da lista de factos não provados e aditado aos factos provados, nos seguintes termos:
73. As rés só contactam os Clientes na sequência de um pedido de contacto formulado pelos próprios, quando a sua chamada é atendida pelo gravador de chamadas e os Clientes formulam essa pretensão, mas nunca através de contacto móvel de sua iniciativa.
XXXIV. Foi alegado pelas Rés, nos artigos 20.º e 21.º da Contestação, e resulta demonstrado pela Cláusula 1., al. d) do Documento n.º 4 da Petição Inicial e pela Cláusula 1., n.º 1., al. e) do Documento n.º 2 da Contestação, a forma pela qual se deve aceder ao serviço CA Online Empresas.
XXXV. Assim, por ter sido alegado, estar provado por documentos e ter interesse para a boa decisão da causa – designadamente, para a qualificação da atuação da Legal Representante da Recorrida como grosseiramente negligente, impõe-se o aditamento de um facto com o seguinte conteúdo:
74. O acesso ao CA Online Empresas é feito através do endereço www.creditoagricola.pt.
XXXVI. A sentença erra ainda no julgamento que faz sobre o enquadramento jurídico aplicável aos presentes autos.
XXXVII. Primeiramente, ainda que seja fulcral, para a discussão dos presentes autos, saber se as duas operações financeiras realizadas são, ou não, operações autorizadas, o Tribunal a quo não se ocupou de ponderar, juridicamente, esta temática.
XXXVIII. Ora, nos termos do artigo 103.º, n.ºs 1 e 3 do Decreto-Lei n.º 91/2018, uma operação considera-se autorizada se o ordenante consentir na sua execução, na forma acordada entre este e o prestador de serviços de pagamento, pelo que, a contrario, uma operação não se considera autorizada se tiver sido realizada sem a introdução das credenciais necessárias para a sua concretização.
XXXIX. Considerando que resulta dos factos provados n.º 22 e 70 que (i) as duas operações de pagamento foram realizadas através da introdução de três posições aleatórias da password e das OTP de autorização constantes das mensagens recebidas pela gerente da Autora/Recorrida, e que, (ii) para além de tais credencias, foram, também e previamente, introduzidos no CA Online Empresas o número de adesão, a chave multicanal da adesão titulada pela Recorrida e a OTP de acesso, de modo a permitir o início de sessão, impõe-se concluir que o dinheiro foi movimentado em conformidade com as instruções dadas através do CA Online Empresas pela adesão titulada pela Recorrida, atribuída ao seu Legal Representante, nos termos acordados pelas partes, dispostos nas Cláusulas 1., n.º 2. alíneas q), r) e s), 4., n.º 5 e 8., n.º 2 do Documento n.º 2 junto com a Contestação, Cláusula 4.5 do Documento n.º 4 junto com a Petição Inicial e Cláusula 18., n.º 41., do Documento n.º 1 junto com a Contestação e para os efeitos do disposto no artigo 103.º, n.º 1 e 3 do Decreto- Lei n.º 91/2018.
XL. Tal conclusão decorre, também, da alegação da Autora, ora Recorrida, na Petição Inicial e da prova efetuada e refletida nos factos provados n.º 22, 42, 43, 56, 57, 68 e 70 que permite concluir que as duas operações de pagamento em apreço:
• foram autenticadas através da introdução do número de adesão, da chave multicanal, da OTP de acesso, das três posições aleatórias da password pedidas na execução de cada uma das duas ordens de transferência e das duas OTP de autorização constantes das mensagens recebidas no número de telemóvel associado à adesão da Recorrida ao CA Online e atribuída à sua Legal Representante, sendo que as SMS que continham as OTP de autorização expressamente identificavam a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autorização145.
• foram devidamente registadas, uma vez que tais operações constavam da movimentação da conta titulada pela Recorrida e estavam aí refletidas;
• foram contabilizadas, isto é, refletidas no saldo da conta bancária da Recorrida;
• não foram afetadas por avaria técnica, uma vez que foram realizadas de acordo com os procedimentos contratualmente estabelecidos para o efeito. De resto, não houve qualquer avaria registada no sistema;
• não foram afetadas por qualquer deficiência do serviço prestado pelo prestador de serviços de pagamento, uma vez que resultaram de uma atuação criminosa perpetrada por terceiro burlão, conforme resulta da Queixa-Crime apresentada pela Recorrida.
XLI. Assim, em face do exposto, é indubitável que as transferências bancárias em apreço não só se realizaram devido à atuação da Legal Representante da Recorrida, por intermédio do seu filho, como foram autorizadas e autenticadas, em conformidade com as normas legais imperativas e nos termos do disposto nos Contratos celebrados entre as partes.
XLII. Mesmo que assim não se entendesse, sempre se teria de concluir que a Legal Representante da Recorrida atuou com manifesta negligência grosseira, na medida em que divulgou todas as credenciais de acesso e utilização do CA Online Empresas, desconsiderando (i) as regras contratuais que definem (i.i) o modo de acesso ao serviço150, (i.ii) o modo de utilização do serviço151, e (i.iii) os deveres de confidencialidade das partes, estabelecidos na Cláusula 9.2, do Documento n.º 2 junto com a Contestação, bem como nas Cláusulas 8.1 e 8.2. do Documento n.º 4 junto com a Petição Inicial, (ii) todas as instruções constantes dos alertas que lhe foram dirigidos152 e (iii) as mais prudentes regras de utilização da internet, e (iv) o teor das mensagens de texto que recebeu com as duas OTP de autorização153.
XLIII. Ressalva-se que a desconsideração dos alertas, banalizada pelo tribunal, não tem qualquer substrato factual ou probatório e, sobretudo, consubstancia uma desculpabilização injustificada dos utilizadores do homebanking e uma descredibilização da relevância dos deveres de cuidado a que os mesmos estão adstritos, o que contraria o disposto nos artigos 103.º, n.º 1 e 3 e 113.º do Decreto-Lei n.º 91/2018.
XLIV. Por outro lado, o Tribunal assenta a sua convicção no facto de em 2022 não serem tão frequentes, nem divulgados, os ataques às contas bancárias como o dos autos, sendo que tal (i) não foi alegado por nenhuma das partes e em relação ao qual não foi produzida qualquer prova, (ii) não integra a factualidade provada e, em consequência, não podia servir para fundamentar a decisão do Tribunal, mas, sobretudo, (iii) é falso e contrariado por factos públicos e notórios, divulgados nos meios de comunicação social, desde, pelo menos, 2019.
XLV. Em todo o caso, impunha-se à Legal Representante da Recorrida adotar uma conduta distinta, (i) entrando diretamente no website www.creditoagricola.pt, (ii) aquando da solicitação de alteração da password ou (iii) da chamada recebida, ou no decorrer da mesma aquando (iv) da solicitação de simulação de transferências, atendendo (iv.i) à atipicidade dos passos que lhe eram solicitados
XLVI. Mesmo admitindo a plausibilidade de a Legal Representante da Recorrida não ter atendido aos códigos que estava a introduzir – o que apenas por dever de patrocínio se equaciona, sem conceder –, não se pode admitir que tal seja desculpável, ou corresponda ao padrão de diligência adotado pelo homem médio, sobretudo considerando que as SMS que contêm as OTP de autorização identificam, expressamente, a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autenticação.
XLVII. Desconsiderando todas estas evidências, o Tribunal a quo fundamenta a sua decisão citando apenas dois Acórdãos que não têm razões de analogia com o caso dos autos e que destoam completamente do sentido da jurisprudência largamente maioritária:
(i) Acórdão proferido pelo Tribunal da Relação de Coimbra, a 15 de janeiro de 2019, relatado pelo Juiz Desembargador Moreira do Carmo, que (i) se refere a um enquadramento jurídico que não exigia a introdução de OTP para autorizar operações e, (ii) no caso em discussão no Acórdão, as transferências executadas, no ano de 2011, deveram-se ao facto de um terceiro se ter dirigido à operadora telefónica contratada pelo Autor e obtido, sem autorização do Autor, uma 2ª via do seu cartão de telemóvel.
(ii) Acórdão proferido pelo Supremo Tribunal de Justiça, de 12 de Dezembro de 2023, relatado pelo Juiz Conselheiro Manuel Capelo, que (i) trata de um caso de spoofing, no qual o Autor recebeu uma mensagem com um link fraudulento, na sua caixa de mensagens com suposta origem no Banco e (ii) as credenciais, no caso subjacente ao Acórdão, foram obtidas através de segundas vias do cartão do telemóvel da Autora.
XLVIII. Contrariamente ao decidido pelo Tribunal a quo apenas se pode concluir que a Legal Representante da Autora, ao divulgar as suas credenciais, ao seu filho, agiu de forma grosseiramente negligente, violando o disposto nas Cláusulas 8.1 e 8.2 do Documento n.º 4 junto com a Petição Inicial e com o disposto nas Cláusulas 9.2 e 9.3 do Documento n.º 2 junto com a Contestação. Assim, tal como se decidiu no Acórdão proferido pelo Tribunal da Relação do Porto, de 14 de julho de 2020, apenas se pode considerar que a postura de partilhar as suas credencias com terceiros não autorizados – ainda que de confiança, como o seu filho – é gravemente negligente.
XLIX. Em todo o caso, contrariamente ao decidido pelo Tribunal a quo, apenas se pode concluir que a Legal Representante da Recorrida, por intermédio do seu filho, (i) ao aceder a um link diferente do de acesso ao CA Online Empresas e (ii) nele inserir as suas credencias de acesso e utilização ao CA Online Empresas – que são pessoais, secretas e intransmissíveis –, a Legal Representante da Recorrida violou o disposto na alínea a) do n.º 1 do artigo 110.º do Decreto-Lei n.º 91/2018, em virtude de inobservar o disposto nas Cláusulas 8.1 e 8.2 do Documento n.º 4 junto com a Petição Inicial e Cláusulas 9.2 e 9.3 do Documento n.º 2 junto com a Contestação.
L. Os artigos 796.º, 1142.º, 1144.º e 1187.º do Código Civil não têm aplicação nos presentes autos, porquanto (i) a centralidade da relação bancária se situa antes no contrato de abertura de conta e no contrato de conta-corrente a ele inerente e (ii) o regime jurídico inerente ao contrato de depósito está pensado para coisas corpóreas, sendo difícil e artificial a sua adaptação à realidade moderna da relação bancária, processada essencialmente por movimentos escriturais e virtuais a crédito e débito, na conta-corrente bancária.
LI. Por fim, a condenação no pagamento do agravamento dos juros, em 10 pontos percentuais, decorre do n.º 10 do artigo 114.º do RJSPME, não pode proceder porquanto apenas se aplica quando em causa estejam operações não autorizadas, não se bastando tal qualificação jurídica com a mera negação pela Autora/Recorrida de que não as autorizou.
LII. Em qualquer caso, estando evidenciado que a Autora/Recorrida atuou com negligência grosseira e que incumpriu o disposto, designadamente, nas Cláusulas 8.1 e 8.2 do Documento n.º 4 junto com a Petição Inicial e nas Cláusulas 9.2 e 9.3 do Documento n.º 2 da Contestação, incumprindo, desse modo, o disposto no artigo 110.º, n.º 1, al. a) do RJSPME, fica também prejudicada a possibilidade de condenação no pagamento do capital e, consequentemente, dos respetivos juros moratórios, acrescidos de 10 pontos percentuais.
LIII. A condenação das Recorrentes, apenas com fundamento no regime jurídico do contrato de depósito prejudica o pedido de condenação no pagamento do acréscimo de juros de mora, decorrente do plasmado no artigo 114.º, n.º 10 do RJSPME, dado estar-se fora do âmbito de aplicação desse regime.
Nestes termos e nos demais de Direito aplicáveis, deverá o presente recurso de apelação ser julgado totalmente procedente, e em consequência ser a decisão do Tribunal a quo revogada na parte em que condena as Recorrentes Caixa De Crédito Agrícola Mútuo Do Médio Ave, C.R.L. e Caixa Central – Caixa Central De Crédito Agrícola Mútuo, C.R.L., com todas as legais consequências.
A recorrida contra-alegou, concluindo da seguinte forma:
“1) O recurso apresentado pela apelante terá, necessariamente, que improceder ao contrário do que a mesma alega, pois que o Tribunal “a quo” julgou corretamente os factos e fez uma correta aplicação das normas jurídicas.
2) A matéria de facto provada deve manter a redação que lhe foi conferida pelo Tribunal “a quo”, não merecendo qualquer reparo, pelo que devem improceder as sugestões de alteração de redação, de aditamento e de remoção requeridas pelas Recorrentes nas suas alegações de recurso, conforme demonstrado nos pontos 5. a 94. da presente resposta ao recurso.
3) A sentença “a quo” não padece de qualquer erro quanto ao julgamento que faz sobre o enquadramento jurídico, ao qual se adere totalmente.
Não assistindo qualquer razão às Recorrentes quanto ao alegado para fundamentar a impugnação da matéria de Direito da douta sentença “a quo”.
4) Na impugnação da matéria de Direito, começam as Recorrentes por pugnar pela qualificação como autorizadas das operações bancárias realizadas na sequência da chamada fraudulenta, o que não pode proceder.
5) Porquanto, não se pode considerar a operação autorizada à luz do referido art.º 103.º, nºs 1 e 3 do Decreto-Lei nº 91/2018, pois, as operações de transferência não se realizaram claramente na forma acordada entre o ordenante e o prestador de serviços de pagamento, pois, desde logo, a legal representante da Recorrida não introduziu nem o nº de adesão nem chave multicanal, depois a introdução dos elementos da password solicitados, foram-no no pressuposto de garantir a segurança da conta bancária, nunca autorização de transferência.
6) A forma acordada entre cliente e prestador de serviços, nestes casos as Recorrentes, para a realização das transferências através do “CA Online”, implicam sempre, primeiramente, a introdução das chamadas credenciais de acesso: nº adesão e chave multicanal, ou seja:
1-Introdução de código login de acesso (se solicitado por não acesso há mais de 90 dias);
2-Introdução de número de adesão;
3-Introdução de Chave Multicanal;
4-Introdução de três dígitos de password solicitados;
5-Introdução códigos de autorização OTP.
7) O que pressupõe a introdução de todos esses elementos na mesma página, no mesmo momento, com a intenção subjacente de realização da transferência. A legal representante da Recorrida não o fez! A titular da conta e utilizador autorizado não o fez!
8) A legal representante da Recorrida não realizou as operações nos termos acordados com as Recorrentes (art.º 103.º, nº 3 do Decreto-Lei nº 91/2018).
9) O casu sub judice enquadra-se no disposto no art.º 113.º, nº 3 do citado Decreto-lei nº 91/2028, nos termos do qual: “Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º”.
10) No caso de o utilizador de serviços negar ter autorizado uma operação de pagamento executada, é ao prestador do serviço de pagamento que compete provar que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência, e apesar de as Recorrentes o alegarem, também não o lograram demonstrar.
11) Impondo-se a aplicação do art.º 114.º, nº 10 do RJSPME, que foi, e bem, aplicado pelo Tribunal “a quo” nos termos do qual: “Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.”
12) Efetivamente, o ponto fulcral, para a discussão dos presentes autos prende- se com a apreciação da existência ou não da negligência grosseira da legal representante da Recorrida, que o Tribunal “a quo”, considerou, e bem, não existir!
13) A atuação da legal representante da Recorrida não pode ser entendida por negligência grave ou grosseira (V. pontos 117 a 123 da resposta).
14) Como bem considerou o Tribunal “a quo”: “As Rés sustentam, em primeira linha, que a partilha dos dados de acesso à área reservada da CA Online Empresas pela gerente da Autora ao seu filho, constitui fundamento para se concluir pela negligência grosseira da Autora na violação dos deveres contratuais. Julgamos, porém, que assim não será. Desde logo, porquanto se deu como provado que toda a atuação do filho da Autora foi meramente material, a pedido e segundo as instruções desta, a pedido e segundo as instruções da Autora que, inclusivamente, se encontrava no mesmo espaço físico aquando do acesso e das operações realizadas.
Na realidade, era a gerente da Autora que ditava toda a atuação do seu filho na presente situação e não parece que se possa afirmar que exista um nexo de causalidade entre a atuação deste e as operações fraudulentas perpetradas por terceiros.
A apropriação das quantias retiradas da conta da Autora não foi efetuada pelo filho da gerente, sendo este pessoa de confiança da mesma, estudante universitário, pelo que naturalmente mais habituado e hábil na utilização de plataformas digitais.
Assim, o facto de a gerente da Autora facultar ao seu filho os códigos de acesso à referida plataforma digital do banco, na sua presença e sob sua direção e instruções, não era, assim, por si só, idónea a comprometer a segurança de tal sistema. Tudo se passou (e passaria) como se fosse a gerente da Autora a aceder à sua conta, não se saindo da esfera de atuação desta.
Não só se afigura, nestes termos, tal conduta como uma atuação gravemente desconforme com a diligência de um homem médio e, por isso, irrazoável, como não se vislumbra que ela seja configurada como um risco de segurança visto pela generalidade das pessoas como indesculpável.
A demais atuação da Autora, por intermédio do filho da sua gerente, também não pode ser entendida por negligência grave ou grosseira.
A gerente da Autora, por intermédio do seu filho, pesquisou no motor de busca Google a página das Rés, tendo aberto o primeiro resultado devolvido pelo mesmo e entrado numa página com a configuração em tudo igual à página das Rés, tendo-lhe sido requerida a alteração da password após ter introduzido os códigos de acesso à área reservada da Autora.
Imediatamente recebeu uma chamada telefónica no seu telemóvel (que não se deu como provado que o tenha partilhado) de alguém que se identificou como funcionária das rés, e que lhe forneceu várias informações verídicas constantes dos dados registados na conta da Autora. Mais foi o gerente da autora convencido por essa pessoa que tinha que proceder à alteração da password para aceder à conta e, ainda, executar uma simulação de uma transferência bancária, sendo-lhe assegurado corresponderem a procedimentos normais do banco para verificar a autenticidade dos dados de acesso por questões relacionadas com a garantia da segurança da conta bancária.
Esta atuação não pode ser considerada um comportamento negligente pela surpresa da situação e pela construção que foi feita e que levaria qualquer homem médio a acreditar que estava efetivamente a ser contactado pelo seu banco e que precisava de atuar do modo descrito para garantir a segurança da sua conta bancária.
A surpresa e premência da situação, associada à condução de procedimentos tendentes à proteção da conta bancária, nomeadamente quanto aos valores constantes da mesma, levam também a afastar a negligência grosseira da Autora, desde logo porquanto para ser logrado o convencimento da mesma, a gerente da Autora foi contactada pela pretensa funcionária das Rés, por chamada telefónica, sem ter para o efeito fornecido, previamente, o seu número de telemóvel.
Mais, a pessoa que contactou a gerente da Autora já sabia algumas das informações relativas à Autora e à sua conta, nomeadamente, o número de identificação fiscal, o n.º de conta, o n.º de telemóvel, 3 dos últimos movimentos realizados na conta bancária e o saldo da mesma.
