| Decisão Texto Integral: | Acordam na 7.ª Secção do Tribunal da Relação de Lisboa
A. Relatório
A.A. Identificação das partes e indicação do objeto do litígio
AAA instaurou a presente ação declarativa, com processo comum, contra WIZINK Bank, S.A.U. – Sucursal em Portugal, pedindo a condenação da ré a:
“a) Restituir à conta-cartão n.º 0008######, titulada pelo autor, o valor de € 13.406,00 (…);
b) A pagar ao autor (…) os juros moratórios, devidos dia a dia, desde 19 de março de 2024, até à data da restituição efetiva, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais.
c) Requerer à Central de Responsabilidades de Crédito do Banco de Portugal a eliminação de todas as informações que venham a ser (sic) prestadas quanto ao saldo de € 13.406,00;
d) Indemnizar o autor pelos danos não patrimoniais em valor não inferior a € 500,00 (…)”.
Para tanto, alegou que foi vítima de uma utilização abusiva dos meios de pagamento associados a uma “conta-cartão” de que é titular por parte de terceiros. A ré inscreveu a débito nesta “conta-cartão” os pagamentos abusivamente realizados.
Citada a contraparte, ofereceu esta a sua contestação, defendendo-se, quer alegando não merecer reparo a sua conduta, quer alegando que o autor agiu com negligência grosseira.
Após realização da audiência final, o tribunal a quo julgou a ação procedente, concluindo nos seguintes termos:
“a) Condeno a ré a restituir à conta-cartão n.º 0008###### titulada pelo autor o valor de € 13.406,00 (…), acrescido de juros, à taxa legal, vencidos desde 19 de março de 2024, e até integral pagamento;
b) Condeno a ré a pagar ao autor a quantia de € 500,00 (…), a título de compensação por danos de natureza não patrimonial;
c) Condeno a ré a comunicar à Central de Responsabilidades de Crédito do Banco de Portugal a inexistência de dívidas do autor à ré relacionadas com as operações em causa nestes autos (…)”.
Inconformada, a ré apelou desta decisão, concluindo, no essencial:
“A. A sentença recorrida é nula, nos termos do artigo 615.º, n.º 1, alínea c), do Código de Processo Civil, por existir contradição entre os fundamentos e a decisão (…). (…)
E. A conduta do autor, tal como descrita nos factos provados, viola frontalmente os deveres de prudência (…), preenchendo objetivamente o conceito de negligência grosseira (…). (…)
*
K. O ponto 40 dos factos provados (…) é incompatível com os restantes factos (…).
L. Deve, por isso, ser alterado (…) para: “O autor não tinha intenção de realizar as operações registadas na sua conta entre as 12h02 e as 12h23 do dia 19.03.2024, apesar de as mesmas terem sido validadas por si, mediante a introdução dos códigos de autenticação enviados para o seu telemóvel.”
M. Deve ser igualmente aditado o facto provado n.º 53, consistente na demonstração de que o autor introduziu, por seis vezes, códigos de autenticação em página externa ao Banco, permitindo a execução das operações.
*
O. (…) [O] Banco atuou de forma tecnicamente regular e sem falhas, não existe qualquer ilicitude imputável ao recorrente, requisito indispensável da responsabilidade civil. (…)
R. Não existe qualquer prova de danos não patrimoniais sofridos pelo autor (…)”.
O apelado contra-alegou, pugnando pela manutenção de decisão do tribunal a quo recorrida.
A.B. Questões que ao tribunal cumpre solucionar
Começaremos por afastar a nulidade da sentença reclamada.
As questões de facto a decidir são as enunciadas nas conclusões da alegação de recurso acima transcritas.
As questões de direito a tratar – em torno da imputação dos danos decorrentes da utilização abusiva dos meios de pagamento por terceiros – serão mais desenvolvidamente enunciadas no início do capítulo dedicado à análise dos factos e à aplicação da lei.
*
B. Fundamentação
B.A. Factos provados (conforme decidido pelo tribunal ‘a quo’)
1. Contratos bancários celebrados
1 – Em 24 de junho de 2005, o autor celebrou com o “Citibank Internacional PLC, Sucursal em Portugal” um contrato de adesão-utilização de cartão de crédito.
2 – Posteriormente, o negócio de cartões de crédito onde se incluía o subscrito pelo autor foi vendido pelo “Citibank Internacional PLC, Sucursal em Portugal” e adquirido pela instituição de crédito “Barclays Bank PLC.”.
3 – E subsequentemente a instituição de crédito “Barclays Bank PLC.” vendeu o negócio de cartões de crédito, onde se incluía aquele subscrito pelo autor, à ré.
4 – Em virtude daquela subscrição inicial, o autor manteve com a ré um cartão de crédito ao qual foi atribuído o n.º 4194######, emitido ao abrigo da conta-cartão n.º 0008######.
5 – O autor utilizava regularmente o referido cartão de crédito para compras na internet.
6 – O autor pagava o crédito utilizado e as respetivas comissões sobre o valor das transações efetuadas no mês imediatamente seguinte à sua utilização.
7 – O limite do cartão de crédito do autor era de € 13.580,00.
8 – A ré é uma instituição de crédito que opera através de canais digitais.
9 – O autor geria e controlava os movimentos e as operações de crédito mantidas com a ré através dos canais digitais fornecidos por esta, designadamente através do acesso ao portal WiZink online ou através da App WiZink, aplicação que instalou no seu telemóvel.
10 – O número de telemóvel do autor registado no sistema da ré é 96#######.
11 – A autorização de utilização de crédito para pagamentos de bens ou serviços, no portal WiZink online e na App WiZink era realizada através de método de autenticação forte.
12 – Nos extratos mensais enviados pela ré ao autor constava, no final, um alerta de fraude.
2. Atuação fraudulenta de terceiro
13 – No dia 19 de março de 2024, pelas 11h53h, o autor recebeu uma mensagem telefónica de um contacto telefónico identificado no seu telemóvel como “WiZink” a informá-lo que os seus códigos de utilizador iriam expirar, devendo, por esse motivo, aceder a http://WiZink.ptcartoes-app.online/ para regularizar a situação antes do bloqueio do cartão.
14 – A indicada mensagem não foi remetida pela ré.
15 – Ao aceder ao portal http://WiZink.ptcartoes-app.online/ o autor foi reencaminhado para uma página com a identificação do banco, incluindo logotipo e dados de contacto, onde eram solicitados os respetivos dados pessoais, nomeadamente o número de contribuinte, número de telemóvel e data de nascimento, sendo que tal página de internet era absolutamente idêntica às páginas do portal WiZink online.
16 – De acordo com as instruções recebidas pelo número identificado no seu telemóvel como “WiZink” e por forma a regularizar a situação antes do bloqueio do cartão, o autor introduziu no portal http://WiZink.ptcartoes-app.online/ o seu número de contribuinte, número de telemóvel e data de nascimento, por forma a confirmar os respetivos dados pessoais solicitados pelo banco.
17 – E concluiu a operação de validação do cartão através da introdução de um código que lhe foi enviado por mensagem de texto (SMS) do banco WiZink para o telemóvel.
18 – Após introduzir os respetivos dados, o autor foi reencaminhado para uma página que lhe pedia para autorizar uma transação no valor de € 1.500,00 e, caso não fosse para validar a transação, deveria colocar o código de autorização que lhe foi enviado para o telemóvel no campo “Não autorizar”.
