| Decisão Texto Integral: | Acordam os Juízes na 7ª Secção do Tribunal da Relação de Lisboa
RELATÓRIO
1 Como fundamento dos seus pedidos de condenação da ré B no pagamento das quantias de 32.044€, acrescida de juros à taxa de 14% desde 21.10.2019, a título de danos patrimoniais e de 15.000€, acrescida de juros à taxa legal desde a citação até integral pagamento, o autor A alegou ser titular de duas contas de depósito bancário na ré, tendo aderido ao serviço de homebanking. Em 17.10.2019 as suas contas foram alvo de diversos movimentos a débito que não foram ordenados nem autorizados pelo autor, totalizando o valor de 32 044€. O autor não facultou a terceiros a sua password nem efetuou qualquer validação das mesmas. O autor havia recebido, em 12.10.2019 um SMS acerca de um alerta de segurança do Montepio contendo um link, ao qual acedeu. A ré violou as suas obrigações por ter permitido um débito de valor superior ao máximo diário permitido por homebanking e não podia ter deixado de detetar a sequência de movimentos anormais, atento o perfil de cliente do autor, que deveria ter impedido. Que, por força do sucedido, o autor que se estava a preparar para o exame de especialidade médica, teve um resultado baixo que prejudicou a sua carreira enquanto médico.
2 A ré contestou impugnando os factos alegados pelo autor. Alegou que ao aderir ao homebanking, o autor recebeu códigos de acesso/credenciais de utilização que são pessoais e intransmissíveis. Que o autor carregou no link que recebeu por SMS e forneceu informação sua, além de que tinha gravada no seu telemóvel uma fotografia do seu cartão matriz, elementos que, conjugados, poderiam permitir a terceiros efetuar movimentações das contas do autor. Que todas as operações a débito foram validadas com recurso ao SMS code e jamais foi ultrapassado o montante máximo diário permitido por canal.
3 Após julgamento o tribunal de primeira instância julgou improcedente a ação e absolveu a ré dos pedidos.
4 O apelante, inconformado com a decisão do tribunal de primeira instância, recorreu. Concluiu as alegações, em suma, da seguinte forma:
CONCLUSÕES DO APELANTE
1) Em cumprimento do disposto no nº 1, als. a), b) e c) do artigo 640º do CPC, o Apelante considera incorretamente julgados os seguintes pontos da matéria de facto de facto:
- 8), 19), 20) e 21) dos Factos Provados (atento o teor dos documentos juntos aos autos e a prova testemunhal produzida)
- b), d) e) e g) dos Factos Não Provados, tendo igualmente em consideração a prova aportada aos autos com relevância para o depoimento testemunhal.
2) O ponto 8), por relevante para a decisão da causa, deveria dar por reproduzidas as condições contratuais estabelecidas, constantes do documento 3 junto com a PI, pelo que deverá a redação daquele ponto 8) ser acrescentada, passando do mesmo a constar o seguinte:
“8) em 24 de novembro de 2011 o autor recebeu cópia do clausulado do contrato de abertura de conta de depósito e comercialização de produtos e serviços respeitante à conta de depósitos à ordem com o número 157-10.006803-8, cujas condições expressamente declarou conhecer e aceitar, conforme documentos 1 junto com a Contestação e 3 junto com a PI, aqui dados como reproduzidos, contrato constante de formulário próprio [sem que o Autor tivesse a oportunidade de discutir ou modificar o seu conteúdo, como dele expressamente consta]”.
3) O ponto 19) dos factos provados, cuja prova resultou de confissão do Autor, não reproduz o teor da assentada, devendo por isso, a redação do mencionado ponto 19) Ser 3 Seguinte: “19) O Autor tinha guardadas, no seu telemóvel, fotografias dos últimos cartões matriz, fornecidos pela Ré, concretamente fotografias do cartão matriz mais antigo, que tinha deixado de estar em vigor, e do cartão mais recente, que tinha ativado em setembro de 2019”.
4) Não aceita a redação dada ao ponto 20), tendo este facto resultado provado, conforme fundamentação expendida, com base, em parte, no depoimento das testemunhas VG, LV, LB e PR, noutra parte no depoimento dos pais do autor, RR e PL, e ainda em presunções judiciais, resultantes das regras da experiência.
5) A prova do facto da alínea 20) decorre essencialmente de “presunções judiciais, resultantes das regras de experiência”, tendo sido realizado um indevido uso deste meio de prova.
6) Assim, o facto 20 deveria ter apenas a seguinte redação: “Depois de ter carregado no link do SMS que recebeu, referido nas alíneas RR) e SS), o autor não facultou a terceiros qualquer código, informação pessoal ou bancária”.
7) Pelos menos fundamentos, a alínea b) dos factos Não Provados, relacionada diretamente, deve ser considerada provada.
8) No ponto 21) dos Factos Provados deverá ser elencado o descritivo de todos os documentos juntos pelo recorrente para esse efeito, os seja, documentos 4 a 33 juntos à petição inicial, ou, em alternativa a redação ser apenas a seguinte: “21) Os movimentos bancários identificados nos factos assentes têm as referências descritivas constantes dos documentos 4 a 33 juntos com a PI”.
9) Na alínea d) dos factos não provados consigna-se não ter resultado provado “d) Que o “perfil” de cliente do autor era de quem não efetuava repetidas transferências e pagamentos num curto lapso temporal”, mas, atenta a prova, este ponto deveria ter sido julgado como provado.
10) Deve passar a ser provado que: “O Autor estava a contar com o último mês de estudo intenso para o exame de acesso à especialidade, tendo a situação ocorrida causado grande perturbação e desgaste emocional, que se repercutiu num resultado fraco, que o impossibilitou de escolher a especialidade desejada” e não, não provado, com entendeu o tribunal de primeira instância, considerando a prova testemunhal produzida, devidamente ponderada.
11) Para além de indevido julgamento da matéria de facto, a sentença recorrida faz uma errada aplicação do Direito, violando os artigos 113.º e 114.º, do Decreto-Lei n.º 91/2018, de 12 de novembro e 796.º, n.º 1 do Código Civil.
12) A sentença recorrida errou ao considerar que o Banco conseguiu fazer a prova que a Lei lhe exige, para afastar a responsabilidade da restituição/reposição das quantias debitadas e seus juros”.
13) Isto porque o Banco incumpriu as suas obrigações legais e contratuais e não pode considerar-se que o Autor, aqui recorrente, tenha agido com negligência grosseira.
14) Os movimentos indevidos verificados nas contas do recorrente deveram-se a falhas no sistema de segurança da Ré, que não cumpriu o dever de esclarecimento do cliente de forma devida, porquanto tendo a adesão do recorrente ao homebanking ocorrido em 2011, é natural que se tenham esvanecido da sua memória as explicações que então lhe foram fornecidas e, mais relevante, atentos os desenvolvimentos, entretanto verificados, quer dos procedimentos de segurança, quer das técnicas fraudulentas, as “instruções” então facultadas mostrar-se-iam desatualizadas e insuficientes. Ademais, os avisos e alertas disponibilizados pelo Banco recorrido, para além do caráter genérico dos mesmos, a sua visualização não se mostra “amigável”, acrescendo que nada é mencionado quanto a procedimentos a observar pelos clientes no que respeita à guarda e conservação das credenciais disponibilizadas pelo Banco (concretamente no que se refere à guarda do cartão matriz).
15) Revela-se igualmente incumprido por parte do Banco o dever de vigilância estabelecido na alínea b), do n.º 1 do artigo 117.º do Decreto-Lei n.º 91/2018, de 12 de novembro relativamente aos fundos depositados, o qual se revela com particular acuidade perante movimentos estranhos face ao perfil habitual do utilizador.
16) Não tendo o Banco transmitido pessoalmente ao autor as condições contratuais relativas ao depósito a prazo no montante de 31.000€ para a conta à ordem com o n.º 051.10.023068-2 (facto provado sob o n.º 24), em face de uma mobilização antecipada, deveria o Banco réu ter tido o cuidado de confirmar a mobilização, através de contacto telefónico, validando a instrução.
17) Os movimentos subsequentes que foram realizados impunham confirmação, tanto mais que foi limite máximo de três tentativas de acesso inválido.
18) Foi desrespeitado o limite máximo permitido por dia tal como anunciado pelo próprio recorrido e resulta dos factos provados, no ponto 22.
19) Conjugando o previsto na Cláusula 27 das condições contratuais, com o n.º 5 da Cláusula 20, resulta que o recorrido incumpriu os seus deveres.
20) Considerando que o montante máximo permitido por dia, por cada canal, era de 7.500 €, e que “Net 24” e “Netmóvel 24” são marcas do serviço Montepio 24, considerado como um serviço telemático que abrange várias formas de contacto, tendo as movimentações aqui em causa sido efetuadas de forma telemática, logo que atingissem o valor de 7 500€ deveria considerar-se que ficaria barrada a possibilidade de continuarem a ser realizados novos movimentos.
21) Sem conceder, mesmo que se entenda que Net 24 e Netmóvel 24 são dois “canais” distintos, ainda assim o valor máximo diário estabelecido – 7.500€ - se mostra ultrapassado.
22) A negligência grosseira, seguindo a lição de Ana Prata - Cláusulas de Exclusão e Limitação da Responsabilidade Contratual”, págs. 306 a 308, corresponderá a um “erro imperdoável, desatenção inexplicável, incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”.
23) De acordo com a decisão recorrida, a atuação do recorrente configura uma incúria indesculpável, em duas vertentes: Por ter acedido ao link malicioso e por guardar fotografia do seu cartão matriz no telemóvel.
24) O facto de ter carregado no link, não pode ser descontextualizado, devendo ser ponderada a linha temporal em que tal acesso aconteceu, e as circunstâncias envolventes (designadamente, o ter procedido à ativação, pouco tempo antes, de um novo cartão matriz que lhe havia sido enviado pelo Banco Réu, e o encontrar-se focado a estudar para o exame - Prova de Acesso à Especialidade - que ia realizar e que iria condicionar toda a sua vida profissional futura. Sabe-se que em períodos de sobrecarga as “guardas” são frequentemente baixadas, permitindo momentos de ligeira desatenção, que, porém, não se subsume ao desleixo e incúria e grave imprudência.
25) O smishing tira partido da confiança que os utilizadores depositam na rede telefónica e da circunstância de a leitura ser mais imediata do que o que se passa num email, gerando comportamentos automáticos, diríamos mesmo, instintivos.
26) O comportamento assumido pelo recorrente é justificável, consubstanciando uma atuação que qualquer pessoa, naquela concreta situação adotaria.
27) Na relação contratual estabelecida entre o recorrente e o Banco recorrido essa matéria está prevista na Cláusula 27., concretamente, nos seus pontos 16 e 19, decorrendo da conjugação do quadro normativo e contratual que impende sobre o utilizador dos serviços de pagamento, o cliente do banco, um dever de guarda e confidencialidade sobre as credenciais que lhe são disponibilizadas, aqui se incluindo o “cartão matriz”.
28) Este dever deve ser aferido por critérios de razoabilidade, tal como decorre do citado n.º 2 do artigo 110.º e também conformado por critérios de atualidade. A conservação no telemóvel de fotografias de documentos tem-se vindo a revelar uma prática comum, até pela facilidade que envolve.
29) Tendo em atenção a fiabilidade e segurança que o telemóvel oferece, até porque o acesso ao mesmo está normalmente associado à introdução de um PIN ou dispositivo biométrico, aliado à circunstância de que se trata de aparelho que não sai da nossa posse, está sempre connosco, não parece que a guarda de fotografias dos cartões matriz no telemóvel seja censurável, a ponto de consubstanciar negligência grave.
30) Nunca o Banco recorrido, nos seus alertas de segurança, ou recomendações de boas práticas, indicou que o cartão matriz não devia ser guardado (por fotografia) no telemóvel, entendendo-se que deve a instituição bancária descrever ao utilizador do serviço de homebanking um conjunto de medidas que o mesmo deve adotar para preservar a segurança dos seus cartões de acesso e cartão matriz.
31) A sentença deve ser revogada e a ação julgada totalmente procedente.
5 A apelada respondeu ao recurso, pugnando pela manutenção da decisão, assim concluindo, em suma, que deve ser mantida a decisão recorrida.
OBJETO DO RECURSO
6 O objeto do recurso é delimitado pelo requerimento recursivo, podendo ser restringido, expressa ou tacitamente, pelas conclusões das alegações, sem prejuízo das questões que sejam de conhecimento oficioso e daquelas cuja decisão fique prejudicada pela solução dada a outras (artigos 635.º, n.ºs 3 e 4, 639.º, n.º 1 e 608.º, n.º 2, do CPC). O tribunal não está obrigado a apreciar todos os argumentos apresentados pelas partes para sustentar os seus pontos de vista e é livre na interpretação e aplicação do direito (artigo 5.º, n.º 3, do CPC).
7 À luz do exposto, o objeto deste recurso consubstancia-se em analisar e decidir o seguinte:
- Impugnação da matéria de facto;
- Erro de aplicação do direito quanto à responsabilidade do banco pelos movimentos não autorizados;
- Responsabilidade civil do banco.
