Acórdãos TRP	Acórdão do Tribunal da Relação do Porto
Processo:	659/22.8T8PNF.P1
Nº Convencional:	JTRP000
Relator:	RODRIGUES PIRES
Descritores:	MOEDA ELECTRÓNICA HOMEBANKING PHISHING
Nº do Documento:	RP20230516659/22.8T8PNF.P1
Data do Acordão:	05/16/2023
Votação:	UNANIMIDADE
Texto Integral:	S
Privacidade:	1
Meio Processual:	APELAÇÃO
Decisão:	RECURSO PARCIALMENTE PROCEDENTE; DECISÃO ALTERADA
Indicações Eventuais:	2ª SECÇÃO
Área Temática:	.
Sumário:	I - O Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica atualmente em vigor é o que decorre do Dec. Lei nº 91/2018, de 12.11.; II - Uma das técnicas mais frequentemente utilizadas por terceiros para aceder, fraudulentamente, à conta de um cliente utilizador do serviço de homebanking é o phishing que consiste no envio de mensagens de correio eletrónico, aparentemente provenientes do banco prestador do serviço, visando a obtenção de dados confidenciais que permitam o acesso àquela conta; III - A entidade bancária só não será responsabilizada pelas perdas, sofridas pelo cliente, decorrentes de operações fraudulentas sobre a conta deste, no âmbito do homebanking, se alegar e provar que o dano resultou de atuação dolosa ou grosseiramente negligente do utilizador do serviço; IV - Não age de forma grosseiramente negligente o utilizador de conta bancária que, no âmbito do homebanking, fornece os seus dados confidenciais na sequência do recebimento de um SMS, que tudo indicava ser proveniente da respetiva entidade bancária, pelo mesmo canal emissor através do qual já tinha recebido outros SMS´s todos fidedignos, a que acresce o facto de a página web a que depois acede aparentar ser a dessa entidade bancária, por se mostrar idêntica à sua página oficial.
Reclamações:
Decisão Texto Integral:	Proc. nº 659/22.8T8PNF.P1 Comarca do Porto Este – Juízo Local Cível de Penafiel Apelação Recorrente: “Banco 1..., S.A.” Recorrido: AA Relator: Eduardo Rodrigues Pires Adjuntos: Desembargadores Márcia Portela e João Ramos Lopes Acordam na secção cível do Tribunal da Relação do Porto: RELATÓRIO O autor AA, com residência na Rua ..., ..., ..., intentou a presente ação declarativa de condenação, sob a forma de processo comum, contra o réu “Banco 1..., S.A., com sede na Avenida ..., ..., Lisboa, pedindo a condenação deste a pagar-lhe: “a) A quantia de 9.400,00€, correspondente ao montante fraudulentamente retirado da sua conta bancária; b) A quantia de 250,00€ pagos pelo autor à ré a título de taxa de disponibilidade da operação “cash advance”; c) Os juros mensais que este se encontra a pagar à ré pela utilização da operação “cash advance”; d) Os juros moratórios, à taxa legal que vigorar em cada momento e até integral e efetivo pagamento das sobreditas quantias. Alega, para tanto, e em síntese: - que foram feitas, sem o seu conhecimento e autorização e através do serviço homebanking, duas operações – uma de cash advance e outra de transferência da sua conta para uma outra sediada na ré; - a ré não restituiu o valor que foi retirado da sua conta; - a ré, enquanto depositária dos valores constantes na conta do autor, é responsável pela restituição do valor dali retirado porque permitiu o acesso à mesma por terceiros. A ré apresentou-se a contestar o pedido, alegando que foi o autor que, não tendo respeitado as normas de segurança relativas ao serviço, permitiu a realização daqueles movimentos por terceiros; conclui ter cumprido todos os deveres que sobre si impediam, pelo que considera que a ação deve improceder, sendo absolvida do pedido. Saneado o processo, foram dispensadas a fixação do objeto do litígio e a enunciação dos temas da prova. Realizou-se depois audiência de julgamento com observância do legal formalismo. Por fim, proferiu-se sentença que julgou a acção totalmente procedente, por provada e, em consequência: - Condenou o Banco réu – Banco 1..., S.A., a pagar ao autor: a) A quantia de 9.400,00€, correspondentes ao montante fraudulentamente retirado da sua conta bancária; b) A quantia de 250,00€ pagos pelo autor ao réu a título de taxa de disponibilidade da operação “cash advance”; c) Os juros mensais que este se encontra a pagar ao réu pela utilização da operação “cash advance”; d) Os juros moratórios, a partir de 16.11.2021, à taxa legal que vigorar em cada momento e até integral e efetivo pagamento das sobreditas quantias. Inconformado com o decidido interpôs recurso o réu, que finalizou as suas alegações com as seguintes conclusões: A. Nos factos provados constantes dos itens 11 e 12 da lista de factos provados da sentença recorrida, o Tribunal considera provados factos relacionados com a circunstância de a mensagem recebida pelo Autor que espoletou a situação de burla ser proveniente de um número do Banco 1..., constatação essa que decorre de um manifesto erro de julgamento, na medida em que a prova produzida demonstra precisamente o contrário. B. Desde logo porque nos factos constantes dos itens 11 e 12 da lista de factos provados, [o] Tribunal a quo considera que a mensagem recebida pelo Autor proveio do mesmo contacto e do mesmo número anteriormente utilizado pelo Banco 1... para comunicar com o Autor, sem que sequer se encontre provado qual é concretamente o número de origem da mensagem. C. Os factos constantes dos itens 11 e 12 da lista de factos provados da sentença recorrida apenas poderiam considerar-se provados no caso de o Tribunal a quo ter previamente tido a possibilidade de constatar quais os números de origem a partir do qual foram enviadas as mensagens referidas quer no item 5 quer no item 12 dos factos provados. D. Sem saber quais os números de origem das mensagens referidas nos itens 5 e 12 dos factos provados, não é possível concluir que tais mensagens provieram do mesmo número, como faz o Tribunal a quo, assim incorrendo em manifesto erro de julgamento. E. Por outro lado, a prova produzida em audiência de julgamento, designadamente o depoimento da testemunha BB, aponta inequivocamente em sentido inverso, ou seja, no sentido de que a mensagem a que se referem os itens 11 e 12 dos factos provados não tem a mesma origem que as mensagens a que se refere o facto provado n.