19 – O autor recebeu, de imediato, uma mensagem do banco – do mesmo número que lhe havia solicitado a validação do cartão – com um código, que introduziu na página, no campo “Não autorizar” para não validar a transação.
20 – Esta situação repetiu-se, e logo depois de ter introduzido o código, a página atualizou e o pedido para autorizar a transação no valor de € 1.500,00 continuava a aparecer no ecrã, mantendo-se o campo “Não autorizar” em branco.
21 – Tendo o autor recebido de imediato uma nova mensagem do banco – do mesmo número que lhe havia solicitado a validação do cartão e que lhe enviou os códigos – com um novo código, que voltou a introduzir na página para não validar, novamente, a transação.
22 – Neste momento, sem se aperceber, o autor fez dois pagamentos:
a) às 12h02, para a entidade com o número 12543, com a referência 131643183, no valor de € 1.500,00;
b) às 12h03, para a entidade com o número 12543, com a referência 131642984, no valor de € 1.500,00.
23 – De seguida, às 12h08 o autor recebeu uma chamada telefónica do número de telefone 707780808, que se encontrava identificado no seu telemóvel como “WiZink Bank S.A.U – Sucursal em Portugal”, que atendeu.
24 – Ao atender aquela chamada, o autor iniciou contacto com alguém que se intitulou funcionário do banco WiZink, lhe pediu a data de nascimento para confirmar o contacto, questionou-o se estava a par das mensagens que tinha recebido, e o informou que estaria a ser alvo de um ataque informático e de uma tentativa de subtração de valores de forma ilegítima.
25 – Durante essa chamada, o suposto funcionário do banco WiZink informou o autor que, caso aquele não estivesse a adquirir quaisquer produtos, deveria recusar a operação, pelo que iria enviar-lhe códigos para o telemóvel, os quais este deveria introduzir no campo “Não autorizar” para ativar a mencionada recusa.
26 – No decurso daquela chamada foi solicitado ao autor que repetisse os procedimentos que já tinha feito e que, no portal do banco, introduzisse cada um dos códigos rececionados no seu telemóvel no campo “Não autorizar”, recusando, desta forma, as operações.
27 – E assim, com as instruções de quem se havia intitulado funcionário do banco, o autor voltou a repetir os procedimentos anteriores e introduziu cada um dos códigos que foi recebendo no seu telemóvel no campo que mencionava “Não autorizar” da página do banco.
28 – Sem se aperceber, e com as instruções de quem se havia intitulado funcionário do banco que o contactou através no número WiZink 707780808, a conta de crédito do autor acabou por ser subtraída com mais seis pagamentos para as seguintes entidades, através das seguintes referências, pelos seguintes valores:
a) Às 12h13, para a entidade com o número 12543, através da referência 131647413, pelo valor de € 1.500,00;
b) Às 12h15, para a entidade com o número 12543, através da referência 131647612, pelo valor de € 1.500,00;
c) Às 12h17h, para a entidade com o número 23239, através da referência 015876837, pelo valor de € 2.698,00;
d) Às 12h20, para a entidade com o número 23239, através da referência 588590254, pelo valor de € 2.698,00;
e) Às 12h21, para a entidade com o número 12543, através da referência 131648357, pelo valor de € 1.500,00;
f) Às 12h23, para a entidade com o número 46014, através da referência 651521072, pelo valor de € 510,00.
29 – As mensagens enviadas acima referidas em 19, 21 e 27 tinha o seguinte conteúdo: “WiZink Pagamento Servicos Entidade: ***** Referencia: ********* Montante: *.***,00EUR Codigo autorizacao: ********”.
30 – No final daquela chamada, que durou cerca de 16 minutos o autor foi informado que o seu cartão seria bloqueado e que lhe seria enviado outro cartão para o seu domicílio postal.
3. Deteção da fraude e posição assumida pela ré
31 – Às 13h05h, ao aperceber-se da subtração do saldo de € 13.406,00 da sua conta, o autor contactou telefonicamente a ré, para o mesmo número 707780808, para apurar a origem daquelas transações.
32 – Durante essa chamada, o banco mostrou desconhecer a situação, e o autor foi informado que iria ser averiguado o sucedido pelo departamento de segurança.
33 – Após esta situação, o autor foi informado, por mensagem de texto enviada pelo mesmo número de telemóvel WiZink, às 14h07, que o seu cartão fora bloqueado.
34 – Às 17h20h, do dia 19 de março de 2024 o autor apresentou reclamação formal no livro de reclamações digital da ré.
35 – A ré solicitou ao seu Departamento de Fraude uma análise ao sucedido e relatado pelo autor.
36 – O autor foi contactado telefonicamente pelo Departamento de Fraude da ré, no dia 20 de março de 2024.
37 – No decurso da chamada, a ré explicou ao autor que, até à conclusão do processo (interno) de fraude, o valor em disputa iria ser novamente creditado, o que veio a ocorrer a 21 de março de 2024, só voltando a ser debitado caso se concluísse pela responsabilidade do cliente.
38 – O processo de investigação pelo departamento de fraude da ré foi concluído e considerou o cliente (o autor) responsável pelas transações em causa, no valor total de € 13.406,00.
39 – No dia 28 de março de 2024, a ré respondeu à reclamação do autor concluindo que se tratava “de uma fraude externa ao Banco, sem qualquer intervenção ou dependência do mesmo” e que “as referidas transações foram realizadas através de mecanismos de autenticação forte, em que as transações e respetivas ordens de pagamento foram prestadas proactivamente”, com recurso à disponibilização dos dados pessoais e intransmissíveis do autor, e que as mesmas tinham sido “realizadas com sucesso no dia 19 de março de 2024, entre as 12:17:38 e as 12:23:22”.
4. Outros factos
40 – O autor não solicitou nenhuma das operações registadas na sua conta e realizadas entre as 12h02 e as 12h23 do dia 19 de março de 2024.
41 – No dia 19 de março de 2024, não foi registada qualquer falha nos sistemas de segurança da ré.
42 – No dia 26 de março de 2024, o autor recebeu no seu email um alerta para fraude.
43 – O autor é empresário em nome individual, desempenhando a atividade de mecânico de oficina automóvel, sendo o recurso ao crédito relevante para o desempenho da sua atividade.
44 – Em virtude desta situação, o autor deixou de poder utilizar a sua linha de crédito para exercício da sua atividade, o que trouxe maior dificuldade na gestão do seu dia-a-dia familiar e profissional.
45 – O autor sentiu-se revoltado, envergonhado, frustrado, angustiado, diminuído e impotente.
46 – Em 16 de julho de 2024, o autor apresentou queixa-crime no DIAP de Ponta do Sol.
47 – O autor cancelou a autorização de débito direto para pagamento das quantias associadas à movimentação do cartão de crédito emitido pela ré.
48 – Em 6 de novembro de 2023, o jornal “Observador” publicou, sob o título “Ministério Público acusa oito arguidos de lesarem 60 titulares do cartão WiZink em 205 mil euros”, uma notícia com, entre outro, o seguinte teor:
«O Ministério Público (…) acusou oito arguidos de burlarem 60 titulares de cartões de crédito WiZink, em quase 205 mil euros, através de um esquema em que se faziam passar por funcionários da instituição financeira, foi segunda-feira anunciado.