A Autora nega, mas as Rés lograram provar que as transferências só se realizaram depois da introdução pelos terceiros dos códigos OTP enviados por mensagem para o número de telemóvel da gerente da Autora, o que leva a concluir que, pela introdução dos mesmos na referida página, a Autora terá partilhado estes códigos com tais terceiros.
Entende-se, todavia, que a digitação dos códigos OTP na página pela gerente da Autora, por intermédio do seu filho, nas circunstâncias em causa, também não configura uma negligência grosseira ou incumprimento dos deveres de utilizador dos canais digitais. Como se provou, as Rés possuem vários códigos de segurança nos seus canais digitais, pelo menos seis, que são utilizados à vez ou em simultâneo, dependendo da operação específica. Ou seja, julga-se plausível que a gerente da Autora, colocado numa necessidade de agir rapidamente, com os elementos de que dispunha e tendo sido levada a acreditar que se tratavam de simulações de transferências, não tenha atentado no conteúdo das mensagens onde se continham os códigos OTP que estava a introduzir na página em apreço, tendo-se deixado manipular pela pessoa ao telefone.
Conforme já decidiu o Tribunal da Relação de Coimbra, de 15-01-2019, no processo n.º 5600/11.0TBLRA.C1, disponível em www.dgsi.pt: “[a]inda que se tratasse de uma situação de fraude informática, através do denominado “pharming”, não agiria com culpa o cliente que por via dessa fraude levada a efeito por terceiros, na convicção que estava na página online do banco, introduziu numa página falsa, clonada da página do Banco, as suas certificações, pessoais e intransmissíveis, que abusivamente vieram a ser utilizadas no acesso, por terceiros, à conta de que era titular”.
Assim, as circunstâncias da Autora ter acedido a um link, por pesquisa no motor de busca Google, e na página para onde foi direcionada ter introduzido as suas credenciais de acesso e de operação, ter alterado a sua password, por indicação de que a mesma se encontrava expirada, e realizado duas “simulações de transferência bancária”, convicta de que estava a tomar medidas para salvaguardar a segurança da sua conta bancária, não configuram incumprimento contratual da Autora, nem negligência grosseira desta.
“A negligência grosseira, merecedora de reprovação pelo mais elementar senso comum por configurar uma falta indesculpável na omissão dos deveres a que se está obrigado, não se verifica quando a lesada, com a atenção que lhe era exigida e de que era capaz nas circunstâncias do caso, não se pôde opor aos artifícios de complexidade eletrónica que lhe foram colocados por terceiros que se fizeram passar com aparente credibilidade pelos serviços do banco, solicitando a resolução de um problema que efetivamente, em momento anterior e por duas vezes, o banco informara dever ser resolvido” – neste sentido, o Acórdão do Supremo Tribunal de Justiça, de 12-12-2023, no processo n.º 92407/20.5T8LSB.L1.S1, disponível em https://juris.stj.pt/.
Não está, portanto, verificado o incumprimento pela autora das obrigações do utilizador do serviço previstas no artigo 110.º do Decreto Lei n.º 91/2018, de 12 de Novembro. E não se diga que tendo as Rés enviado duas mensagem à Autora, uma em 21-01-2022, e outra em 25-02-2022, a alertar a existência de emails falsos com links maliciosos ou a existência de links fraudulentos, ainda assim, não se julga ser imputável à Autora a negligência grosseira exigível para a responsabilizar pelas operações efetuadas contra a sua vontade, na medida em que tais mensagens comerciais são comumente ignoradas pela maioria dos cidadãos.
Diga-se que estes factos ocorreram em Novembro de 2022, ou seja, há mais de dois anos e meio atrás, altura em que não eram tão frequentes, nem tão divulgados, os ataques às contas bancárias como o dos autos. Sabendo-se que em dois anos o conhecimento da população em geral acerca destas matérias evoluiu bastante, sempre haverá o tribunal que se colocar na posição de um homem médio à data do sucedido e não nos dias atuais.”
15) A legal representante da Recorrida confiou, ou melhor, não duvidou que
estava a conversar com colaboradora da Caixa Agrícola e agiu para manter a segurança da sua conta bancária, nunca para autorizar transação. Perante o que, outra não podia ser a decisão do Tribunal “a quo”, se não afastar a possibilidade de a legal representante da Recorrida ter atuado com negligência grosseira, que não atuou!
16) Para efeitos de escusa de responsabilidade, era, como já várias vezes referido, às Recorrentes que competia demonstrar, a existência de fraude, de dolo ou de negligência grosseira da parte da Recorrida (art.º 114.º, nº 4 do RJSPME), o que as Recorrentes não lograram fazer.
17) Atenta a prova junta aos autos e produzida em audiência de julgamento, é inequívoco que recai sobre as Recorrentes o dever de indemnizar a Recorrida pelos danos sofridos, fruto da burla de que foi vítima.
18) Deverá, assim, o recurso interposto pelas RR./Recorrentes ser julgado totalmente improcedente e manter-se a douta sentença já proferida pelo tribunal “a quo”.
Termos em que deverá ser rejeitado o recurso interposto pelos RR., ou ser negado provimento ao mesmo atento o supra exposto e, em consequência, manter-se a decisão recorrida.”
*
O recurso foi admitido como sendo de apelação, com subida de imediato, nos autos e efeito meramente devolutivo.
Corridos os vistos legais, cumpre decidir.
*
II. O objecto e a delimitação do recurso
Consabidamente, a delimitação objectiva do recurso emerge do teor das conclusões do recorrente, enquanto constituam corolário lógico-jurídico correspectivo da fundamentação expressa na alegação, sem embargo das questões de que o tribunal ad quem possa ou deva conhecer ex officio.
De outra via, como meio impugnatório de decisões judiciais, o recurso visa tão só suscitar a reapreciação do decidido, não comportando a criação de decisão sobre matéria nova não submetida à apreciação do tribunal a quo.
Por outro lado, ainda, o recurso não é uma reapreciação ‘ex novo’ do litígio (uma “segunda opinião” sobre o litígio), mas uma ponderação sobre a correcção da decisão que dirimiu esse litígio (se padece de vícios procedimentais, se procedeu a incorrecta fixação dos factos, se fez incorrecta determinação ou aplicação do direito aplicável). Daí que não baste ao recorrente afirmar o seu descontentamento com a decisão recorrida e pedir a reapreciação do litígio (limitando-se a repetir o que já alegara na 1ª instância), mas se lhe imponha o ónus de alegar, de indicar as razões porque entende que a decisão recorrida deve ser revertida ou modificada, de especificar as falhas ou incorrecções de que em seu entender ela padece, sob pena de indeferimento do recurso.
Ademais, também o tribunal de recurso não está adstrito à apreciação de todos os argumentos produzidos em alegação, mas apenas – e com liberdade no respeitante à indagação, interpretação e aplicação das regras de direito – de todas as “questões” suscitadas, e que, por respeitarem aos elementos da causa, definidos em função das pretensões e causa de pedir aduzidas, se configurem como relevantes para conhecimento do respectivo objecto, exceptuadas as que resultem prejudicadas pela solução dada a outras.
Assim, em face do que se acaba de expor e das conclusões apresentadas, é a seguinte a questão a resolver por este Tribunal:
a) Impugnação da matéria de facto:
- alteração de redacção do facto 10;
- alteração de redacção do facto 13.;
- alteração de redacção dos factos 37 e 62;
- eliminação do facto 45;
- alteração de redacção do facto 58;
- eliminação do facto 61;
- alteração de redacção do facto 63;
- alteração de redacção do facto 59;
- alteração da al. G) dos factos não provados para o elenco dos factos provados;
- alteração da al. E) dos Factos não provados para o elenco dos factos provados;
- alteração da al. F) dos factos não provados para o elenco dos factos provados.
- aditamento de novo facto com o alegado pelas Rés nos arts. 20.º e 21.º da contestação;
b) Erro na aplicação do Direito
- operações autorizadas;
- negligencia grosseira da Autora;
- imputação de responsabilidade;
- contabilização de juros
*
III. Factos
Na primeira instância foram considerados os seguintes
FACTOS PROVADOS
1. A Autora é uma sociedade por quotas, com o estatuto de microempresa, que tem como objeto social a “exploração de restaurante, snack-bar, cafetaria, padaria e bar”.
2. A 2ª Ré, Caixa Central - Caixa Central de Crédito Agrícola Mútuo CRL (doravante designada de Caixa Central), é uma instituição de crédito, sob a forma de cooperativa de responsabilidade limitada, da qual são associadas as várias Caixas de Crédito Agrícola Mútuo, que no conjunto são denominadas Sistema Integrado do Crédito Agrícola Mútuo (SICAM).
3. A 1ª Ré, Caixa de Crédito Agrícola Mútuo do Médio Ave, C.R.L., com sede em Vila Nova de Famalicão, é associada da 2ª ré Caixa Central.
4. A 2ª Ré, Caixa Central, tem como objeto social: a) o exercício da atividade bancária, incluindo todas as operações acessórias, conexas ou similares compatíveis com essa atividade e permitidas por lei; b) Como seu organismo central, coordenar e representar o sistema integrado de crédito agrícola mútuo; c) Exercer quaisquer outras atribuições que lhe sejam conferidas por lei ou por contrato.
5. A 1ª Ré tem, como objeto social, o exercício de funções de crédito agrícola a favor dos seus associados e a prática dos demais atos inerentes à atividade bancária, nos termos da legislação aplicável e, ainda, o exercício de atividade de agente da Caixa Central, nos termos previstos na lei e no contrato de agência que entre ambas venha a ser celebrado.
6. A 1ª Ré desenvolve a sua atividade principal no âmbito de “Outra intermediação monetária”.
7. O Serviço “CA Online” é gerido pela 2ª Ré.
8. O “CA Online” é o serviço de Internet Banking prestado pelo Crédito Agrícola e que faz parte dos serviços oferecidos pelo Sistema Multicanal. Este sistema permite que o cliente, a partir de qualquer computador com acesso à Internet, possa efetuar consultas à carteira de produtos que detém nas suas contas bancárias no grupo “Crédito Agrícola” e realizar operações financeiras nas suas contas de depósito à ordem e cartões.
9. A Autora, por intermédio da sua gerente, AA, em 24 de Outubro de 2018, celebrou com a 1ª Ré, Caixa de Vila Nova de Famalicão, contrato de abertura de conta e de depósito, originando assim, a conta n.º 40307868993.
10. Momento em que foram, pela gerente da Autora, facultados às Rés, os seus dados pessoais, incluindo o seu e-mail e contacto telefónico.
11. Em 9 de Julho de 2019, a Autora, por preenchimento do documento “CA Online Empresas Proposta de Adesão – 1 Utilizador”, aderiu ao serviço “CA Online”, tendo-lhe sido atribuído um número de adesão e uma chave multicanal.
12. Para efeitos de utilização do referido serviço de acesso à conta bancária por meios de utilização à distância, a gerente da Autora disponibilizou às Rés o seu número de telemóvel ...
13. Tais contratos são conjuntamente regulados pelas Condições Gerais outorgadas a 9 de Julho de 2019 1 - alterado para
13. À data da celebração do contrato a Autora aceitou as condições gerais de utilização do Serviço CA Online Empresas, apresentadas pelas Rés, consubstanciadas no doc. 4 junto com a petição inicial e que aqui se dão por integralmente reproduzidas, as quais foram posteriormente alteradas pelas Rés, passando para a versão constante do doc. 2 junto com a contestação e que aqui se dão por reproduzidas.
14. O número de adesão consiste num código numérico de oito posições, gerado pelo sistema após ser efetuado, com sucesso, um Pedido de Adesão ao sistema multicanal.
15. A chave multicanal, elemento necessário para concretizar o acesso ao sistema multicanal, consiste num código numérico de 8 posições que permite, em conjunto com o número de adesão, identificar inequivocamente o Cliente para a realização de apenas consultas.
16. Como medida de segurança, estabeleceu-se que, aquando do primeiro acesso ao sistema multicanal, o Cliente tinha de alterar, obrigatoriamente, a chave multicanal atribuída no momento da ativação do serviço.
17. As Rés apenas conhecem o número de adesão dos Clientes.
18. As Rés não conhecem, nem têm como conhecer, a chave multicanal.
19. O PIN corresponde a um código numérico de quatro posições, definido pelo Cliente no momento de adesão ao CA Mobile e que permite, em conjunto com o número de adesão, identificar inequivocamente o Cliente para o acesso ao serviço CA Mobile, bem como realizar consultas.
20. A password corresponde a um código numérico composto por entre 8 a 12 dígitos, dos quais apenas três são solicitados de forma aleatória, aquando da consulta de informação considerada sensível, do acesso a documentos digitais e da realização de transações de cariz financeiro.
21. Os códigos de autorização “one time password” (doravante “OTP”) consistem numa palavra-passe de utilização única e que é apenas válida durante um período muito reduzido de tempo e são necessários para efetuar as transferências ordenadas.
22. Todas as operações ordenadas em cada acesso ao CA Online são validadas através da introdução de três dígitos aleatórios da password e de uma OTP de autorização, enviada para o telemóvel associado à adesão do CA Online.
23. O CA Online não permite, nem nunca permitiu, o cancelamento de operações.
24. Em 24 de novembro de 2022, pelas 10h30m, a gerente da Autora, solicitou ao seu filho BB, que, na sua presença, acedesse ao serviço “CA Online Empresas”, para efetuar transferência em nome da Autora
25. Tendo este realizado uma pesquisa no motor de busca Google com as palavras “caixa agrícola” e abrindo a página que surgiu como primeiro resultado.
26. Após introduzir os dados de acesso nessa página, surge uma mensagem que indicava a necessidade de proceder à alteração da sua password, por a mesma não ser alterada há mais de 90 dias.
27. Bloqueando a página qualquer outra ação enquanto não se procedesse à mencionada alteração da password.
28. A gerente da Autora, apesar de tal nunca ter sucedido, solicitou ao seu filho que procedesse à alteração da referida password, de acordo com as instruções que lhe ia transmitindo.
29. Em simultâneo a tal operação de alteração da password, a gerente da Autora recebeu, no seu telemóvel, uma chamada telefónica foi realizada por uma senhora, que se identificou como sendo funcionária do Banco Caixa de Crédito Agrícola Mútuo.
30. Tendo sido a mesma atendida pelo filho da gerente da Autora, a pedido da mãe, a senhora ao telefone questionou se estava a falar com a Sra. AA, sendo informada que se tratava do filho da mesma.
31. Aquela senhora informou o filho da gerente da Autora de que iria proceder a uma confirmação de dados relativos à conta de que a Autora era titular, tendo enunciado a identificação da titular da conta, bem como, o número da conta, o montante existente na conta bancária em causa, e últimos movimentos.
32. Informou, ainda, que verificou que estaria a ser alterada a password de acesso ao serviço “CA Online Empresas” da Autora, e que estaria a ligar nessa sequência, pelo que inquiriu o filho da gerente da Autora se o antivírus do computador estava ativo e se a nova password tinha 8 dígitos, o que foi afirmativamente respondido por este.
33. O filho da gerente da Autora, perante a indicação que lhe fora dado pela senhora ao telefone e por da sua mãe, o Sr. BB, clicou no botão que permitia validar a nova password.
34. Depois desse clique, surge no ecrã a seguinte informação: “solicitamos uma simulação de transferência”, tendo o Sr. BB, a pedido da sua mãe (gerente da Autora), questionado a senhora ao telefone acerca dessa mensagem que havia surgido.
35. Ao que esta respondeu, tratar-se de procedimentos normais do banco para verificar a autenticidade dos dados de acesso por questões relacionadas com a garantia da segurança da conta bancária, e que, por se tratar de mera simulação não era necessário inserir nenhum número de conta de destino.
36. A gerente da Autora recebeu, no seu telemóvel, SMS proveniente da Crédito Agrícola (do mesmo canal de mensagens pelo qual habitualmente recebia as mensagens da Caixa de Crédito Agrícola) com um código.
37. O filho da gerente da Autora, por indicação desta e após sugestão da senhora com quem mantinha conversa telefónica, introduziu na área reservada da “CA Online Empresas” da Autora o referido código. 2 Alterado para
37. O filho da gerente da Autora, por indicação desta e após sugestão da senhora com quem mantinha conversa telefónica, introduziu na página aberta conforme referido em 26, com a indicação “Crédito Agrícola - “área reservada da “CA Online Empresas”, o referido código.
38. Depois de introduzir o mencionado código, surge mensagem de “erro”, que evidenciava que o código havia sido mal introduzido, tendo de imediato, a gerente da Autora recebido outro código no seu telemóvel, que instruiu o seu filho para inserir, conforme as indicações que lhe eram dadas via telefónica pela senhora com quem mantinha conversa.
39. Em seguida, surge no ecrã um símbolo verde de “visto”, informando que o procedimento estava concluído.
40. A senhora ao telefone transmitiu seguidamente que, num horizonte de 01:30h não poderia aceder à conta de que a Autora era titular para que a operação de alteração de dados se mostrasse concluída.
41. Por volta das 12h00 desse mesmo dia 24 de Novembro de 2022, quando a gerente da Autora volta a aceder à “CA Online” constata que haviam sido realizadas duas operações.
42. Uma transferência, no valor de € 15.000,00 a favor de CC, IBAN n.º ...
43. Uma transferência, no valor de € 15.000,00 a favor de II, IBAN n.º PT50 0045 8757 4035 4818 1848.
44. Ambas as contas são contas Moey que são contas digitais, abertas à distância através da chave móvel digital.
45. As transferências não foram autorizadas pela gerente da Autora. 3 alterado para:
45. As transferências referidas em 42 e 43 foram concretizadas no pressuposto das informações referidas em 34., 35, 37, 38 e 39.
46. A gerente da Autora pediu ao seu filho que efetuasse chamada para a Linha Direta da 2.ª Ré.
47. Relatando o sucedido, o funcionário da Linha Direta informou que a Caixa Agrícola nunca pede simulações de transferências.
48. O filho da gerente da Autora, a pedido desta, solicitou ao funcionário da Caixa Agrícola que procedesse ao cancelamento das identificadas transferências, uma vez que não as tinha solicitado nem autorizado.
49. Tendo obtido como resposta, do funcionário em causa, que iria tentar resolver a situação, e aconselhou a gerente da Autora a dirigir-se ao seu balcão da Caixa de Crédito Agrícola.
50. A gerente da Autora deslocou-se ao balcão da 1ª Ré de Vila Nova de Famalicão, acompanhada do seu filho.
51. Uma vez no balcão da 1ª Ré, a gerente da Autora e o seu filho foram atendidos pelo gerente do balcão de Vila Nova de Famalicão da 1ª Ré, que, relatados que lhe foram os factos ocorridos, informou que, nada havia a fazer, já que por se tratarem de transferências intrabancárias, o dinheiro já saído da conta da Autora, tendo a Autora sido alvo de uma burla.