8 Os fundamentos fáctico-processuais a considerar para a decisão do presente recurso são as descritas no relatório desta decisão, a que acrescem os seguintes factos, que o tribunal decidiu julgar provados.
FUNDAMENTOS DE FACTO
FACTOS JULGADOS PROVADOS PELO TRIBUNAL A QUO
Factos Assentes
Mostram-se assentes, por resultarem do acordo das partes, os factos seguintes:
A) A Ré B é uma caixa económica que tem como objeto social o exercício da atividade bancária, sob a designação comercial de Banco Montepio.
B) O autor é cliente da Ré desde 1994, sendo titular das seguintes contas de depósito à ordem com os números: 051-10-023068-2; 157.10.006803-8.
C) Em 24.11.2011 subscreveu a adesão ao serviço de Homebanking Montepio24, tendo-lhe sido atribuídas pela Ré Credenciais de Autenticação, as quais poderão ser utilizadas para aceder ao Serviço Montepio24, via telefone, Internet ou outras.
D) O cartão SIM relativo ao número de telemóvel 96…8 está registado junto da operadora Altice em nome da sociedade J. E. & Irmãos, Lda.
E) Em 21.06.2017 o Autor constituiu um depósito a prazo designado por “Montepio Super Poupança” no montante de 31.000,00€, com vencimento em 21.06.2020 que ficou associado à conta 051-10- 023068-2.
F) Assim, à data de 16 de outubro de 2019, o Autor era titular da conta de depósitos à ordem com o n.º 051.10.023068-2 que apresentava o saldo de 275,99€.
G) E o Autor era também titular da conta de depósitos à ordem com o nº 157.10.006803-8, que à data de 16 de outubro de 2019 apresentava o saldo de 2.141,60€.
H) Era ainda titular de um depósito a prazo do montante de 31.000€.
I) Em 24.11.2011, a Ré entregou ao o Autor o documento designado por contrato de Abertura de Conta de Deposito e de Comercialização de Produtos e Serviços, que visava estabelecer as Condições e Termos Gerais da relação comercial emergente da comercialização de produtos e da prestação de serviços pela Ré relativo à conta DO 051-10-023068-2.
J) Entre as 13h56m e as 15h23m do passado dia 17 de outubro de 2019 as contas bancárias supra identificadas foram alvo de diversos movimentos bancários não ordenados pelo Autor, através do canal Net24 e Netmóvel 24.
K) Pelas 13h56m foi ordenada uma transferência, no montante de 31.000€ da supra identificada conta depósito a prazo com o n.º 157.15.008828-2 para a conta de depósito à ordem com o nº 051.10.023068-2.
L) Pelas 13h58m foi efetuada uma transferência interbancária imediata no valor de 3.750€. (NET24)
M) Às 14h01m foi efetuada uma tentativa de transferência interbancária imediata no valor de 3.750€, que foi rejeitada.
N) Pelas 14h03m, foi efetuada nova transferência interbancária imediata no valor de 3.750€. (NET24)
O) Pelas 14h12m foi efetuado um pagamento de serviços de 454,50€. (NET24)
P) Pelas 14h14m foi efetuado um pagamento de serviços de 454,50€. (NET24)
Q) Pelas 14h16m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
R) Às 14h06 foi rejeitada uma tentativa de transferência interbancária de 3.750€.
S) Às 14h08m foi realizada uma transferência interbancária imediata de 3.750€. Netmovel 24
T) Pelas 14h33m foi efetuada nova transferência interbancária imediata de 3.750€.(NETmovel24)
U) Pelas 14h36m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
V) Pelas 14h39m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
W) Pelas 14h41m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
X) Pelas 14h42m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
Y) Pelas 14h43m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
Z) Pelas 14h45m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
AA) Pelas 14h46m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
BB) Pelas 14h48m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
CC) Pelas 14h49m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
DD) Pelas 14h51m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
EE) Pelas 14h54m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
FF) Pelas 14h56m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
GG) Pelas 14h57m foi efetuado novo pagamento de serviços de 454,50€. (NET24)
HH) Pelas 15h03m foi efetuado novo pagamento de serviços de 454,50€. (NETmóvel24)
II) Pelas 15h04m foi efetuado novo pagamento de serviços de 454,50€. (NETmóvel24)
JJ) Pelas 15h08m foi efetuada transferência interbancária imediata de 3.750€. (NET24)
KK) Pelas 15h14m foi efetuada uma tentativa de transferência interbancária imediata de 3.750€ que foi rejeitada.
LL) Pelas 15h10m foi efetuada nova transferência interbancária imediata de 3.750€. (NET24)
MM) E pelas 15h15m foi efetuado novo pagamento de serviços de 454,50€. (NETmóvel24)
NN) Os movimentos bancários supra referidos foram debitados da conta de depósitos à ordem com o número nº 051.10.023068-2.
00) Pelas 15h22m e 15h23m foram efetuados pagamentos de serviços de 454,50€ cada, por débito na conta depósito à ordem com o número 157.10.006803-8.
PP) No dia 21 de outubro o Autor participou o sucedido à Ré na agência do Candal.
QQ) Tendo sido questionado por funcionário daquela agência se havia recebido alguma mensagem de SMS ou de correio eletrónico relacionada com o Banco Réu.
RR) Foi então que o Autor verificou que no dia 12 de outubro de 2019 tinha recebido um SMS cujo teor já não se recorda com precisão, mas que seria semelhante a: Alerta de Segurança - Montepio: deve atualizar os seus dados, para o fazer aceda aqui em, tendo no final um link.
SS) Ao consultar o histórico verificou que, efetivamente, tinha acedido ao link mencionado nessa mensagem.
TT) O Réu recusa-se a reembolsar o autor dos valores debitados das suas contas bancárias, acima identificados, apesar das diversas insistências.
Provou-se que:
1) O Autor detetou os movimentos bancários referidos nos factos assentes no dia 20 de outubro de 2019, domingo.
2) No período temporal em que foram efetuados os movimentos identificados nas alíneas JJ) a OO), o autor esteve impossibilitado de receber chamadas no seu telemóvel e não recebeu qualquer SMS CODE.
3) O autor foi posteriormente informado pela Altice que no dia 17.10.2019, havia ocorrido uma ativação do serviço Multisim, relativo ao cartão associado ao número 96…8, cuja desativação ocorreu em 04/11/2019, ativação que não foi solicitada nem pelo Autor, nem pela sociedade J. E. & Irmãos, Lda., titular do contrato com a Altice.
4) O Autor ficou desapossado da quantia de 32.044,50€.
5) O Autor é médico e em outubro de 2019 estava a preparar-se para a Prova Nacional de Acesso à Formação Especializada, que determina a possibilidade de escolha de uma especialidade médica.
6) Quando o autor tomou conhecimento dos débitos nas suas contas acima discriminados, ficou perturbado e angustiado, e nas semanas seguintes permaneceu transtornado, sem paz de espírito, com perturbações emocionais, de sono e de concentração, tento tido dificuldade em afastar do seu pensamento da situação e em focar-se no estudo para o exame.
7) O autor sente, desde então, receio de não vir a recuperar as suas poupanças, que se reforçou com o facto de o banco Réu não ter procedido ao reembolso imediato das quantias debitadas.
8) Em 24 de novembro de 2011 o autor recebeu cópia do clausulado do contrato de abertura de conta de depósito e comercialização de produtos e serviços respeitante conta de depósitos à ordem com o número 157-10.006803-8, cujas condições expressamente declarou conhecer e aceitar.
9) No âmbito da sua atividade, a CEMG presta um serviço de “homebanking”, designado por “Montepio24”, tendo o autor aderido à vertente desse serviço oferecida pela CEMG a clientes particulares, “Montepio24 - Particulares”.
10) Foram atribuídos ao autor pela CEMG, no dia da adesão ao serviço, códigos de acesso/credenciais de utilização.
11) Foi associado ao SMS Code o número de telefone indicado pelo autor – 96…8 -na ficha de cliente.
12) Os códigos de acesso/credenciais de utilização fornecidos aos clientes que aderem ao serviço Montepio24, são pessoais e intransmissíveis: 12.i) Um número de identificação Montepio, atribuído e entregue ao cliente no momento da adesão; 12.ii) Um código PIN multicanal, composto por seis dígitos, atribuído e entregue ao cliente no momento da adesão, PIN esse que tem de ser obrigatoriamente alterado pelo cliente, aquando do seu primeiro acesso ao serviço. 12.iii) Um cartão matriz, que consiste num cartão de coordenadas com um total de 216 dígitos, em 72 posições com 3 dígitos cada, destinado à validação de operações passíveis de alteração do património detido pelos clientes, junto da CEMG.
13) Às referidas credenciais de autenticação acresce o SMS Code, mecanismo correspondente à chamada “autenticação forte” exigida aos clientes para aceder online à sua conta de pagamento, iniciar um pagamento eletrónico ou realizar remotamente uma ação que possa envolver risco de fraude no pagamento ou outros abusos.
14) A autenticação forte é exigida pelo CEMG ao utilizador, que tem de indicar pelo menos dois elementos de categorias diferentes para concluir uma operação: PIN ou palavra- passe; one-time password, telemóvel ou cartão de pagamento; ou impressão digital.
15) O cartão matriz é remetido, via CTT, para o endereço dos clientes em estado de pré- ativo, e apenas é passível de ser ativado pelos clientes mediante validação de códigos de acesso (através do número de cliente e do PIN multicanal).
16) O autor ativou o cartão matriz mais recente em setembro de 2019.
17) Em cada um dos acessos ao Montepio24, após introdução dos dígitos correspondentes ao código de identificação de utilizador do Montepio24 e imediatamente antes da introdução do código de acesso personalizado surge o alerta que consta do documento 4 da contestação.
18) Aquando da adesão ao homebanking foram explicados ao autor os cuidados de segurança e boas práticas adotar.
19) O autor tinha gravada, no seu telemóvel, uma imagem fotográfica do cartão matriz que a CEMG lhe fornecera.
20) Depois de ter carregado no link do SMS que recebeu, referido nas alíneas RR) e SS), o autor forneceu a terceiros dados solicitados, designadamente, o seu número de utilizador de “homebanking” e o PIN.
21) Os movimentos bancários identificados nos factos assentes têm as seguintes referências descritivas:
Duas transferências interbancárias, a débito, com a refª “TRF.IPS P/JLH”, de 3750,00€ cada uma - alíneas L) e JJ).
Duas transferências interbancárias, a débito, com a refª “TRF.IPS P/ RJ”, no valor de 3750,00€ cada uma - alíneas N) e LL);
Uma transferência interbancária, a débito, com a refª “TRF.IPS P/ LM”, no valor de 3750,00€ - alínea S);
e. Uma transferência interbancária, a débito, com a refª “TRF.IPS P/JF”, no valor de 3750,00 - alínea T).
22) Em 17.10.2019, o montante máximo permitido, por dia, por cada canal, era de 7.500,00€.
23) Todas as operações bancárias a débito identificadas nos factos assentes foram validadas com recurso ao SMS Code.
24) Aquando da constituição do depósito a prazo “Montepio Super Poupança”, a mãe do autor declarou, na “Ficha de Informação Normalizada”: “Pelo presente é constituído o depósito a prazo supra indicado, cuja Ficha de informação Normalizada (FIN) 1500EUR20170621 o(a) signatário(a) declara ter recebido, a respeito das condições legais aplicáveis; mais declara ter-lhe sido fornecido exemplar do contrato de depósito - condições particulares, vigente na presente data, cujo conteúdo se declara conhecer e aceitar.”.
25) O depósito a prazo ficou associado à conta de depósitos à ordem n.º 051-10.023088-2, constando da FIN referida na alínea anterior o seguinte “Podem ser efetuados levantamentos a qualquer momento, total ou parcialmente, com penalização dos juros relativos ao período semestral em curso, se ocorrerem fora das datas de vencimento semestral de juros’.
26) No que aos pagamentos de serviços diz respeito, os clientes têm os mecanismos de validação para certificar que são eles quem está a fazer a operação, que são verificados pelo Banco e, feita essa verificação, a transação é enviada para a SIBS - que tem, também, mecanismos antifraude estabelecidos.
27) É no ambiente informático da SIBS que se vai fazer a validação da operação, ou seja, a verificação de que as referências de pagamento (criadas por outra entidade) existem e que os valores estão corretos.
28) Se a referência for incorreta ou o valor que for feito para o pagamento for diferente daquele que consta dos ficheiros da SIBS, esta devolve uma mensagem ao utilizador, informando que aquela referência ou dados estão incorretos.
29) A CEMG, nas operações de pagamento de serviços, apenas valida que o cliente existe e, imediatamente, remete a operação de pagamentos para a SIBS, para que esta entidade conclua a operação.
30) A CEMG e os demais bancos não criam nem validam referências para pagamentos de serviços.
31) Não se verificou em 17.10.2019 qualquer quebra de segurança na criação, gestão e execução de operações no sítio informático da ré.
32) Os movimentos identificados nos factos assentes foram efetuados através do serviço homebanking, Montepio 24 - Particulares.
33) A CEMG efetua avisos, na sua página de acesso ao “homebanking”, para que não sejam fornecidos dados.