Em nota publicada na página da Internet, a Procuradoria-Geral Regional do Porto (…) conta que, entre fevereiro de 2021 e maio de 2022, seis dos arguidos, “agindo individual ou concertadamente entre si, atuaram sobre 60 vítimas, titulares de cartões de crédito WiZink, junto de quem se apresentaram como funcionários da WiZink”.
“Pedindo-lhes os códigos dos cartões, sob pretexto de se destinarem a obstar à finalização de operações a débito supostamente fraudulentas, quando, na verdade, os códigos solicitados se destinavam a validar operações de carregamento de contas Revolut acessíveis aos arguidos e operações de pagamento online realizadas por estes”, sustenta a acusação.»
49 – O fenómeno de phishing tem sido divulgado nos diversos meios de comunicação social, atingindo até o Banco de Portugal, regulador do setor.
50 – No presente, a ré dispõe no seu site uma brochura com vários alertas e procedimentos para o consumidor navegar protegido.
51 – A ré propôs ao autor o pagamento do valor em dívida com total isenção de cobrança de juros ou comissões, num prazo a acordar de até 60 meses.
52 – A ré comunicou à Central de Responsabilidades do Banco de Portugal que o autor desde 27 de março de 2024 não assegura o pagamento das mensalidades associadas à sua conta-cartão.
B.B. Arguição de nulidades (vícios processuais)
A apelante arguiu a nulidade da sentença, por contradição entre os fundamentos e a decisão (art. 615.º, n.º 1, al. c), do Cód. Proc. Civil).
Neste sentido, conclui:
“A. A sentença recorrida é nula, nos termos do artigo 615.º, n.º 1, alínea c), do Código de Processo Civil, por existir contradição entre os fundamentos e a decisão (…). (…)
E. A conduta do autor, tal como descrita nos factos provados, viola frontalmente os deveres de prudência (…), preenchendo objetivamente o conceito de negligência grosseira (…)”.
Reza a primeira parte da norma enunciada na al. c) do n.º 1 art. 615.º do Cód. Proc. Civil que “[é] nula a sentença quando (…) [o]s fundamentos estejam em oposição com a decisão”. O Supremo Tribunal de Justiça vem entendendo que “a contradição geradora de nulidade ocorre quando os fundamentos invocados pelo juiz conduziriam logicamente não ao resultado expresso na decisão, mas a resultado oposto ou, pelo menos, de sentido diferente” – cfr. o Ac. do STJ de 14-04-2021 (3167/17.5T8LSB.L1.S1). A nulidade por contradição entre os fundamentos e a decisão representa “um erro de raciocínio lógico consistente em a decisão emitida ser contrária à que seria imposta pelos fundamentos de facto ou de direito de que o juiz se serviu ao proferi-la: a contradição geradora de nulidade ocorre quando os fundamentos invocados pelo juiz conduziriam logicamente não ao resultado expresso na decisão, mas a resultado oposto ou, pelo menos, de sentido diferente” – idem, cfr., ainda, entre muitos outros, os Acs. do STJ de 20-05-2021 (69/11.2TBPPS.C1.S1), de 09-03-2022 (4345/12.9TCLRS-A.L1.S1), de 26-01-2021 (2350/17.8T8PRT.P1.S2), de 27-04-2023 (374/22.2T8LRA.C1.S1), de 10-01-2023 (508/20.1T8AGH.L1.S1), de 12-01-2021 (1801/19.1T8CSC.L1-B.A.S1), de 22-02-2022 (3282/17.5T8STB.E2.S1) e de 29-04-2021 (704/12.5TVLSB.L3.S1).
A “oposição” referida na al. c) do n.º 1 art. 615.º é uma falha no silogismo judicial, tal como se encontra enunciado na sentença – cfr. o Ac. do STJ de 03-03-2021 (3157/17.8T8VFX.L1.S1). Aqui, o tribunal identifica uma premissa maior, isto é, tipicamente, uma determinada norma legal, compreendendo a sua fatispécie e a sua estatuição. Seguidamente, identifica uma concreta factualidade – ou uma realidade extraprocessual, ou circunstâncias processuais –, que afirma preencher a hipótese legal da premissa maior, constituindo-se ela como a premissa menor. Por último, sem apresentar nenhuma outra etapa no seu raciocínio, conclui com a não aplicação da estatuição ao caso concreto. Por exemplo: todos os culpados são condenados; o réu é culpado; o réu não é condenado.
Trata-se, pois, de um vício intrínseco, independente da validade das premissas, e que qualquer leitor pode constatar – ainda que desconheça a regra afirmada (premissa maior), isto é, o acerto da sua seleção, ou a bondade do acolhimento da premissa menor. Para sua deteção, não é necessário o conhecimento de elementos extrínsecos à decisão, por exemplo, nem da prova produzida, nem da lei aplicável (cuja fatispécie abranja o caso concreto). Sejam, ou não, acertadas as premissas apresentadas (isto é, os fundamentos), a conclusão (isto é, a decisão) não corresponde ao resultado da sua articulação. Essencial é que na sentença sejam enunciadas, ainda que imperfeitamente, as duas premissas do silogismo, pois é da sua articulação que resulta necessária uma conclusão (decisão), revelando-se a nulidade na não afirmação desta.
Inexiste no caso qualquer contradição intrínseca. Esta só existiria se o tribunal afirmasse na fundamentação que o autor agiu com negligência grosseira e, subsequentemente, na decisão, condenasse a ré a suportar todos os prejuízos (art. 115.º, n.º 4, do RJSPME). Bem ou mal, na fundamentação, o tribunal a quo disse que a cabia à ré suportar o dano, condenando-a depois, coerente e consequentemente, a suportá-lo. Quando muito, poderemos estar perante um erro de julgamento, vício este que não afeta a validade da sentença.
Pelo exposto, improcede a arguição de nulidade da sentença.
B.C. Impugnação da decisão sobre a matéria de facto
Pretende a apelante a alteração da fundamentação de facto da sentença, centrando-se em dois ponto de factos:
“K. O ponto 40 dos factos provados (…) é incompatível com os restantes factos (…).
L. Deve, por isso, ser alterado ao abrigo do artigo 662.º do CPC para: “O autor não tinha intenção de realizar as operações registadas na sua conta entre as 12h02 e as 12h23 do dia 19.03.2024, apesar de as mesmas terem sido validadas por si, mediante a introdução dos códigos de autenticação enviados para o seu telemóvel.”
M. Deve ser (…) aditado o facto provado n.º 53, consistente na demonstração de que o autor introduziu, por seis vezes, códigos de autenticação em página externa ao Banco, permitindo a execução das operações”.
Vejamos se com razão.
1. Impugnação da decisão sobre o ponto 40.º dos factos provados
O tribunal a quo deu por provados o seguinte facto:
40 – O autor não solicitou nenhuma das operações registadas na sua conta e realizadas entre as 12h02 e as 12h23 do dia 19 de março de 2024.
Entende a apelante que este enunciado se encontra imperfeitamente redigido, não sendo claro o sentido do segmento “não solicitou nenhuma das operações”, sendo incompatível, no seu sentido literal, com a restante factualidade dada por provada. Com razão.