52. O gerente do balcão da 1.ª Ré sugeriu, ainda, que a gerente da Autora apresentasse queixa-crime.
53. A gerente da Autora deslocou-se, nesse mesmo dia, ao Posto Territorial de Vila Nova de Famalicão da Guarda Nacional Republicana, onde apresentou queixa-crime, dando origem aos autos de processo nº 003422/22.2JABRG, que se encontram a correr termos no DIAP de Braga.
54. Até 13 de Setembro de 2019, o acesso ao CA Online Empresas era efetuado com a introdução do número de adesão e da chave multicanal.
55. A partir de 14 de Setembro de 2019, o acesso ao CA Online Empresas passou a exigir a introdução do número de adesão, da chave multicanal e, a cada 90 dias, de uma OTP de acesso ou de login enviada por SMS para o número de telemóvel associado à adesão do CA Online Empresas.
56. A partir de 25 de Outubro de 2022, tornou-se obrigatória a introdução de uma OTP de acesso ou de login no acesso ao CA Online, em todo e qualquer caso, para além dos sempre necessários número de adesão e chave multicanal.
57. A Autora aderiu ao SAF, voluntariamente, no dia 9 de Julho de 2019, passando a exigir-se para a realização de transações financeiras através do CA Online, para além das três posições aleatórias da password, a OTP de autorização enviada por SMS para o telemóvel do titular associado ao sistema multicanal.
58. A gerente da Autora, por intermédio do seu filho, considerando toda a informação que lhe era dada via telefone, confiou na fiabilidade e fonte fidedigna das informações que lhe foram transmitidas.
59. A senhora que efetuava a chamada tinha conhecimento do seu número de telefone, sem antes a gerente da Autora o ter fornecido, conhecia também o número de conta, o saldo bancário e movimentos de conta, não lhe tendo esses sido fornecidos no decurso da chamada telefónica.
60. A gerente da Autora atuou sempre na plena convicção que o estava a fazer para segurança da conta bancária de que a Autora era titular e por forma a proteger os dados de acesso à mesma
61. A gerente da Autora atuou como a maioria das pessoas atuaria perante o circunstancialismo descrito, sendo fácil qualquer pessoa comum, com os conhecimentos informáticos e financeiros comuns de alguém não especializado na área “cair na ratoeira” astutamente montada. 4
62. A gerente da Autora acreditou que as ações solicitadas após entrar na área reservada da CA Online – alteração de password – o estavam a ser pela própria instituição, bem como estava convicta de o contacto telefónico rececionado em simultâneo à mensagem de solicitação de alteração de password era realizado pelas Rés.5 alterado para:
62. A gerente da Autora acreditou que as ações solicitadas após entrar na página aberta conforme referido em 26, com a indicação “Crédito Agrícola - área reservada da CA Online – alteração de password –, o estavam a ser pela própria instituição, bem como estava convicta de o contacto telefónico rececionado em simultâneo à mensagem de solicitação de alteração de password era realizado pelas Rés.
63. A gerente da Autora nunca se tendo visto em situação similar, não tinha conhecimento de como as rés procediam em caso de necessidade de alteração de password e proteção dos dados de acesso ao serviço “CA Online”, pelo que, perante toda a informação credível que lhe foi dada na referida chamada telefónica, pensou estar efetivamente em contacto com colaboradora das Rés. 6 Alterado para:
63. A gerente da Autora nunca se tendo visto em situação similar, não tendo conhecimento de como as rés procediam em caso de necessidade de alteração de password e proteção dos dados de acesso ao serviço “CA Online”, perante toda a informação dada na referida chamada telefónica, pensou estar efetivamente em contacto com colaboradora das Rés.
64. Aquando da adesão ao CA Online Empresas, as Rés disponibilizam aos Clientes um documento com recomendações de segurança.
65. A 21 de Janeiro de 2022 e 25 de Fevereiro de 2022, as Rés remeteram, por SMS, alertas nos quais se refere “Alertamos para emails falsos, utilizando abusivamente o nome e imagem do CA, com link malicioso. Esteja atento. Não clique, nem indique os seus dados pessoais” e “Alertamos para possíveis tentativas de fraude ou burla. Não aceda a links e nunca forneça por telefone os seus códigos de acesso aos canais se for contactado”, respetivamente, e que foram rececionados pela gerente da Autora na mesma data de envio.
66. Consta da Cláusula 18.ª n.º 31 al. i) das Condições Gerais do Contrato de Depósito que “No caso de operações não autorizadas resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou de apropriação abusiva de instrumento de pagamento imputável ao Titular, este suportará todas as perdas relativas a essas operações dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento até um máximo de 50,00 € (cinquenta euros), salvo se: i) as operações de pagamento forem devidas a atuação fraudulenta ou a incumprimento deliberado de uma ou mais obrigações das consagradas supra no número vinte e nove (29.) da presente cláusula 18. Contrato-Quadro, caso em que o Titular suportará todas as perdas sem aquele limite, ou ii) se existir negligência grosseira do Titular, caso em que este suporta as perdas até ao limite do saldo disponível ou da linha de crédito associadas à conta ou ao instrumento de pagamento.”
67. Consta da Cláusula 8.ª das Condições Gerais de Adesão e de Utilização do Serviço CA Online Empresas que: “8.1. O Cliente obriga-se a assegurar que os Utilizadores guardam, confidencialmente, os elementos de identificação e códigos de acesso ao Serviço CA Online Empresas que lhe sejam disponibilizados, bem como os que atribuídos ao Cliente ou a outros Utilizadores venham ao seu conhecimento. 8.2. O Cliente obriga-se ainda a garantir que a utilização dos elementos de identificação e dos códigos de acesso ao Serviço CA Online Empresa é feita exclusivamente pelos Utilizadores, prevenindo e precavendo o seu uso abusivo por parte de terceiros. 8.3. Sem prejuízo, cada um dos Utilizadores obriga-se perante o Crédito Agrícola nos exatos termos das duas cláusulas anteriores”.
68. Da mensagem com as OTP de autorização resulta inequivocamente a conta bancária da qual é debitado o valor, a conta bancária em que será creditado o valor no caso de introdução do código de autorização e o valor que está a ser transferido.
69. Não existiu qualquer avaria técnica ou deficiência do CA Online.
70. As duas operações de pagamento foram realizadas através da introdução de três posições aleatórias da password e das OTP de autorização constantes das mensagens recebidas pela gerente da Autora que expressamente identificavam a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autenticação.
71. Em data não concretamente apurada, as rés lançaram um banner de alerta na página de acesso / login ao CA Online, que aparece sempre aquando de cada acesso ao CA Online Empresas, onde se lê que “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola, alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços - são pessoais e intransmissíveis”, estando o mesmo disponível na data em que se concretizaram as duas transferências ora em apreço.”7- Aditado em sede de apreciação da impugnação da matéria de facto.
DOS FACTOS NÃO PROVADOS
A. A. O filho da gerente da Autora acedeu ao sítio da internet da área reservada da “CA Online Empresas” através do link www.creditoagricola.pt.
B. A gerente da A. não forneceu os códigos de autorização das duas transferências a qualquer terceiro.
C. Os terceiros previamente acederam à área reservada da “CA Online” da autora, por uma falha dos serviços de segurança do serviço de “homebanking” disponibilizado pelas Rés.
D. O sucedido sempre se deverá a falha por parte das Rés na proteção dos dados dos seus clientes.
E. A 21 de Setembro de 2022, as Rés lançaram um banner de alerta na página de acesso/login ao CA Online, que aparece sempre aquando de cada acesso ao CA Online, onde se lê que “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços – são pessoais e intransmissíveis”.
F. As Rés só contactam os Clientes na sequência de um pedido de contacto formulado pelos próprios, quando a sua chamada é atendida pelo gravador de chamadas e os Clientes formulam essa pretensão, mas nunca através de contacto móvel de sua iniciativa.
G. A Autora forneceu o seu contacto telefónico antes da chamada telefónica referida em 29.
*
IV. Impugnação da matéria de facto – generalidades e pressupostos
Dispõe o art. 662.º n.º 1 do Código de Processo Civil:
A Relação deve alterar a decisão proferida sobre a matéria de facto, se os factos tidos por assentes, a prova produzida ou um documento superveniente impuserem decisão diversa.
Tem sido entendido que, ao abrigo do disposto no citado preceito, a Relação tem os mesmos poderes de apreciação da prova do que a 1ª instância, por forma a garantir um segundo grau de jurisdição em matéria de facto.
Donde, deve a Relação apreciar a prova e sindicar a formação da convicção do juiz, analisando o processo lógico da decisão e recorrendo às regras de experiência comum e demais princípios da livre apreciação da prova, reexaminando as provas indicadas pelo recorrente, pelo recorrido e na fundamentação da decisão sobre a matéria de facto - neste sentido, vide António Santos Abrantes Geraldes, in Recursos no Novo Código de Processo Civil, 5ª edição, pág. 287.
O actual art. 662.º representa uma clara evolução no sentido que já antes se anunciava, ficando claro que a Relação tem autonomia decisória, competindo-lhe formar e formular a sua própria convicção, mediante a reapreciação dos meios de prova indicados pelas partes ou daqueles que se mostrem acessíveis e com observância do princípio do dispositivo no que concerne à identificação dos pontos de discórdia.
O Tribunal não está vinculado a optar entre alterar a decisão no sentido pugnado pelo recorrente ou manter a mesma tal como se encontra, antes goza de inteira liberdade para apreciar a prova, respeitando obviamente os mesmos princípios e limites a que a 1ª instância se acha vinculada.
Sobre o ónus a cargo do(s) recorrente(s) que impugne(m) a decisão relativa à matéria de facto, dispõe o art.º 640º do Código de Processo Civil, sob a epígrafe “Ónus a cargo do recorrente que impugne a decisão relativa à matéria de facto”, que:
1 - Quando seja impugnada a decisão sobre a matéria de facto, deve o recorrente obrigatoriamente especificar, sob pena de rejeição:
a) Os concretos pontos de facto que considera incorrectamente julgados;
b) Os concretos meios probatórios, constantes do processo ou de registo ou gravação nele realizada, que impunham decisão sobre os pontos da matéria de facto impugnados diversa da recorrida;
c) A decisão que, no seu entender, deve ser proferida sobre as questões de facto impugnadas.
2 - No caso previsto na alínea b) do número anterior, observa-se o seguinte:
a) Quando os meios probatórios invocados como fundamento do erro na apreciação das provas tenham sido gravados, incumbe ao recorrente, sob pena de imediata rejeição do recurso na respectiva parte, indicar com exactidão as passagens da gravação em que se funda o seu recurso, sem prejuízo de poder proceder à transcrição dos excertos que considere relevantes;
b) Independentemente dos poderes de investigação oficiosa do tribunal, incumbe ao recorrido designar os meios de prova que infirmem as conclusões do recorrente e, se os depoimentos tiverem sido gravados, indicar com exactidão as passagens da gravação em que se funda e proceder, querendo, à transcrição dos excertos que considere importantes.
3 - O disposto nos nºs 1 e 2 é aplicável ao caso de o recorrido pretender alargar o âmbito do recurso, nos termos do n.º 2 do artigo 636.º.
Assim, os requisitos a observar pelo recorrente que impugne a decisão sobre a matéria de facto, são os seguintes:
- A concretização dos pontos de facto incorrectamente julgados;
- A especificação dos meios probatórios que no entender do recorrente imponham uma solução diversa;
- A decisão alternativa que é pretendida.
A este respeito, cumpre recordar duas restrições a uma leitura literal e formal destes ónus processuais inerentes ao exercício da faculdade de impugnação da matéria de facto.
Deverá ter-se em atenção a tendência consolidada da jurisprudência do Supremo Tribunal de Justiça, no sentido de não se exponenciarem os efeitos cominatórios previstos no art. 640.º do CPC e de realçar a necessidade de extrair do texto legal soluções capazes de integrar os princípios da proporcionalidade e da razoabilidade, “dando prevalência aos aspectos de ordem material”, na expressão de Abrantes Geraldes, ob. cit., pg. 171 (nota 279) e 174.
Em primeiro lugar, apenas se mostra vinculativa a identificação dos pontos de facto impugnados nas conclusões recursórias; as respostas alternativas propostas pelo recorrente, os fundamentos da impugnação e a enumeração dos meios probatórios que sustentam uma decisão diferente, podem ser explicitados no segmento da motivação, entendendo-se como cumprido o ónus de impugnação nesses termos.
No que tange à decisão alternativa, tenha-se em atenção o Acórdão Uniformizador de Jurisprudência nº 12/2023, de 17/10/2023, publicado no Diário da República nº 220/2023, Série I, de 14/11/2023, com o seguinte dispositivo:
Nos termos da alínea c), do n.º 1 do artigo 640.º do Código de Processo Civil, o Recorrente que impugna a decisão sobre a matéria de facto não está vinculado a indicar nas conclusões a decisão alternativa pretendida, desde que a mesma resulte, de forma inequívoca, das alegações.
Quanto aos restantes requisitos, vejam-se os Acórdãos do Supremo Tribunal, de 01/10/2015 (Ana Luísa Geraldes), de 14/01/2016 (Mário Belo Morgado), de 19/2/2015 (Tomé Gomes); de 22/09/2015 (Pinto de Almeida), de 29/09/2015 (Lopes do Rego) e de 31/5/2016 (Garcia Calejo), todos disponíveis na citada base de dados, citando-se o primeiro:
«(…) enquanto a especificação dos concretos pontos de facto deve constar das conclusões recursórias, já não se afigura que a especificação dos meios de prova nem, muito menos, a indicação das passagens das gravações devam constar da síntese conclusiva, bastando que figurem no corpo das alegações, posto que estas não têm por função delimitar o objecto do recurso nessa parte, constituindo antes elementos de apoio à argumentação probatória.»
Em segundo lugar, cumpre distinguir, quanto às explicitações exigidas ao impugnante e no que se refere à eficácia impeditiva do seu incumprimento, para a apreciação da impugnação, em dois graus de desvalor.
Se o incumprimento dos ónus processuais previstos no nº 1 do citado art. 640º implica a imediata rejeição da impugnação, já o incumprimento dos ónus exigidos no nº 2 do mesmo preceito (…indicar com exactidão as passagens da gravação em que se funda o seu recurso…) tem visto essa eficácia limitada aos casos em que essa omissão dificulte gravemente o exercício do contraditório pela parte contrária ou o exame pelo tribunal de recurso, pela complexidade dos facos controvertidos, extensão dos meios de prova produzidos ou ausência de transcrição dos trechos relevantes.
A esse respeito, veja-se o Acórdão de 11/02/2021 (Maria da Graça Trigo) consultável em www.dgsi.pt:
I. O respeito pelas exigências do n.º 1 do art. 640.º do CPC tem de ser feito à luz do princípio da proporcionalidade dos ónus, cominações e preclusões impostos pela lei processual, princípio que constitui uma manifestação do princípio da proporcionalidade das restrições, consagrado no art. 18.º, n.ºs 2 e 3 da Constituição, e da garantia do processo equitativo, consagrada no art. 20.º, n.º 4 da Constituição.
II. No caso dos autos, afigura-se que o fundamento de rejeição da impugnação de facto é excessivamente formal, já que a substância do juízo probatório impugnado se afigura susceptível de ser apreendida, tendo sido, aliás, efectivamente apreendida pelos apelados ao exercerem o contraditório de forma especificada.
III. Trata-se de uma acção relativamente simples, com um reduzido número de factos provados e de factos não provados, em que a pretensão dos réus justificantes é facilmente apreensível e reconduzível aos factos por si alegados para demonstrarem a usucapião e que encontram evidente ou imediato reflexo nos factos não provados que pretendem que sejam reapreciados, factos esses correspondentes, em grande medida, à matéria objecto da escritura de justificação.
De igual modo decidiu o Supremo Tribunal de Justiça, em Acórdão de 29/10/2015 (Lopes do Rego), consultável em www.dgsi.pt:
1. Face aos regimes processuais que têm vigorado quanto aos pressupostos do exercício do duplo grau de jurisdição sobre a matéria de facto, é possível distinguir um ónus primário ou fundamental de delimitação do objecto e de fundamentação concludente da impugnação - que tem subsistido sem alterações relevantes e consta actualmente do nº1 do art. 640º do CPC; e um ónus secundário – tendente, não propriamente a fundamentar e delimitar o recurso, mas a possibilitar um acesso mais ou menos facilitado pela Relação aos meios de prova gravados relevantes, que tem oscilado, no seu conteúdo prático, ao longo dos anos e das várias reformas – indo desde a transcrição obrigatória dos depoimentos até uma mera indicação e localização exacta das passagens da gravação relevantes ( e que consta actualmente do art. 640º, nº2, al. a) do CPC) .
2. Este ónus de indicação exacta das passagens relevantes dos depoimentos gravados deve ser interpretado em termos funcionalmente adequados e em conformidade com o princípio da proporcionalidade, não sendo justificada a imediata e liminar rejeição do recurso quando – apesar de a indicação do recorrente não ser, porventura, totalmente exacta e precisa, não exista dificuldade relevante na localização pelo Tribunal dos excertos da gravação em que a parte se haja fundado para demonstrar o invocado erro de julgamento - como ocorre nos casos em que, para além de o apelante referenciar, em função do conteúdo da acta, os momentos temporais em que foi prestado o depoimento complemente tal indicação é complementada com uma extensa transcrição, em escrito dactilografado, dos depoimentos relevantes para o julgamento do objecto do recurso.
Veja-se, também do Supremo Tribunal, o Acórdão de 21/03/2019 (Rosa Tching), disponível em www.dgsi.pt:
«I. Para efeitos do disposto nos artigos 640.º e 662.°, n.º 1, ambos do Código de Processo Civil, impõe- se distinguir, de um lado, a exigência da concretização dos pontos de facto incorrectamente julgados, da especificação dos concretos meios probatórios convocados e da indicação da decisão a proferir, previstas nas alíneas a), b) e c) do n.º l do citado artigo 640°, que integram um ónus primário, na medida em que têm por função delimitar o objecto do recurso e fundamentar a impugnação da decisão da matéria de facto. E, por outro lado, a exigência da indicação exacta das passagens da gravação dos depoimentos que se pretendem ver analisados, contemplada na alínea a) do n° 2 do mesmo artigo 640°, que integra um ónus secundário, tendente a possibilitar um acesso mais ou menos facilitado aos meios de prova gravados relevantes para a apreciação da impugnação deduzida.
II. Na verificação do cumprimento dos ónus de impugnação previstos no citado artigo 640.°, os aspectos de ordem formal devem ser modelados em função dos princípios da proporcionalidade e da razoabilidade.
III. Nesta conformidade, enquanto a falta de especificação dos requisitos enunciados no n.º l, alíneas a), b) e c) do referido artigo 640.° implica a imediata rejeição do recurso na parte infirmada, já, quanto à falta ou imprecisão da indicação das passagens da gravação dos depoimentos a que alude o n° 2, alínea a) do mesmo artigo, tal sanção só se justifica nos casos em que essa omissão ou inexactidão dificulte, gravemente, o exercício do contraditório pela parte contrária e/ou o exame pelo tribunal de recurso.