34) Os movimentos a débito identificados nos factos assentes, efetuados através do serviço de homebanking, apenas foram possíveis porque, em cada um deles:
- Foi introduzido o número de identificação Montepio;
- Foi introduzido o número de código Pin Montepio24, em teclado virtual, escolhido de forma aleatória, aparecendo os números sempre em local distinto de cada vez que é utilizado o serviço;
- Uma vez validado o PIN, foram depois introduzidas duas coordenadas e posições do cartão matriz - por cada operação -, posições essas que são sempre solicitadas de forma aleatória, pelo sistema e nunca repetidas (sistema de one time password 1), num total de 54 coordenadas;
- Por fim foi remetido um código “SMS Code” (num total de 27 SMS Code remetidos, para o telemóvel com o n.º 96…8), mecanismo de autenticação forte, válido por cerca de 30 segundos.
35) As coordenadas do cartão matriz pedidas para a validação são geradas uma vez para cada operação, e na eventualidade de existir erro na introdução, o sistema continuará a pedir as mesmas coordenadas, até ao máximo de três tentativas, findas as quais, caso não sejam introduzidas as posições corretas, o acesso ao serviço fica na situação de suspenso.
36) Os computadores da CEMG não foram alvo de qualquer quebra de segurança informática;
FACTOS JULGADOS NÃO PROVADOS PELO TRIBUNAL A QUO
Não se provou:
a) O Autor registou junto da Ré o número móvel 96…8 como sendo o número a utilizar para envio das SMS CODE de validação.
b) Que o autor não tenha facultado a terceiros a password de acesso ao NET24 ou qualquer outra credencial de acesso e, mais concretamente, que depois de aceder ao link constante do SMS recebido, o autor não tenha disponibilizado qualquer código, informação pessoal ou bancária.
c) Que, em 17.10.2019 o montante máximo diário de transferências imediatas permitidas pela ré pelo canal de homebanking era de 10.000€ por transação e por dia.
d) Que o “perfil” de cliente do autor era o de quem não efetuava repetidas transferências e pagamentos num curto lapso temporal.
e) Que o autor estava a contar com o último mês de estudo intenso, para assimilar o máximo de informação possível para o exame de acesso à especialidade.
f) Que o resultado do exame do autor tenha sido 76/149, que este é considerado um resultado fraco que o impossibilita de escolher a especialidade desejada.
g) Que o resultado obtido no exame tenha sido uma consequência do seu estado de espírito desde o dia 20.10.2019.
CONHECIMENTO DO OBJETO DO RECURSO
Enquadramento legal
Artigo 640.º, n.º 1, do Código de Processo Civil
«1 - Quando seja impugnada a decisão sobre a matéria de facto, deve o recorrente obrigatoriamente especificar, sob pena de rejeição:
a) Os concretos pontos de facto que considera incorretamente julgados;
b) Os concretos meios probatórios, constantes do processo ou de registo ou gravação nele realizada, que impunham decisão sobre os pontos da matéria de facto impugnados diversa da recorrida;
c) A decisão que, no seu entender, deve ser proferida sobre as questões de facto impugnadas.
Artigo 2.º, al. d), do Decreto-Lei n.º 91/2018 de 12/11
d) «Autenticação forte do cliente» uma autenticação baseada na utilização de dois ou mais elementos pertencentes às categorias conhecimento (algo que só o utilizador conhece), posse (algo que só o utilizador possui) e inerência (algo que o utilizador é), os quais são independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros, e que é concebida de modo a proteger a confidencialidade dos dados de autenticação
Artigo 70.º, n.ºs 1 e 2, do Decreto-Lei n.º 91/2018 de 12/11
1 - Os prestadores de serviços de pagamento estabelecem um quadro com medidas de mitigação e mecanismos de controlo adequados para gerir os riscos operacionais e de segurança, relacionados com os serviços de pagamento por si prestados.
2 - Como parte do quadro referido no número anterior, os prestadores de serviços de pagamento estabelecem e mantêm procedimentos eficazes de gestão de incidentes, inclusive para a deteção e classificação de incidentes operacionais e de segurança de carácter severo.
Artigo 103.º, n.ºs 1 a 5 do Decreto-Lei n.º 91/2018 de 12/11
1 - Uma operação de pagamento ou um conjunto de operações de pagamento só se consideram autorizados se o ordenante consentir na sua execução.
2 - O consentimento deve ser dado previamente à execução da operação, salvo se for acordado entre o ordenante e o respetivo prestador do serviço de pagamento que o mesmo seja prestado em momento posterior.
3 - O consentimento deve ser dado na forma acordada entre o ordenante e o respetivo prestador do serviço de pagamento.
4 - O consentimento do ordenante para executar uma operação de pagamento também pode ser dado através do beneficiário ou do prestador de serviços de iniciação de pagamentos.
5 - Na falta do consentimento referido nos números anteriores, considera-se que a operação de pagamento não foi autorizada.
Artigo 104.º, n.º 1, do Decreto-Lei n.º 91/2018, de 12/11
1 - Os prestadores de serviços de pagamento aplicam a autenticação forte do cliente caso o ordenante:
a) Aceda em linha à sua conta de pagamento;
b) Inicie uma operação de pagamento eletrónico;
c) Realize uma ação, através de um canal remoto, que possa envolver um risco de fraude no pagamento ou de outros abusos.
Artigo 108.º, n.ºs 2 a 4 do Decreto-Lei n.º 91/2018, de 12/11
2 - Mediante estipulação expressa no contrato-quadro, ao prestador de serviços de pagamento pode reservar-se o direito de bloquear um instrumento de pagamento por motivos objetivamente fundamentados, que se relacionem com:
a) A segurança do instrumento de pagamento;
b) A suspeita de utilização não autorizada ou fraudulenta desse instrumento; ou
c) O aumento significativo do risco de o ordenante não poder cumprir as suas responsabilidades de pagamento, caso se trate de um instrumento de pagamento com uma linha de crédito associada. 3 - Nos casos referidos no número anterior, o prestador do serviço de pagamento deve informar o ordenante do bloqueio do instrumento de pagamento e da respetiva justificação pela forma acordada, se possível antes de bloquear o instrumento de pagamento ou, o mais tardar, imediatamente após o bloqueio, salvo se tal informação não puder ser prestada por razões de segurança objetivamente fundamentadas ou se for proibida por outras disposições legais aplicáveis.
4 - Logo que deixem de se verificar os motivos que levaram ao bloqueio, o prestador do serviço de pagamento deve desbloquear o instrumento de pagamento ou substituí-lo por um novo.
Artigo 110.º, do Decreto-Lei n.º 91/2018, de 12/11
1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve:
a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objetivas, não discriminatórias e proporcionais; e
b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.
Artigo 113.º, n.ºs 1, 3 e 4, do Decreto-Lei n.º 91/2018, de 12/11
1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento.
3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º.
4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.
Artigo 114.º, n.ºs 1, 2, 8 e 10, do Decreto-Lei n.º 91/2018, de 12/11
1 - Sem prejuízo do disposto no artigo 112.º, o prestador de serviços de pagamento do ordenante deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação.
2 - O prestador de serviços de pagamento do ordenante não está obrigado ao reembolso no prazo previsto no número anterior se tiver motivos razoáveis para suspeitar de atuação fraudulenta do ordenante e comunicar por escrito esses motivos, no prazo indicado no número anterior, às autoridades judiciárias nos termos da lei penal e de processo penal.
8 - Se o prestador do serviço de iniciação de pagamento for responsável pela operação de pagamento não autorizada, deve indemnizar imediatamente o prestador de serviços de pagamento que gere a conta, a pedido deste, pelos danos sofridos ou pelos montantes pagos em resultado do reembolso ao ordenante, incluindo o montante da operação de pagamento não autorizada.
10 - Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.
Artigo 115.º, n.ºs 1 a 4, do Decreto-Lei n.º 91/2018, de 12/11
1 - Em derrogação do disposto no artigo 114.º, o ordenante pode ser obrigado a suportar as perdas relativas às operações de pagamento não autorizadas resultantes da utilização de um instrumento de pagamento perdido, furtado, roubado ou da apropriação abusiva de um instrumento de pagamento dentro do limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, até ao máximo de (euro) 50.
2 - O disposto no n.º 1 do presente artigo não se aplica caso:
a) A perda, o furto, o roubo ou a apropriação abusiva de um instrumento de pagamento não pudesse ser detetada pelo ordenante antes da realização de um pagamento; ou
b) A perda tiver sido causada por atos ou omissões de um trabalhador, de um agente ou de uma sucursal do prestador de serviços de pagamento, ou de uma entidade à qual as suas atividades tenham sido subcontratadas.
3 - O ordenante suporta todas as perdas resultantes de operações de pagamento não autorizadas, se aquelas forem devidas a atuação fraudulenta ou ao incumprimento deliberado de uma ou mais das obrigações previstas no artigo 110.º, caso em que não são aplicáveis os limites referidos no n.º 1.
4 - Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a (euro) 50.
Artigo 483.º, n.º 1 do Código Civil
Aquele que, com dolo ou mera culpa, violar ilicitamente o direito de outrem ou qualquer disposição legal destinada a proteger interesses alheios fica obrigado a indemnizar o lesado pelos danos resultantes da violação.
Artigo 570.º, do Código Civil
1. Quando um facto culposo do lesado tiver concorrido para a produção ou agravamento dos danos, cabe ao tribunal determinar, com base na gravidade das culpas de ambas as partes e nas consequências que delas resultaram, se a indemnização deve ser totalmente concedida, reduzida ou mesmo excluída.
2. Se a responsabilidade se basear numa simples presunção de culpa, a culpa do lesado, na falta de disposição em contrário, exclui o dever de indemnizar.
Artigo 1187.º, do Código Civil
O depositário é obrigado:
a) A guardar a coisa depositada;
b) A avisar imediatamente o depositante, quando saiba que algum perigo ameaça a coisa ou que terceiro se arroga direitos em relação a ela, desde que o facto seja desconhecido do depositante;
c) A restituir a coisa com os seus frutos.
Artigo 1201.º, do Código Civil
Não tendo sido convencionado prazo para a restituição da coisa, o depositário tem o direito de a restituir a todo o tempo; se, porém, tiver sido convencionado prazo, só havendo justa causa o pode fazer antes de o prazo findar.
Artigo 527º, nº 1 do Código de Processo Civil
A decisão que julgue a ação ou algum dos seus incidentes ou recursos condena em custas a parte que a elas houver dado causa ou, não havendo vencimento da ação, quem do processo tirou proveito.
1. Impugnação da matéria de facto
9 Pretendendo a parte impugnar a decisão do tribunal de primeira instância quanto à matéria de facto, nos termos do artigo 640.º, n.º 1, impõe-se-lhe o ónus de:
1) indicar (motivando) os concretos pontos de facto que considera incorretamente julgados (sintetizando ainda nas conclusões) – alínea a);
2) especificar os concretos meios probatórios constantes do processo ou de registo ou gravação nele realizada (indicando as concretas passagens relevantes – n.º 2, alíneas a) e b)), que impunham decisão diversa quanto a cada um daqueles factos – n.º 1, al. b);
3) propor a decisão alternativa quanto a cada dos pontos de discordância – n.º 1, alínea c).
10 É entendimento pacífico da Doutrina e da Jurisprudência que é aqui consagrado um ónus de fundamentação da discordância quanto à decisão de facto proferida, devendo ser justificados os pontos da divergência, o que implica a análise crítica da valoração da prova feita em primeira instância.
11 Esta exigência de fundamentação não deve ser exponenciada “a ponto de ser violado o princípio da proporcionalidade e de ser negada a reapreciação da matéria de facto (…). Sendo evidente que a previsão deste ónus tem razão de ser, quer para garantir o contraditório, quer para efeito de rigorosa delimitação do objeto de recurso, até porque o sistema consagrado não admite recursos genéricos contra a decisão da matéria de facto, não é compreensível que a verificação do cumprimento de tais ónus se transforme num exercício meramente burocrático” – Cf. Código de Processo Civil anotado citado, de Abrantes Geraldes, Paulo Pimenta e Luís Pires de Sousa, 3ª ed. Almedina, p. 831.
12 Por outro lado, ditam os princípios da razoabilidade e da autorresponsabilidade das partes que “a impugnação da decisão da matéria de facto se transforme numa mera manifestação de inconsequente inconformismo” - cf. Abrantes Geraldes, Recursos em Processo Civil, 6ª ed., p. 201.
13 O apelante considera incorretamente julgados os seguintes factos:
- 8), 19), 20) e 21) dos Factos Provados.
- b), d) e) e g) dos Factos Não Provados.
14 Mostra-se cumprido o ónus a que alude o artigo 640.º, pelo que importa analisar a matéria objeto de impugnação.
Vejamos.
Ponto 8 dos factos provados
15 Tem a seguinte redação:
Em 24 de novembro de 2011 o autor recebeu cópia do clausulado do contrato de abertura de conta de depósito e comercialização de produtos e serviços respeitante conta de depósitos à ordem com o número 157-10.006803-8, cujas condições expressamente declarou conhecer e aceitar.