Recorde-se que resultou provado – cfr, por exemplo, o ponto 19 – que o demandante, sendo induzido em erro pelo autor da fraude (burla), praticou os atos materiais que, alegadamente, causaram o dano – como, aliás, é típico de qualquer burla (art. 217.º, n.º 1, do Cód. Penal).
Importa, no entanto, desde já, sublinhar que as operações em questão não resultaram no levantamento de fundos de uma conta de depósitos do autor, mas apenas no seu registo a débito numa conta-corrente (“conta-cartão”) existente junto da ré (prestadora de serviços de pagamento). Esta realidade encontra-se profusamente documentada nos autos, designadamente no documento n.º 28 junto com a petição inicial – um extrato de conta periódico contendo um aviso para pagamento do débito corrido.
Neste documento podemos ver, além do mais que aqui se dá por transcrito:
| Data de emissão do extrato anterior | Data de emissão do extrato atual | Período a que se refere o extrato |
| 12/03/2024 | 14/04/2024 | De 13/03/2024 a 14/04/2024 |
| Resumo da conta-cartão no 8424 0309 00571355 |
| Limite de crédito | Crédito excedido | Saldo disponível |
| 13.580,00 € | 0,00 € | 72,11 € |
 | Saldo em divida à data do extrato atual |
| Montante em atraso | Cartão dê Crédito | crédito Adicional ' | TOTAL |
| 0,00 € | -13.304,11 € | 0,00 € | 13.507,89 € |
| Dados de pagamento | | | |
| Forma de pagamento acordada | Opção de pagamento | Data limite de pagamento | Montante a pagar |
| ATM | Não aplicável — Pagamento por ATM / Pagamento de Serviços | 29/04/2024
Se pagar por ATM: 25/04/2024 | 168,92 € |
| Pagamento por Débito Direto | | | |
| conta a debitar | n.a. | Autorização de Débito Direto | n.a. |
| (…) |
| (…) Dados para Pagamento por Multibanco | | |
| Entidade | 20891 | (…) |
| Referência | 303180810 | (…) |
| Montante mínimo a pagar | 168,92 | (…) |
| Data limite para pagamento em ATM | 25/04/2024 | (…) |
| (…) | | |
| n.a. — informação não aplicável | | |
Assim, deverá o ponto em questão passar a ter a seguinte redação provada:
40 – O autor não teve intenção de realizar as operações registadas na sua conta-cartão, efetuadas entre as 12h02 e as 12h23 do dia 19 de março de 2024, tendo atuado em erro sobre o efeito (sentido e alcance) dos procedimentos que adotou.
2. Ampliação do leque dos factos provados
Conclui a apelante que:
“M. Deve ser (…) aditado o facto provado n.º 53, consistente na demonstração de que o autor introduziu, por seis vezes, códigos de autenticação em página externa ao Banco, permitindo a execução das operações”.
Propõe que este ponto tenha a seguinte redação:
53 – Em consequência das ações descritas nos factos anteriores, o autor introduziu os códigos de autenticação recebidos por SMS em página externa ao Banco e facultou, por seis vezes, esses códigos a terceiros, permitindo assim a validação e execução das operações que vieram a ser contestadas, atuando dessa forma com negligência grosseira, violando os Termos e Condições do Acordo de Utilização.
A impugnação não pode proceder. O segmento final – “atuando dessa forma com negligência grosseira, violando os Termos e Condições do Acordo de Utilização” – representa um juízo conclusivo – como a própria apelante reconhece ao afirmar que estamos perante uma “conclusão” que se “impõe” –, e não perante uma proposição que deva ou possa ser objeto da pronúncia sobre a matéria de facto.
Quanto ao mais, estamos perante matéria alegada pela apelante – cfr., por exemplo, o art. 45.º da contestação. No entanto, no essencial – no segmento “o autor introduziu os códigos de autenticação recebidos por SMS em página externa ao Banco” –, esta matéria já foi objeto do julgamento de facto, desde o ponto 13 – factos provados – ao ponto 30 – factos provados.
É jurisprudência pacífica das Relações que “não se deverá proceder à reapreciação da matéria de facto quando os factos objeto de impugnação não forem suscetíveis, face às circunstâncias próprias do caso em apreciação, de ter relevância jurídica, sob pena de se levar a cabo uma atividade processual que se sabe ser inútil, o que contraria os princípios da celeridade e da economia processuais (arts. 2.º, n.º 1, 137.º e 138.º, todos do Cód. Proc. Civil)” – assim, entre muitos outros, cfr. os Acs. do TRC de 24-04-2012 (219/10.6T2VGS.C1), de 14-01-2014 (6628/10.3TBLRA.C1) e de 15-09-2015 (6871/14.6T8CBR.C1), do TRG de 15-12-2016 (86/14.0T8AMR.G1) e de 22-10-2020 (5397/18.3T8BRG.G1), e do TRL de 26-09-2019 (144/15.4T8MTJ.L1-2) e de 27-10-2022 (7241/18.2T8LRS-A.L1-2).
Por todo o exposto, rejeita-se o recurso sobre a decisão da matéria de facto, com o que se mantém inalterada a factualidade fixada em 1.ª instância – ressalvada a decidida nova redação do ponto 40 –, improcedendo a apelação nesta parte.
B.D. Análise dos factos e aplicação da lei
São as seguintes as questões de direito parcelares a abordar:
1. Apreciação do mérito da apelação
2. Excurso argumentativo exposto na sentença recorrida
3. Imputação do dano ao prestador do serviço
3.1. Distribuição do risco por quem o controla
3.2. Desproporção na distribuição do risco
3.3. Violação do dever de diligência pelo utilizador
4. Conclusão: parcial imputação do dano à ré
5. Pedido de pagamento de juros indemnizatórios e punitivos
6. Pedido de cancelamento de comunicação ao Banco de Portugal
7. Pedido de indemnização por danos não patrimoniais sofridos
8. Responsabilidade pelas custas
1. Apreciação do mérito da apelação
No essencial, a impugnação da decisão sobre a matéria de facto improcedeu, pois o que verdadeiramente se pretendia era a, não admitida, inclusão na fundamentação de facto da conclusão (de direito) de que o autor atuou “com negligência grosseira, violando os Termos e Condições do Acordo de Utilização”.
Não obstante, quer porque a apelante também discorre sobre a (alegadamente falhada) apreciação jurídica da causa, quer porque uma pequena alteração da decisão de facto foi determinada, impõe-se revisitar o julgamento do mérito da causa.
2. Excurso argumentativo exposto na sentença recorrida
O enquadramento de facto da relação material controvertida é manifestamente simples, não existindo verdadeira controvérsia sobre a sua tessitura. O autor foi vítima de phishing –utilização de métodos tecnológicos para levar o utilizador a revelar dados pessoais confidenciais –, isto é, no sentido comum do termo, foi usado numa fraude, com recurso a meios informáticos.
Não existe a menor dúvida de que o autor, induzido em erro por terceiros, utilizou credenciais de acesso e códigos de autorização de operação genuínos, fornecidos pela ré, para executar operações bancárias a débito, sem estar consciente do alcance da operação por si assim determinada. Apenas está em discussão o grau de negligência do autor – porque a mera existência de negligência na sua atuação é patente.