IV. Tendo o recorrente, indicado, nas conclusões das alegações de recurso, o início e o termo de cada um dos depoimentos das testemunhas ou indicado o ficheiro em que os mesmos se encontram gravados no suporte técnico e complementado estas indicações com a transcrição, no corpo das alegações, dos excertos dos depoimentos relevantes para o julgamento do objecto do recurso, tanto basta para se concluir que o recorrente cumpriu o núcleo essencial do ónus de indicação das passagens da gravação tidas por relevantes, nos termos prescritos no artigo 640°, n° 2, al. a) do CPC, nada obstando a que o Tribunal da Relação tome conhecimento dos fundamentos do recurso de impugnação da decisão sobre a matéria de facto.».
No mesmo sentido, o Acórdão de 19/1/2016 (Sebastião Póvoas), disponível na mesma base de dados:
“ (…)
5) A falta da indicação exacta e precisa do segmento da gravação em que se funda o recurso, nos termos da alínea a) do n.º 2 do artigo 640.º do CPC não implica, só por si a rejeição do pedido de impugnação sobre a decisão da matéria de facto, desde que o recorrente se reporte à fixação electrónica/digital e transcreva os excertos que entenda relevantes de forma a permitir a reanálise dos factos e o contraditório.”
Por outro lado há ainda que ter em atenção que, qualquer alteração pretendida pressupõe em comum um pressuposto: a relevância da alteração para o mérito da demanda.
A impugnação de factos que tenham sido considerados provados ou não provados e que não sejam importantes para a decisão da causa, não deve ser apreciada, na medida em que alteração pretendida não é susceptível de interferir na mesma, atenta a inutilidade de tal acto, sendo certo que de acordo com o princípio da limitação dos actos, previsto no art.º 130.º do Código de Processo Civil não é sequer lícita a prática de actos inúteis no processo.
Veja-se o Acórdão do STJ de 17/05/2017 (Fernanda Isabel Pereira), também disponível em www.dgsi.pt:
“O princípio da limitação de actos, consagrado no artigo 130º do Código de Processo Civil para os actos processuais em geral, proíbe a sua prática no processo – pelo juiz, pela secretaria e pelas partes – desde que não se revelem úteis para este alcançar o seu termo.
Trata-se de uma das manifestações do princípio da economia processual, também aflorado, entre outros, no art. 611.º, que consagra a atendibilidade dos factos jurídicos supervenientes, e no art. 608.º, n.º 2, quando prescreve que, embora deva resolver todas as questões que as partes tenham submetido à sua apreciação, o juiz não apreciará aquelas cuja decisão esteja prejudicada pela solução dada a outras.
Nada impede que também no âmbito do conhecimento da impugnação da decisão fáctica seja observado tal princípio, se a análise da situação concreta em apreciação evidenciar, ponderadas as várias soluções plausíveis da questão de direito, que desse conhecimento não advirá qualquer elemento factual, cuja relevância se projecte na decisão de mérito a proferir.
Com efeito, aos tribunais cabe dar resposta às questão que tenham, directa ou indirectamente, repercussão na decisão que aprecia a providência judiciária requerida pela(s) parte(s) e não a outras que, no contexto, se apresentem como irrelevantes e, nessa medida, inúteis.”
E, ainda, os Acórdãos da Relação de Guimarães, de 15/12/2016 (Maria João Matos) e desta Relação de 26/09/2019 (Carlos Castelo Branco), também da citada base de dados:
Não se deverá proceder à reapreciação da matéria de facto quando os factos objecto de impugnação não forem susceptíveis, face às circunstâncias próprias do caso em apreciação, de ter relevância jurídica, sob pena de se levar a cabo uma actividade processual que se sabe ser inútil, o que contraria os princípios da celeridade e da economia processuais (arts. 2º, nº 1, 137º e 138º, todos do C.P.C.).
Ora, em nosso entender é exactamente esta a situação do ponto 10 da matéria de facto.
O Tribunal a quo deu como provado, na sequência do facto 9 – data do contrato de abertura de conta e depósito - que:
10. Momento em que foram, pela gerente da Autora, facultados às Rés, os seus dados pessoais, incluindo o seu e-mail e contacto telefónico.
É certo que o alegado pela Autora foi que tais elementos foram facultados à 1.ª Ré (e não às Rés).
Não obstante, não só o art. 5.º, n.º 2, do CPC permite ao Tribunal considerar factos que sejam complemento ou concretização dos alegados pelas partes, que resultem da instrução dos autos – o que só por si legitimaria a versão consignada pelo Tribunal na fixação dos factos provados – como ainda a alteração de redacção proposta pelas Rés seria, do ponto de vista da solução de direito para a causa, completamente despicienda e irrelevante. Isto porque, ainda que se desse apenas por provado que os elementos de identificação tivessem sido facultados à 1.ª Ré, não poderia tal facto ser desligado ou autonomizado dos factos 2 (a 2.ª Ré tem como associadas as várias Caixas de Crédito
Agrícola Mútuo), 3 ( entre essas associadas conta-se a 1.ª Ré), 4 ( a 2.ª Ré, enquanto organismo central coordena e representa o sistema integrado de crédito agrícola mútuo) e 7 (é a 2.ª Ré quem gere o serviço CA Online.
Da conjugação destes factos 2, 3, 4 e 7 resulta que seja absolutamente indiferente, do ponto de vista da aplicação do direito aos factos, que os dados pessoais da Autora tenham sido facultado à 1.ª Ré ou a ambas, na medida em que ainda que tivessem sido apenas facultados à 1.ª Ré, não teria a 2.ª Ré deixado, enquanto organismo central daquela que gere o serviço CA Online, de necessariamente ter acesso a esses mesmos dados.
Assim sendo, porque manifestamente inútil e espúria não se apreciará a impugnação ao facto 10 da matéria de facto provada.
Porque as recorrentes observaram os ónus que sobre si recaiam, neste particular - apreciar-se-ão todas as impugnações da matéria de facto das Rés / Recorrentes.
a.1) Alteração do Facto n.º 13 do elenco dos Factos provados
É o seguinte do teor do facto 11:
“ 13. Tais contratos são conjuntamente regulados pelas Condições Gerais Outorgadas a 09-07-2019”.
Entende a Ré que tal facto não pode ser dado como provado na medida em que, não só não foi alegado nesses concretos termos, como ainda porque a Ré impugnou especificamente tal facto nos arts. 13.º e ss. da contestação, ao afirmar que essas condições vão sendo alteradas ao longo do tempo, relevando, isso sim, as condições em vigor à data do facto supostamente ilícito e imputável às Rés.
E de facto assim é. Pelo que a dar-se por provado tal facto a fundamentação a tal motivação nunca poderia passar pelo acordo das partes, na medida em que as Rés não deram acordo ao mesmo.
Por outro lado, manter-se o facto 13 na sua redacção actual seria inserir nos factos provados qual o regime aplicável aos mesmos o que consubstancia uma questão de direito que por natureza deve ser expurgada da fixação da matéria de facto.
A circunstância de não existir actualmente no CPC nenhum normativo idêntico ao antigo artigo 646º, n.º 4, do CPC revogado (que determinava terem-se por não escritas as respostas do tribunal colectivo sobre questões de direito e que se aplicava, por analogia, à matéria conclusiva ou genérica ) não determina que o principio subjacente tenha desaparecido.
O Tribunal de recurso pode conhecer oficiosamente desta questão – eliminando factos provados ou não provados – por a mesma envolver a interpretação e aplicação de regras processuais de cariz imperativo, concretamente do art.º 5º, n.º 1 e 2 do CPC.
Conforme refere, a este respeito Manuel Tomé Soares Gomes, in Da Sentença Cível, CEJ, 2014, (in https://elearning.cej.mj.pt/mod/folder/view.php?id=6202 , pág.19 a 22, “no que diz respeito à “linguagem dos enunciados de facto”, a mesma deve “ser expurgada de valorações jurídicas, de locuções metafóricas e de excessos de adjetivação.
Os enunciados de facto devem ser expressos numa linguagem natural e exata, de modo a retratar com objetividade a realidade a que respeitam, e devem ser estruturados com correção sintática e propriedade terminológica e semântica. A adequação dos enunciados de facto deve pautar-se pela exigência de evitar que esses enunciados se apresentem obscuros (de sentido vago ou equívoco), contraditórios (integrados por termos ou proposições reciprocamente excludentes) e incompletos (de alcance truncado), vícios estes que figuram como fundamento de anulação da decisão de facto, em sede de recurso de apelação, nos termos do artigo 662.º, n.º 2, alínea c), do CPC.
(…)
(…) as partes tendem a adestrar a factualidade pertinente no sentido estrategicamente favorável à posição que sustentam no seu confronto conflitual, daí resultando enunciados, por vezes, deformados, contorcidos ou de pendor mais subjetivo ou até emotivo.
Cumprirá, por sua vez, ao juiz, na formulação dos juízos de prova, expurgar tais deformações, sendo que, como é entendimento jurisprudencial corrente, não se encontra adstrito à forma vocabular e sintática da narrativa das partes, mas sim ao seu alcance semântico. Deve, pois, adotar enunciados que, refletindo os resultados probatórios, sejam portadores de um sentido semântico, o mais consensual possível, de forma a garantir que a controvérsia se desenvolva em sede da sua substância factual e não no plano meramente epidérmico dos seus modos de expressão linguística.”
Da mesma forma Abrantes Geraldes (in Recursos em Processo Civil, 7ª edição, pág. 354-355) , refere que “A decisão de facto pode apresentar patologias que não correspondem verdadeiramente a erros de apreciação ou de julgamento. Umas poderão e deverão ser solucionadas de imediato pela Relação; outras poderão determinar a anulação parcial do julgamento.
(…)
Outro vício que pode detetar-se (...), pode traduzir-se na integração na sentença, na parte em que se enuncia a matéria de facto provada (e não provada), de pura matéria de direito (…). – realce nosso.
Pelo que não poderá valer nem a versão do facto constante da sentença, nem mesmo a versão do facto sugerida pelas Rés, pela mesmíssima razão: ambas tomam posição sobre a questão jurídica de saber quais as cláusulas que relevam e regulamentam o concreto contrato – se as acordadas à data da celebração do mesmo ou se as posteriormente alteradas pela Ré comunicadas à Autora.
Assim, em conformidade com o supra exposto altera-se o teor do facto 13 que passará a ter a seguinte redacção:
13. À data da celebração do contrato a Autora aceitou as condições gerais de utilização do Serviço CA Online Empresas, apresentadas pelas Rés, consubstanciadas no doc. 4 junto com a petição inicial e que aqui se dão por integralmente reproduzidas, as quais foram posteriormente alteradas pelas Rés, passando para a versão constante do doc. 2 junto com a contestação e que aqui se dão por reproduzidas.
a.2) Alteração dos factos 37 e 62
É o seguinte o teor dos factos em análise:
37. O filho da gerente da Autora, por indicação desta e após sugestão da senhora com quem mantinha conversa telefónica, introduziu na área reservada da “CA Online Empresas” da Autora o referido código.
62. A gerente da Autora acreditou que as ações solicitadas após entrar na área reservada da CA Online – alteração de password – o estavam a ser pela própria instituição, bem como estava convicta de o contacto telefónico rececionado em simultâneo à mensagem de solicitação de alteração de password era realizado pelas Rés.
Foi a seguinte a fundamentação – conjunta com outros factos - dada pelo Tribunal a quo a estes factos:
“Os factos n.ºs 24 a 41 e 46 a 52 foram relatados pela testemunha comum, BB, filho da legal representante da Autora, de forma detalhada, minuciosa e convicta. Tendo sido a testemunha o interveniente nos factos, ainda que acompanhado da sua mãe, soube descrever todos os eventos ocorridos no dia 24 de Novembro de 2022. Acresce à credibilidade do seu depoimento, os depoimentos das testemunhas JJ, KK e LL, todos clientes da 2ª Ré e vítimas de atuações semelhantes, e que afirmaram ter sido enganados, por telefone, por alguém que se fazia passar por funcionário da Caixa Agrícola.”
“Os pontos n.ºs 58 a 62 foram dados como provados em decorrência do declarado por BB, o qual, ao longo de todo o seu depoimento, respondeu de forma completa e isenta a tudo o que lhe foi perguntado. A testemunha GG revelou que o engano de que a Autora foi vítima, através da sua gerente, poderá ter advindo da utilização de uma página falsa, emergente do primeiro resultado obtido no motor de busca utilizado, em tudo semelhante à página web do banco, sendo esta uma das formas conhecidas pelo banco utilizadas por burlões para se apropriar de quantias da conta bancária de clientes. Também as testemunhas arroladas pela Autora se revelaram sinceras quando relataram as situações de que foram elas próprias vítimas. Todos, à semelhança da gerente da Autora, foram ludibriados, pelo que se teve por verdadeira a alegação referida.”
Insurgem-se as Rés contra a referência, feita nos supra citados pontos da matéria de facto, à “área reservada da CA On Line”, na medida em que, conforme decorre dos factos provados 24, 25 e 26, e também do facto não provado A), a legal representante da Autora não estava na «área reservda da CA Online Empresas”.
A este respeito contra alega a Autora que não resulta da matéria de facto provada que o acesso tenha sido a uma página falsa, pelo que não merece acolhimento a pretensão das Recorrentes.
Para conhecimento desta concreta impugnação há necessidade de revisitar os referidos factos 24, 25 e 26, cujo teor é o seguinte:
24. Em 24 de novembro de 2022, pelas 10h30m, a gerente da Autora, solicitou ao seu filho BB, que, na sua presença, acedesse ao serviço “CA Online Empresas”, para efetuar transferência em nome da Autora
25. Tendo este realizado uma pesquisa no motor de busca Google com as palavras “caixa agrícola” e abrindo a página que surgiu como primeiro resultado.
26. Após introduzir os dados de acesso nessa página, surge uma mensagem que indicava a necessidade de proceder à alteração da sua password, por a mesma não ser alterada há mais de 90 dias.
Quanto ao facto não provado da al. A) o mesmo tem o seguinte teor:
A. O filho da gerente da Autora acedeu ao sítio da internet da área reservada da “CA Online Empresas” através do link www.creditoagricola.pt.
Desde logo, na apreciação desta concreta questão não podemos considerar o facto não provado constante da al. A). Com efeito o facto de não ter resultado provado que o site acedido o tenha sido através do concreto link, não quer necessariamente dizer que o tenha sido através de outro link. Podendo o acesso ter sido feito através daquele link, ou de outro – o tal que surgiu em primeiro lugar na busca do google (facto 23), não se provou efectivamente qual o efectivo link que se abriu no computador utilizado pela Autora.
O facto é que não se tendo provado que o acesso tivesse sido através daquele link, apenas se pode dar como provado que as referências feitas nos pontos 37 e 62 da matéria de facto o são relativamente à página aberta pelo filho da Autora, na sequência do referido em 26.
Em face do exposto, altera-se a redacção dos arts. 37 e 62 passando os mesmos a ter o seguinte teor:
37. O filho da gerente da Autora, por indicação desta e após sugestão da senhora com quem mantinha conversa telefónica, introduziu na página aberta conforme referido em 26, com a indicação “Crédito Agrícola - “área reservada da “CA Online Empresas”, o referido código.
62. A gerente da Autora acreditou que as ações solicitadas após entrar na página aberta conforme referido em 26, com a indicação “Crédito Agrícola - área reservada da CA Online – alteração de password –, o estavam a ser pela própria instituição, bem como estava convicta de o contacto telefónico rececionado em simultâneo à mensagem de solicitação de alteração de password era realizado pelas Rés.
a.3) Alteração do facto 45
É o seguinte o teor dos factos em análise:
45. As transferências não foram autorizadas pela gerente da Autora.
Foi a seguinte a fundamentação da decisão recorrida:
“O constante do ponto n.º 45 resultou do depoimento de BB que negou perentoriamente ter autorizado tais transferências, referindo sempre que todo o procedimento que adotou, por indicação da legal representante da Autora e sua mãe, foi no sentido de proteger a conta bancária da Autora e não a autorização de qualquer transferência bancária. Este relato, como se disse, foi plenamente convincente, não gerando dúvidas ao tribunal que a gerente da Autora não queria, nem tinha qualquer consciência de estar a autorizar uma qualquer transferência. Também a testemunha DD, bancário da 1.ª Ré, que recebeu, à data dos factos, uma chamada da legal representante da Autora relatando o sucedido, disse que reportou a situação imediatamente ao departamento de segurança, pelo que terá acreditado na palavra desta. E EE foi quem tratou do bloqueio das contas de destino das transferências, as quais diz ter feito pelas 13h47, logo depois de ter recebido a chamada telefónica da linha direta que diz que ocorreu pelas 13h43. Ora, não teriam os responsáveis do banco reagido desta forma se não entendessem que as transferências eram autorizadas e não fraudulentas.”
A este respeito alegam as Rés que:
- tal facto é conclusivo, invocando a propósito jurisprudência do STJ, na medida em que tal afirmação convoca a apreciação de um conceito jurídico como seja o de “operação autorizada”, que diz respeito ao thema decidendum;
- convoca igualmente o depoimento da testemunha FF, o qual esclareceu que a operação foi efectuada mediante a introdução do número de adesão, chave multicanal, OTP de login remetida para o telefone associado, três dígitos aleatórios da password, assumindo-se assim a autorização, expressa e sem reservas do pedido efectuado;
- a sua manutenção é incompatível com os factos 14, 15, 20, 21, 22, 25, 26, 56 e 70.
Não obstante as Rés não o fazerem, não é possível dissociar este concreto facto 45, e a expressão “autorizada” nela efectuada, dos pontos 34., 35., 36., 37., 38., 39. e 40.
Concordamos que a referencia feita no facto 45 à expressão “autorizadas” não tenha sido a mais feliz. Com efeito, foram introduzidos todos dados necessários à autorização da operação. Mas tais dados foram introduzidos na sequência do referido em 34., 35, 36, 37, 38, 39 e 40, isto é, na convicção de que nenhuma transferência estava a ser feita, até porque nenhum IBAN de destino estava a ser inserido. Mais do que não autorizadas, a Autora não teve a consciência de que estava a efectuar verdadeiras transferências, as quais não eram por si queridas, mas sim simulações.
Assim, altera-se o teor do facto 45, passando o mesmo a ter a seguinte redacção:
45. As transferências referidas em 42 e 43 foram concretizadas no pressuposto das informações referidas em 34., 35, 37, 38 e 39.
Esta versão dos factos é a que melhor se coaduna com a prova produzida, nomeadamente com o depoimento das testemunhas BB, DD e EE, integralmente ouvidas pelo Tribunal.
a.4) Alteração ao facto 58
É o seguinte o teor do facto em análise:
58. A gerente da Autora, por intermédio do seu filho, considerando toda a informação que lhe era dada via telefone, confiou na fiabilidade e fonte fidedigna das informações que lhe foram transmitidas.