º 5. F. A decisão do Tribunal a quo de considerar provados os factos constantes dos itens 11 e 12 dos factos provados parece resultar exclusivamente da circunstância de o telemóvel do Autor agregar essas mensagens conjuntamente, facto que se deve exclusivamente à configuração do telemóvel do Autor e que não pode permitir concluir que as mensagens têm a mesma origem. G. A Testemunha BB confirmou de forma peremptória que é possível contratar junto das operadoras de serviços móveis o envio de mensagens sem indicação de número de origem e com indicação de um remetente pré-selecionado pelo interessado no envio das mensagens. H. A sentença recorrida incorreu assim em manifesto erro de julgamento, ao considerar provados os factos constantes dos itens n.º 11 e 12 da lista de factos provados constantes da sentença, que deveriam ter sido considerados não provados face à prova produzida nos autos. I. Reflexamente, os factos constantes dos itens 1 e 2 da lista de factos não provados constante da sentença deveriam ter sido considerados provados, já que não se provou que o número de origem da mensagem recebida pelo Autor fosse do Banco 1.... J. Ainda, quanto ao nº 5 dos factos dados como não provados, e tal como resulta claramente das declarações da testemunha BB, existe no processo matéria suficiente para que se possa considerar provado o facto de que o Banco não terá sido afetado por qualquer avaria técnica ou outra deficiência do serviço. K. A decisão de considerar não provados os factos constantes dos itens 1, 2 e 5 da lista de factos não provados da sentença recorrida assenta, assim, num manifesto erro de julgamento que deve ser corrigido por este douto Tribunal. L. Por fim, a sentença recorrida assenta ainda em manifesto erro de direito, na medida em que o Tribunal a quo aplicou ao caso o disposto no Decreto-Lei n.º 317/2009, de 30/10, que já tinha sido revogado pelo Decreto-Lei n.º 91/2018 de 12/11. Pretende assim que a sentença recorrida seja revogada e substituída por outra que julgue improcedente o pedido formulado pelo autor. O autor/recorrido apresentou contra-alegações nas quais se pronunciou pela confirmação do decidido. Formulou as seguintes conclusões: I – A decisão recorrida apresenta uma valoração da prova produzida em audiência de julgamento, explicitando, na respetiva fundamentação de facto, de forma clara e minuciosa, não apenas os meios de prova que concorreram para a formação da convicção do julgador, como, também, os critérios racionais que conduziram a que a formação daquela convicção se tivesse formado no sentido plasmado na decisão recorrida e não num outro qualquer sentido, nomeadamente, naquele por que propugna a recorrente; II – Pretendendo o recorrente ver alterada a decisão sobre a matéria de facto através de diversa valoração da prova produzida em audiência de julgamento, de modo a levar à alteração daquela decisão e no sentido que propugna, impunha-se que o recurso tivesse como fundamento erro ostensivo na apreciação da prova; III – É consabido que no domínio da valoração da prova testemunhal e documental (esta, nos casos em que não lhe seja atribuída força probatória plena), vigora o princípio da livre convicção do julgador; IV – Não enfermando a decisão recorrida de erro ostensivo na apreciação da prova, nem resultando do confronto entre aquela decisão e a audição integral do CD em que está registado o depoimento das testemunha BB que segundo a recorrente impõe decisão diversa, nem resultando desse confronto que a apreciação da prova feita pelo tribunal recorrido, o tenha sido de modo arbitrário, na ignorância ou em violação das mais elementares regras da experiência e em termos tais que se possa dizer que existe uma flagrante desconformidade entre os elementos probatórios disponíveis e a decisão proferida, inexistem fundamentos para a alteração desta decisão. V – Mantendo-se inalterada, como é de justiça, a decisão proferida pelo tribunal a quo sobre a matéria de facto, deve improceder o recurso interposto. O recurso foi admitido como apelação com subida nos próprios autos e efeito meramente devolutivo. Cumpre então apreciar e decidir. FUNDAMENTAÇÃO O âmbito do recurso, sempre ressalvadas as questões de conhecimento oficioso, encontra-se delimitado pelas conclusões que nele foram apresentadas e que atrás se transcreveram – cfr. arts. 635º, nº 4 e 639º, nº 1 do Cód. do Proc. Civil. * As questões a decidir são as seguintes: I. Apurar se deve ser alterada a decisão proferida sobre a matéria de facto; II. Apurar se a sentença recorrida deve ser revogada por nela se ter aplicado um diploma legal já revogado. * É a seguinte a factualidade dada como provada na sentença recorrida: 1.Constantes da Petição Inicial. 1- O Autor é cliente da Ré, sendo titular, no balcão de ... desta instituição bancária, da conta n.