O tribunal a quo realizou a seguinte apreciação da conduta do autor:
“A este respeito salienta-se que está em causa [determinar se existe] a negligência grosseira (n.os 3 e 4 do artigo 113.º do RJSPME), e não a mera desatenção ou imprevidência. A este propósito, como anunciou desde logo a Diretiva PSD2 (cfr. Considerando 72), a negligência grosseira deverá significar mais do que mera negligência, envolvendo uma conduta que revela um grau significativo de imprudência. (…)
Realça-se que o critério para apreciação da relevância da negligência é particularmente exigente, demandando um grau de incúria que se afigura não estar verificado no caso vertente.
Com efeito, a primeira brecha na atuação do autor não é especial ou gravemente censurável: o autor recebeu uma mensagem SMS, que aparentava ser endereçada pela ré, tanto mais que integrou o histórico de SMS prévios [sublinhado nosso], e clicou no link aí contido, e que direcionou para uma página que correspondia, aparentemente, à que esperava encontrar, e aí introduzir confirmar dados e introduzir credenciais de acesso está longe de poder ser considerado um comportamento indesculpável, de gritante desatenção. Embora não sendo um comportamento que um utilizador particularmente experimentado, atento e sagaz adotasse, não choca admitir que o fizesse um utilizador comum, medianamente diligente. (…)
E, assim, no caso concreto, tendo os primeiros elementos sido transmitidos de forma não especialmente censurável, o autor ficou, em consequência, enredado numa situação ardilosa de que não mais se conseguiu aperceber e retirar.
O enquadramento jurídico adotado nesta judiciosa fundamentação pode ser inteiramente subscrito. O mesmo não sucede com a conclusão do mesmo extraída.
3. Imputação do dano ao prestador do serviço
Ao caso é aplicável o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME), aprovado pelo do Decreto-Lei n.º 91/2018, de 12 de novembro (que transpõe para a ordem jurídica interna a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho de 25 de novembro de 2015).
Dos n.os 1 e 5 do art. 103.ºdo RJSPME (n.os 1 e 2, § 2.º, do art. 64.º da Diretiva (UE) 2015/2366) resulta que uma operação de pagamento é considerada “não autorizada” sempre que é realizada por quem não está legitimado (como ou pelo ordenante). Ora, quando o utilizador adota um procedimento na (suposta) plataforma de homebanking que não é refletido na operação efetivamente realizada pelo sistema informático, merece esta a qualificação de “operação de pagamento não autorizada” – cfr. o Acórdão do TJUE de 11 de abril de 2019, Mediterranean Shipping Company, C-295/18, ECLI:EU:C:2019:320, §§ 43 e 54.
Posto isto, cabe agora determinar qual é o critério previsto na lei para a distribuição do risco de dano decorrente da realização de uma operação de pagamento não autorizada.
3.1. Distribuição do risco por quem o controla
Nos arts. 114.º e 115.º do RJSPME, o legislador procedeu a uma adjudicação do risco de perdas resultantes da realização de uma operação não autorizada a quem melhor o pode controlar – embora, como adiante veremos, agravando a posição de uma das partes. O domínio da fonte de risco explica, por si só, a (quase) automática atribuição das perdas de uma “operação de pagamento não autorizada” ao prestador de serviços, nos casos em que esta é executada com recurso a um “serviço de pagamento” automatizado por este predisposto. São, pois, os casos de “operação de pagamento remota” ou de utilização de um cartão bancário, nos quais, excluída a atividade dos utilizadores, o processamento do pagamento é inteiramente automatizado (sem intervenção humana do prestador de serviços de pagamento).
No contexto do serviço de “banca em linha” (telebanking ou homebanking), as soluções que os arts. 114.º e 115.º do RJSPME apresentam são compreensíveis. A instituição bancária controla o risco inerente à utilização da plataforma eletrónica por si predisposta – a quem pertence, por quem é gerida e que está instalada num servidor seu –, à qual os seus clientes podem aceder remotamente, através da Internet, utilizando credenciais de acesso fornecidas pela instituição, podendo este, assim, realizar diretamente – isto é, sem intervenção humana da instituição bancária – transferências de fundos, por exemplo.
Já o cliente controla, em larga medida, o risco de captura indevido às suas credenciais de acesso, mencionadas na al. j) do art. 2.º do RJSPME. Esta distribuição do risco aplica-se, ainda, por exemplo, à realização de operações com cartões bancários protegidos por dispositivos de segurança personalizados.
3.2. Desproporção na distribuição do risco
Podemos, no entanto, aceitar que, indo mais além, o legislador assumiu conscientemente uma adjudicação do prejuízo desproporcional ao risco controlado pelo prestador do serviço, com um propósito compulsório, visando “promover a criação de instrumentos mais seguros” – propósito presente na Diretiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de novembro, conforme consta no seu considerando (34).
Na mesma linha de raciocínio, também podemos admitir a existência de uma desproporção na distribuição do risco de dano, por pretender o legislador, legitimamente, incentivar o prestador do serviço a melhor informar e alertar o utilizador para os riscos inerentes à utilização do meio de pagamento. Assim se evita que o prestador, procurando a subscrição dos seus serviços, “carregue nas cores” das vantagens dos instrumentos de pagamento, dispensando menos atenção à descrição dos seus inconvenientes – notando a existência de deveres de “proteção, aconselhamento e informação” nascidos da celebração do contrato de abertura de conta, cfr. Miguel Pestana de Vasconcelos, «A responsabilidade do banco por operações de pagamento não autorizadas no online banking, decorrente do novo Regime de Serviços de Pagamento (RSP II)», Julgar, n.º 42, setembro-dezembro, 2020, p. 193.
Afigura-se-nos, a este respeito, que, na satisfação do seu dever de informação sobre a segurança na utilização dos meios de pagamento (cfr. o art. 91.º, al. e), subal. i) do RJSPME), e pelo elevadíssimo perigo de indução em erro que encerram, o prestador do serviço deve alertar o utilizador especificamente para a possibilidade de serem por este recebidas mensagens falsas que ostentam uma identificação de remetente aparentemente genuína, exatamente igual e indistinta da utilizada pelo primeiro, surgindo na sequência histórica de mensagens genuínas (thread), anteriormente efetivamente recebidas do prestador de serviços de pagamento (mensagens spoofed) – defendendo a existência de “um dever imposto à entidade bancária de explicar as situações mais comuns de fraude e os perigos específicos dos diferentes serviços que fornece, em função do tipo de utilizador envolvido e dos seus conhecimentos técnicos”, cfr. Maria Raquel Guimarães, «A repartição dos prejuízos decorrentes de operações fraudulentas de banca electrónica (home banking)», Cadernos de Direito Privado, n.º 41, janeiro/março 2013, p. 62.
As mensagens spoofed, pelas suas características especialmente insidiosas, constituem uma fragilidade do sistema de pagamento – permitem uma credível “usurpação de identidade” –, pelo que, “em última análise, é o prestador de serviços de pagamento eletrónico (…) que deve arcar com os danos” delas decorrentes – a expressão entre aspas é de Maria Raquel Guimarães, «A repartição dos prejuízos decorrentes de operações fraudulentas de banca electrónica (home banking)», Cadernos de Direito Privado, n.º 41, janeiro/março 2013, p. 65.