Foi a seguinte a fundamentação do Tribunal a quo a este concreto facto, conjuntamente com os factos 59 a 62:
“Os pontos n.ºs 58 a 62 foram dados como provados em decorrência do declarado por BB, o qual, ao longo de todo o seu depoimento, respondeu de forma completa e isenta a tudo o que lhe foi perguntado. A testemunha GG revelou que o engano de que a Autora foi vítima, através da sua gerente, poderá ter advindo da utilização de uma página falsa, emergente do primeiro resultado obtido no motor de busca utilizado, em tudo semelhante à página web do banco, sendo esta uma das formas conhecidas pelo banco utilizadas por burlões para se apropriar de quantias da conta bancária de clientes. Também as testemunhas arroladas pela Autora se revelaram sinceras quando relataram as situações de que foram elas próprias vítimas. Todos, à semelhança da gerente da Autora, foram ludibriados, pelo que se teve por verdadeira a alegação referida.”
A este respeito argumentam as recorrentes que:
- não se pode considerar que a informação transmitida à gerente da Autora/Recorrida, por intermédio do seu filho, era fiável ou de fonte fidedigna, tanto mais que, conforme o mesmo referiu tais procedimentos nunca antes lhe tinham sido solicitados;
- Não pode deixar de se considerar absolutamente inverosímil a tese de que a informação veiculada no decurso da chamada telefónica ao filho da gerente da Autora era credível e de fonte fidedigna, uma vez que as Recorrentes nunca solicitam as credenciais de utilização do CA Online Empresas, aos seus Clientes, pois estas são pessoais, secretas e intransmissíveis;
- bem como nunca implementaram procedimentos de simulação de transferências;
- não sendo os depoimentos de vítimas de burla informática suficientes, para sustentar a fiabilidade e fidedignidade das informações transmitidas.
Ainda a este respeito contra-alega a Autora argumentando que “ não resultou provado que a informação transmitida fosse de fonte fidedigna, mas que a legal representante da Recorrida confiou que o fosse.” (ponto 56 das contra -alegações) e “As Recorrentes parecem fazer uma certa confusão de interpretação da redacção do facto provado sob o nº 58, pois não considerou o Tribunal “a quo” que as informações transmitidas à legal representante da Recorrida eram fiáveis e de fonte fidedigna, mas sim, que a legal representante da Recorrente considerou que fosse.”.
Apreciando:
Efectivamente são coisas distintas afirmar, como fez o Tribunal a quo, que “A gerente da Autora, por intermédio do seu filho, considerando toda a informação que lhe era dada via telefone, confiou na fiabilidade e fonte fidedigna das informações que lhe foram transmitidas.” ou afirmar que “as informações dadas via telefone eram fiáveis e de fonte fidedigna”.
Na primeira afirmação está subjacente uma percepção subjectiva do receptor; na segunda está uma análise objectiva de acordo com padrões de normalidade e razoabilidade.
O facto dado por provado pelo Tribunal colocou-se na pele do concreto receptor e como tal criou a convicção de que o mesmo confiou na fiabilidade e fidedignidade das informações. Bem ou mal? Isso é outra questão.
E criou tal convicção com base na prova testemunhal que referiu e a que alude também a recorrente nas suas alegações.
Ouvida e ponderada toda a prova produzida não vemos razões para alterar a decisão de facto da primeira instância.
Por várias ordens de razões:
A primeira delas prende-se com o entendimento, pacífico na jurisprudência, que o Tribunal da Relação só deve alterar a matéria de facto se formar a convicção segura da ocorrência de erro na apreciação dos factos impugnados.
Isto porque o julgamento da matéria de facto é o resultado da ponderação de toda a prova produzida. Cada elemento de prova tem de ser ponderado por si, mas, também, em relação/articulação com os demais. O depoimento de cada testemunha, as declarações de parte, têm de ser conjugados com os das outras testemunhas e todos eles com os demais elementos de prova.
Quando o pedido de reapreciação da prova se baseie em elementos de características subjectivas – como a prova testemunhal e declarações de parte –, a respectiva sindicação tem de ser exercida com o máximo cuidado e o tribunal de 2.ª instância só deve alterar os factos incorporados em registos fonográficos quando, efectivamente, se convença, com base em elementos lógicos ou objectivos e com uma margem de segurança elevada, que houve erro na 1.ª instância – neste sentido ver Ac. R.P. de 30-04-2000, Ac. R.P. de 05-12-2024)
Ouvido o depoimento da testemunha BB nada nos permite flagrantemente duvidar da sua credibilidade, sendo que o próprio conhecimento dos dados da Autora proporcionava um conhecimento da mesma que tornava credível que estivesse a ser confrontado com o próprio banco, pois de outra forma difícil seria ter acesso àquela concreta informação.
Entendemos assim não ser de fazer qualquer reparo à convicção do Tribunal a quo, e, como tal, não vemos por isso razões para alterar a matéria de facto no sentido proposto pelas Recorrentes.
a.5) Alteração ao facto 61
É o seguinte o teor do facto em análise:
61. A gerente da Autora atuou como a maioria das pessoas atuaria perante o circunstancialismo descrito, sendo fácil qualquer pessoa comum, com os conhecimentos informáticos e financeiros comuns de alguém não especializado na área “cair na ratoeira” astutamente montada.
Alegam as Rés que tal facto é conclusivo e como tal deve ser eliminado do elenco da matéria de facto provada.
Pugna a Autora, em sede de contra-alegações, pela manutenção do mesmo.
Sem necessidade de grandes considerandos – até porque os mesmos já foram tecidos supra – é imperativo afirmar que o facto 61 é manifestamente conclusivo.
Manter o referido facto 61 seria inserir nos factos provados um dos thema decidendum dos autos, os quais por natureza devem ser expurgados na fixação da matéria de facto, e conhecidos na subsunção jurídica dos factos ao direito.
Conforme já se referiu supra, circunstância de não existir actualmente no CPC nenhum normativo idêntico ao antigo artigo 646º, n.º 4, do CPC revogado (que determinava terem-se por não escritas as respostas do tribunal colectivo sobre questões de direito e que se aplicava, por analogia, à matéria conclusiva ou genérica ) não determina que o principio subjacente tenha desaparecido.
O Tribunal de recurso pode conhecer a pedido ou oficiosamente desta questão – eliminando factos provados ou não provados – por a mesma envolver a interpretação e aplicação de regras processuais de cariz imperativo, concretamente do art.º 5º, n.º 1 e 2 do CPC.
Pelo que não se poderá manter o facto 61 do elenco dos factos provados.
Em face do exposto decide-se eliminar o facto 61 do elenco dos factos provados.
a.6) Alteração ao facto 63
É o seguinte o teor do facto em análise:
63. A gerente da Autora nunca se tendo visto em situação similar, não tinha conhecimento de como as rés procediam em caso de necessidade de alteração de password e proteção dos dados de acesso ao serviço “CA Online”, pelo que, perante toda a informação credível que lhe foi dada na referida chamada telefónica, pensou estar efetivamente em contacto com colaboradora das Rés.
Foi a seguinte a fundamentação do Tribunal a quo:
“O facto n.º 63 resultou do depoimento da testemunha BB. Não obstante a testemunha HH referir que este não é o modo de operar das rés e que inclusive já tinham sido enviados alertas de segurança aos clientes, nenhuma prova foi feita no sentido de contrariar a afirmação do gerente da autora de que esta foi a primeira vez que tal lhe sucedeu e que, por isso, acreditou na veracidade da chamada.”
A este respeito alegam as Rés/Recorrentes que:
- Salvo melhor opinião, para aferir se a Legal Representante da Recorrida conhecia – ou devia conhecer – como é que as Recorrentes procediam em caso de transacção suspeita, não releva apenas que a Legal Representante da Recorrida nunca se tenha visto em situação similar.
- Na realidade, mesmo que a Legal Representante da Recorrida nunca se tenha visto em situação semelhante à que decorreu a 24 de novembro de 2022, as Recorrentes alertaram-na, múltiplas vezes, para situações como a que acabou por lhe acontecer a 24 de novembro de 2022, pelo que não é desculpável o desconhecimento quanto ao modo pelo qual as Recorrentes actuam.
- Num primeiro momento, aquando da adesão da Recorrida ao CA Online Empresas, a 09 de julho de 2019, foi disponibilizado, à sua Legal Representante, um documento com recomendações de segurança;
- depois em Fevereiro de 2022 o CA remeteu um SMS aos seus clientes com o seguinte teor: ““Alertamos para possíveis tentativas de fraude ou burla. Não aceda a links e nunca forneça por telefone os seus códigos de acesso aos canais se for contactado.”;
- assim como a 2.ª Ré lançou um banner em cada acesso ao CA on line Empresas, alertando para estas situações;
- face a todas estas informações a Autora tinha obrigação de saber como agir e deveria ter reagido de outra forma, abstendo-se de divulgar as suas credenciais de acesso e utilização;
Sugere assim a eliminação de tal facto ou, no limite, a sua alteração para a seguinte redacção:
“63. A gerente da autora nunca se tendo visto em situação similar, pensou estar efetivamente em contacto com colaborador das rés.”
Mais uma vez o facto 63 mistura factos com juízos de valor, de que é exemplo a caracterização da credibilidade da informação.
Aqui, o Tribunal a quo não está a afirmar a credulidade da Autora perante as informações, mas ao antes a afirmar a credibilidade da informação. E se aquela é admissível e consubstancia um facto em si mesmo, esta não pode deixar de ser considerada como uma afirmação conclusiva. Uma coisa é afirmar que a Autora acreditou e confiou nas informações (e isto é um facto), outra é afirmar que as informações concretamente dadas eram credíveis, o que em si mesmo implica já um juízo de valor, a formulação de uma conclusão.
Depois, uma coisa é a Autora, na pessoa da sua gerente, não ter conhecimento dos procedimentos – e isto consubstancia um facto – outra coisa é esse desconhecimento ser ou não desculpável e, mais uma vez, essa questão é uma questão jurídica a apreciar.
Em face do exposto altera-se o ponto 63 da matéria de facto passando o mesmo a ter o seguinte teor:
“63. A gerente da Autora nunca se tendo visto em situação similar, não tendo conhecimento de como as rés procediam em caso de necessidade de alteração de password e proteção dos dados de acesso ao serviço “CA Online”, perante toda a informação dada na referida chamada telefónica, pensou estar efetivamente em contacto com colaboradora das Rés.”
a.7) Alteração do factos provado 59 e não provado alínea G)
Pretendem as Rés/Recorrentes que o facto 59 passe a ter o seguinte teor:
59. A senhora que efetuava a chamada tinha conhecimento do seu número de telefone, conhecia também o número de conta, o saldo bancário e movimentos de conta, não lhe tendo esses sido fornecidos no decurso da chamada telefónica.
E ainda que o facto não provado constante da Al. G) transite para o elenco dos factos provados com a seguinte redacção:
71. A Autora tornou disponível a terceiros o seu contacto telefónico antes da chamada telefónica referida em 29.
É o seguinte o teor dos referidos factos:
59. A senhora que efetuava a chamada tinha conhecimento do seu número de telefone, sem antes a gerente da Autora o ter fornecido, conhecia também o número de conta, o saldo bancário e movimentos de conta, não lhe tendo esses sido fornecidos no decurso da chamada telefónica.
G. A Autora forneceu o seu contacto telefónico antes da chamada telefónica referida em 29.
Comecemos pela al. G).
O Tribunal fundamentou a resposta não provado ao facto G com base na seguinte motivação:
“Finalmente o ponto G. resultou assim considerado, porquanto as Rés não lograram produzir qualquer prova de que a Autora tenha digitado o seu número de telemóvel na página a que acedeu ou o tenha facultado à pessoa que a veio a contactar seguidamente, por qualquer meio.”
No que a esta alínea G) diz respeito, ouvido o depoimento da testemunha GG, secundamos a convicção do Tribunal a quo de que não resultou provado que A Autora forneceu o seu contacto telefónico antes da chamada telefónica. É uma suposição aquilo que resulta do depoimento da referida testemunha. Uma suposição que a mesma tece como única explicação que encontra uma vez que as Rés nunca pedem o número de telefone nem o fornecem a ninguém, nem ninguém teve acesso ao seu sistema informático.
Por isso refere a mesma que o procedimento da página falsa é o de aparecer uma roda a dizer “estamos a actualizar os seus dados, coloque aqui o seu número de telemóvel.”
A referida testemunha demonstrou ter conhecimento sobre os procedimentos e esquemas dos piratas informáticos e técnicas por eles utilizadas. Perguntamo-nos se a referida testemunha GG alguma vez foi confrontado com essa concreta página para poder, em consciência, fazer essa afirmação….É que tendo conhecimento dessas técnicas seria normal que tivessem print dessas páginas por forma a demonstrar esse esquema, nomeadamente o pedido
Seria possível no plano das hipóteses? Sim. Foi exactamente a essa pergunta que a testemunha respondeu. Foi isso que aconteceu no caso concreto? Salvo melhor entendimento, não resultou minimamente provado que isso aconteceu no presente caso.
Aliás a pergunta feita a essa testemunha pelo mandatário das Rés é ilustrativa disso mesmo: “com base no Crédito Agrícola terá (modo condicional) sido essa a forma pela qual se teve acesso ao telefone (minuto 33:22)?”.
Ou seja, movemo-nos no campo das hipóteses. Esta é uma das hipóteses. A própria testemunha referiu que já tinha havido em tempos outros modos de obter o telefone. Mas nada nos permite passar do campo das hipóteses ao campo dos factos.
Pelo que se mantém a alínea G) no elenco dos factos não provados, não havendo por isso razão para alterar o facto 59 que, em termos de motivação das alegações, não é impugnado em si mesmo autonomamente, mas como decorrência da impugnação da al. G) dos Factos não provados.
Improcedem, pois, estas concretas impugnações aos factos 59 e G, dos factos, respectivamente, provados e não provados.
a.8) Alteração da al. E) dos Factos Não Provados
A decisão recorrida deu como não provado que:
E. A 21 de Setembro de 2022, as Rés lançaram um banner de alerta na página de acesso/login ao CA Online, que aparece sempre aquando de cada acesso ao CA Online, onde se lê que “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços – são pessoais e intransmissíveis”.
E, para tal convicção, ofereceu a seguinte fundamentação:
“O ponto constante da alínea E. resultou como não provado, porquanto, apesar do documento 8 junto à contestação ter o teor ali descrito e da testemunha HH ter referido que este alerta aparece como banner no homebanking, a verdade é que o documento não contém qualquer data, sendo assim insuficiente para demonstrar que o mesmo se encontra visível na página no sistema de homebanking das Rés desde tal data.”.
Referem as Rés nas suas alegações que o Tribunal não põe em causa a existência do tal banner, referindo apenas que não resultou provado desde qual data o mesmo se encontra visível na página do sistema de homebanking das Rés. Mais refere que a testemunha HH depôs a esse propósito fazendo referência à data a partir da qual tal banner foi lançado.
Não está questionado que tal banner esteve ou está visível na página de homebanking das Rés. O documento encontra-se junto aos autos (doc. 9 junto com a contestação). Não obstante, como refere o Tribunal a quo o print da página não permite afirmar desde quando o mesmo se encontra visível e constitui alerta para os clientes das Rés.
Assim, apenas a prova testemunhal poderia, se prestada de forma convincente e consistente, permitir localizar no tempo o lançamento e a visualização desse banner.
HH, bancária, trabalhadora da 2.ª Ré há 30 anos, referiu de forma concreta vários alertas lançados pelas Rés, como forma de combater burlas como a dos presentes autos. Forneceu de forma concreta datas precisas para o lançamento dessas medidas, socorrendo-se de documentos que trazia consigo. Se relativamente aos SMS enviados aos clientes o documento comprovativo da datação dos SMS enviados consta dos autos (cf. doc. 8 junto com a contestação), já o mesmo não se pode afirmar relativamente ao banner.
Assim sendo, não vemos razão consistente para proceder à alteração da matéria de facto pretendida pelas Rés, no sentido de ver a alínea F) transitar para os factos provados.
Não obstante, e porque não está em causa que o banner foi colocado na página da Ré – sem prejuízo de se desconhecer a data - entendemos ser de eliminar a al. E) dos factos não provados e acrescentar aos factos provados um facto 71. que terá o seguinte teor:
71. Em data não concretamente apurada, as rés lançaram um banner de alerta na página de acesso / login ao CA Online, que aparece sempre aquando de cada acesso ao CA Online Empresas, onde se lê que “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola, alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços - são pessoais e intransmissíveis”, estando o mesmo disponível na data em que se concretizaram as duas transferências ora em apreço.
a.9) Alteração à al. F) dos Factos Não provados
É o seguinte o teor da al. F)
F. As Rés só contactam os Clientes na sequência de um pedido de contacto formulado pelos próprios, quando a sua chamada é atendida pelo gravador de chamadas e os Clientes formulam essa pretensão, mas nunca através de contacto móvel de sua iniciativa.
A. Foi a seguinte a fundamentação dada pelo Tribunal a quo, à ausência de convicção quanto a este concreto facto:
“Já o ponto F. ficou por demonstrar por absoluta falta de meios de prova produzidos sobre a mesma”
Nas suas alegações as Rés reconhecem que não foi produzida prova testemunhal quanto a este facto. Não obstante, estribam a sua convicção positiva quanto a este facto nos documentos juntos com a contestação, nomeadamente 7, 8 e 9, e nas cláusulas 9.1 do doc. 4, e 9., n.º 7, do doc. 2.
Sem necessidade de grandes considerações dir-se-á que uma coisa é o que está nos contratos e respectivo clausulado, bem como em alertas efectuados e outra coisa é a prática.
Interessava saber a prática. De outro modo a única coisa que se poderia dar por provado seria o teor das cláusulas dos referidos documentos e nunca a afirmação em si mesma da ausência de contactos por iniciativa das Rés.
Em face do exposto, improcede a impugnação das Rés à alínea F) dos Factos não provados.
a.10) introdução de um novo facto com o alegado nos arts. 20 e 21.º da contestação
Pretendem as Rés/Recorrentes que este Tribunal insira no elenco dos factos provados o por si alegado nos arts. 20 e 21 da contestação, no sentido de aí fazer constar:
“ O acesso ao CA Online Empresas é feito através do endereço www.creditoagricola.pt.”
A inserção deste facto provado, com inegável e eventual relevância para a decisão a proferir nos presentes autos, encontra-se neste momento prejudicado em face do teor do re-escrito facto 13, que deu por reproduzidos as diversas condições gerais de acesso ao CA Online, das quais consta o facto que as Rés pretende ver nos factos provados- ver condição 1 al. d) e condição 1. al. e) dos documentos 4 e 2, juntos respectivamente com a petição inicial e com a contestação.
a.11) Síntese conclusiva da matéria de facto alterada
Em jeito de conclusão, reponderada toda a prova produzida nos autos o Tribunal entendeu apenas proceder às alterações apreciadas em a.1) a a.10) que aqui se elencam sumariamente:
Ponto 13 da Matéria de facto provada passa a ter a seguinte redacção:
13. À data da celebração do contrato a Autora aceitou as condições gerais de utilização do Serviço CA Online Empresas, apresentadas pelas Rés, consubstanciadas no doc. 4 junto com a petição inicial e que aqui se dão por integralmente reproduzidas, as quais foram posteriormente alteradas pelas Rés, passando para a versão constante do doc. 2 junto com a contestação e que aqui se dão por reproduzidas.