16 Diz o apelante que por ser relevante para a decisão da causa, este ponto deveria ainda dar por reproduzidas as condições contratuais estabelecidas, constantes do documento 3 junto com a PI, e que o Réu admite no artigo 12.º da Contestação.
17 E que, em consequência, deveria, à redação do ponto 8), ser acrescentado o seguinte segmento: “conforme documentos 1, junto com a Contestação, e 3, junto com a PI, aqui dados como reproduzidos, contrato constante de formulário próprio [sem que o Autor tivesse a oportunidade de discutir ou modificar o seu conteúdo, como dele expressamente consta]”.
18 Não assiste razão ao apelante. O pedido de alteração, além de irrelevante para a decisão, apresenta uma solução errada.
19 O que o apelante pretende é a inclusão no facto, do meio de suporte à sua convicção.
20 O teor dos enunciados de facto correspondentes aos juízos probatórios deve ser depurado de referências aos meios de prova ou às respetivas fontes de conhecimento – Cf. Acs. deste TRL nos processos 25226/18.7T8LSB, de 26/4/2022 (www.dgsi.pt) e 17639/20.0T8PRT.L, de 23/10/2022 (não publicado) relatado pelo ora 1.º adjunto.
21 As referências aos meios de prova devem ser reservadas para a motivação da matéria de facto, o que aliás neste caso aconteceu, como resulta da sentença, no seguinte segmento da motivação:
Os factos da alínea 8) resultam do documento n.º 1 da contestação, assinado pelo autor, e que não foi impugnado.
22 Assim, nada deve ser alterado na decisão do tribunal de primeira instância, que se mostra correta quanto à formulação do ponto 8 dos factos provados.
Ponto 19 dos factos provados
23 Tem a seguinte redação:
O autor tinha gravada, no seu telemóvel, uma imagem fotográfica do cartão matriz que a CEMG lhe fornecera.
24 Diz o apelante que a redação dada a este ponto não reproduz o teor da assentada (segundo a qual: "O Autor confessa que tinha guardadas, no seu telemóvel, fotografias dos últimos cartões matriz, fornecidos pela Ré, no dia 12 de outubro de 2019. Mais esclarece que se trata das fotografias do cartão matriz mais antigo, que tinha deixado de estar em vigor, e do cartão mais recente, que tinha ativado em setembro de 2019"), devendo por isso ser alterada em conformidade.
25 O apelante não explicita a relevância da alteração pretendida. E também não a encontramos.
26 A matéria de facto considerada provada deve ser aquela que se afigura útil em função das várias soluções de direito possíveis. Consignar mais do que o necessário configura a prática de ato inútil que a lei expressamente repudia (artigo 130.º, do Código de Processo Civil).
27 O tribunal de primeira instância considerou provada a matéria factual realmente relevante para a decisão, inexistindo dúvidas de que o cartão matriz a que se refere a decisão de facto é aquele que releva para a apreciação da questão de direito. É irrelevante para a decisão que o apelante tivesse fotografias dos cartões matriz antigos, já desatualizados.
Ponto 20 dos factos provados
28 Tem a seguinte redação:
Depois de ter carregado no link do SMS que recebeu, referido nas alíneas RR) e SS), o autor forneceu a terceiros dados solicitados, designadamente, o seu número de utilizador de “homebanking” e o PIN.
29 O apelante argumenta que o tribunal de primeira instância errou quanto à matéria que verteu como provada sob o ponto 20, porquanto a prova produzida não permite concluir, como fez aquele tribunal, que o autor forneceu a terceiros, dados solicitados, designadamente, o seu número de utilizador de homebanking e o PIN:
· Em concreto, nenhuma testemunha o afirmou e não tinha o tribunal qualquer fundamento para recorrer a uma presunção judicial para a prova daquele facto.
· Além disso, a decisão recorrida desconsidera completamente outros meios de prova que deveriam ter sido ponderados, em conjugação com a demais prova produzida, designadamente, a comunicação junta como documento 36 à PI - reclamação dirigida pelo recorrente em 20 de dezembro de 2019 ao Conselho de Administração do Réu, em que expressamente aquele afirma que só acedeu ao link, mas nunca disponibilizou qualquer código, ou informação pessoal ou bancária.
30 Na fundamentação da decisão quanto à matéria de facto o tribunal a quo consignou o seguinte:
O facto da alínea 20) resulta provado com base, em parte, no depoimento das testemunhas VG (bancário, funcionário da ré, analista da área de fraude bancária), LV (bancário, funcionário da ré, responsável pela gestão dos canais do serviço Montepio24), LB (bancário, funcionário da ré, gerente do balcão de Vila Nova de Gaia) e PR (bancária, funcionária da ré, diretora do gabinete de cibersegurança), noutra parte no depoimento dos pais do autor, RR e PL, e ainda em presunções judiciais, resultantes das regras da experiência.
Não tendo sido o autor a efetuar pessoalmente ou a autorizar as operações bancárias acima discriminadas, existem apenas duas explicações possíveis para que terceiros as tenham conseguido fazer: ou conseguiram violar as barreiras de segurança/proteção do website do Banco, conseguindo penetrar neste ou conseguiram obter as credenciais de acesso à conta do autor, tendo conseguido aceder unicamente às contas da titularidade deste.
Fez-se prova de que não houve um ataque ao website do banco, não houve qualquer quebra de segurança deste: foi o que referiram as testemunhas acima identificadas que são funcionários do Banco. Tendo em conta que é só o réu quem tem o domínio do seu website, e que as testemunhas são seus funcionários, poder-se-ia alvitrar a possibilidade de estarem a ocultar uma qualquer situação de quebra de segurança a qual, obviamente, seria extremamente prejudicial para a imagem do banco. Contudo, afigura-se-nos que tal possibilidade se mostra afastada. É, seguramente, muito mais difícil quebrar os sistemas de proteção informática do Banco do que fazer “phishing”, razão pela qual este é muito mais frequente. Por conseguinte, afigura-se-nos que, se tais terceiros tivessem conseguido aceder às contas do autor por terem conseguido quebrar as barreiras de segurança do website do Banco, não se teriam limitado a transferir os cerca de 32 mil euros que se encontravam nas contas do autor, e teriam necessariamente conseguido transferir mais dinheiro, das contas de outras pessoas, factos que - nesta era das redes sociais em que se criam grupos de “lesados” do mais variado tipo de situações, aos quais aderem pessoas desconhecidas entre si - teriam seguramente vindo a público, nos meios de comunicação social. Ou seja, se tivesse havido uma quebra da segurança informática do website do banco, seria altamente improvável que a mesma só atingisse a conta do autor, como muito improvável seria que não viesse a tornar-se conhecida publicamente. São, até, cada vez mais frequentes nas notícias os relatos de ataques a sites quer de entidades públicas quer de empresas privadas.
Assim, resta-nos como única explicação plausível, à luz das regras da experiência, que terceiros tenham conseguido aceder à conta do autor através das suas credenciais pessoais, o que coincide com factos que o próprio autor admite, e que são típicos e indispensáveis deste tipo de atuação ilícita: 1º, ter recebido uma SMS aparentemente enviada pelo réu, contendo um “link”, no qual carregou, cinco dias antes das referidas operações a débito; 2º ter tido o telemóvel indisponível durante o dia 17 de outubro, em que estas foram efetuadas.
Contudo, o autor nega ter fornecido qualquer tipo de dados, referindo que, quando carregou no “link”, saiu logo da página sem fornecer qualquer dado seu.
Ora, se os factos tivessem acontecido dessa forma, não haveria uma explicação lógica para o acesso à sua conta pois os terceiros não teriam, em princípio, as duas credenciais “básicas” para entrar na conta do autor: o número de utilizador e a password (dado que, com o acesso ao telemóvel do autor, tinham “apenas” acesso ao cartão matriz fotografado e às SMS Code que fossem enviadas pelo Banco para finalizar a operação).
Mas o que resulta do documento n.º 8 da contestação, que é o “print” da pesquisa feita pela testemunha PL, no sistema do banco, dos acessos à conta do autor no intervalo temporal ali indicado, é que todas as operações bem sucedidas realizadas pelos terceiros foram por estes confirmadas/validadas com todas as credenciais solicitadas. Então, como é que tais terceiros tiveram acesso ao número de utilizador e à password ou PIN do autor?
De todos estes meios de prova, como adiante se referirá, resulta possível, com segurança, presumir (ao abrigo do disposto nos artigos 349º e 351º do Código Civil) que o autor terá efetivamente fornecido estes elementos quando carregou no link, apesar de o negar.
Repare-se que o autor tentou, desde o início, escamotear a sua contribuição para a desafortunada situação:
o seu pai disse que o autor só lhe contou que tinha recebido um SMS depois de irem à PJ ou no dia em que foram ao Banco, não o tendo referido imediatamente quando, em casa, depois do almoço, descobriu que ficara sem a maior parte dos seus depósitos;
o seu pai referiu que o filho disse que achou que o SMS estava relacionado com a ativação do cartão matriz;
também segundo o seu pai, só no dia em que foi ao banco (dia 21.10.2019, 2a feira), é que o autor admitiu que havia clicado no “link” que constava do SMS;
segundo a testemunha LB, gerente do balcão de Vila Nova de Gaia que recebeu o autor e o seu pai no dia 21.10.2019, quando perguntou ao autor se tinha clicado no “link”, o autor primeiro negou; depois, por sugestão desta testemunha, o pai do autor verificou ali, à frente desta, o histórico da internet do autor, tendo todos constatado que o autor havia efetivamente carregado no link e acedido à página respetiva.
Ora, pelas regras da experiência, é praticamente impossível que o autor, quando se depara com as contas quase a zeros, não se tenha recordado do SMS que havia recebido na semana anterior e do link a que acedeu. É normal que as pessoas tentem recordar-se, em retrospetiva, de factos relevantes, e o autor teria ainda o SMS guardado, tanto que o seu pai e o seu irmão afirmaram em juízo que o leram. Não é plausível, por isso, que o autor não se tenha recordado do SMS recebido pouco tempo após a descoberta.
O facto de não ter falado espontaneamente do SMS aos seus pais, nem ter referido esse facto de enorme relevância nas declarações prestadas na PJ no mesmo dia, domingo 20.10.2019, apenas vindo a admitir depois ter recebido o SMS, é perfeitamente demonstrativo da vontade do autor de omitir a sua contribuição para a situação ocorrida, que parece que apenas admitiu quando a tal foi obrigado.
Acresce que o seu propósito de escamotear a sua atuação levou-o a, primeiramente, negar perante o seu pai e o gerente bancário que tivesse carregado no “link”. E é face à sugestão deste último, que o seu pai acaba por confirmar pelo histórico de navegação que o autor efetivamente havia acedido à página “linkada”.
Ora, se o autor nada mais tivesse feito, se o autor não tivesse fornecidos as suas credenciais na página “linkada”, se o autor não se sentisse comprometido e aflito, não existiria qualquer razão para tentar omitir/esconder a questão do SMS e do “link” aos seus pais, à PJ e ao gerente do Banco.
Se o autor estivesse tranquilo, seguro de que nada mais havia feito, de que não havia contribuído de modo algum para a situação, não teria qualquer motivo para o tentar esconder, como fez.
Repare-se ainda que o pai do autor disse que este achou que o SMS estava relacionado com a ativação do cartão matriz, referência que constitui um manifesto deslize, uma admissão do seu “erro”, um “fugir a boca para a verdade”, na medida em que não explicou se alguma vez deixou de achar isso, ou se só o descobriu quando descobriu os movimentos.
Ou seja, se uma pessoa recebe um SMS do banco, e acha que está relacionado com a ativação do cartão matriz, é porque não põe em causa a sua proveniência, ou seja, não detetou pelo SMS em si ou pelo facto de se tratar de uma comunicação por essa via, de que poderia não ser verdadeiramente o seu Banco. Ora, se depois disso carrega no link, não se vê nenhuma razão para que o autor, posteriormente, não continue a efetuar os procedimentos sugeridos na página “maliciosa” a que terá acedido. Nem o autor, nem os seus pais, nem nenhuma outra testemunha deram uma qualquer explicação para que o autor saísse da página, depois de a ter aberto, sem nada fazer, como o autor disse ter feito.
Assim, de tudo o que se expôs, podemos inferir com segurança que o autor, efetivamente, ao entrar na página linkada, digitou as duas credenciais necessárias aos acessos ilegítimos, ou seja, o número de utilizador e a password ou PIN, e é isto que explica que, cinco dias depois, após várias consultas aos seus saldos por IPs de fora da zona do Porto e de fora do País, terceiros conseguiram movimentar as suas contas.
Confirmando também o “faux pas”, está o estado de espírito posterior do autor, na semana seguinte, numa altura em que ainda não havia uma resposta negativa por parte do banco, subsistindo a esperança de que este fosse “amigo do cliente” (expressão usada pelo seu pai) e restituísse as quantias debitadas. O autor ficou em estado catatónico, mal falando, estado que se afigura mais compatível com um devastador sentimento de culpa, de arrependimento por ter contribuído para a situação. A privação das quantias e a incerteza quanto à atuação do Banco seriam, obviamente, fontes de enorme perturbação quer para o autor quer para a generalidade das pessoas. Subsistindo a esperança numa resolução favorável, e uma vez que o autor não iria passar privações materiais em consequência daquela ocorrência, esta situação não levaria, pelas regras da experiência, a que uma pessoa ficasse em choque, catatónica, apática, durante uma semana.