3.3. Violação do dever de diligência pelo utilizador
Por força do n.º 1 do art. 114.º do RJSPME, “o prestador de serviços de pagamento do ordenante deve reembolsar imediatamente o ordenante do montante da operação de pagamento não autorizada após ter tido conhecimento da operação ou após esta lhe ter sido comunicada e, em todo o caso, o mais tardar até ao final do primeiro dia útil seguinte àquele conhecimento ou comunicação”. No entanto, “havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento” (art. 15.º, n.º 4, do RJSPME). A imputação do dano resultante da utilização não consentida do meio de pagamento está, assim, dependente do juízo de culpa que possa lançar sobre a atuação do ordenante – tipicamente, o cliente bancário.
Sobre o conceito de “negligência grosseira”, rezam os considerandos iniciais n.os (71) e (72) da Diretiva (UE) 2015/2366:
“(71) No caso de uma operação de pagamento não autorizada, o prestador de serviços de pagamento deverá reembolsar imediatamente ao ordenante o montante dessa operação. (…) A fim de incentivar o utilizador do serviço de pagamento a notificar o prestador, sem demora indevida, (…) o utilizador só deverá ser responsável por um montante muito limitado, salvo em caso de atuação fraudulenta ou de negligência grosseira da sua parte (…).
“(72) Para avaliar a eventual negligência ou negligência grosseira cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias. Os elementos de prova e o grau da alegada negligência deverão ser avaliados nos termos do direito nacional. Todavia, embora o conceito de negligência implique uma violação do dever de diligência, a negligência grosseira deverá significar mais do que mera negligência, envolvendo uma conduta que revela um grau significativo de imprudência; por exemplo, conservar as credenciais utilizadas para autorizar uma operação de pagamento juntamente com o instrumento de pagamento, num formato que seja aberto e facilmente detetável por terceiros (…)”.
A negligência grosseira apresenta-se, assim, como uma violação qualificada de um dever de diligência. O exemplo dado no considerando (72) ilustra a adoção de um comportamento que, objetivamente, contraria a própria existência dos mecanismos de segurança associados aos meios de pagamento.
Quando a utilização de um cartão está protegida por uma palavra-passe, guardar o cartão com esta senha, em termos que se perceba a função desta, contraria a sua existência. A partilha consciente de credenciais de acesso à plataforma homebanking com terceiros também se qualifica, obviamente, como sendo uma atuação revestida de negligência grosseira. O mesmo se diga da partilha consciente com terceiros (pessoas físicas) de códigos de autorização de concretas operações (remetidos por SMS ou através da aplicação própria instalada num dispositivo móvel), apenas destinados à sua inserção na plataforma de homebanking – sendo que somente o utilizador não é terceiro, para estes efeitos, já o sendo, por exemplo, um (suposto) funcionário do prestador do serviço; sobre um caso destes, cfr. o recente Ac. do TRL de 13-01-2026 (347/23.8T8CDN.L1-7).
Finalmente, é reveladora de negligência grosseira a realização de operações não solicitadas pelo utilizador – isto é, que não sejam de sua iniciativa –, quando este se possa aperceber de uma falha no procedimento por si adotado com vista ao seu cancelamento – exigindo-se, neste caso, que cesse imediatamente a sua atuação e se assegure (pelos canais seguros predispostos pelo prestador) de que nenhum movimento anómalo foi concretizado. A informação de falha na realização da operação inscreve-se no conjunto de mecanismos de associados à segurança dos meios de pagamento, pelo que insistir, sem uma confirmação apropriada da sua regularidade, num procedimento que já se revelou ser inapropriado contraria a razão da existência daqueles mecanismos, constituindo uma grosseira violação do dever de cuidado.
Importa notar que, ainda que a conduta do utilizador não seja, inicialmente, grosseiramente negligente, pode ela, sendo reiterada, patentear um crescente grau de violação do dever de diligência. Neste caso, apenas a partir do momento em que a negligência grosseira pode ser afirmada (isto é, é atingida) será de responsabilizar o utilizador pelo (ulterior) dano – sobre esta apreciação evolutiva da conduta do utilizador do meio de pagamento, cfr. o recente Ac. do TRL de 05-02-2026 (6928/24.5T8LSB.L1-2), bem como o já citado Ac. do TRL de 13-01-2026 (347/23.8T8CDN.L1-7).
Conforme refere Pestana de Vasconcelos, a “porta para a imputação de perdas ao utilizador (…) é, assim, bastante apertada”, correndo o prestador o risco de dano mesmo decorrente de uma violação culposa dos deveres contratuais por parte do utilizador – cfr. Miguel Pestana de Vasconcelos, «A responsabilidade», cit., pp. 202 e 209. No entanto, também temos de reconhecer que, com a crescente adoção de métodos de autenticação forte, atualmente a culpa do utilizador, a existir, facilmente atinge o limiar da negligência grosseira – cfr. Raquel Sofia Ribeiro de Lima, «A responsabilidade pela utilização abusiva on-line de instrumentos de pagamento eletrónico na jurisprudência portuguesa», Revista Electrónica de Direito, outubro, 2016, n.º 3, p. 46.
Recapitulando, reveste-se de negligência grosseira a atuação do utilizador que contraria a própria existência dos mecanismos de segurança associados aos meios de pagamento, podendo qualquer pessoa minimamente instruída (isto é, com a escolaridade obrigatória) e diligente (isto é, que procura informar-se sobre os assuntos que lhe dizem respeito) reconhecer o risco de realização por terceiros de operações não autorizadas resultante dessa atuação.
Tendo ocorrido a disponibilização de credenciais de acesso ou de códigos para uma concreta operação de pagamento através de uma plataforma na Internet, como ocorre no caso dos autos, e em ordem a podermos concluir pela existência, ou não, de negligência grosseira na atuação do utilizador, devemos verificar se as circunstâncias do caso explicam (permitem compreender) a razão pela qual entendia este não estar a interagir com terceiros, não reconhecendo o risco associado à sua conduta.
4. Conclusão: parcial imputação do dano à ré
Sublinhou o tribunal a quo que os contactos fraudulentos recebidos pelo autor – Short Message Service (Serviço de Mensagens Curtas ou SMS) – inseriram-se automaticamente na mesma sequência de mensagens (thread) verdadeiras que o autor havia recebido anteriormente da ré. Este resultado é conseguido pelo cibercriminoso através da falsificação do identificador (Sender ID Spoofing). As mensagens spoofed surgem, assim, frequentemente, inseridas no histórico real com um contacto legítimo registado no dispositivo móvel.
O tribunal a quo rematou a sua fundamentação do seguinte modo:
Não existindo, nos termos expostos, negligência grosseira do autor, as perdas resultantes de operações não autorizadas correm pela ré, nos termos do disposto no n.º 1 do artigo 114.º e n.os 3 e 4, a contrario, do artigo 115.º do RJSPME, cabendo-lhe, como tal, restituir ao autor as quantias retiradas em concretização daquelas operações, repondo à conta-cartão do autor, identificada em 4., n.º 0008######, o saldo retirado de € 13.406,00”.
O autor tinha, efetivamente, uma razão para acreditar que estava a interagir, num ambiente cibernético confidencial, com a plataforma de homebanking da ré: a prévia receção da mensagem spoofed, surgida num histórico de utilização de um sistema de autenticação forte (art. 2.º, al. d), do RJSPME). Uma razão frágil, é certo, mas, ainda assim, suficiente para afastar inicialmente o muito exigente standard do juízo de censura próprio da negligência grosseira – tendo em consideração aquela que será a capacidade de discernimento do comum cidadão na utilização de meios de pagamento eletrónicos, no início do segundo quartel do séc. XXI (art. 487.º, n.º 2, do Cód. Proc. Civil).