Ponto 37 da matéria de facto provada passa a ter a seguinte redacção:
37. O filho da gerente da Autora, por indicação desta e após sugestão da senhora com quem mantinha conversa telefónica, introduziu na página aberta conforme referido em 26, com a indicação “Crédito Agrícola - “área reservada da “CA Online Empresas”, o referido código.
Ponto 45 da matéria de facto provada passa a ter a seguinte redacção:
45. As transferências referidas em 42 e 43 foram concretizadas no pressuposto das informações referidas em 34., 35, 37, 38 e 39.
Ponto 61 da matéria de facto provada - Eliminado
Ponto 62 da matéria de facto provada passa a ter a seguinte redacção:
62. A gerente da Autora acreditou que as ações solicitadas após entrar na página aberta conforme referido em 26, com a indicação “Crédito Agrícola - área reservada da CA Online – alteração de password –, o estavam a ser pela própria instituição, bem como estava convicta de o contacto telefónico rececionado em simultâneo à mensagem de solicitação de alteração de password era realizado pelas Rés.
Aditar um ponto 71 aos factos provados com o seguinte teor:
71. Em data não concretamente apurada, as rés lançaram um banner de alerta na página de acesso / login ao CA Online, que aparece sempre aquando de cada acesso ao CA Online Empresas, onde se lê que “Os ataques de phishing são cada vez mais recorrentes. O Crédito Agrícola, alerta que NUNCA contacta telefonicamente para cancelar transferências, NEM solicita códigos de acesso aos serviços - são pessoais e intransmissíveis”, estando o mesmo disponível na data em que se concretizaram as duas transferências ora em apreço.
Eliminar a al. E) dos Factos Não provados.
V. Do Direito
Vejamos agora se em face da matéria de facto adquirida e da aqui alterada, a sentença recorrida fez uma incorrecta aplicação do direito aos factos, como defendem as recorrentes.
No que respeita ao direito aplicável, a sentença recorrida discorreu nos seguintes termos:
“Entre a Autora e as Rés foram celebrados contrato de abertura de conta bancária e depósito e contrato de adesão ao sistema multicanal, permitindo a realização de determinadas operações bancárias online.
No que respeita ao depósito bancário, este traduz-se num “(…) depósito em dinheiro, constituído junto de um banqueiro (…). Trata-se de uma operação que surge sempre associada a uma abertura de conta (…)” – ANTÓNIO MENEZES CORDEIRO in “Direito Bancário”, Almedina, 6.ª Edição, p. 622.
Quanto à natureza jurídica do contrato de depósito bancário, a doutrina e jurisprudência têm entendido que o mesmo é um depósito irregular, na aceção do artigo 1205.º do Código Civil, o que significa que lhe são aplicáveis, por força do disposto no artigo 1206.º do mesmo Código, na medida do possível, as regras do mútuo, nomeadamente os artigos 1142.º e 1144.º do mesmo diploma legal – neste sentido, o Acórdão do Supremo Tribunal de Justiça, de 14-12-2016, no processo n.º 1063/12.1TVLSB.L1.S1, disponível em www.dgsi.pt.
Como tal, nos termos do disposto do artigo 1144.º do Código Civil, com tal contrato, o banqueiro adquire a titularidade do dinheiro que lhe é entregue, sendo o cliente um credor.
Assim sendo, o risco do que possa acontecer na conta do cliente recai sobre o banqueiro, a não ser que exista culpa do cliente – ANTÓNIO MENEZES CORDEIRO, ob.cit. p. 623.
Assim, ao confiar ao depositário a guarda do dinheiro, “o depositante aceita transferir para a esfera de domínio daquele o risco sobre a gestão da quantia que lhe transferiu, alheando-se, a partir de então, do seu uso e fruição, mas também da responsabilidade pelo risco do seu extravio, que passa a recair sobre o depositário até ao momento em que a restituição é exigível, e daí que, nesse interregno, a movimentação fraudulenta por terceiro, mormente um seu funcionário, de um depósito bancário, não é oponível ao depositante, independentemente de culpa do depositário nessa movimentação” – Acórdão do Supremo Tribunal de Justiça, de 13-04-2023, no processo n.º 12968/16.0T8LSB.L2.S1, disponível em www.dgsi.pt
Ora, não ilidindo a instituição bancária a presunção de culpa que sobre ela impende, mantém-se a obrigação de restituição a seu cargo, nos termos das disposições conjugadas dos artigos 796.º n.º 1, 799.º n.º 1 e 1144.º, todas do Código Civil – Acórdão do Tribunal da Relação de Lisboa, de 15-09-2016, no processo n.º 680/11.1T2AMD.L1-8, disponível em www.dgsi.pt
A par do contrato de depósito bancário, faz-se alusão à adesão pela Autora ao serviço de homebanking disponibilizado pelas Rés.
Como é sabido, os bancos em geral passaram a conceder aos seus clientes, serviços designados de homebanking, isto é, a permitir aos seus clientes, mediante a aceitação de determinados condicionalismos, a utilizar toda uma panóplia de operações bancárias, online, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o que se reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet.
Estes serviços, também denominados de “banca eletrónica”, de “e-banking”; de “banco internético”, “banca eletrónica”, “banca online”, ou mais vulgarmente conhecidos por “homebanking” proporcionam ganhos de comodidade para o utilizador que não necessita de deslocar-se à instituição bancária e não fica limitado às horas de expediente dos bancos, fornecendo uma resposta rápida e eficiente às necessidades dos clientes do banco, para além de fornecerem ganhos para os bancos, com a redução de despesas e agilização dos movimentos bancários, tem vindo por isso a ter uma grande divulgação, constituindo hoje um serviço que apresenta crescente popularidade.
A utilização destes serviços pelo cliente bancário decorre da celebração dum contrato com o banco, um contrato de homebanking, que se encontra sujeito ao Regime Jurídico dos Serviços de pagamento de da Moeda eletrónica, atualmente regulado pelo DL n.º 91/2018, de 12 de Novembro, que transpôs para a ordem jurídica interna a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de Novembro de 2015, relativa aos serviços de pagamento no mercado interno (segunda Diretiva de Serviços de Pagamento), que procedeu a uma revisão do enquadramento jurídico europeu em matéria de serviços de pagamento. As alterações que a mesma introduz procuram responder aos desafios do ponto de vista regulamentar colocados pela realidade dinâmica associada aos serviços de pagamento, tendo em vista a implantação generalizada dos novos meios de pagamento no mercado, que asseguram o funcionamento de atividades económicas e sociais da maior importância. Também preocupações relacionadas com a proteção e segurança dos consumidores na utilização desses serviços de pagamento se apresentaram como objetivos fundamentais, preservando a escolha do consumidor em melhores condições de segurança, eficácia e eficiência de custos. A segurança dos pagamentos eletrónicos afigura-se como um aspeto fundamental para assegurar a proteção dos utilizadores e a promoção adequada do desenvolvimento do comércio eletrónico em condições concorrenciais.
Para que o cliente tenha acesso à utilização deste instrumento facultado pelos bancos, necessário se torna, pois a celebração de um contrato (um “contrato quadro”) com o banco, em que fiquem acordadas as condições de movimentação da conta online.
O mesmo encontra-se intimamente ligado aos contratos de abertura de conta e ao contrato de depósito bancário, podendo falar-se a este propósito da existência de uma coligação de contratos.
Assim sendo, existe uma ligação entre o contrato de depósito e o contrato de banca eletróncia, que se pode qualificar de funcional, (o contrato de homebanking só faz sentido se existir uma relação negocial subjacente- isto é a existência de fundos á sua disposição que possa movimentar), mas mantém a sua individualidade e autonomia.
O regime previsto nos artigos 100.º e seguintes do Decreto-Lei n.º 91/2018, de 12 de Novembro, aplica-se às microempresas do mesmo modo que aos consumidores, por força do disposto no seu artigo 100.º n.º 1. Sendo certo que a autora é uma microempresa de acordo com a definição constante do artigo 1.º e dos n.ºs 1 e 3 do artigo 2.º do anexo à Recomendação n.º 2003/361/CE, da Comissão, de 6 de Maio, ou seja, emprega menos de 10 pessoas e o volume de negócios anual ou balanço total anual não excede 2 milhões de euros, tal regime será aplicável na presente situação.
Posto isto, prevê-se no artigo 111.º, n.º 1, alínea a), do Decreto Lei n.º 91/2018, que: “1. O prestador de serviços de pagamento que emite um instrumento de pagamento deve: a) Assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior”.
As obrigações do utilizador do serviço encontram-se previstas no artigo 110.º do mesmo diploma legal e traduzem-se: a) na utilização do instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, adotando as medidas razoáveis para preservar a eficácia das credenciais de segurança personalizados; b) na comunicação ao prestador de serviços logo que deles tenha conhecimento, a perda, roubo, apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
Por sua vez, estipula o artigo 113.º do Decreto Lei n.º 91/2018, que:
“1. Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
2. Se a operação de pagamento tiver sido iniciada através de um prestador do serviço de iniciação do pagamento, recai sobre este último o ónus de provar que, no âmbito da sua esfera de competências, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado.
3. Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º.
4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento”.
Em tais casos, em que se assiste a operações não autorizadas pelo utilizador do serviço, nos termos do artigo 114.º, do Decreto Lei n.º 91/2018, o prestador de serviços de pagamento deve reembolsar o seu cliente.
Ora, da conjugação destes normativos legais resulta que o legislador fez recair sobre o banco prestador do serviço:
(i) o risco das falhas e do deficiente funcionamento do sistema (como decorreria também do disposto no artigo 796º do Código Civil);
(ii) o ónus da prova de que a operação de pagamento não foi afetada por avaria técnica ou qualquer outra deficiência e/ou que houve culpa do cliente.
Assim, nos casos em que se assiste a operações não autorizadas pelo utilizador do serviço, resultantes da apropriação abusiva de instrumento de pagamento, com quebra da confidencialidade dos dispositivos de segurança personalizados, urge apurar quem deve assumir a responsabilidade em caso de perecimento de fundos.
No mesmo sentido, prevê-se nos n.ºs 3, 4 e 5 do art.º 115.º do mesmo diploma legal que:
“3. O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º, caso em que não são aplicáveis os limites referidos no n.º 1.
4. Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50.
5 - Se o prestador de serviços de pagamento do ordenante não exigir a autenticação forte do ordenante, este não deve suportar quaisquer perdas relativas a operação de pagamento não autorizada, salvo se tiver agido fraudulentamente”.
Ora, na presente situação, ficou demonstrada a celebração, a 9 de Julho de 2019, dos contratos de abertura de conta e de depósito bancário entre as partes, no âmbito do qual a Autora aderiu ao serviço de homebanking disponibilizado pelas Rés, o CA Online Empresas, pelo preenchimento e assinatura do documento “Proposta de adesão – 1 Utilizador” ficando a gerente da Autora, AA registada como a Utilizadora do mesmo.
No âmbito desse contrato, as Rés registaram as duas operações que resultam provadas, tendo permitido a movimentação da conta da autora no montante de € 30.000,00, repartido por duas transferências bancárias de € 15.000,00 cada uma.
Provou-se, todavia, que a Autora não consentiu nas operações realizadas e que estas foram realizadas sem o seu conhecimento.
Mais se teve por demonstrado que o filho da Autora, por indicação e na presença desta, acedeu a uma página de internet por pesquisa no motor de busca Google com as palavras “caixa agrícola” e abrindo a página que surgiu como resultado, onde introduziu os seus dados de acesso – o n.º de adesão, o código multicanal, a sua password, assim como os códigos OTP que a gerente da Autora recebeu no seu telemóvel.
E que as operações bancárias só puderam ser realizadas com introdução de três posições aleatórias da password e dos códigos OTP de autorização constantes das mensagens recebidas pelo gerente da autora que expressamente identificavam a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autenticação.
As Rés entendem que tal conduta constitui incumprimento das condições contratuais do serviço de adesão ao sistema multicanal e negligência grosseira da Autora na sua utilização, devendo, como tal, suportar as perdas dai resultantes.
Não cremos, contudo, que assim seja. Estas circunstâncias, por si só, não provam que as operações de transferência foram autorizadas pela Autora, que esta última agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações.
Desde logo não se comprovou nenhum facto que demonstre que a Autora atuou de modo fraudulento ou intencional.
As Rés sustentam, em primeira linha, que a partilha dos dados de acesso à área reservada da CA Online Empresas pela gerente da Autora ao seu filho, constitui fundamento para se concluir pela negligência grosseira da Autora na violação dos deveres contratuais. Julgamos, porém, que assim não será. Desde logo, porquanto se deu como provado que toda a atuação do filho da Autora foi meramente material, a pedido e segundo as instruções desta, a pedido e segundo as instruções da Autora que, inclusivamente, se encontrava no mesmo espaço físico aquando do acesso e das operações realizadas.
Na realidade, era a gerente da Autora que ditava toda a atuação do seu filho na presente situação e não parece que se possa afirmar que exista um nexo de causalidade entre a atuação deste e as operações fraudulentas perpetradas por terceiros.
A apropriação das quantias retiradas da conta da Autora não foi efetuada pelo filho da gerente, sendo este pessoa de confiança da mesma, estudante universitário, pelo que naturalmente mais habituado e hábil na utilização de plataformas digitais.
Assim, o facto de a gerente da Autora facultar ao seu filho os códigos de acesso à referida plataforma digital do banco, na sua presença e sob sua direção e instruções, não era, assim, por si só, idónea a comprometer a segurança de tal sistema. Tudo se passou (e passaria) como se fosse a gerente da Autora a aceder à sua conta, não se saindo da esfera de atuação desta.
Não só se afigura, nestes termos, tal conduta como uma atuação gravemente desconforme com a no seu telemóvel (que não se deu como provado que o tenha partilhado) de alguém que se identificou como funcionária das rés, e que lhe forneceu várias informações verídicas constantes dos dados registados na conta da Autora. Mais foi o gerente da autora convencido por essa pessoa que tinha que proceder à alteração da password para aceder à conta e, ainda, executar uma simulação de uma transferência bancária, sendo-lhe assegurado corresponderem a procedimentos normais do banco para verificar a autenticidade dos dados de acesso por questões relacionadas com a garantia da segurança da conta bancária.
Esta atuação não pode ser considerada um comportamento negligente pela surpresa da situação e pela construção que foi feita e que levaria qualquer homem médio a acreditar que estava efetivamente a ser contactado pelo seu banco e que precisava de atuar do modo descrito para garantir a segurança da sua conta bancária.
A surpresa e premência da situação, associada à condução de procedimentos tendentes à proteção da conta bancária, nomeadamente quanto aos valores constantes da mesma, levam também a afastar a negligência grosseira da Autora, desde logo porquanto para ser logrado o convencimento da mesma, a gerente da Autora foi contactada pela pretensa funcionária das Rés, por chamada telefónica, sem ter para o efeito fornecido, previamente, o seu número de telemóvel.
Mais, a pessoa que contactou a gerente da Autora já sabia algumas das informações relativas à Autora e à sua conta, nomeadamente, o número de identificação fiscal, o n.º de conta, o n.º de telemóvel, 3 dos últimos movimentos realizados na conta bancária e o saldo da mesma.
A Autora nega, mas as Rés lograram provar que as transferências só se realizaram depois da introdução pelos terceiros dos códigos OTP enviados por mensagem para o número de telemóvel da gerente da Autora, o que leva a concluir que, pela introdução dos mesmos na referida página, a Autora terá partilhado estes códigos com tais terceiros.
Entende-se, todavia, que a digitação dos códigos OTP na página pela gerente da Autora, por intermédio do seu filho, nas circunstâncias em causa, também não configura uma negligência grosseira ou incumprimento dos deveres de utilizador dos canais digitais. Como se provou, as Rés possuem vários códigos de segurança nos seus canais digitais, pelo menos seis, que são utilizados à vez ou em simultâneo, dependendo da operação específica. Ou seja, julga-se plausível que a gerente da Autora, colocado numa necessidade de agir rapidamente, com os elementos de que dispunha e tendo sido levada a acreditar que se tratavam de simulações de transferências, não tenha atentado no conteúdo das mensagens onde se continham os códigos OTP que estava a introduzir na página em apreço, tendo-se deixado manipular pela pessoa ao telefone.
Conforme já decidiu o Tribunal da Relação de Coimbra, de 15-01-2019, no processo n.º 5600/11.0TBLRA.C1, disponível em www.dgsi.pt: “[a]inda que se tratasse de uma situação de fraude informática, através do denominado “pharming”, não agiria com culpa o cliente que por via dessa fraude levada a efeito por terceiros, na convicção que estava na página online do banco, introduziu numa página falsa, clonada da página do Banco, as suas certificações, pessoais e intransmissíveis, que abusivamente vieram a ser utilizadas no acesso, por terceiros, à conta de que era titular”.
Assim, as circunstâncias da Autora ter acedido a um link, por pesquisa no motor de busca Google, e na página para onde foi direcionada ter introduzido as suas credenciais de acesso e de operação, ter alterado a sua password, por indicação de que a mesma se encontrava expirada, e realizado duas “simulações de transferência bancária”, convicta de que estava a tomar medidas para salvaguardar a segurança da sua conta bancária, não configuram incumprimento contratual da Autora, nem negligência grosseira desta.
“A negligência grosseira, merecedora de reprovação pelo mais elementar senso comum por configurar uma falta indesculpável na omissão dos deveres a que se está obrigado, não se verifica quando a lesada, com a atenção que lhe era exigida e de que era capaz nas circunstâncias do caso, não se pôde opor aos artifícios de complexidade eletrónica que lhe foram colocados por terceiros que se fizeram passar com aparente credibilidade pelos serviços do banco, solicitando a resolução de um problema que efetivamente, em momento anterior e por duas vezes, o banco informara dever ser resolvido” – neste sentido, o Acórdão do Supremo Tribunal de Justiça, de 12-12-2023, no processo n.º 92407/20.5T8LSB.L1.S1, disponível em https://juris.stj.pt/.
Não está, portanto, verificado o incumprimento pela autora das obrigações do utilizador do serviço previstas no artigo 110.º do Decreto Lei n.º 91/2018, de 12 de Novembro.
E não se diga que tendo as Rés enviado duas mensagem à Autora, uma em 21-01-2022, e outra em 25-02-2022, a alertar a existência de emails falsos com links maliciosos ou a existência de links fraudulentos, ainda assim, não se julga ser imputável à Autora a negligência grosseira exigível para a responsabilizar pelas operações efetuadas contra a sua vontade, na medida em que tais mensagens comerciais são comumente ignoradas pela maioria dos cidadãos.