º ...; 2- O Autor é utilizador da aplicação “Banco 1... smart app”, disponibilizada pela Ré aos seus clientes; 3- No site da Ré, esta aplicação é apresentada como “segura, intuitiva e rápida”, conforme link infra: https://www.banco1....pt/app; 4- Durante o mês de Agosto de 2021, o Autor recebeu várias mensagens de um número com a designação “Banco 1...”; 5- O sobredito contacto designado “Banco 1...”, era (provado apenas) um dos instrumentos de comunicação utilizado pelos serviços da Ré, para comunicar com o Autor; 6- No dia 10/08/2021, pelas 22:58, o Autor recebeu a seguinte mensagem daquele contacto atribuído à Ré: “Banco 1... smart app: Ativar autorizações. Código SMS ...”; 7- Em 12/08/2021, pelas 11h27, o Autor recebeu a seguinte mensagem do dito contacto: “Para concluir a sua compra no comerciante A... no valor de EUR 90.00, introduza o seguinte código de autenticação ...”; 8- No dia 12/08/2021, pelas 11h31, mais uma vez, do referido contacto, o Autor recebeu a seguinte mensagem: “Para concluir a sua compra no comerciante A... no valor de €45.00, introduza o seguinte código de autenticação ...”; 9- Todas estas mensagens enviadas pelo supra referido contacto da Ré ao Autor, corresponderam a operações reais, especificamente, a compras realizadas pelo Autor; 10- Operações aquelas que foram concluídas sem qualquer reparo, criando no Autor um sentimento de confiança em relação à aplicação e ao próprio contacto telefónico designado “Banco 1...”. 11- Através do mesmo exato contacto “Banco 1...” utilizado pela Ré, para efetuar todas as comunicações acima transcritas, o Autor recebeu, a 16/11/2021, a seguinte mensagem: “Novo Smart: Evite o Bloqueio da conta. Efetue Adesão de Segurança Obrigatoria Acesse: https://smart-banco1....com/?n=seg”; 12- Uma vez que a sobredita mensagem provinha do mesmo número de contacto utilizado pela Ré em comunicações com o Autor, este acreditou que se tratava duma real e efetiva mensagem da autoria dos serviços da Ré; 13- Como tal, agiu em conformidade com o indicado na mensagem transcrita em 11.º supra, clicando naquele link, que o remeteu para uma página de internet, que aparentava ser a da aqui Ré, por ser em tudo idêntica à sua página oficial; 14- Naquela página foi-lhe solicitado, inicialmente, o n.º de adesão e, de seguida, o seu PIN de acesso à sobredita aplicação; 15- Poucos minutos volvidos da introdução daqueles dados, o Autor abriu a aplicação “Banco 1... smart app” e constatou que lhe haviam sido subtraídos €9.400,00 (nove mil e quatrocentos euros) da sua conta bancária identificada em 1.º supra; 16- Efetivamente, os agentes criminosos procederam à imediata transferência do saldo que o Autor tinha disponível em conta, bem como usaram a taxa de disponibilidade do “cash advance”, de que beneficiava aquela conta do Autor; 17- Com recurso à dita operação de “cash advance”, os referidos agentes criminosos, utilizaram o limite disponível no cartão de crédito do Autor – aproximadamente €6.000,00 (seis mil euros), que passou a constar do saldo disponível da conta deste, procedendo à imediata transferência do total do dinheiro para uma outra conta, perfazendo o prejuízo causado ao Autor, €9.400,00; 18- A operação de “cash advance” tem uma taxa de disponibilidade associada, tendo sido cobrados pela Ré €250,00 (duzentos e cinquenta euros) ao Autor a esse título, a que acrescem juros mensais a pagar por este àquela, por força da utilização do montante disponível no seu cartão de crédito; 19- Apercebendo-se que havia sido vítima de um crime informático, o Autor imediatamente entrou em contacto com os serviços da Ré, expondo a situação em causa; 20- Tendo-lhe sido comunicado pelos serviços da Ré, que o dinheiro efetivamente já havia deixado a sua conta e que era impossível proceder à sua recuperação; 21- Em crescente desespero, no próprio dia 16/11/2021, o Autor dirigiu-se ao quartel da Guarda Nacional Republicana da sua área de residência e apresentou a correspondente queixa-crime, conforme doc. n.º 2 junto; 22- Mais uma vez, o Autor deu conhecimento à Ré da apresentação da dita queixa-crime, bem como do método utilizado pelos agentes criminosos para lhe subtraírem a quantia em questão, encetando inúmeras diligências junto dos serviços da mesma, tendo em vista a sua recuperação; 23- Nunca tendo logrado obter qualquer sucesso naquela sua pretensão; 24- No dia 06/12/2021, o mandatário do Autor interpelou formalmente a aqui Ré, concedendo-lhe o prazo de 8 dias para lhe comunicar da sua disponibilidade para ressarcir o Autor dos prejuízos sofridos – vide doc. n.º3; 25- Tendo a Ré respondido por missiva datada de 09/02/2022, declinando qualquer responsabilidade pela reparação dos prejuízos sofridos pelo Autor – vide doc. n.º4; Da Contestação. 26- Encontra-se em curso um processo criminal com vista ao apuramento dos factos que terão implicado um dano para o A. e à determinação dos seus responsáveis. 27- O R., uma vez oficiado pelas autoridades competentes, no âmbito do referido processo, prestou informações e esclarecimentos que lhe foram solicitados, encontrando-se a aguardar ulteriores instruções. 28- (Provado apenas que também) este número emite informação automaticamente, para o Cliente, na sequência de ordens ou execuções de operações efectuadas pelo próprio cliente e para pedir que este confirme as ordens ou operações acabadas de ordenar. 29- O A. não ordenou (com o esclarecimento de que previamente ao recebimento da mesma) qualquer tipo de operação relacionada com o concreto teor da “SMS” recebida no dia 16.11.2021. 