No entanto, o autor foi alertado para uma falha na realização da operação inicialmente tentada. A informação de que a operação pretendida pelo autor não foi realizada – melhor, de que o cancelamento da operação não pretendida não foi executado – permitia perceber que havia sido concluída ou estava em curso uma “utilização não autorizada do instrumento de pagamento”. Se uma ação não pretendida pelo utilizador, envolvendo o instrumento de pagamento, havia sido concluída (ou estava em curso), tinha este o dever de imediatamente inteirar-se sobre os seus contornos (art. 110.º, n.º 1, al. b), do RJSPME), iniciando um contacto com o prestador pelos canais seguros por este predispostos.
Não obstante, o autor repetiu o procedimento anteriormente adotado – procedimento que, note-se, já raiava a negligência grosseira. E repetiu a sua atuação, uma e outra vez (num total de oito vezes), até (praticamente) esgotar o saldo da conta-cartão. Só depois de estar praticamente esgotado o plafond de crédito – cfr. o facto 31 –, resolveu o autor efetuar o contacto que devia ter realizado logo após a receção da primeira mensagem de falha na realização da operação de cancelamento. Esta conduta, manifestamente, é grosseiramente negligente, preenchendo a hipótese legal do n.º 4 do art. 115.º do RJSPME – podendo também equacionar-se o preenchimento do n.º 3, segundo caso.
Não podendo ser inicialmente afirmada a negligência grosseira do autor, deve ser adjudicado à ré o risco de dano concretizado com o sucesso do esquema de phishing na primeira operação não autorizada concluída, ou seja, a operação descrita na al. a) do ponto 22 – no valor de € 1500,00. (Diga-se, entre parênteses, que não se consegue extrair do ponto 50 – factos provados – se a ré alertou, ou não, o autor para este perigo específico inerente ao funcionamento dos meios de pagamento acordados).
Temos, no entanto, de proceder a uma precisão terminológica, de modo a evitar equívocos. A “conta de pagamento” do autor é uma conta-corrente pós-paga respeitante à utilização de um cartão de crédito (uma “conta-cartão”); não é uma conta bancária de depósitos. Por assim ser, em vez de se falar de restituição “à conta-cartão n.º 0008###### titulada pelo autor do valor” em questão, como consta do dispositivo da sentença, dever-se-á determinar que a ré não reflita na conta-corrente da utilização do cartão de crédito a operação identificada (nem quaisquer juros a ela associado). Nada foi, efetivamente, subtraído ao autor, pelo que nada há a restituir-lhe, em sentido próprio.
Já pelo valor das sete operações que se seguiram, descritas na al. b) do ponto 22 – no valor de € 1500,00 – e no ponto 28 – no valor agregado de € 10 406,00 –, deve o autor ser responsabilizado, pois tal dano resulta da sua atuação grosseiramente negligente.
5. Pedido de pagamento de juros indemnizatórios e punitivos
Pediu o demandante que a ré seja condenada a “pagar ao autor (…) os juros moratórios, devidos dia a dia, desde 19 de março de 2024 até à data da restituição efetiva, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais”. Invoca, para tanto, o n.º 10 do art. 114.º do RJSPME.
Reza este dispositivo legal:
“Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar”.
Sobre este pedido, o tribunal ao quo, julgando-o procedente, apenas apresenta a seguinte fundamentação:
“Os juros, calculados à taxa legal, visam indemnizar o credor pelos danos decorrentes da mora do devedor (artigo 804.º do Código Civil), e são devidos desde o dia em que o autor comunicou à ré que as operações acima descritas não haviam sido autorizadas, ou seja, o próprio dia 19 de março de 2024 (31. e 32.), nos termos do disposto no acima citado n.º 10 do artigo 114.º do RJSPME”.
Não explica o tribunal a quo qual é a obrigação incumprida por parte da ré. Mais precisamente, não explica por que razão tem a ré obrigação de (re)embolsar o autor de uma determinada quantia. É que, em resultado da fraude, os ativos do autor não sofreram nenhuma diminuição. Quem suportou o dano foi a ré – que pretende obter do autor o seu reembolso.
Para melhor se compreenderem os contornos do caso, justifica-se um pequeno desenvolvimento dogmático – tendo-se sempre presente o limite da imputação do dano à ré (€ 1500,00).
A primeira convenção celebrada por um cliente com uma instituição de crédito é, normalmente, designada “abertura de conta”. “Designa-se por contrato de conta bancária (…) o contrato celebrado entre um banco e um cliente através do qual usualmente se constitui, disciplina e baliza a respetiva relação jurídica bancária” – cfr. José Engrácia Antunes, Direito dos Contratos Comerciais, Coimbra, Almedina, 2017, p. 483. Esta “relação caracteriza-se por ser uma relação económico-social e jurídica duradoura (destinada a prolongar-se no tempo) e multifacetada (consubstanciada numa pluralidade de negócios jurídicos individuais subsequentes) que é estabelecida entre um banco e o respetivo cliente” – cfr. Engrácia Antunes, Direito, cit., p. 484. Em torno do contrato de conta bancária “gravitarão usualmente os contratos de depósito, cheque, emissão de cartões bancários, empréstimo, crédito ao consumo, e todos e cada um dos demais contratos bancários individuais que venham porventura a existir subsequentemente” – cfr. Engrácia Antunes, Direito, cit., p. 484. O contrato de conta bancária não se confunde, pois, com outros contratos, ainda que concluídos conjuntamente com o primeiro.
O contrato de conta bancária não produz efeitos tangíveis na esfera jurídica das partes, desacompanhado da celebração dos contratos que lhe estão associados, além dos que se traduzem no estabelecimento do regime geral da constituição destas outras relações-satélite. “O contrato de conta bancária apenas ganhará sentido económico e densidade negocial através da celebração futura e sequencial dos diferentes contratos bancários especiais” – cfr. Engrácia Antunes, Direito, cit., p. 486. A possibilidade de celebração dos contratos associados representa, assim, a justificação económica e a motivação dos contraentes posta na outorga do contrato de conta bancária. Não surpreende, pois, que o contrato de conta bancária possa ser designado nos formulários predispostos pelos bancos para a sua celebração através da referência ao contrato associado (pretendido pelas partes) que explica o estabelecimento do acordo-quadro em que se traduz a abertura da conta – v.g., “abertura de conta de depósito” ou “abertura de conta-cartão”.