Diga-se que estes factos ocorreram em Novembro de 2022, ou seja, há mais de dois anos e meio atrás, altura em que não eram tão frequentes, nem tão divulgados, os ataques às contas bancárias como o dos autos. Sabendo-se que em dois anos o conhecimento da população em geral acerca destas matérias evoluiu bastante, sempre haverá o tribunal que se colocar na posição de um homem médio à data do sucedido e não nos dias atuais.
Ora, ao não se ter provado que a Autora agiu fraudulentamente, ou que não cumpriu intencionalmente ou com negligência grave a sua obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, recairia sobre as Rés a responsabilidade pelas movimentações fraudulentas das suas contas bancárias, através dos canais digitais, por não estar verificada nenhuma das situações excecionais previstas no artigo 113.º n.º 4, ou no artigo 115.º n.ºs 3, 4 e 5, todos do Decreto Lei n.º 91/2018, de 12 de Novembro.
São as duas Rés responsáveis pelo reembolso, já que o contrato de depósito foi celebrado com a 1.ª Ré mas o contrato de adesão aos canais digitais foi celebrado com a 2.ª Ré, pelo que ambas respondem pelas perdas verificadas, por força do artigo 507.º n.º 2 do Código Civil.
Pelo que, termos do artigo 114.º do Decreto Lei n.º 91/2018, devem as Rés proceder ao reembolso das quantias retiradas indevidamente da conta bancária da Autora, na quantia total de € 30.000,00.”
Não está controvertida a subsunção efectuada pelo Tribunal a quo da situação sub judice ao Regime Jurídico dos Serviços de Pagamento em Moeda Electrónica, aprovado pelo DL 91/2018 (de ora em diante referido como RJSPME), diploma este que transpôs para a ordem jurídica interna a Directiva (EU) 2015/2366 do Parlamento Europeu e do Conselho.
A este propósito diremos que subscrevemos na íntegra a decisão recorrida quanto à relação contratual estabelecida entre Autora e os Réus, quer quanto à abertura de conta bancária, quer quanto ao sistema de homebanking disponibilizado.
Este regime jurídico regula o acesso à actividade das instituições de pagamento e a prestação de serviços de pagamento, bem como o acesso à actividade das instituições de moeda eletrónica e a prestação de serviços de emissão de moeda eletrónica (art. 1.º, n.º 1) e, nos termos do disposto no art. 3.º, n.º 1, é aplicável à actividade das instituições de pagamento com sede em Portugal e das respectivas sucursais, agentes e terceiros aos quais sejam subcontratadas funções operacionais, bem como à prestação de serviços de pagamento em Portugal pelas entidades legalmente habilitadas, nos termos previstos no n.º 3 do referido art. 3.º.
O homebanking é um serviço prestado pelos Bancos Réus através do qual dá ao cliente a possibilidade de efectuar operações bancárias via Internet, nomeadamente, pagamentos e transferências. Portanto, através desse serviço, o Banco transfere para o cliente a execução de actos que anteriormente estavam cometidos aos seus funcionários, dispensando-se a intervenção destes. Tem vantagens para o cliente, ao permitir-lhe realizar operações bancárias, comodamente, em sua casa, nos horários que lhe são mais convenientes. Mas também traz vantagens ao Banco pois o cliente efectua operações bancárias sem intervenção do seu pessoal, com a inerente diminuição de custos de funcionamento.
E exactamente por esta mesma razão, o Banco deve assegurar, em todas as actividades que exerce, elevados níveis de competência técnica, garantindo que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência (art.º 73º do RGICSF aprovado pelo DL 298/92 de 31/12, na redacção do texto consolidado publicado em anexo ao DL 126/2008 de 21/7).
Há diversas formas de intromissão indevida no sistema bancário, em prejuízo dos utilizadores deste. A propósito, explica elucidativamente o AC. da RL de 13-03-2025, que: “i. no phishing, o lesado recebe um e-mail (ou outra mensagem digital, v.g. via SMS, MMS ou WhatsApp) com um link e, ao clicar neste, é direccionado para um site falso; ii. no typosquatting, espécie de cybersquatting, o lesado acede por lapso seu ao site falso, seja através de um motor de busca, seja pela errada digitação do endereço na respetiva barra; iii. no pharming o utilizador digita o endereço certo, ou escolhe o site certo, mas é redirecionado para o falso porque o seu cache de DNS foi previamente viciado por um vírus ou porque (caso muito raro) o próprio servidor de DNS foi atacado.”.
Sendo o Homebanking um serviço prestado pelo Banco ao Cliente, é àquele que cabe diligenciar pela segurança do mesmo e que o cliente nele possa confiar. De outra banda, o cliente deverá utilizar esse serviço seguindo as regras de segurança que lhe tenham sido comunicadas pelo Banco e aquelas que, segundo um padrão de normalidade o comum utilizador sabe que devem ser observadas, de que é exemplo paradigmático a não divulgação de códigos.
Com efeito, com a proliferação deste tipo de contratos surgiu a necessidade de regulamentar tal actividade, o que, entre nós, se consagrou através do DL 317/2009, de 30 de Outubro (transpondo Directiva Comunitária), diploma que foi revogado e substituído pelo DL 91/2018, de 12/11, de acordo com o qual se estipulam obrigações quer para o utilizador dos serviços de pagamento quer para o seu prestador.
Assim, para o utilizador assume, designadamente, especial importância a obrigação de utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização; comunicar, atempadamente, a perda, roubo ou apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento e impondo-se-lhe que tome todas as medidas razoáveis, para preservar a eficácia dos dispositivos de segurança personalizados do instrumento de pagamento.
As disposições legais que aqui, para o presente caso, relevam são, exactamente, as que estabelecem as obrigações do utilizador do serviço de pagamento (art. 110.º) e do prestador de serviços de pagamento (art. 111.º), bem como as que consagram a responsabilidade do prestador de serviços em caso de operação de pagamento não autorizada (art. 114.º) e a responsabilidade do ordenante em caso de operação de pagamento não autorizada (art. 115.º).
Ao prestador de serviços - conforme art. 68.º - impõe-se que assegure que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador. Ter-se-á ainda que ter em conta o disposto no artigo 70.º, n.º 2, de acordo com o qual, se um utilizador negar a regularidade de uma transferência executada, não é suficiente para provar que a mesma foi autorizada pelo ordenante, que este agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, alguma das obrigações que sobre si impendem (actualmente - art.º 113º, nº 3 DL 91/2018) que tem a seguinte redacção: - “Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º” acrescentando o nº 4 da mesma disposição legal: - “Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.”).
A questão coloca-se não quanto à caracterização do contrato, mas sim quanto à sua utilização e imputação dos riscos inerentes à utilização do serviço de homebanking.
Analisando o caso concreto o Tribunal recorrido discorre da seguinte forma:
“A apropriação das quantias retiradas da conta da Autora não foi efetuada pelo filho da gerente, sendo este pessoa de confiança da mesma, estudante universitário, pelo que naturalmente mais habituado e hábil na utilização de plataformas digitais.
Assim, o facto de a gerente da Autora facultar ao seu filho os códigos de acesso à referida plataforma digital do banco, na sua presença e sob sua direção e instruções, não era, assim, por si só, idónea a comprometer a segurança de tal sistema. Tudo se passou (e passaria) como se fosse a gerente da Autora a aceder à sua conta, não se saindo da esfera de atuação desta.
Não só se afigura, nestes termos, tal conduta como uma atuação gravemente desconforme com a no seu telemóvel (que não se deu como provado que o tenha partilhado) de alguém que se identificou como funcionária das rés, e que lhe forneceu várias informações verídicas constantes dos dados registados na conta da Autora. Mais foi o gerente da autora convencido por essa pessoa que tinha que proceder à alteração da password para aceder à conta e, ainda, executar uma simulação de uma transferência bancária, sendo-lhe assegurado corresponderem a procedimentos normais do banco para verificar a autenticidade dos dados de acesso por questões relacionadas com a garantia da segurança da conta bancária.
Esta atuação não pode ser considerada um comportamento negligente pela surpresa da situação e pela construção que foi feita e que levaria qualquer homem médio a acreditar que estava efetivamente a ser contactado pelo seu banco e que precisava de atuar do modo descrito para garantir a segurança da sua conta bancária.
A surpresa e premência da situação, associada à condução de procedimentos tendentes à proteção da conta bancária, nomeadamente quanto aos valores constantes da mesma, levam também a afastar a negligência grosseira da Autora, desde logo porquanto para ser logrado o convencimento da mesma, a gerente da Autora foi contactada pela pretensa funcionária das Rés, por chamada telefónica, sem ter para o efeito fornecido, previamente, o seu número de telemóvel.
Mais, a pessoa que contactou a gerente da Autora já sabia algumas das informações relativas à Autora e à sua conta, nomeadamente, o número de identificação fiscal, o n.º de conta, o n.º de telemóvel, 3 dos últimos movimentos realizados na conta bancária e o saldo da mesma.
A Autora nega, mas as Rés lograram provar que as transferências só se realizaram depois da introdução pelos terceiros dos códigos OTP enviados por mensagem para o número de telemóvel da gerente da Autora, o que leva a concluir que, pela introdução dos mesmos na referida página, a Autora terá partilhado estes códigos com tais terceiros.
Entende-se, todavia, que a digitação dos códigos OTP na página pela gerente da Autora, por intermédio do seu filho, nas circunstâncias em causa, também não configura uma negligência grosseira ou incumprimento dos deveres de utilizador dos canais digitais. Como se provou, as Rés possuem vários códigos de segurança nos seus canais digitais, pelo menos seis, que são utilizados à vez ou em simultâneo, dependendo da operação específica. Ou seja, julga-se plausível que a gerente da Autora, colocado numa necessidade de agir rapidamente, com os elementos de que dispunha e tendo sido levada a acreditar que se tratavam de simulações de transferências, não tenha atentado no conteúdo das mensagens onde se continham os códigos OTP que estava a introduzir na página em apreço, tendo-se deixado manipular pela pessoa ao telefone. (…)”
“(…) Assim, as circunstâncias da Autora ter acedido a um link, por pesquisa no motor de busca Google, e na página para onde foi direcionada ter introduzido as suas credenciais de acesso e de operação, ter alterado a sua password, por indicação de que a mesma se encontrava expirada, e realizado duas “simulações de transferência bancária”, convicta de que estava a tomar medidas para salvaguardar a segurança da sua conta bancária, não configuram incumprimento contratual da Autora, nem negligência grosseira desta.”
Referem as Rés que o Tribunal não analisou a questão da autorização das operações e olvidou que as operações foram autorizadas nos termos contratuais – i.e., acordadas pelas partes, pelo que se consideram autorizadas, nos termos e para os efeitos do disposto no artigo 103.º, n.ºs 1 e 3 do RJSPME. Ao que acresce que para além de tais credencias, foram, também e previamente, introduzidos no CA Online Empresas o número de adesão, a chave multicanal e a OTP de acesso à adesão titulada pela Autora, recebida no telemóvel associado à adesão, sem o que não seria possível (i) o início de sessão no CA Online Empresas.
O Tribunal a quo analisou, embora de forma fugaz e perfunctória, a autorização das operações, e conclui que as mesmas não tinham sido autorizadas.
Vejamos se, a este respeito, assiste razão ao juízo expendido na decisão recorrida:
Em primeiro lugar cumpre referir que, atenta a matéria de facto provada, forçoso se torna concluir que, in casu, ocorreu uma situação de typosquatting, em que se regista um nome de domínio que corresponde a um provável erro de digitação de um outro nome de domínio, pertencente a uma entidade conhecida, com a finalidade de capturar tráfego destinado ao site da dita entidade; para consumar acções de apropriação indevida de dados bancários alheios, o typosquatter, além de registar o domínio, cria um site similar ao do banco pelo qual se pretende fazer passar e ao qual o utilizador incauto vai aceder.
Nos termos do art. 103.º n.º1 a 5 do RJSPME, «uma operação de pagamento ou um conjunto de operações de pagamento só se consideram autorizados se o ordenante consentir na sua execução», sendo certo que «o consentimento deve ser dado previamente à execução da operação», «na forma acordada entre o ordenante e o respetivo prestador do serviço de pagamento». Na falta desse consentimento, «considera-se que a operação de pagamento não foi autorizada».
Por outro lado, prevê o art. 104.º, do mesmo diploma, que, caso o ordenante aceda em linha à sua conta de pagamento, inicie uma operação de pagamento electrónico, ou realize uma acção, através de um canal remoto, que possa envolver um risco de fraude no pagamento ou de outros abusos, o prestador de serviço de pagamento deverá aplicar a autenticação forte do cliente, devendo adoptar medidas de segurança suficientes para proteger a confidencialidade e a integridade das credenciais de segurança personalizadas do utilizador.
Para além destes requisitos – necessidade de autorização do ordenante e autenticação forte –, e considerados os riscos de utilização de meios de pagamento electrónicos, o RJSPME estabelece especiais obrigações do utilizador dos serviços e do respectivo prestador, repartindo depois tais riscos entre ambos.
De facto, conforme refere Raquel Sofia Ribeiro de Lima, A responsabilidade pela utilização abusiva on-line de instrumentos de pagamento electrónico na jurisprudência portuguesa, in Revista Electrónica de Direito, Outubro de 2016, nº3, FDUP, pág. 36, «no uso electrónico do instrumento de pagamento, encontramo-nos no âmbito de sistemas informáticos que permitem concretizar as operações de pagamento, mas comportam naturalmente riscos. A segurança do sistema estará dependente da actuação diligente de todos os seus utilizadores e intervenientes. Assim, há-de fazer-se uma repartição dos prejuízos entre as partes, tendo em consideração a actuação de cada uma delas no cumprimento dos deveres que lhe são impostos».
Por isso mesmo, de acordo com o art. 110.º, daquele diploma:
«1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objectivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.
E, por outro lado, prevê o art. 111.º, n.º 1, al. a), também do RJSPME, que «o prestador de serviços de pagamento que emite um instrumento de pagamento deve assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior».
Quanto à prova da existência, ou não, de autorização ou de autenticação, estipula o art. 113.º do RJSPME, que, caso o utilizador negue ter autorizado a operação executada, incumbe ao prestador do serviço fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afectada por avaria técnica ou qualquer outra deficiência do serviço prestado. No entanto, a utilização do instrumento de pagamento registada pelo prestador de serviços não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais das obrigações previstas no art. 110.º.
Nessas situações, o prestador de serviços deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento – é isso que resulta da conjugação dos n.ºs 3 e 4 do art. 113.º.
Conforme refere Patrícia Guerra, (in “A realização de operações de pagamento não autorizadas e a tutela do utilizador de serviços de pagamento em face do Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica”, Revista Electrónica de Direito, Junho de 2016, nº2, pág. 26), «em face do carácter diabólico que assumiria a demonstração por parte do utilizador de serviços de pagamento de um facto negativo – a não prestação de consentimento em dada operação de pagamento – a lei inverte o ónus da prova, em caso de operação de pagamento não autorizada. Esta inversão é ainda justificada pelo facto de os prestadores de serviços de pagamento estarem vinculados a observar um grau de competência técnica acrescido, que se reflecte na utilização de sistemas informáticos sofisticados e robustos e de técnicas de registo detalhadas, que lhes permitem obter elementos sobre a operação de pagamento reclamada».
Em conformidade com o supra exposto, podemos deparar-nos com duas situações:
- em caso de operação de pagamento não autorizada, e respeitado o disposto no art. 112.º, o prestador de serviços deve reembolsar imediatamente o ordenante do montante dessa operação, após ter tido conhecimento da mesma, a não ser que tenha motivos razoáveis para suspeitar de actuação fraudulenta do ordenante e desde que comunique esses motivos, por escrito, às autoridades judiciárias – art. 114.º do RJSPME;
- caso as perdas resultantes de operações de pagamento não autorizadas forem devidas a actuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º, será o ordenante a suportar todas as perdas.
Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento. Porém, se o prestador de serviços não exigir a autenticação forte do ordenante, este não deve suportar quaisquer perdas relativas a operação de pagamento não autorizada, salvo se tiver agido fraudulentamente.
Transportando o regime supra traçado para o caso sub judice o que temos?
24. Em 24 de novembro de 2022, pelas 10h30m, a gerente da Autora, solicitou ao seu filho BB, que, na sua presença, acedesse ao serviço “CA Online Empresas”, para efetuar transferência em nome da Autora
25. Tendo este realizado uma pesquisa no motor de busca Google com as palavras “caixa agrícola” e abrindo a página que surgiu como primeiro resultado.
26. Após introduzir os dados de acesso nessa página, surge uma mensagem que indicava a necessidade de proceder à alteração da sua password, por a mesma não ser alterada há mais de 90 dias.
27. Bloqueando a página qualquer outra ação enquanto não se procedesse à mencionada alteração da password.
28. A gerente da Autora, apesar de tal nunca ter sucedido, solicitou ao seu filho que procedesse à alteração da referida password, de acordo com as instruções que lhe ia transmitindo.
29. Em simultâneo a tal operação de alteração da password, a gerente da Autora recebeu, no seu telemóvel, uma chamada telefónica foi realizada por uma senhora, que se identificou como sendo funcionária do Banco Caixa de Crédito Agrícola Mútuo.
30. Tendo sido a mesma atendida pelo filho da gerente da Autora, a pedido da mãe, a senhora ao telefone questionou se estava a falar com a Sra. AA, sendo informada que se tratava do filho da mesma.
31. Aquela senhora informou o filho da gerente da Autora de que iria proceder a uma confirmação de dados relativos à conta de que a Autora era titular, tendo enunciado a identificação da titular da conta, bem como, o número da conta, o montante existente na conta bancária em causa, e últimos movimentos.
32. Informou, ainda, que verificou que estaria a ser alterada a password de acesso ao serviço “CA Online Empresas” da Autora, e que estaria a ligar nessa sequência, pelo que inquiriu o filho da gerente da Autora se o antivírus do computador estava ativo e se a nova password tinha 8 dígitos, o que foi afirmativamente respondido por este.
33. O filho da gerente da Autora, perante a indicação que lhe fora dado pela senhora ao telefone e por da sua mãe, o Sr. BB, clicou no botão que permitia validar a nova password.
34. Depois desse clique, surge no ecrã a seguinte informação: “solicitamos uma simulação de transferência”, tendo o Sr. BB, a pedido da sua mãe (gerente da Autora), questionado a senhora ao telefone acerca dessa mensagem que havia surgido.
35. Ao que esta respondeu, tratar-se de procedimentos normais do banco para verificar a autenticidade dos dados de acesso por questões relacionadas com a garantia da segurança da conta bancária, e que, por se tratar de mera simulação não era necessário inserir nenhum número de conta de destino.
36. A gerente da Autora recebeu, no seu telemóvel, SMS proveniente da Crédito Agrícola (do mesmo canal de mensagens pelo qual habitualmente recebia as mensagens da Caixa de Crédito Agrícola) com um código.
37. O filho da gerente da Autora, por indicação desta e após sugestão da senhora com quem mantinha conversa telefónica, introduziu na área reservada da “CA Online Empresas” da Autora o referido código.