Só a consciência de que poderia ter evitado aquele resultado, a consciência da sua contribuição para o mesmo é que constitui uma explicação plausível para que o autor tenha ficado daquela maneira.
31 Ouvida e analisada por nós a prova produzida em julgamento, verificamos que o raciocínio aduzido pelo tribunal de primeira instância se mostra maioritariamente acertado face à prova produzida.
32 É evidente que se terceiros acederam aos dados que só o apelante conhecia e de que dispunha é porque este, de forma direta ou indireta, os forneceu.
33 Afastada que está a indicação direta, não podemos deixar de reconhecer que, ao aceder ao link malicioso, o apelante permitiu a entrada de terceiros na esfera privada dos dados pessoais e confidenciais a que só ele tinha acesso e, nessa medida, não é errado admitir que ocorreu um fornecimento de dados.
34 Admite-se que não existem elementos probatórios a partir dos quais se possa inferir, como fez o tribunal de primeira instância, que o apelante forneceu os dados solicitados, através de uma conduta ativa.
35 No entanto, o facultamento de dados é a única inferência possível na sequência dos factos que compõem o cenário apurado.
36 A inferência lógica entre o facto base e o facto presumido deve estabelecer-se à luz de regras gerais, globalmente válidas e aceites, alicerçada em fundamentos seguros dos quais decorra uma causalidade incontestada de forma universal ou maioritária, pelo menos no domínio técnico da matéria em causa.
37 Só o nexo lógico, firmemente alicerçado, pode completar o espaço que se situa entre o facto conhecido e o facto desconhecido que se quer presumir. E esse nexo lógico deve ser estabelecido com os factos do caso concreto e nas circunstâncias do caso concreto.
38 O apelante tinha dados pessoais no seu telemóvel, que permitiam a realização das operações bancárias. Ao aceder ao link, permitiu que terceiros acedessem a esses dados – como decorreu dos depoimentos das testemunhas VG, PR e mesmo LV, o que conduz inequivocamente a considerar que facultou ou forneceu os dados.
39 Nessa medida, justifica-se julgar procedente a impugnação, apenas parcialmente, e considerar provado o seguinte, sob o ponto 20 da matéria de facto:
Na sequência de ter carregado no link do SMS que recebeu, referido nas alíneas RR) e SS), o autor facultou a terceiros dados bancários pessoais.
Ponto 21 dos factos provados
40 Tem a seguinte redação:
Os movimentos bancários identificados nos factos assentes têm as seguintes referências descritivas:
- Duas transferências interbancárias, a débito, com a refª “TRF.IPS P/JLH”, de 3750,00€ cada uma - alíneas L) e JJ).
- Duas transferências interbancárias, a débito, com a refª “TRF.IPS P/ RJ”, no valor de 3750,00€ cada uma - alíneas N) e LL);
- Uma transferência interbancária, a débito, com a refª “TRF.IPS P/ LM”, no valor de 3750,00€ - alínea S); e
- Uma transferência interbancária, a débito, com a refª “TRF.IPS P/JF”, no valor de 3750,00 - alínea T).
41 Diz o apelante que a redação imprimida a esta alínea induz em erro ao mencionar “os movimentos bancários identificados nos factos assentes têm as seguintes referências descritivas”, o que poderia levar à conclusão errada de que foram apenas estes os movimentos realizados.
42 Que aportar aos factos provados apenas parte dos movimentos indevidos, selecionando de entre os documentos juntos com a PI os correspondentes a estas operações, não deverá manter-se.
43 Que, se a Meritíssima Juíza entendesse necessário discriminar todos os movimentos realizados e tentados (alguns foram rejeitados), por consideração do respetivo valor e demais elementos considerados relevantes, deveria elencar o descritivo de todos os documentos juntos pelo recorrente para esse efeito, os seja, documentos 4 a 33.
44 Finalmente, sugere que o ponto 21) dos Factos Provados passe a ter a seguinte redação:
“21) Os movimentos bancários identificados nos factos assentes têm as referências descritivas constantes dos documentos 4 a 33 juntos com a petição inicial.”
45 Uma vez mais, o apelante pretende alterar o facto para introduzir nele meios de prova. Remetemos para o que a propósito ficou dito.
46 Sem prejuízo, a matéria em causa, a ser considerada nos termos pretendidos, nenhuma relevância assume para a decisão de direito, nem o apelante a justificou, por ser instrumental face ao mérito do pleito.
47 O apelante limita-se a considerar que a redação induz em erro sugerindo que estes foram os únicos movimentos realizados.
48 Não se vê que assim seja, tanto mais que a matéria assente nas als. K) a OO) refere todos os movimentos ocorridos.
49 Deve improceder esta impugnação.
Ponto b) dos factos não provados
50 Tem a seguinte redação:
Que o autor não tenha facultado a terceiros a password de acesso ao NET24 ou qualquer outra credencial de acesso e, mais concretamente, que depois de aceder ao link constante do SMS recebido, o autor não tenha disponibilizado qualquer código, informação pessoal ou bancária.
51 Diz o apelante que este facto está diretamente relacionado com a circunstância de ter resultado provado o constante do ponto 20), como, aliás, também resultou da fundamentação o tribunal de primeira instância.
52 Diz ainda que os argumentos invocados na impugnação, quanto ao facto 20, deveriam determinar que este facto tivesse resultado provado.
53 E que, por se tratar um facto negativo, a análise deve considerar o princípio da proporcionalidade, implicando uma menor exigência probatória por parte do aplicador do direito.
54 À luz da apreciação que fizemos do ponto 20 dos factos provados, esta matéria tem que se manter não provada, por ser versão contrária àquela. Tendo ficado provado que o apelante facultou a terceiros dados bancários pessoais, os motivos que ali aduzimos são os mesmos que fundamentam a reposta de não provado neste caso.
55 Em conclusão, o tribunal de primeira instância julgou bem esta matéria.
Ponto d) dos factos não provados
56 Tem a seguinte redação:
Que o “perfil” de cliente do autor era o de quem não efetuava repetidas transferências e pagamentos num curto lapso temporal.
57 Começamos por notar que a matéria que o apelante pretende seja considerada como provada encerra natureza conclusiva e formula aprioristicamente um juízo que não deve ocupar o espaço próprio da matéria de facto.
58 Além disso, apresenta uma formulação genérica que também não deve ser integrada no âmbito da matéria de facto, designadamente pelo uso das expressões “perfil de cliente” e “repetidas transferências e pagamentos” que, sem integração factual, nada significam de relevo.
59 Pelo exposto, a matéria em causa não tem lugar em sede de matéria de facto, razão pela qual se indefere esta impugnação.
Pontos e) e g) dos factos não provados
60 O ponto e) tem a seguinte redação:
Que o autor estava a contar com o último mês de estudo intenso, para assimilar o máximo de informação possível para o exame de acesso à especialidade.
61 O ponto g) tem a seguinte redação:
Que o resultado obtido no exame tenha sido uma consequência do seu estado de espírito desde o dia 20.10.2019.
62 Diz o apelante que aqueles factos devem ser integrados na matéria de facto provada, porque decorre da prova produzida que o apelante estava muito focado no estudo e que a fraca classificação obtida foi uma consequência direta do que aconteceu e de que tomou conhecimento em 20 de outubro, a menos de um mês da realização da prova.
63 Diz também que o tribunal deveria ter recorrido a uma presunção judicial para considerar provada esta matéria, por ser do conhecimento geral, e por isso dever entender-se como facto notório que o resultado obtido na Prova Nacional de Acesso à Especialidade condiciona o futuro profissional dos médicos, e também que exige um estudo aturado, prolongado.
64 O tribunal de primeira instância fundou a sua convicção da seguinte forma:
Quanto às alíneas e) a g), não foi feita prova disto: não foi feita prova da classificação obtida no exame, ninguém se referiu à organização temporal do estudo do autor, não foi feita prova das consequências práticas para a carreira do autor face à nota obtida, nem foi feita qualquer prova de que o resultado tenha sido uma consequência direta do estado de espírito em que ficou com os acontecimentos que estão em causa neste processo, dado que se trata de um exame que reflete o estudo durante muitos anos de curso de medicina, e não apenas do estudo do último mês. Além disso, desconhece-se o percurso universitário do autor, se era um aluno acima da média, na média ou abaixo da média, sendo, em todo o caso, um percurso que exige muita inteligência, estudo, trabalho e sacrifício. Ou seja, não foi feita prova de que a nota obtida seja dissonante do percurso universitário do autor.
65 Depois de analisar a prova produzida, apenas podemos concluir que o último mês fazia parte do ano de estudo que o apelante estava a ter. Os depoimentos conjugados do pai, da mãe, do irmão e do amigo RM, levam a essa conclusão, com especial incidência para a circunstância de que a preparação é feita num ano.
66 Sendo inegável que resultou demonstrado que o exame requer estudo profundo e que apelante já vinha estudando há muito tempo, não podemos, porém, concluir mais do que este último mês fosse para finalizar o estudo que vinha sendo feito. Ora, esse facto já se mostra vertido no ponto 5 dos factos provados, sendo, portanto, desnecessário repeti-lo.
67 Já quanto ao resultado ser consequência do estado de espírito, afigura-se que nada foi carreado para os autos que o permita afirmar, ou sequer inferir. Designadamente, e a título exemplificativo, quais as perspetivas do apelante em termos de nota, face ao seu histórico como estudante, qual a nota em concreto que teve e em que medida tal nota se traduziu numa frustração do seu esforço. Uma inferência para este facto, como pretende o apelante, haveria de deduzir-se de factos base sustentados e seguros que permitissem, à luz de regras de experiência comum, designadamente na área em causa, estabelecer a relação de causa efeito necessária. Tal não aconteceu.
68 Pelo que também a impugnação quanto a estes factos improcede.
Em conclusão
69 A matéria de facto fixada pelo tribunal de primeira instância deve manter-se exceto quanto ao ponto 20 que é alterado nos seguintes termos:
20) Na sequência de ter carregado no link do SMS que recebeu, referido nas alíneas RR) e SS), o autor facultou a terceiros dados bancários pessoais.
2. Erro de Direito
70 Diz o apelante que o Banco não demonstrou como lhe competia que a operação de pagamento não foi afetada por deficiência do serviço, nem que o apelante tenha atuado com negligência grosseira.
71 As partes celebraram contratos de depósito e, coligados com estes, contratos de prestação de serviços, no âmbito do qual o apelante aderiu ao serviço de pagamentos eletrónicos ou à distância, também denominado homebanking, da apelante.
72 É sobre este contrato de prestação de serviços de pagamento que regula o Decreto-Lei n.º 91/2018 de 12/11.
73 No âmbito desse contrato o apelante foi vítima de smishing – forma de phishing realizada através de "SMS" (short message services, ou mensagens de texto). Numa e noutra situação, são enviadas mensagens que integram links ou anexos maliciosos ou com malware, que o destinatário é induzido a abrir e a partir dos quais, uma vez abertos, o agente acede ao conteúdo do telemóvel ou computador.
74 O que importa, pois, apurar é a responsabilidade de cada uma das partes no referido contexto, de acordo com o enquadramento fáctico.
2.1. Regime legal do Decreto-Lei n.º 91/2018 de 12/11 e o contrato de depósito
75 Os serviços de pagamento à distância são simultaneamente causa e consequência do mundo tecnológico em que vivemos. Contribuíram de forma incremental, com outros fatores, para o funcionamento de atividades económicas e sociais tais como as conhecemos atualmente e, em consequência, hoje não consideramos, sequer, a possibilidade de viver sem eles.
76 Nesse contexto, a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno (segunda Diretiva de Serviços de Pagamento – DSP2) procedeu a uma revisão do enquadramento jurídico europeu em matéria de serviços de pagamento.
77 Regime que foi, em sequência, transposto para o nosso ordenamento jurídico nacional pelo Decreto-lei n.º 91/2018, de 12/11.
78 A Diretiva DSP2 que a legislação nacional transpôs, visou atualizar o regime vigente, que a evolução tecnológica, a entrada de atores externos no sistema bancário e a criação de novos serviços de pagamento ultrapassou (nota-se, aliás, quanto a isto, que a Diretiva DSP2 não pretendeu ficar refém da evolução tecnológica, tendo optado por uma formulação abrangente quanto aos serviços de pagamento que permita integrar novos formatos que possam decorrer da evolução tecnológica futura (ver a título de exemplo os considerandos 4 e 6) – a vida é mais célere do que capacidade de resposta das pesadas máquinas legislativas e pela abertura que possibilita nessa matéria, a Diretiva DSP2 reconhece tal realidade.