30- A SMS recebida no dia 16.11.2021 apresentava erros ortográficos e a indicação de um link com um endereço totalmente diferente ao do site do Banco 1... (na mensagem constava o link: https://smart-banco1....com/?n=seg, sendo que o site é www.banco1....pt). 31- O próprio teor/texto da mensagem nenhuma relação tem com as “SMS” enviadas (com o esclarecimento de que previamente) pelo Banco. 32- No dia 06.12.2021, o R. remeteu uma carta de resposta à reclamação apresentada pelo A. (reclamação n.º ...), tendo fundamentado a sua posição relativamente ao sucedido – cfr. doc. 01 junto com a contestação. 33- O A. é um utilizador corrente dos serviços do homebanking do R. (neste caso, do “Banco 1... smart”). 34- O A. é utilizador da aplicação “Banco 1... smart” (acesso através de telemóvel) desde 2016, e dos serviços de homebanking acessíveis através de computador (“Banco 1... online”), desde 2004. 35- O tipo de fraude a que o A. foi sujeito encontra-se expressa e devidamente alertado no site do Banco, disponível em Alertas fraude|novo banco. 36- As operações ordenadas pelo A. não foram afectadas nem determinadas por qualquer avaria técnica ou outra deficiência do serviço. 37- As operações em causa foram correctamente efectuadas e validadas pelo A. com métodos de autenticação forte, conforme foi comunicado ao A. por carta de 06.12.2021 (cfr. doc. 01). 38- O acesso aos Canais Digitais (serviços de homebanking) depende da emissão, pelo Banco, dos “Códigos de Segurança” dos clientes. 39- Estes códigos são compostos pelo Cartão de Acesso (o chamado “cartão matriz” de onde consta o número de adesão e a chave alfanumérica necessária para validar as operações efectuadas por meio dos canais directos), o PIN composto por seis dígitos (também necessário para, juntamente com o número de adesão, aceder aos canais directos) e o código de validação da operação, remetido ao utilizador por SMS para o número de telemóvel previamente por si fornecido. 40- No caso concreto, a operação em causa (transferência no valor de €9.400,00, através da app “Banco 1... smart”), foi efectuada no dia 16.11.2021, após serem alterados, pelo terceiro a quem foram cedidas as suas credenciais pessoais, os métodos de certificação das operações. 41- As operações efectuadas através da app eram validadas da seguinte forma: (i) Para efectuar o login na aplicação, era requerida a introdução do número de adesão do cliente e o respectivo código PIN; (ii) Para a validação da operação, era requerida a introdução dos 3 dígitos do cartão matriz e do código enviado por SMS ao cliente, para o número que se encontrava associado ao serviço (...). 42- Todos estes elementos são dados pessoais e intransmissíveis do utilizador e que jamais devem ser facultados a terceiros, conforme resulta expresso do contrato de adesão aos canais digitais. 43- No presente caso, foram efectuadas, pelo Autor as operações: Operação n.º ...: activação de autorizações por notificação push, validada com 3 dígitos da matriz e SMS para o n.º ...; Operação n.º ...: activação da funcionalidade “Deixar o Cartão Matriz em Casa”, validada com 3 dígitos da matriz e notificação push, enviada para o equipamento autorizado no pedido anterior (nos próximos pedidos a matriz é substituída por PIN/biometria). 44- Quem activou este método de autenticação das operações, na perspectiva do Banco, foi o A., seu cliente e titular da adesão n.º ..., porquanto a cabal validação de tal operação com todas as credenciais exigidas, de natureza pessoal e intransmissível, não lhe permitiria supor que não fosse o A. a executar a operação. 45- O método de validação das operações por via do código remetido por SMS foi substituído pelas autorizações por push. 46- Seguidamente a esta alteração, foi activada a opção de "Deixar o Cartão Matriz em Casa”. 47- Esta opção permite substituir a autenticação das operações através da introdução das coordenadas do cartão matriz (atribuído ao cliente aquando da adesão ao serviço) pela validação de tais operações através de dados biométricos ou PIN. 48- Assim, por via da autorização concedida através da notificação push, foi concretizada a activação da opção "Deixar o Cartão Matriz em Casa". 49- Também esta operação foi correctamente executada e validada com as referidas credenciais à primeira tentativa. 50- A notificação push foi entregue no equipamento autorizado, pelo A., no pedido anterior - operação n.º ...: activação de autorizações por notificação push. 51- Deste modo, quem estava a activar este método de autenticação das operações, na perspectiva do Banco, era o A., seu cliente e titular da adesão n.º ..., porquanto a cabal validação de tal operação com todas as credenciais exigidas, de natureza pessoal e intransmissível, não lhe permitiria supor que não fosse o A. a executar a operação. 52- A execução desta operação – activação da opção "Deixar o Cartão Matriz em Casa" - não decorreu de qualquer ataque ou falha do sistema operativo do Banco, tendo sido devidamente autenticada pelo utilizador do serviço – o A. -, através da introdução de todas as credenciais exigidas para o efeito. 53- O método de validação das operações por via da introdução das coordenadas do cartão matriz foi substituído por PIN/biometria (autenticação biométrica – leitura de impressão digital ou face ID) e notificação push. 54- Ambas as operações foram validadas com os dados pessoais e intransmissíveis do A., assim como com autenticação forte. 55- Após as mesmas, as operações efectuadas através da app passaram a ser validadas da seguinte forma: 1) Aquando do login na aplicação, por via da introdução do número de adesão do cliente e o respectivo código PIN; 2) Aquando da execução da operação, por via da autorização push e PIN/biometria. 