No caso dos autos, destes contratos operativos, apenas foi celebrado pelo autor “um contrato de adesão-utilização de cartão de crédito”, conforme consta do ponto 1 – factos provados –, isto é, um “contrato de emissão de cartão bancário”, associando-se a este um contrato (de prestação de serviços) que permite a gestão telemática da conta de pagamento e a realização de operações financeiras, essencialmente, mediante o acesso a uma plataforma predisposta pelo prestador na Internet, através de um terminal de computador ou de um telemóvel (homebanking), conforme consta no ponto 9 – factos provados; cfr., sobre o homebanking, os Acs. do STJ de 18-12-2013 (6479/09.8TBBRG.G1.S1), do TRP de 07-10-2014 (747/12.9TJPRT.P1), do TRL de 21-05-2015 (337/14.1YXLSB.L1-2), de 26-10-2010 (1943/09.1TJLSB.L1-7), de 05-11-2013 (9821/11.8T2SNT.L1-1), de 16-04-2015 (971/13.7TJLSB.L1-8), 12-12-2013 (164/11.8TBSRT.L1-6) e de 24-05-2012 (192119/11.8YIPRT.L1-2), do TRC de 11-02-2020 (8592/17.9T8CBR.C1), do TRG de 30-05-2013 (6479/09.8TBBRG.G1), de 17-12-2014 (1910/12.8TBVCT.G1) e de 23-10-2012 (305/09.5TBCBT.G1), e do TRE de 22-05-2014 (11/13.6T2ASL.E1) e de 25-06-2015 (3052/11.4TBSTR.E1).
Não resulta da fundamentação de facto que as partes mantenham um contrato de depósito bancário – nem sequer sabemos se a ré está autorizada pelo Banco de Portugal a receber depósitos bancários. A “conta de pagamento” que reflete o dano não é uma conta bancária de depósitos. Nenhuma conta de depósitos titulada pelo autor foi movimentada a débito, pelo que nada há a restituir (reembolsar) a tal inexistente conta.
A “conta de pagamento” do autor é uma conta-corrente pós-paga de um cartão de crédito – uma “conta-cartão”. Esta realidade não seria determinante se o pagamento acordado, em vigor na data de vencimento do crédito “utilizado”, se realizasse por débito direto sobre uma verdadeira conta de depósito, tendo sido o valor do dano automaticamente debitado ao demandante.
Mas não é assim. Na data da cobrança – cfr. o ponto 47 –, a modalidade de pagamento contratualmente em vigor, que vinculava as partes, era apenas a liquidação através de referência multibanco. Aliás, é precisamente por este pagamento não ter sido efetuado que a ré comunicou ao Banco de Portugal a putativa responsabilidade do autor insatisfeita.
Repisa-se, nenhuma conta de depósitos titulada pelo autor foi movimentada a débito, pelo que nada há a restituir a tal inexistente conta. O mesmo é dizer que, não estando o autor privado de nenhum ativo, nenhum ativo há a reembolsar, nunca se podendo falar em mora na satisfação desta inexistente obrigação.
Deve improceder o pedido de pagamento de juros moratórios.
6. Pedido de cancelamento de comunicação ao Banco de Portugal
Pediu o autor que seja comunicada “à Central de Responsabilidades de Crédito do Banco de Portugal a eliminação de todas as informações que venham a ser prestadas quanto ao saldo de € 13.406,00”.
Sobre este ponto, discorreu o tribunal a quo:
“Da procedência da ação decorre a inexistência de dívida do autor à ré relacionada com as operações em causa nestes autos e acima identificadas em 22. e 28., o que deve ser comunicado pela ré à Central de Responsabilidades de Crédito do Banco de Portugal nos termos do disposto no artigo 3.º do Decreto-Lei n.º 204/2008, de 14 de outubro”.
Nada há a censurar nesta fundamentação – nem na decisão com ela consequente –, mas apenas quanto à operação descrita na al. a) do ponto 22 – no valor de € 1500,00. No valor remanescente imputável ao autor (€ 11 906,00), deve a decisão do tribunal a quo ser revogada, sendo a ré absolvida do pedido.
7. Pedido de indemnização por danos não patrimoniais sofridos
Finalmente, pediu o autor uma indemnização “pelos danos não patrimoniais em valor não inferior a € 500,00”.
Na sentença apelada, podemos ler que, “no caso vertente, apurou-se que na sequência de a ré ter debitado na conta-cartão do autor o valor das operações por este não reconhecidas, o autor se sentiu revoltado, envergonhado, frustrado, angustiado, diminuído e impotente” – sublinhado nosso. Em rigor, no entanto, não é exatamente isto que consta do leque dos factos provados.
A este respeito, resultou provado que:
45 – O autor sentiu-se revoltado, envergonhado, frustrado, angustiado, diminuído e impotente.
Não consta dos factos provados a causa deste estado anímico. Mais precisamente, não é claro se o autor está revoltado e envergonhado, designadamente, por se ter deixado enganar ou, por exemplo, por ter sido considerado incumpridor das suas obrigações perante o Banco de Portugal. Ou seja, não sabemos se o facto que lhe causa estes sentimentos foi praticado pelo cibercriminoso, pela ré ou mesmo pelo próprio demandante.
Imputar a uma instituição de crédito, sem mais, a responsabilidade pelos danos não patrimoniais sofridos por um seu cliente, vítima de uma atuação de terceiros, não encontra sustentação na lei. O RJSPME procede a uma imputação do dano ao prestador do serviço de pagamento quase automática, mas apenas no que respeita ao prejuízo resultante da operação não autorizada. No que toca ao dano remanescente, valem os requisitos gerais da responsabilidade civil contratual ou extracontratual. Ora, não resulta dos factos provados, designadamente, a existência de um nexo causal entre a conduta da ré e o estado anímico do autor.
Acresce que, por um lado, para os efeitos previstos no n.º 1 do art. 496.º do Cód. Civil, não se vê que os referidos estados anímicos assumam uma gravidade que mereça a tutela do direito. Por outro lado, a culpa do lesado é inquestionável (art. 570.º do Cód. Civil), o que sempre determinaria, se a responsabilidade da ré pudesse ser afirmada (e estando assente na presunção prevista no art. 799.º do Cód. Civil), a exclusão da indemnização por tais danos.
8. Responsabilidade pelas custas
A responsabilidade pelas custas da apelação e da ação cabe à apelante, na proporção de 15%, e ao apelado, na proporção de 85%, por ser esta a medida do vencimento e do decaimento (art. 527.º do Cód. Proc. Civil).
C. Dispositivo
C.A. Do mérito do recurso
Em face do exposto, na parcial procedência da apelação, acorda-se em alterar a sentença recorrida e:
i) quanto à al. a) do dispositivo, condena-se a ré, WIZINK Bank, S.A.U. – Sucursal em Portugal, a não incluir na conta-cartão do autor, AAA, referida no ponto 4 – fundamentação de facto –, a operação descrita na al. a) do ponto 22 – no valor de € 1500,00 (mil e quinhentos euros) – nem quaisquer juros ou encargos a ela associados, absolvendo-se a ré do mais pedido nas als. a) e b) do petitório que remata a petição inicial, incluindo do pedido da sua condenação no pagamento de juros moratórios;
ii) quanto à al. b) do dispositivo, revoga-se a decisão, absolvendo-se a ré do pedido de indemnização por danos não patrimoniais invocados pelo autor;
iii) quanto à al. c) do dispositivo, condena-se a ré a comunicar à Central de Responsabilidades de Crédito do Banco de Portugal a inexistência de qualquer dívida do autor relacionada com a operação descrita na al. a) do ponto 22 – no valor de € 1500,00 (mil e quinhentos euros).
C.B. Das custas
Custas da apelação e da ação a cargo da apelante, na proporção de 15%, e do apelado, na proporção de 85%.
*
Notifique.
Lisboa, 24-02-2026,
Paulo Ramos de Faria
Alexandra de Castro Rocha
José Capacete |