79 O regime da Diretiva DSP2 transposto é extremamente complexo. Além de estabelecer regimes de licenciamento e de transparência na prestação de serviços por parte das instituições financeiras, criou direitos e obrigações para os prestadores de serviços de pagamento e utilizadores e definiu os requisitos de segurança aplicáveis aos pagamentos eletrónicos e à proteção dos dados financeiros dos consumidores, a fim de garantir a autenticação segura e reduzir o risco de fraude.
80 Estabeleceu também diretrizes para a garantia de que os instrumentos de pagamentos eletrónicos seguros contribuem de forma fundamental para apoiar o crescimento da economia da União e para garantir que os consumidores, os comerciantes e as empresas podem usufruir da escolha e da transparência dos serviços de pagamento a fim de tirarem pleno partido do mercado interno (considerando 5), com segurança e salvaguarda contra utilizações abusivas.
81 Ocupam-nos, nesta ação, apenas os segmentos da Diretiva DSP2, e Decreto-Lei de transposição, respeitantes aos direitos e obrigações dos prestadores de serviços de pagamento e dos utilizadores; aos requisitos de segurança aplicáveis aos pagamentos eletrónicos; e à proteção dos dados financeiros dos consumidores na medida em que se apliquem ao homebanking (expressão que é hoje familiar a todos como associada ao banco em linha ou online – vamos ao banco sem ali nos deslocarmos fisicamente).
82 O Homebanking respeita à movimentação à distância dos fundos que depositamos numa determinada conta bancária de que somos titulares ao abrigo de uma relação bancária – titulada por um contrato de depósito.
83 Pelo contrato de depósito bancário o depositante tem a garantia de que o banco devolverá ou transferirá por sua ordem as quantias que ali depositou, através de acordo que é postulado por um contrato-quadro – trata-se da “convenção de giro” implícita ao contrato (cf. Menezes Cordeiro, em Manual de Direito Bancário, Almedina 2008, p. 432).
84 O homebanking não altera essa realidade. Apenas acrescenta novas formas de movimentar os fundos disponíveis na conta de depósito bancário e novas formas de comunicar com o banco, integrando-se no conceito amplo de “convenção de giro” a que aludimos.
85 O homebanking integra a “possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, de utilizar toda uma panóplia de operações bancárias, online, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o que se reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet” – cf. acórdão do STJ de 18/12/2013, Pr. 6479/09.8TBBEG.G1.S1.
86 O modelo de homebanking permite ao utilizador que, com toda a comodidade e rapidez, e sem se movimentar, disponha dos fundos que depositou no banco para o efeito que entender e pelas formas admissíveis. Pode, designadamente, utilizar aplicações de pagamento no telemóvel, ou em programas informáticos disponíveis em computador, tablet, smartphone para transferir fundos; realizar pagamentos online; realizar pagamentos presenciais em estabelecimentos; emitir cartões virtuais para realização de pagamentos; ou emitir códigos para levantamento de numerário em caixas automáticos (ATM).
87 Pelo homebanking, amplia-se a liberdade do depositante na movimentação dos seus fundos e reduzem-se, na perspetiva do banco, os custos fixos decorrentes de instalações e pessoal. O ganho é recíproco. Citamos, a propósito, o Ac. STJ de 12/12/2023: “E, acrescentamos nós, esse progresso tecnológico, conforme os tempos o revelaram, revelou-se em simultâneo produtor de maior comodidade para os clientes uma vez que passaram a poder realizar as suas operações sem terem de se deslocar às agências bancárias, mas também, e até essencialmente, revelou-se favorável às instituições bancárias que puderam reduzir (significativamente) os seus custos de atendimento quer com instalações quer com pessoal. A implementação e expansão destes meios eletrónicos, numa consideração geral considerados como fiáveis, reclama constantemente mecanismos de segurança por as plataformas onde se situam estarem sujeitas a ataques tendo por finalidade o acesso à conta bancária do cliente, contra a vontade deste, para realizar a subtração dos fundos que nela se encontrem”.
88 A Diretiva DSP2 e regime legal nacional que a transpôs, aplicam-se ao homebanking, como o definimos. A lei detalhou o que é incluído e excluído do regime (Artigos 4.º e 5.º, do Decreto-Lei em análise).
89 O modelo de homebanking e todo o regime que o rodeia centram-se sobretudo na regulação das novas formas, que a evolução tecnológica potenciou, de movimentação dos fundos depositados, sem deixar de garantir que a essencialidade do contrato de depósito – o contrato base – não é desvirtuada.
90 A lei estabelece, para o funcionamento deste modelo de sistemas de pagamentos, um conjunto de pressupostos fundamentais, dos quais salientamos com relevo para a questão que nos ocupa: o cumprimento do conjunto de deveres que impendem sobre todos os intervenientes das operações complexas que se desenrolam por meio do homebanking e a autorização do depositante.
2.1.1. Pressuposto: cumprimento de deveres
91 A par da autorização, o funcionamento do modelo depende do cumprimento de deveres impostos a todos os intervenientes.
92 Do lado do utilizador (artigo 110.º do Decreto-Lei n.º em análise):
- Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objetivas, não discriminatórias e proporcionais, para o que o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.
- Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento.
93 Do lado dos prestadores de serviços de pagamento, com interesse para o caso que nos ocupa, relevam, designadamente, os seguintes:
- Apenas realizar operações consentidas pelo ordenante pela forma acordada – artigo 103.º do Decreto-Lei n.º 91/2018;
- Garantir que as operações não são afetadas por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado – artigos 70.º e 114.º do Decreto-Lei n.º 91/2018;
- Aplicar autenticação forte nas situações legalmente determinadas (artigo 104.º do Decreto-Lei n.º 91/2018) – por esta forma se garante que o consentimento é manifesto e corresponde à autorização do utilizador;
- Realizar a operação solicitada e autorizada se reunidas as condições previstas no contrato-quadro celebrado, exceto se ocorrer acesso fraudulento ou não autorizado à conta de pagamento – Artigos 108.º, 109.º e 120.º do Decreto-Lei n.º 91/2018.
- Reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada (artigo 114.º), exceto se tiver motivos para desconfiar de fraude.
94 Como se diz no AC. TRG, de 25/11/2013, Pr. 2869/11.4TBGMR.G1, de 25/11/2013 acerca da articulação destes deveres: “O banco garante segurança na implementação deste contrato, e o cliente um conjunto de obrigações conexas com a segurança, uma vez que lhe é fornecida pelo banco uma chave que lhe permite o acesso. E, para um uso seguro desta chave, é necessário que a mesma não seja transmitida a terceiros por qualquer forma, porque o sistema apenas conhece a chave e não o seu portador. Digitada a chave de forma correta, o sistema valida-a e assume que está em presença do verdadeiro portador da mesma. Daí a ênfase que o banco dá ao momento da adesão ao contrato, com a entrega do número do contrato, o envio do envelope com o código pessoal e do cartão matriz e com as recomendações impostas, alertando para a importância dos deveres de segurança que o aderente terá de seguir na execução do contrato, para que se consiga atingir o objetivo final, que é aceder às contas, movimentá-las em segurança, sem que terceiros desviem dinheiro das mesmas para outras.
É um contrato que exige colaboração mútua e transmissão de informação permanente. O banco terá o dever de informar o cliente das regras de segurança a seguir na execução do contrato, de situações que envolvam fraudes através de intrusos informáticos no sistema, para esclarecer os perigos e a forma de os contornar. E os clientes devem comunicar ao banco todas as situações duvidosas fora das rotinas normais.
Por sua vez, os clientes que adiram a este contrato devem ter uma cultura informática mínima, capazes de saberem viajar na Web, conscientes dos perigos que isso importa, mas que, seguindo à risca as instruções do banco, não haverá perigo. E isto, porque a senha envolve três elementos que terão de conjugar-se entre si, para que a movimentação das contas, para fora do património do cliente, seja possível”.
Obrigação de execução das ordens e exceções
95 Salientamos, pela importância que reveste neste caso concreto, a articulação da obrigação do banco de realizar a operação solicitada e autorizada se reunidas as condições previstas no contrato-quadro celebrado com as exceções a essa obrigação.
96 O princípio base continua a ser o que rege o depósito bancário: “verificados os pressupostos – e, designadamente a disponibilidade de fundos na conta – concluímos que o banqueiro não deve recusar a ordem de transferência que o cliente lhe transmita, salvo justa causa: proibição administrativa ou prudencial, dúvidas quanto à operação ou sua legalidade ou dificuldades técnicas” – Cf. António Menezes Cordeiro, obra citada.
97 Sendo certo, que no âmbito do contrato de depósito celebrado, o banco é obrigado a realizar as operações ordenadas pelo depositante, o que é também assegurando no caso do homebanking – artigo 120.º, do Decreto-Lei n.º 91/2018) -, é necessário que tal obrigação apenas ocorra em condições de segurança, o que adquire particular relevância num contexto em que o utilizador e o banco não contactam fisicamente.
98 Assim, razões de segurança podem determinar a não execução das ordens do depositante – cf. artigos 108.º e 109.º, do diploma em análise – designadamente, acesso fraudulento ou não autorizado à conta de pagamento – Artigos 108.º, 109.º e 120.º do Decreto-Lei n.º 91/2018.
99 MIGUEL PESTANA DE VASCONCELOS, no artigo A RESPONSABILIDADE DO BANCO POR OPERAÇÕES DE PAGAMENTO NÃO AUTORIZADAS NO ONLINE BANKING, DECORRENTE DO NOVO REGIME DE SERVIÇOS DE PAGAMENTO (RSP II), publicado na revista Julgar n.º 42, set-dez 2020 fala mesmo de um poder-dever aplicável, mesmo em caso de mera suspeita, e justifica:
“Se acordado de forma expressa no contrato-quadro, o prestador de serviços de pagamento pode reservar-se o direito de bloquear um instrumento de pagamento por “motivos objetivamente fundamentados”, que estejam relacionados com a segurança do instrumento de pagamento, a suspeita de utilização não autorizada ou fraudulenta desse instrumento ou aumento significativo do risco de o ordenante não poder cumprir as suas responsabilidades de pagamento, caso se trate de um instrumento de pagamento com uma linha de crédito associada (artigo 108.º, n.º 2, als. a), b) e c), RSP).
(…)
Trata-se, em rigor, de um direito-dever. Estando em jogo a segurança do instrumento de pagamento, bem como a suspeita de utilização não autorizada ou fraudulenta desse instrumento, recai sobre o prestador de serviços um dever de proteção do património decorrente da boa fé.
Já vimos que ela é mais intensa — caracterizante, mesmo — na relação bancária, traduzindo-se, de entre outros, em deveres de proteção do património do cliente que lhe está confiado. Cremos mesmo que ainda que esse direito não esteja previsto nos contrato-quadro de serviços de pagamento, ainda assim, mesmo sem essa permissão específica, o prestador de serviços estava vinculado (não só podia, mas devia) a atuar com vista a tutelar os interesses patrimoniais do cliente” (ênfase aditada).
100 A não execução da ordem, em caso de suspeita de falta de autorização, obedece a rigoroso regime e é limitada ao período de tempo necessário ao esclarecimento das suspeitas – cf. artigo 108.º do Decreto-Lei em análise.
101 Em síntese, o banco é responsável pela segurança das transações, cabendo-lhe garantir que só devem ser realizadas operações autorizadas. Em caso de dúvida ou suspeita, deve bloquear a transação pelo tempo necessário ao esclarecimento. No caso de assim não proceder, incumpre, pelo que lhe cabe proceder ao reembolso das quantias movimentadas sem autorização.
2.1.2. Pressuposto: Autorização
102 A autorização que, no contexto do regime que analisamos, mais não é do que uma das formas que assume, na relação bancária base, a ordem do cliente para a movimentação dos fundos depositados, suscita particulares dificuldades nos serviços de pagamento à distância por duas razões: a manifestação da autorização não pode ser comprovada pessoalmente pela identificação do titular da conta; e, hoje, por força da evolução tecnológica, também o ato de autorização é expresso de forma diversa da tradicional. A autenticação forte, que a Diretiva trouxe de novo, é dirigida a ultrapassar essas dificuldades. Será abordada adiante, a propósito do enquadramento deste caso.
103 Nessa medida e contexto, preocupa-se o legislador comunitário em garantir que uma ordem de pagamento autorizada tem que ser uma ordem consentida. E consentida na forma acordada entre o ordenante e o respetivo prestador do serviço de pagamento (artigo 103.º, n.ºs 1 a 4 do Decreto-Lei n.º 91/2018). O consentimento é a manifestação apreensível da autorização do utilizador. É pela manifestação do consentimento, pelas formas acordadas, que se afere da autorização.
104 Inversamente, o consentimento que não é manifestado nos termos determinados na lei equivale a falta de exteriorização da autorização, logo, falta de autorização (n.º 5, do artigo 103.º, mesmo diploma).
2.1.2.1. Operação não autorizada
105 No caso de uma operação de pagamento não autorizada, o prestador de serviços de pagamento deverá reembolsar imediatamente ao ordenante o montante dessa operação (artigo 114.º, n.º 1, do Decreto-Lei n.º 91/2018).
106 Tal só não acontecerá – com exceção da situação anormal prevista no artigo 135.º - em caso de suspeita de fraude devidamente comunicada por escrito às autoridades.