3.ª e 4.ª Operações: 56- Foi após a ocorrência dos factos descritos que foram efectuadas as seguintes operações: “Cash Advance” no valor de €6.249,01 e Transferência no valor de €9.400,00. 57- As quais foram validadas pelos métodos de certificação então activados: autorização push e PIN/biometria. 58- O Banco aconselhou o A. a cancelar de imediato a sua adesão aos Canais Directos e a apresentar participação junto da Polícia de Segurança Pública. 59- No momento em que o A. comunicou o sucedido ao Banco (no próprio dia 16.11.2021), já a quantia transferida para a conta beneficiária havia sido movimentada, razão pela qual não foi possível cativar o referido valor. 60- Por uma questão de prudência e de prevenção de futuras operações indevidas, o Banco suspendeu a possibilidade de realização de operações/movimentos a débito a partir da referida conta. 61- No dia 18.11.2021, o Banco (através do seu Gabinete de Segurança de Informação) efectuou um pedido de takedown (bloqueio) relativamente ao endereço de Internet (site) para o qual o link do “SMS” direccionava: https://smart-banco1....com/?n=seg. 62- O R., uma vez oficiado para o efeito, prestou às autoridades competentes os esclarecimentos que lhe foram solicitados. * Não se provaram os seguintes factos: Da Contestação. 1- Este número não era um instrumento de comunicação utilizado pelos serviços da R. para comunicar com o A.. 2- O remetente não é, claramente, o mesmo. 3- O A. bem sabia que o Banco nunca lhe solicitaria qualquer elemento de segurança da sua conta através de “SMS” ou através do acesso a um link enviado por “SMS”. 4- O A. estava plenamente consciente das regras procedimentais e contratuais que devem ser respeitadas aquando do acesso à sua conta pelos canais digitais. 5- O sistema (com o esclarecimento de que aqui tido na sua totalidade) do Banco não foi afectado por qualquer avaria técnica ou outra deficiência do serviço. 6- No presente caso, foram efectuadas, pelo Autor as operações: Operações n.ºs ... e ...: “Cash Advance” no valor de €6.249,01 e Transferência no valor de €9.400,00, ambas validadas com PIN/biometria e notificação push.[1] * Passemos à apreciação do mérito do recurso. I. Apurar se deve ser alterada a decisão proferida sobre a matéria de facto 1. O recurso interposto pelo banco réu centra-se na impugnação da decisão proferida sobre a matéria de facto, discordando este dos factos provados sob os nºs 11 e 12 [11- Através do mesmo exato contacto “Banco 1...” utilizado pela Ré, para efetuar todas as comunicações acima transcritas, o Autor recebeu, a 16/11/2021, a seguinte mensagem: “Novo Smart: Evite o Bloqueio da conta. Efetue Adesao de Seguranca Obrigatoria Acesse: https://smart-banco1....com/?n=seg”; 12- Uma vez que a sobredita mensagem provinha do mesmo número de contacto utilizado pela Ré em comunicações com o Autor, este acreditou que se tratava duma real e efetiva mensagem da autoria dos serviços da Ré], que pretende sejam dados como não provados. Simultaneamente insurge-se também contra os factos não provados nºs 1, 2 e 5 [1- Este número não era um instrumento de comunicação utilizado pelos serviços da R. para comunicar com o A.; 2- O remetente não é, claramente[2], o mesmo; 5- O sistema do Banco (com o esclarecimento de que aqui tido na sua totalidade) não foi afetado por qualquer avaria técnica ou outra deficiência do serviço] que entende deverem ser dados como provados. No sentido destas alterações, o réu/recorrente indica excertos dos depoimentos prestados pelas testemunhas BB e CC. 2. Uma vez que pelo recorrente se mostram cumpridos os ónus a que se refere o art. 640º do Cód. de Proc. Civil, ir-se-á proceder à reapreciação da decisão da matéria de facto. Assim sendo, ouvimos integralmente os depoimentos indicados pelo recorrente. BB é funcionário do Banco 1... na área do netbanking. À pergunta se era possível o cliente receber um SMS com a indicação do nome do Banco 1... como remetente mas que não foi enviado por esta entidade, respondeu que era tecnicamente possível. No sistema de SMS a nível mundial não há controlo sobre o nome que se pode colocar. Disse que há operadores que permitem que se envie uma mensagem com um nome de remetente referido pelo interessado. Referiu também que o procedimento normal do banco quando há este tipo de situações é o de travar a saída do dinheiro. Bloqueia-se a adesão para assegurar que não haja mais acessos e depois internamente abrem o processo de fraude que serve para registar o acontecimento e tentam mandar o link abaixo, contactando com a entidade responsável pelo manuseamento do site fraudulento. Informam ainda a autoridade do cibercrime do país envolvido e também a de Portugal. Mais disse que não seria possível a intromissão de alguém no sistema de envio de mensagens do banco porque o sistema está 100% automatizado, não é um sítio onde alguém vá para escrever coisas. Tal como afirmou que não houve nenhuma mensagem enviada pelo banco com links falsos. CC é funcionário do Banco 1..., tendo sido gerente do balcão de ... desde janeiro de 2020 até final de 2021. Disse que houve outras situações semelhantes e que foi um período crítico de pirataria digital. Normalmente a origem era um email ou um SMS fraudulento enviado supostamente em nome do Banco 1.... Essa mensagem reencaminhava o cliente para uma página fraudulenta que aparentava ser do banco, mas que era pirateada. Era uma página com algumas diferenças, com um português abrasileirado, com