38. Depois de introduzir o mencionado código, surge mensagem de “erro”, que evidenciava que o código havia sido mal introduzido, tendo de imediato, a gerente da Autora recebido outro código no seu telemóvel, que instruiu o seu filho para inserir, conforme as indicações que lhe eram dadas via telefónica pela senhora com quem mantinha conversa.
39. Em seguida, surge no ecrã um símbolo verde de “visto”, informando que o procedimento estava concluído.
40. A senhora ao telefone transmitiu seguidamente que, num horizonte de 01:30h não poderia aceder à conta de que a Autora era titular para que a operação de alteração de dados se mostrasse concluída.
41. Por volta das 12h00 desse mesmo dia 24 de Novembro de 2022, quando a gerente da Autora volta a aceder à “CA Online” constata que haviam sido realizadas duas operações.
42. Uma transferência, no valor de € 15.000,00 a favor de CC, IBAN n.º ...
43. Uma transferência, no valor de € 15.000,00 a favor de II, IBAN n.º ....
45. As transferências referidas em 42 e 43 foram concretizadas no pressuposto das informações referidas em 34., 35, 37, 38 e 39.
Tendo em consideração que é apenas o banco que possui os mecanismos necessários para assegurar a operacionalidade do complexo sistema informático que utiliza e a regularidade do seu funcionamento – garantindo igualmente a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento –, é natural que sobre ele incida o ónus de provar que as ordens de pagamento dadas pelo cliente foram devidamente autorizadas através da utilização efectiva dos mecanismos de autenticação disponibilizados, bem como foram corretamente registadas e contabilizadas, e que a sua execução foi isenta de qualquer avaria técnica ou devido a deficiência do serviço prestado pelo prestador de serviços de pagamento. Ou, em alternativa, o ónus de provar a ocorrência de comportamento negligente, gravemente negligente ou doloso do utilizador (art.º 70.ºdo RJSPME).
Não subsistem dúvidas, face aos factos provados, que o acesso à conta da Autora foi efectuado por terceiros, através do serviço de homebanking contratado por aquela com as Rés.
Estes terceiros, por meio de fraude informática e enganando a Autora, através da criação de uma página em tudo semelhante à das Rés, lograram aceder on line à sua conta e executar as operações de transferência. Atente-se ainda que resultou provado que a forma como foi efectuada a transferência não se deveu a avaria técnica ou qualquer outra deficiência do serviço prestado pela 2.ª Ré - conforme resulta do facto provado 69 que “Não existiu qualquer avaria técnica ou deficiência do CA Online”.
Resultou provado, no facto 70, que “As duas operações de pagamento foram realizadas através da introdução de três posições aleatórias da password e das OTP de autorização constantes das mensagens recebidas pela gerente da Autora que expressamente identificavam a conta a debitar, a conta a creditar e o montante a transferir, para além do respetivo código de autenticação”. Ou seja as operações foram devidamente registadas e contabilizadas.
A acrescer igualmente se provou que em página que aparentava ser a do serviço CA Online, a gerente da Autora introduziu o numero de adesão e a chave multicanal para aceder à sua conta pessoal e que, após entrar na área reservada, surgiu uma mensagem que indicava a necessidade de alteração da password, por não ser alterada há mais de 90 dias; apesar de nunca tal ter sucedido, mas por estar convicta que se encontrava na página oficial do serviço CA Online, a gerente da Autora, procedeu à alteração solicitada.
Ou seja, a legal representante da Recorrida, depois de ter facultado a terceiros os elementos confidenciais que são o número de adesão de utilizador, a chave multicanal de utilizador e a password do utilizador, recebeu das Recorrentes, em cumprimento do derradeiro passo a dar no contratado sistema de autenticação forte (explicitados nas diversas alíneas da cláusula 1.ª, n.º 4, do documento n.º 4 anexado à petição inicial), as SMS’s (remetidas para o número de telemóvel associado à adesão ao CA Online empresas) com as OTP de autorização de transferências bancárias (a este propósito, provou-se que após a introdução do número de adesão e da chave multicanal no CA Online, tal como após ser ordenada uma transferência bancária, o sistema do Crédito Agrícola remete uma mensagem encriptada para a operadora que, consequentemente, remete uma mensagem encriptada com a OTP respectiva para o telemóvel associado à adesão do CA Online indicado na proposta de adesão).
Tudo isto sucedeu porque a Autora estava convicta que se encontrava na página correspondente à das Rés. Mas não foi a Autora quem efectuou a operação na página das Rés. Ela limitou-se, a inserir dados pessoais e intransmissíveis – que estavam a ser transmitidos para terceiros, sem que ela o soubesse – na pressuposição de que estava apenas a alterar a sua palavra passe na página das Rés.
Assim, não obstante a mesma ter sido efectuada com as credenciais de acesso da Autora e com a utilização do sistema de autenticação forte do cliente, tratou-se de uma operação de pagamento não autorizada.
A prova, efectuada pelo Banco, de que a operação de pagamento foi autenticada, registada e contabilizada não prova, por si só, que a operação de pagamento tenha sido autorizada pelo ordenante – neste sentido ver Ac. R.P. de 12-10-2023 onde se refere “Com efeito (tal como se refere a sentença recorrida), do disposto nos n.os 1, 3 e 4 do art. 113.º do RJSPME resulta que a prova efetuada pelo banco de que a operação de pagamento foi autenticada, devidamente registada e contabilizada, não prova, por si só, que a operação de pagamento foi autorizada pelo ordenante (nem que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º), incumbindo ao banco réu (prestador de serviços) fazer prova da existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.
Da leitura conjugada das disposições legais supra transcritas decorre, em síntese, que a entidade bancária prestador de serviços de pagamento, no caso de realização de operações de pagamento não autorizadas sobre a conta do cliente através da utilização de serviço de homebanking, com recurso a fraude informática e/ou burla, apenas vê afastada a sua responsabilidade pelos danos sofridos pelo utilizador de serviços de pagamento se alegar e provar que o dano em causa se deveu a atuação dolosa ou negligência grosseira do utilizador do serviço.”
As modalidades de fraude informática caracterizam-se pela introdução de uma pessoa não autorizada numa rede informática e consequente movimentação de fundos das contas bancárias dos clientes para contas de terceiros. O utilizador do serviço é enganado sendo direccionado para uma página forjada, sempre que digite o site do seu banco. (neste sentido Acórdão desta Relação datado de 13/10/2022, proc. nº 344/21.8T8AGH.L1-2, in www.dgsi.pt).
A autorização ou não da operação tem de ser analisada em face do comportamento de ambas as partes no seu todo, contextualizado no tempo e modo como ocorreram.
Não podemos desconsiderar que a chamada para o telefone da Autora surge no contexto de digitação no motor de busca do google da denominação da Ré. Não deixa de ser assustadoramente expressiva a circunstância de terceiros terem acesso a dados da Autora que só a Ré deveria ter, como é o caso, inclusive, do seu saldo bancário.
Esta circunstância fez com que a Autora, confiasse no site e no contacto telefónico que estava a receber e o tivesse como fidedigno. E foi o pedido de alteração da password – com contornos de aparência que não suscitava nenhuma dúvida – que determinou que Autora introduzisse os dados no site graficamente semelhante ao dos Bancos Réus e, acreditando na veracidade do mesmo, tenha seguido os passos ali referidos. Nesta concreta afirmação concorrem os factos provados.
Não podemos, por isso dizer que a operação autorizada fosse da autoria da Autora – apenas e tão somente porque a mesma foi autenticada, registada e contabilizada -, por forma a deste modo, responsabilizá-la exclusivamente pela mesma. É à Ré que incumbe combater deficiências fraudulentas relacionadas com o serviço de pagamento por si prestado, que originam situações como a dos autos.
O que são ou não operações autorizadas é definido pela lei, muito concretamente pelo supra referido art. 113.º do RJSPME, sendo certo que o caso dos autos preenche o enquadramento de operação autorizada na medida em que:
i. foi Autenticada,
ii. foi devidamente registada,
iii. foi Contabilizada,
iv. não foi afetada por avaria técnica,
v. nem foi afetada por qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
Pressupõe por isso um funcionamento regular e aceitável do sistema de pagamento, como um acto de vontade do seu utilizador, o que não se verifica numa situação como a dos autos.
Considerando a operação como não autorizada, nos termos do n.º 3 do art. 113.º do RJSPME, as Rés apenas se podem eximir à responsabilidade provando que a Autora não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no art. 110.º.
O nó górdio está assim na qualificação da conduta da Autora que terá contribuído para a execução de duas transferências de € 15 000,00 da sua conta bancária, com culpa leve ou culpa grave (negligência grosseira).
Vejamos então se se pode imputar à Autora negligência grosseira, no incumprimento doas suas obrigações, uma vez que a fraude ou conduta intencional estão fora de equação no objecto do litígio.
A mera culpa ou negligência traduz-se na omissão da diligência exigível. Há um juízo de censura inerente à conduta negligente: «O agente devia ter usado uma diligência que não empregou. Devia ter previsto o resultado ilícito, a fim de o evitar, e nem sequer o previu; ou se o previu, não fez o necessário para o evitar, não usou das adequadas cautelas para que ele não se produzisse.» – Inocêncio Galvão Telles, Direito das Obrigações, 7.ª Edição, Coimbra Editora, pág. 350.
Por seu lado, e no contra ponto, a negligência grosseira constitui uma negligência temerária, qualificada, em que a culpa é agravada pelo elevado teor de imprevisão ou de falta de cuidados elementares, nas circunstâncias concretas, correspondendo ao erro imperdoável, à desatenção inexplicável e à incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas pouco diligentes.
Tem vindo a ser entendido de forma pacífica pela nossa jurisprudência e também pela doutrina que o conceito de negligência grosseira a que alude o art.º 115.º n.º 4 do RJSPME deve ser equiparado ao conceito de culpa grave no Direito Civil, podendo recorrer-se ao disposto no art.º 487.º n.º 2 do C. Civil, o qual estabelece que a culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso – neste sentido ver Ac. da R.L. de 05-11-2023, supra citado, e ainda Ac. da R.L. de 13-01-2026 e Ac. R.L. de 15-01-2026.
A este respeito defendeu a sentença recorrida que:
“As Rés entendem que tal conduta constitui incumprimento das condições contratuais do serviço de adesão ao sistema multicanal e negligência grosseira da Autora na sua utilização, devendo, como tal, suportar as perdas dai resultantes.
Não cremos, contudo, que assim seja. Estas circunstâncias, por si só, não provam que as operações de transferência foram autorizadas pela Autora, que esta última agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das suas obrigações.
Desde logo não se comprovou nenhum facto que demonstre que a Autora atuou de modo fraudulento ou intencional.
As Rés sustentam, em primeira linha, que a partilha dos dados de acesso à área reservada da CA Online Empresas pela gerente da Autora ao seu filho, constitui fundamento para se concluir pela negligência grosseira da Autora na violação dos deveres contratuais. Julgamos, porém, que assim não será. Desde logo, porquanto se deu como provado que toda a atuação do filho da Autora foi meramente material, a pedido e segundo as instruções desta, a pedido e segundo as instruções da Autora que, inclusivamente, se encontrava no mesmo espaço físico aquando do acesso e das operações realizadas.
(…)
A demais atuação da Autora, por intermédio do filho da sua gerente, também não pode ser entendida por negligência grave ou grosseira.
A gerente da Autora, por intermédio do seu filho, pesquisou no motor de busca Google a página das Rés, tendo aberto o primeiro resultado devolvido pelo mesmo e entrado numa página com a configuração em tudo igual à página das Rés, tendo-lhe sido requerida a alteração da password após ter introduzido os códigos de acesso à área reservada da Autora. Imediatamente recebeu uma chamada telefónica no seu telemóvel (que não se deu como provado que o tenha partilhado) de alguém que se identificou como funcionária das rés, e que lhe forneceu várias informações verídicas constantes dos dados registados na conta da Autora. Mais foi o gerente da autora convencido por essa pessoa que tinha que proceder à alteração da password para aceder à conta e, ainda, executar uma simulação de uma transferência bancária, sendo-lhe assegurado corresponderem a procedimentos normais do banco para verificar a autenticidade dos dados de acesso por questões relacionadas com a garantia da segurança da conta bancária.
Esta atuação não pode ser considerada um comportamento negligente pela surpresa da situação e pela construção que foi feita e que levaria qualquer homem médio a acreditar que estava efetivamente a ser contactado pelo seu banco e que precisava de atuar do modo descrito para garantir a segurança da sua conta bancária.
A surpresa e premência da situação, associada à condução de procedimentos tendentes à proteção da conta bancária, nomeadamente quanto aos valores constantes da mesma, levam também a afastar a negligência grosseira da Autora, desde logo porquanto para ser logrado o convencimento da mesma, a gerente da Autora foi contactada pela pretensa funcionária das Rés, por chamada telefónica, sem ter para o efeito fornecido, previamente, o seu número de telemóvel.
Mais, a pessoa que contactou a gerente da Autora já sabia algumas das informações relativas à Autora e à sua conta, nomeadamente, o número de identificação fiscal, o n.º de conta, o n.º de telemóvel, 3 dos últimos movimentos realizados na conta bancária e o saldo da mesma.
(…)
Assim, as circunstâncias da Autora ter acedido a um link, por pesquisa no motor de busca Google, e na página para onde foi direcionada ter introduzido as suas credenciais de acesso e de operação, ter alterado a sua password, por indicação de que a mesma se encontrava expirada, e realizado duas “simulações de transferência bancária”, convicta de que estava a tomar medidas para salvaguardar a segurança da sua conta bancária, não configuram incumprimento contratual da Autora, nem negligência grosseira desta.(…)”
O acesso a uma pagina através da pesquisa google, e com uma configuração idêntica à das Rés, e a digitação no mesmo das suas credenciais de acesso não podem, a nosso ver, ser consideradas como desatenção indesculpável, uma vez que se provou que a. estava convencida de tratar-se de página da R. - e não existia qualquer circunstância até então que a pudesse ter alertado para a sua falta de fidedignidade.
Para o Banco demonstrar, neste primeiro momento, que a Autora actuou sem o mínimo de diligência, sem o mínimo cuidado, de forma incauta, teria que ter alegado e demonstrado que a página que esta abriu, e onde veio a introduzir as credenciais de acesso, não era passível de ser confundida com o endereço e site do banco, pois só com tais elementos poderia ser possível formular um juízo sobre uma falta de atenção crassa e indesculpável da Autora.
O mesmo teremos de afirmar relativamente ao seu comportamento perante o telefonema que recebeu de terceiros, fazendo-se passar pela Ré, tanto mais que esse terceiro conhecia os seus dados pessoais e o saldo da sua conta. É certo que, também nesse caso, a chamada foi feita a partir de número que não vem identificado, mas que o interlocutor se apresentou como funcionário das Rés, não tendo a., no momento em que atendeu a chamada, razões para desconfiar de que o seu interlocutor nada tinha a ver com as mesmas.
A questão coloca-se assim, a nosso ver, apenas na introdução dos Códigos fornecidos por SMS, para uma operação de pagamento, identificando o seu valor e conta de destino da transferência.
As mensagens com a OTP de autorização mencionadas continham a conta bancária da qual é debitado o valor, a conta bancária em que será creditado o valor no caso de introdução da OTP e o valor que está a ser transferido. É isso mesmo que resulta do facto 68: “Da mensagem com as OTP de autorização resulta inequivocamente a conta bancária da qual é debitado o valor, a conta bancária em que será creditado o valor no caso de introdução do código de autorização e o valor que está a ser transferido.”
Tendo lido as mensagens e tendo verificado que as mesmas diziam coisa distinta daquilo que pretendia (a mensagem dizia autorizar um pagamento), é compreensível que a Autora ainda assim tivesse dado seguimento?
Poderíamos ser tentados a afirmar ser totalmente incompreensível, do ponto de vista de uma pessoa minimamente informada, perspicaz, cuidadosa e diligente, ainda assim fornecer esse código, ao invés de ligar de imediato para a linha de apoio das Rés…Mas não nos podemos esquecer que todo este encadeado de passos se deu quando a Autora estava em linha com as Rés! A análise do comportamento da Autora terá de levar em consideração o contexto em que o mesmo teve lugar.
Podemos por isso, e sem dúvida, afirmar um comportamento negligente da Autora. Mas, a nosso ver, já não podemos – atentos os contornos da situação – classificar essa negligência como grosseira.
A este respeito, o artigo 115.º, n.ºs 3, 4 e 5, do Decreto Lei n.º 91/2018, prevê que «3 - O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º, caso em que não são aplicáveis os limites referidos no n.º 1.
4 - Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50. (…)
No caso dos autos, resultou demonstrado a celebração do contrato de depósito bancário entre as partes, no âmbito do qual foi contratualizado o serviço de utilização de canais digitais.
No âmbito desse contrato, as rés registaram as duas operações que resultam provadas, tendo permitido a movimentação da conta da autora nos montantes de €15 000,00 cada uma.
Provou-se, todavia, que a autora não consentiu nas operações realizadas e que estas foram realizadas sem o seu consentimento.
E, face às considerações tecidas supra, somos do entendimento que não se pode qualificar a actuação da Autora como sendo de negligência grosseira.
Pelo que se afigura correcta a condenação das Rés, tanto no que respeita ao montante de € 30 000,00, como no que respeita aos juros.
O agravamento dos juros assenta no art. 114.º, n.º 10, e no pressuposto de estarmos perante operações não autorizadas.
Dispõe o n.º 10 do art. 114.º que: 10 - Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.”
Ora, nada nos autos aponta com razoabilidade para suspeita de fraude e houve comunicação à autoridade judiciária com apresentação de queixa. Pelo que se verificam os pressupostos de aplicação do n.º 10 do art. 114.º, e consequente agravamento da taxa de juro percentual.
Assim, em face do exposto, e pelos motivos expostos, entendemos ser de confirmar o juízo do Tribunal a quo e a respectiva decisão proferida quanto à responsabilidade das Rés, nos termos previstos no art. 114.º do RJSPME, improcedendo o recurso.
*
Tendo as Rés decaído são as mesmas responsáveis pelas custas – artigo 527º nº 1 e 2 do Código de Processo Civil.
VI. Decisão
Pelo exposto, os Juízes da 6.ª Secção da Relação de Lisboa acordam em julgar totalmente improcedente a presente apelação e, consequentemente, manter a decisão recorrida.
Custas da apelação pelos recorrentes- art. 527.º do CPC
Notifique e Registe.
*
Lisboa, 26 de Março de 2025
Maria Teresa Mascarenhas Garcia
Cláudia Barata
Isabel Maria C. Teixeira
____________________________________________
1. alterado em sede de apreciação da impugnação da matéria de facto.
2. alterado em sede de apreciação da impugnação da matéria de facto.
3. alterado em sede de apreciação da impugnação da matéria de facto.
4. Eliminado em sede de apreciação da impugnação da matéria de facto
5. Alterado em sede de apreciação da impugnação da matéria de facto.
6. Alterado em sede de apreciação da impugnação da matéria de facto
7. Aditado em sede de apreciação da impugnação da matéria de facto. |