107 Assim é dada a forma como o modelo de responsabilidade está desenhado, com especial peso para o banco que só não responderá em casos de fraude e de incumprimento por parte do utilizador das suas obrigações, a título de dolo ou negligência grosseira.
108 Citamos de novo MIGUEL PESTANA DE VASCONCELOS, no artigo referido:
“Cabe ao utilizador manter sistemas de segurança, de diversa natureza, state of the art, para impedir que a conta do utilizador dos serviços seja acedida por terceiros, sem a autorização deste. Como vimos, trata-se de uma verdadeira obrigação de resultado, próxima de uma obrigação de garantia.
A sua justificação económica é clara: o cliente paga diversas comissões, em crescendo, pela realização de operações de pagamento. O seu cerne, diríamos que um dos núcleos da contraprestação do banco pela comissão paga (que tem sempre nos termos da lei de ter como correspetivo um serviço efetivo por parte do banco — art.º 3.º, al. f), do Decreto-Lei n.º 58/2013 de 8 de maio), é que a segurança dos fundos que confia ao banco seja protegida.
Ela desdobra-se, ou tem consagração direta, nos deveres de assegurar a proteção das credenciais e na deteção de operação abusivas ou fraudulentos.
Mas tem caráter geral, como se vê. As operações abusivas ou fraudulentas podem assumir configurações muito diversas e, num momento em que sistemas de inteligência artificial possam dar vantagem aos hackers, o banco tem de assegurar a proteção das contas. Violado o sistema, salvo em casos bastante restritos, de força maior, responde”.
109 É nesta configuração de responsabilidade que o legislador impõe ao banco, em derrogação das regras gerais de ónus probatório, que demonstre não só que cumpriu todas as suas obrigações, mas ainda que o utilizador não cumpriu as que se lhe impunham.
110 Nos presentes autos, ocorreram débitos na conta do apelante, que este comunicou ao banco apelado não ter autorizado – tratam-se das transações ocorridas entre as 13h56m e as 15h23m do dia 17 de outubro de 2019, através do canal Net24 e Netmóvel 24 – cf. factos J e PP.
111 Esses débitos foram precedidos, no dia 12 de outubro de 2019, pela receção, por parte do apelante, de um SMS cujo teor seria semelhante a: “Alerta de Segurança - Montepio: deve atualizar os seus dados, para o fazer aceda aqui”, tendo no final um link, ao qual o apelante acedeu.
112 O apelante tinha ainda arquivado no seu telemóvel a fotografia do cartão matriz - que consiste num cartão entregue pelo apelado aos clientes, com coordenadas com um total de 216 dígitos, em 72 posições com 3 dígitos cada, destinado à validação de operações passíveis de alteração do património.
113 Entende o banco estarem verificados os fundamentos de isenção da sua responsabilidade, porque cumpriu todas as suas obrigações e porque o apelante agiu com negligência grosseira.
114 São esses fundamentos de isenção da responsabilidade do banco que importa analisar – regularidade e segurança das operações bancárias e negligência grosseira do apelante.
A operação de pagamento foi autenticada, devidamente registada, e contabilizada e não foi não foi afetada por avaria técnica ou qualquer outra deficiência do serviço de pagamento prestado pelo Banco apelado.
115 Ónus probatório do banco para afastar a sua responsabilidade é o de demonstrar que o sistema de pagamentos que disponibiliza esteve isento de falhas e não contribuiu para o sucedido.
116 De acordo com a matéria de facto, as transferências e pagamentos identificados nas als. K) a OO), no dia 17/11/2019 através do serviço homebanking, Montepio 24 – Particulares (facto 32), foram devidamente validadas (factos 12, 34, 35), sem que o sistema informático do banco tenha registado qualquer quebra de segurança na criação, gestão e execução de operações no sítio informático da ré (factos 31 e 36).
117 Concluímos que as operações em causa foram todas devidamente registadas e contabilizadas, tendo cumprido os requisitos legais que decorrem do regime legal, e realizadas mediante autenticação forte.
118 Nos termos da legislação, porém, como já vimos, as obrigações do banco têm alcance mais vasto do que o invocado e demonstrado pelo apelado.
119 Retomamos o artigo de MIGUEL PESTANA DE VASCONCELOS, a que já aludimos, para reiterar que o prestador de serviços tem um especial dever de proteção do património do depositante por ser a parte que, na relação contratual, tem a capacidade de se dotar dos meios tecnológicos mais avançados para detetar se a segurança do instrumento não estará comprometida.
120 Diz o referido autor:
“Este dever tem mesmo uma particular intensidade, porque ele é um dos baluartes da defesa do património do cliente. O banco tem de se dotar dos meios tecnológicos mais avançados para poder estar em posição de detetar se a segurança do instrumento não estará comprometida, se não está a ser utilizado de forma não autorizada ou fraudulenta. O recurso a instrumentos informáticos e a aplicações de inteligência artificial permite estabelecer padrões de comportamento de um dado cliente, quanto à frequência de utilização da conta, os horários, os montantes de que dispõe, os IP utilizados. Há ainda formas técnicas de detetar sintomas de utilização potencialmente abusiva. Há padrões de abuso e de fraude.
O banco tem de se dotar de todos os meios que permitam fazer essa deteção e, havendo suspeita objetiva, exercer o direito de bloqueio nos termos definidos na norma — o que passa em primeiro lugar, e sempre que possível, pelo contacto com o utilizador.”
121 Esta obrigação assume particular relevância neste caso, em que surpreende e inquieta que no espaço de 87 minutos tenha sido retirado das contas do apelante, por 6 vezes, o montante de 3.750€ e, por 19 vezes, o montante de 454,50€, numa média de quase 3,5 minutos por movimento.
122 Sem considerar, claro, as tentativas que não tiveram sucesso – ver M), R) e KK) dos factos provados.
123 Não é normal, nem comum, um particular efetuar em prazo de tempo tão curto tantos movimentos de igual montante. Sobretudo, se nunca teve esse comportamento em momento anterior. Este não é o comportamento típico (ou pelo menos o banco não invocou ou demonstrou essa normalidade).
124 Só podemos concluir que algo não correu bem no sistema de segurança do banco, que provido e gerido por sofisticados algoritmos, não detetou a possibilidade de que parte daqueles 25 movimentos podiam ser, na realidade, resultado de uma utilização intrusiva e fraudulenta.
125 Limitamos a responsabilidade do banco apenas a parte dos movimentos porque sendo evidente, como mencionámos, que o banco tinha a obrigação de detetar um padrão anormal de movimentos na conta bancária, também é certo que essa obrigação não lhe podia ser imposta quando ainda não havia essa anormalidade, isto é, na ocorrência dos primeiros movimentos. Naturalmente, nas primeiras operações seria impossível qualquer deteção de fraude, porque foi precisamente a circunstância de se verificar um padrão de operações repetidas no contexto sobredito, que lhes conferiu anormalidade e que, nesse momento apenas, deveria ter suscitado a diligência do banco. Isto é, não seria exigível que o sistema detetasse alguma anormalidade até esta ocorrer de facto, e isso apenas aconteceu a partir de certo momento da sucessão reiterada de movimentos do mesmo montante, em tão curto espaço de tempo.
126 Assim, concluímos ser legítimo considerar que não era exigível ao banco adotar qualquer medida relativamente aos primeiros movimentos ocorridos, mas essa conclusão já não pode aceitar-se a partir do momento em que os movimentos se tornaram repetitivos, de montantes iguais e em tão curto espaço de tempo, cessando apenas pelo esvaimento do saldo da conta.
127 E foi quanto a esta obrigação que o banco incumpriu os seus deveres contratuais de guarda dos valores depositados pelo apelante.
128 Tal como configurámos inicialmente, entre apelante e banco apelado estabeleceram-se diversos contratos sobre o contrato base de depósito bancário.
129 O depósito bancário é, por sua vez, subtipo do contrato de depósito cujo dever nuclear é o de guarda – cf. Rui Paulo Coutinho Ataíde, Direito dos Contratos II, Contrato de Depósito, AAFDL 2021, p. 27 – dever que distingue este contrato de outras formas de contrato com aspetos afins (ex. comodato ou locação). Outro dever contratual do contrato de depósito, igualmente relevante e decorrente do aludido, é o de restituição da coisa findo o prazo ou a todo o tempo (artigo 1201.º, do Código Civil).
130 Como vimos, neste caso, a obrigação que impendia sobre o banco, de guarda dos montantes depositados, não foi devidamente cumprida, tendo o banco atuado com culpa, por não ter agido com a diligência necessária a acautelar as quantias depositadas. Não acautelou nos seus sistemas informáticos a eventualidade de um tal evento fraudulento, com este padrão, pelo menos quanto aos movimentos que revelaram anormalidade, como podia e devia.
Negligência grosseira do utilizador
131 A negligência grosseira do utilizador dos serviços de pagamento no cumprimento das suas obrigações, neste caso, o apelante, exclui também a responsabilidade do banco.
132 Resulta da lei (artigo 110.º do Decreto-Lei n.º 91/2018) que o utilizador deve utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização e deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.
133 É precisamente essa diligência do utilizador que é posta em causa nestes autos, sendo imputada ao apelante incumprimento dos seus deveres com negligência grosseira.
134 Sobre a negligência grosseira, considera-se na Diretiva DSP2 que (ênfase aditada): “(72) para avaliar a eventual negligência ou negligência grosseira cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias. Os elementos de prova e o grau da alegada negligência deverão ser avaliados nos termos do direito nacional. Todavia, embora o conceito de negligência implique uma violação do dever de diligência, a negligência grosseira deverá significar mais do que mera negligência, envolvendo uma conduta que revela um grau significativo de imprudência; por exemplo, conservar as credenciais utilizadas para autorizar uma operação de pagamento juntamente com o instrumento de pagamento, num formato que seja aberto e facilmente detetável por terceiros”.
135 No Ac. STJ de 12/12/2023, no processo 9240/20.5T8LSB.L1.S1 foi igualmente assumido, em seguimento da Diretiva DSP2, que a apreciação da negligência deve ser casuística e em função dos factos concretos: “É com incidência no modo concreto como ocorreu essa subtração que deverá formar-se o juízo de responsabilidade ou irresponsabilidade da recorrente”.
136 E, de facto, a jurisprudência portuguesa tem também considerado a análise casuística da negligência grosseira, inexistindo uma abstração genérica dos comportamentos que a devam integrar, no contexto dos pagamentos bancários e da utilização dos serviços de pagamentos à distância.
137 Destacam-se, com relevância, as seguintes decisões:
Ac. TRP, de 14/7/2020, Processo 22158/17.OT8PRT.P1:
Foi configurada como negligência grosseira a conduta do cliente do banco que transmitiu as credenciais de autenticação ao pai que as disponibilizou online e, site e por meio não apurado, incluindo os números das coordenadas do cartão matriz e que foi através do uso dessas credenciais de acesso que foram subtraídos montantes da conta.
Ac. TRP de 4.6.2019, Processo 1482/17.7T8PRD.P2:
Foi considerado que agiu sem culpa o cliente vítima de pharming, na sequência do que revelou os dispositivos de segurança fornecidos pelo banco que, de forma não apurada, originaram os movimentos a débito não autorizados na conta do cliente.
Ac. TRP, de 13.10.2016, Processo 2513/14.8TBVFR.P1
Foi considerado que agiu apenas com culpa leve o cliente que numa operação bancária online forneceu, a pedido da plataforma, o número e modelo do seu telemóvel.
Ac. TRP de 7.10.2014, Processo 747/12.9TJPRT.P1
Não foi considerada negligente a conduta do cliente que, numa operação bancária online durante a qual surgiu no ecrã uma mensagem que indicava que o autor deveria efetuar o download de uma aplicação para o telemóvel, e onde faltava preencher dois campos relativos à marca e modelo do telemóvel, tenha assim procedido inserindo nos campos a informação relativa ao telemóvel, após o que o cliente recebeu no seu telemóvel uma mensagem escrita com vista a efetuar um download da aplicação, que fez.
Ac. TRL de 01.10.2020, Processo 19530/17.9T8LSB.L-8
Foi considerada negligente a conduta do marido da cliente que, na sequência de contacto eletrónico, facultou as credenciais de acesso da conta co titulada pela cliente, mãe e irmã.
Ac. TRL de 12/7/2018, processo 2256/17.OT8LSB.L1-7.
Foi considerada negligente a conduta da cliente que, em circunstâncias não concretamente apuradas, em resposta através de meios informáticos, acreditando que estava a responder a uma solicitação do banco, no âmbito do seu sistema informático de homebanking introduziu o seu código de acesso pessoal e um número não determinado de coordenadas numéricas do seu cartão matriz, que lhe tinha sido disponibilizado pela ré, numa página da internet não operada pela ré, mas por terceiros desconhecidos que lhe solicitaram a introdução desses dados e que agiram sem o conhecimento ou consentimento de alguma das partes nesta ação.
Ac. TRL de 10.05.2018, Processo 8903/151T8LSB.L1-2 e Ac. de 15.03.2016, Proc. 1063/12.1TVLSB.L1
O Tribunal entendeu que a entrega à contabilista do código de segurança não era suficiente para considerar que houve conduta negligente.