algumas nuances que com atenção se percebia que não estavam corretas. De qualquer modo disse que é possível que uma mensagem seja remetida com a mesma identificação de remetente. Ao abrigo dos poderes de investigação oficiosa do tribunal – art. 640º, nº 2, al. b), 1ª parte, do Cód. de Proc. Civil – ouvimos também o depoimento produzido pela testemunha DD e as declarações do autor AA. DD é mediador de seguros e promotor do Banco 1... e também amigo do autor. Disse que este falou consigo no próprio dia do sucedido. Todas as mensagens estavam como tendo sido enviadas pelo mesmo emissor – o Banco 1... –, sublinhando que, tal como o autor, igualmente ele acreditaria que, nesta situação, a mensagem [fraudulenta] vinha da mesma fonte que emitira as outras. O autor AA, em declarações, disse que a mensagem em causa era proveniente do mesmo remetente das anteriores – Banco 1... – e quando, através do link, acedeu à página da internet pensou, pela imagem que lhe apareceu, que estava a lidar com o Banco 1.... Se recebe uma mensagem do Banco 1... entende que é alguém do Banco 1... que a envia. 3. A Mmª Juíza “a quo”, em sede de motivação de facto, escreveu o seguinte na sentença recorrida: “A convicção do tribunal baseou-se na conjugação crítica de toda a prova produzida em sede de Audiência de Discussão e Julgamento: - na análise do “Certificado” da Srª. Notária junto aos autos no qual esta certifica que o aqui Autor lhe solicitou que fossem transcritas as mensagens visíveis no seu telemóvel com o nº... e recebidas pelo contacto como pertencendo a “Banco 1...”, cujo teor das mesmas também certificou, nomeadamente a aqui em causa – a do dia 16.11, recebida às 12:30; - na análise da certidão da denúncia feita pelo Autor na Guarda Nacional Republicana - Destacamento Territorial de Penafiel acerca dos factos aqui em discussão; - na análise do e–mail enviado pelo Mandatário do Autor ao Banco 1..., de interpelação para que este procedesse ao reembolso da quantia de €9.600,00 àquele; - na análise do e–mail enviado no dia da ocorrência dos factos aqui em questão, pelo Autor ao Banco 1..., no qual dava notícia daqueles; - na análise da carta enviada pelo Réu como resposta à missiva enviada pelo Mandatário do Autor; - na análise da carta enviada pelo Réu ao Autor em resposta à comunicação deste enviada no dia dos factos; - na análise do documento ilustrativo das operações realizadas; - na consulta ao site do Banco Réu; - na análise, em sede de Audiência de Discussão e Julgamento, e através do telemóvel do Autor, das SMS recebidas pelo Autor do “canal emissor” Banco 1..., do qual consta a mensagem aqui em causa no meio de outras anteriormente recebidas e outras posteriormente recebidas, do Banco Réu. Mais baseou o tribunal a sua convicção nas declarações de parte do Autor que explicou todo o processo decorrido desde o momento em que recebeu o SMS até se aperceber de que havia sido feita uma transferência do montante de €9.400,00 de uma conta da qual é titular junto do Banco Réu – dizendo que não foi ele quem conscientemente e deliberadamente efectuou a transferência bancária em causa, mas que a mesma só foi possível porque respondeu a um e-mail aparentemente remetido pelo Réu a alertar para o bloqueio da conta se não efectuasse adesão de segurança obrigatória, tendo acedido a uma página na Internet, em tudo similar à do Réu, estando totalmente convencido de se encontrar no site do Banco Réu, a partir do link facultado nessa mensagem, e inserido as coordenadas de acesso, tendo o mesmo reparado nesse próprio dia, quase de imediato, que havia sido feita uma transferência de um montante de €9.400,00 (sendo €6.000,00 de cash advance e o restante do saldo que possuía nessa conta); referiu que ligou para os serviços do Réu nesse mesmo dia 16.11.2021 a dar conta do sucedido tendo-lhe sido transmitido que efectivamente o dinheiro já não se encontrava na sua conta, não sendo possível a sua devolução. Mais referiu que, no próprio dia se deslocou ao quartel da Guarda Nacional Republicana e aí apresentou queixa. Referiu ainda que, no dia seguinte se deslocou ao balcão do Banco Réu em ... e formalizou a reclamação, onde falou com o gerente à época – a testemunha aqui ouvida – CC – e que este, por sua vez, confirmou a ocorrência. O Autor descreveu, pois, de forma segura e convicta, o modo como procedeu, como foi levado a transmitir o código de adesão e o PIN e como descobriu as referidas operações não autorizadas por si. Tais declarações foram confirmadas, de forma convicta, quanto ao modo como o Autor procedeu após ter descoberto, no dia 16.11.2021, os movimentos de conta não autorizados, pela testemunha – DD – amigo do Autor, cliente e promotor do Banco Réu, que logo após o sucedido esteve com o Autor no dia em causa. Também do registo de acessos efectuados através do sistema de homebanking, consta registado o acesso alegado pelo Autor no período em causa, corroborando, nesta parte, o por si declarado. Mais, a versão que o Autor apresentou dos factos foi admitida como possível pela testemunha – BB - pois que, como este referiu, é possível o cliente ter entrado numa página semelhante à do Banco Réu após ter entrado num link para onde o direcionou uma SMS e aí, após determinadas operações, tendo explicado detalhadamente quais, ter transmitido alguns dados, sendo esta solicitação acção de terceiros, com vista a obter as credenciais. A testemunha, chefe do departamento de segurança informática do Réu, explicou que teve contacto com a situação, tendo descrito os procedimentos de acesso ao site do banco e referido os avisos de segurança constantes do mesmo, tendo ainda qualificado a operação e descrito o respectivo “modus operandi”, frente ao qual não há tempo de intervenção porque os fundos são imediatamente transferidos da conta para uma outra. Tendo o Autor prestado declarações de forma convicta e segura, sendo as suas declarações coincidentes com a prova supra mencionada e sendo verosímil a versão dos factos por si apresentada, versão esta que coincide com uma das técnicas de fraude conhecida por “phishing”, não teve o tribunal dúvida em dar como provados os referidos factos. Revelou-se ainda de grande importância o depoimento da testemunha – DD (amigo do Autor, cliente e promotor do Banco Réu) quanto ao facto de este ter afirmado que, não obstante a sua dupla qualidade de cliente e de promotor do Banco Réu, após ter visualizado a mensagem em causa e as que a precediam, todas supostamente enviadas pelo Banco 1... como remetente, também ele acreditaria que aquela mensagem provinha da mesma fonte emissora das restantes mensagens, referindo ainda que no link que era facultado o quadro que aparecia era igual ao da aplicação do Banco 1.... Referiu ainda a testemunha, com interesse que nessa altura o Banco 1... estava a alterar a aplicação, sendo já possível aceder à nova aplicação, o que também podia ajudar a confiar estar tudo regular. De referir, ainda, com interesse o depoimento da testemunha CC (à data dos factos gerente do balcão do banco Réu de ...) no que concerne ao facto de na mesma altura dos factos aqui em causa, aconteceram outras fraudes, pelos mesmos termos, não sendo o caso do Autor um caso isolado, afirmando que alguns clientes mais foram enganados e outros deslocaram-se ao balcão a pedir informações e estes não foram defraudados. Referiu ainda que estes factos ocorreram num período crítico de pirataria digital em que ocorreram outros casos semelhantes – os clientes recebiam uma SMS ou um e–mail fraudulento, remetido supostamente em nome do Banco 1... que remetiam para uma página pirateada. Disse que tais acontecimentos coincidiram com o período de alteração da imagem digital do Banco, o que pode ter induzido em erro alguns clientes. Referiu que o Autor deu conta dos factos ao Banco e não foi possível reverter a transferência, só com autorização do beneficiário (estando tal facto sujeito a sigilo bancário). Por fim referiu saber que o Autor fez queixa crime pela ocorrência. Já no que concerne aos factos não provados, nenhuma prova foi feita de que o Réu tenha dado conhecimento aquando da adesão aos serviços de homebanking das condições de segurança, e a tê-las dado que foram explicados todos os procedimentos de segurança para utilização do serviço, nem tão pouco de quando o deu e/ou de que forma. Desconhecendo-se quando surgiu a mensagem que consta do artigo 31 da contestação. Assim, o Banco Réu, fornecedor do serviço de homebanking parece não ter provado que teria dado conhecimento aos seus clientes do carácter inusual da solicitação das coordenadas do cartão-matriz no acesso ao serviço. Apenas provou que esta solicitação era anormal, mas já não terá provado que os seus clientes estariam cientes desse facto. Apesar de ser verdade que a Ré tem o cuidado de informar, através de alertas que surgem aquando do acesso à página, que nunca solicita mais do que determinadas posições do cartão matriz, tendo ainda na sua página uma série de conselhos de segurança, contudo, não ficou demonstrado que, à data dos factos, existia a menção a fraudes como a ora em apreciação, nem que existisse um alerta quanto à não solicitação de coordenadas do cartão, com vista a não deixar bloquear a conta, após o acesso à página pessoal, sendo que a esta apenas deveria ter acesso o Autor. Acresce que o alerta respeitante à não solicitação de mais de duas/três posições do cartão matriz, compreendido na lógica da utilização do próprio sistema, não pode deixar de considerar-se como um alerta quando ao modo de confirmação de ordem que incida sobre operações, já que nada refere quanto à não solicitação por parte do banco de quaisquer elementos confidenciais para outros efeitos, nomeadamente o constante da mensagem aqui em causa recebida pelo Autor, sendo que, no caso do Autor, a solicitação tinha como fundamento evitar o bloqueio da conta, adesão de segurança obrigatória e não (na perspectiva do Autor e no seu entendimento) o fornecimento de mais de duas coordenadas para validar um qualquer movimento bancário, concretamente um cash advance e uma transferência bancária. Do ponto de vista do Autor não era expectável que outra entidade aí pudesse intervir, que não o Banco Réu, de forma a questionar a lógica e a desconfiar de tal solicitação. Não se provaram outros factos com interesse para a decisão da causa, nomeadamente que o Banco 1... só utilize SMS para validar operações a solicitação do Autor e que não utilize tal meio para qualquer outra comunicação com os seus clientes; que o remetente da SMS em causa e das restantes SMS não é, claramente, o mesmo; que o Autor bem sabia que o Banco nunca lhe solicitaria qualquer elemento de segurança da sua conta através de “SMS” ou através do acesso a um link enviado por “SMS”; que o sistema do Banco não foi afectado por qualquer avaria técnica ou outra deficiência do serviço – já que, pelo menos não impediu que alguém “se infiltrasse na sua fonte emissora de SMS e deixasse que enviasse SMS pelo mesmo canal” e que, por fim, as operações n.