Ac. TRL de 20. 16.04.2015, Processo 971/13.7TJLSB.L1-8
Foi considerada negligência grosseira a partilha pelos clientes, com terceiro não titular da conta bancária, dos códigos e elementos de segurança e acesso ao serviço caixa direta online, que este partilhou na internet.
Ac. TRL de 12.12.2013, Processo 164/11.TBSRT.L1-6.
Foi considerada conduta negligente a conduta da cliente que ao tentar entrar no sistema da Caixa Direta, tendo o sistema solicitado a “atualização da matriz”, introduziu os números desse cartão.
Ac. TRC de 31.03.2020, Proc. 93/15.6T8TND.C1. e Ac. de 15.01.2019, Processo 5600/11.OTBLRA.C1.
Foi entendido que a cedência pelo utilizador, no quadro de uma solicitação de pharming, dos elementos de acesso e movimento do homebanking, não o coloca, por via de regra, e salvo se o prestador provar dolo ou negligência grave daquele, numa situação responsabilizante.
Ac. TRE de 12.04.2018, Processo 9002/16.4TSTB.E1
Considerou haver negligência do cliente pela conduta de aceder a página eletrónica ilícita convencido de que estava a aceder à página do banco, tendo a solicitação do sistema, inserido o número de identificação, o pin, e a totalidade das coordenadas do cartão matriz, não obstante advertências de que o pedido de mais do que duas posições do cartão matriz indicia a presença de página fraudulenta.
Ac. TRE de 25.06.2015, Processo 3052/11.4TBSTR.E1 e Ac. TRG 09.06.2020, Processo 51/18.9T8PRG.G1
Entendeu haver culpa do cliente que fornece todo o conteúdo do cartão matriz perante solicitação de uma página idêntica à do banco, por contrariar toda a lógica do sistema de segurança que não pode ser desconhecida por parte do titular.
Ac. TRG de 10.07.2019, Proc. 2406/17.7T8BCL.G1
Entendeu que não era grave para efeitos de culpa a conduta do cliente que nunca fez uma operação com cartão matriz e que forneceu os dados desse cartão em sítio eletrónico parecido com o do banco.
Acórdão com um voto de vencido, no sentido de que tal comportamento configura negligência grosseira.
Ac. TRG de 25.11.2013, Proc. 2869/11.4TDGMR.G1
Entendeu que age com culpa o cliente que fornece o conteúdo todo do cartão matriz em sítio eletrónico parecido com o do banco, por tal contrariar a lógica do sistema o que não pode ser desconhecido.
Ac. TRL de 13/7/2023, processo 9240/20.5T8LSB.L1
O TRL, com um voto de vencido, entendeu que não configurava negligência a situação em que a cliente do benco carregou em hiperligação que recebeu em mensagem de SMS, remetida alegadamente pelo Banco, referindo que o seu acesso à NET24 se encontrava inativo e que teria de aceder ao site do Banco ali mencionado e alterar o seu Código PIN de modo a voltar a ter acesso à NET24 e ao cartão matriz, na sequência de ter sido em data anterior àquela e pelo menos por duas vezes, contactada pelo banco no sentido de reativar o seu acesso ao homebanking.
Pronunciando-se sobre o mesmo caso, o STJ, em Ac. de 12/12/2023, confirmou a decisão do Tribunal da Relação, entendendo que nas circunstâncias particulares do caso, a conduta da cliente não foi censurável.
Ac. TRG de 17/12/2014, processo 1910/12.8TBVCT.G1
Situação em que a informação do cartão matriz terá sido inserida, mas não foi feita prova de que tenha sido o autor.
138 Neste caso, face aos factos, concluímos, como o tribunal de primeira instância, que o apelante não terá cumprido da forma mais diligente as suas obrigações.
139 O tribunal de primeira instância analisou e apreciou, concretamente, que o acesso pelo telemóvel do apelante ao link malicioso e o arquivamento da fotografia do cartão matriz no telemóvel foram dois fatores que, conjugados com o restante circunstancialismo demonstrado, designadamente:
- as advertências do banco, presentes em todos os acessos à página do seu Sítio eletrónico, onde consta, designadamente que “O Montepio nunca lhe solicitará a realização de qualquer atualização de segurança de códigos de identificação via e-mail, ou via SMS”.
- A formação superior, universitária do apelante; e o contexto familiar: um irmão engenheiro civil; o pai, diretor de serviços; e a mãe licenciada e professora de informática.
- A circunstância de o Phishing ser prática fraudulenta amplamente conhecida e referida na comunicação social, que existe desde os finais do século XX.
- A circunstância de não ter o apelante carregado no link por algum tipo de impulso ou distração.
levam à conclusão de que o apelante incumpriu as suas obrigações.
140 Em complemento, importa considerar que, neste caso, ao consentimento prestado para as operações, foi aplicada a autenticação forte, o principal mecanismo criado pela Diretiva DSP2 para reforçar a segurança nas transações e garantir que a operação resulta da autorização do utilizador - uma autenticação baseada na utilização de dois ou mais elementos pertencentes às categorias conhecimento (algo que só o utilizador conhece), posse (algo que só o utilizador possui) e inerência (algo que o utilizador é), os quais são independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros, e que é concebida de modo a proteger a confidencialidade dos dados de autenticação (artigo 2.º, al. d), e 104.º, do Decreto-Lei em análise).
141 Sendo obrigação do banco a implementação da autenticação forte na validação das operações em causa - n.º 1, do artigo 104.º - é evidente que esta autenticação só cumprirá a sua função se o utilizador também cumprir diligentemente as suas obrigações, de forma a preservar as credenciais que a integram, do risco de utilização fraudulenta.
142 A autenticação forte exigida para as operações é fundamental para o reforço da segurança. Na sua conceção está a atomização da informação necessária à validação da operação. Isto é, com a autenticação forte exigem-se elementos de categorias diferentes, independentes entre si, de fontes diferentes, para concluir de forma válida a operação; e a força da segurança reside precisamente nessa circunstância: elementos identificativos diferentes e de categorias diferentes que são apenas convocados de forma aleatória e casuísta para cada operação solicitada.
143 Juntar ou permitir a junção desses elementos de credenciação é anular o efeito de reforço na segurança que o modelo proporciona.
144 Discordamos, porém, do tribunal de primeira instância quanto à qualificação da negligência como grosseira.
145 Na realidade, à luz das circunstâncias concretas que analisámos e, em face daquele que tem sido o excurso jurisprudencial em circunstâncias semelhantes, julgamos que a culpa que aqui se verificou foi uma culpa relevante, mas que não alcançou o mais exigente nível da negligência grosseira para o qual, a falta de cuidado deve ser escandalosa e o desleixo inadmissível, assim apreensível de modo generalizado.
146 Não vemos que, neste caso, se tenha alcançado tal patamar. Pese embora de relevo, a falta de cuidado evidenciada não deve ser qualificada como negligência grosseira por, apesar de tudo, não se poder considerar que o apelante tenha praticado um erro imperdoável, ou uma desatenção ou incúria inexplicáveis, caracterizadores da mesma.
Fixação da indemnização
147 Do que ficou dito, resulta uma confluência de condutas culposas na produção dos resultados lesivos sofridos pelo apelante, que não pode deixar de ser atendida. Pese embora o banco tenha incumprido os seus deveres contratuais de guarda dos montantes depositados, a conduta do apelante, culposa, como vimos (sem que se possa qualificar como negligência grosseira), contribuiu para a produção dos danos que o próprio sofreu.
148 Nos termos do artigo 570.º, n.º 1, do Código Civil quando o lesado aja com culpa e a sua conduta concorra para a produção ou agravamento dos danos, cabe ao tribunal determinar, com base na gravidade das culpas de ambas as partes e nas consequências que delas resultaram, se a indemnização deve ser totalmente concedida, reduzida ou mesmo excluída.
149 Esta norma surge no contexto da obrigação de indemnizar e é aplicável sempre que ambas as partes agiram com culpa concorrente para o evento danoso.
150 A conduta do lesado pode concorrer para o evento danoso ou pode ser consequente a ele – (cf. José Brandão Proença (Coord.), Comentário ao Código Civil, Direito das Obrigações, Das Obrigações em Geral, Universidade Católica Editora, 2018, p. 577 a 579).
151 Refere o mesmo autor que o relevo da culpa do lesado traduz um princípio geral da responsabilidade civil. Este princípio, consideramos nós, não pode deixar de ser atendido quando se trate de responsabilidade civil subjetiva, sob pena do lesante ser penalizado além da medida da sua culpa.
152 Por esse motivo, a sua aplicação não é afastada pelo regime do Decreto-Lei n.º 91/2018, devendo ponderar-se, desde que apuradas, corresponsabilidades causais na produção dos danos.
153 Sobre a culpa do lesado, diz ainda o autor citado que “é uma culpa imprópria não técnica por não assentar numa conduta ilícita (…) a falta de cuidado ou de zelo dos seus bens não envolve ilicitude, mas somente, e segundo o entendimento dominante, a inobservância de um ónus jurídico”.
154 Assim, o que se aprecia na conduta do lesado não é a censurabilidade da conduta, mas apenas a medida de participação da mesma na produção e/ou agravamento nos danos, apreciada de acordo com os princípios de causalidade adequada – cf. Código Civil anotado Pires de Lima e Antunes Varela, em anotação a este artigo, Coimbra Editora, 1987. No mesmo sentido ainda Acórdão do Supremo Tribunal de Justiça de 20.3.2003, Oliveira Barros, 24/03, Sumários.
155 Neste caso, ponderando a gravidades das culpas em função das regras legais violadas, os efeitos que delas decorreram e considerando que:
- o sistema de segurança do apelado não detetou como deveria a intrusão fraudulenta na conta do apelante, o que causou, pelo menos a partir de certo número de movimentos, a saída de valores da conta bancária que o banco estava obrigado a guardar;
- foi a conduta do apelante que criou o condicionalismo necessário à fraude, ao introduzir uma vulnerabilidade no sistema que deveria manter-se suficientemente robusto para evitar intrusão.
156 Entende-se que as condutas de ambas as partes contribuíram em igual medida para a produção do resultado, pelo que a repartição deverá ser feita em partes iguais – 50% para cada parte.
Conclusão
157 Em face da repartição de responsabilidade julgada adequada face à medida de contribuição apurada, o banco apelado deverá ser condenado a reembolsar ao apelante o montante global de 16.022 €, alterando-se nesta parte a decisão recorrida.
158 Tal quantia deverá ser acrescida de juros a contar da data em que o apelante deveria ter reembolsado a conta – dia 22/10/2019 - à taxa de 4%, acrescida de 10 pontos percentuais - de acordo com o artigo 114.º, n.º 1, do Decreto-Lei n.º 91/2018 e Portaria n.º 291/2003, de 8/4, até integral pagamento.
2.2. Da responsabilidade civil do apelado
159 A apelante pretende ainda a condenação do banco a pagar-lhe uma indemnização pelos prejuízos que sofreu decorrentes do não reembolso imediato das quantias em causa.
160 Tal direito é reconhecido nos termos do artigo 114.º, n.º 10, do Decreto-Lei n.º 91/2018, de 12/11: a lei determina que a instituição bancária que não reembolse o utilizador imediatamente, incorre em responsabilidade civil, que deverá ser apurada nos termos gerais, verificados os pressupostos respetivos: facto, a ilicitude, o dolo ou mera culpa, os prejuízos ou danos e a relação causal entre o facto ilícito e culposo e os prejuízos ou danos – artigo 483.º, do Código Civil.
161 Neste caso, o apelante não demonstrou que se verificaram os pressupostos integradores do direito de ser ressarcido pela apelante.
162 Pese embora se tenha concluído que o banco não reembolsou de imediato o apelante, conforme deveria ter feito, não foi demonstrada a existência de danos nem que esses danos tenham sido causados pelo não reembolso imediato.
163 A absoluta ausência de prova nesta matéria leva a que, sem necessidade de outras considerações, o recurso deva improceder, nesta parte.
3. Custas
164 Nos termos do artigo 527.º, n.ºs 1 e 2, do Código de Processo Civil, as custas deverão correr por ambas as partes na proporção do decaimento.
165 Na verdade, face à procedência parcial da presente apelação, é inegável que ambas as partes decaíram, devendo por isso suportar as custas do presente recurso (na modalidade de custas de parte).
DECISÃO
Pelo exposto, acordam os juízes deste Tribunal da Relação em julgar parcialmente procedente o presente recurso, alterando parcialmente a decisão impugnada e substituindo-a pela seguinte:
- Condena-se o banco apelado a pagar ao apelante a quantia de 16.022 €, acrescida de juros a contar da data em que o apelante deveria ter reembolsado a conta – dia 22/10/2019 - à taxa de 4%, acrescida de dez pontos percentuais, até integral pagamento.
- No mais, deve manter-se a decisão recorrida.
Custas por ambas as partes na proporção do decaimento.
O presente acórdão mostra-se assinado e certificado eletronicamente.
Lisboa, 20 de fevereiro de 2024
Rute Alexandra da Silva Sabino Lopes
José Capacete
Carlos Oliveira |