ºs ... e ...: “Cash Advance” no valor de €6.249,01 e Transferência no valor de €9.400,00, ambas validadas com PIN/biometria e notificação push, tenham sido efectuadas pelo Autor (e aqui referimo-nos ao elemento volitivo e de plena consciência) - uma vez que os meios probatórios apresentados não permitiram sustentar essa versão.” 4. O art. 662º, nº 1 do Cód. de Proc. Civil estatui que «a Relação deve alterar a decisão proferida sobre a matéria de facto, se os factos tidos como assentes, a prova produzida ou um documento superveniente impuserem decisão diversa.» Sucede que depois de apreciados os meios probatórios que foram indicados pelo réu/recorrente, que, como atrás se referiu, se reconduziram a excertos dos depoimentos prestados pelas testemunhas BB e CC, conjugando-os com a demais prova produzida em audiência – depoimento da testemunha DD e declarações do autor AA – e ainda com a documentação junta aos autos, onde se destacará a certificação do teor das mensagens recebidas pelo autor, entendemos não existirem motivos para dissentir da convicção probatória formada pela 1ª Instância e que se mostra detalhadamente exposta no largo trecho da sentença recorrida atrás transcrito. Com efeito, resulta da prova que foi produzida nos autos que a mensagem fraudulenta que tudo desencadeia surge agregada a todas as outras que o autor vinha recebendo do Banco 1.... Ou seja, provinha do contacto Banco 1.... Daí que o autor tenha acreditado que se tratava de uma mensagem da autoria dos serviços desta entidade bancária. Assim sendo, os nºs 11 e 12 da factualidade provada deverão permanecer nesta e simultaneamente manter-se-ão como não provados os factos nºs 1, 2 e 5. Improcede, pois, a impugnação da decisão proferida sobre a matéria de facto. * II. Apurar se a sentença recorrida deve ser revogada por nela se ter aplicado um diploma legal já revogado 1. Mantendo-se inalterada a matéria de facto provada e não provada, há que passar à apreciação jurídica da causa, sendo que, neste domínio, o réu/recorrente apenas se insurge contra a sentença recorrida por nela se ter aplicado o regime do Dec. Lei nº 317/2009, de 30.10.[3], o qual se mostra revogado pelo Dec. Lei nº 91/2018, de 12.11. Aliás, a este propósito, há manifesta contraditoriedade nesta sentença, pois nela a Mmª Juíza “a quo” afirma primeiro o seguinte: “No que se refere ao contrato denominado de homebanking, as operações de transferência electrónica de fundos realizadas através de um sistema de banca ao domicílio mostravam-se reguladas pelo Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica (RSP), aprovado em anexo ao DL 317/2009 de 30/10 (alterado pelos DL. 242/2012 de 7/11 e 157/2014 de 24/10), que transpôs para a ordem jurídica interna a Directiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro, tendo entretanto tal diploma sido revogado pelo DL 91/2018 de 12/11, que transpôs para a ordem jurídica portuguesa a nova Directiva (UE) nº. 2015/2366, do Parlamento Europeu e do Conselho, de 25 de Novembro de 2015.” E depois aplica ao longo da decisão recorrida o regime do Dec. Lei nº 317/2009, de 30.10, como se fosse este que se encontrasse em vigor. Ora, o Dec. Lei nº 317/2009 foi revogado pelo art. 3º, nº 1 do Dec. Lei nº 91/2018, de 12.11., que aprovou o Novo Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica [RJSPME], transpondo para a ordem jurídica portuguesa a Diretiva (UE) 2015/2366. Como tal, é este o regime legal aplicável ao caso dos autos, conforme até foi reconhecido pela Mmª Juíza “a quo”, embora seguidamente tenha aplicado as normas do diploma revogado. Embora o réu/recorrente, com fundamento na aplicação do regime revogado pugne pela revogação “in totum” da sentença recorrida, a questão está antes em saber se o desfecho da ação – que foi julgada procedente – seria diferente se tivessem sido corretamente aplicadas as normas constantes do Dec. Lei nº 91/2018. Vejamos. 2. Entre as partes foi celebrado, primeiro, um contrato de abertura de conta bancária (associado a um contrato de depósito) e, posteriormente, um outro contrato, conexo com o primeiro, no sentido do autor ter acesso à sua conta por meio de telefone e de internet, beneficiando de um conjunto de serviços de homebanking disponibilizados pelo banco réu O homebanking concretiza-se na possibilidade conferida pela entidade bancária aos seus clientes, mediante a aceitação de determinados condicionalismos, de utilizar toda uma panóplia de operações bancárias, on line, relativamente às contas de que sejam titulares, utilizando para o efeito canais telemáticos que conjugam os meios informáticos com os meios de comunicação à distância (canais de telecomunicação), por meio de uma página segura do banco, o que se reveste de grande utilidade, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet. Assim, através deste serviço, que os bancos põem à disposição dos seus clientes, estes podem efetuar, além do mais, consultas de saldos, pagamentos de serviços/compras, carregamentos de telemóveis, transferências de valores depositados para contas próprias ou de terceiros, para a mesma ou para diversa instituição de crédito. – cfr. Ac. STJ de 18.12.2013, proc. 6479/09.8TBBRG.G1.S1, relatora ANA PAULA BOULAROT, disponível in www.dgsi.pt. 3. O art. 110º do Dec. Lei nº 91/2018, sob a epígrafe “Obrigações do utilizador de serviços de pagamento associadas aos instrumentos de pagamento”, estatui o seguinte: «1 - O utilizador de serviços de pagamento com direito a utilizar um instrumento de pagamento deve: a) Utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização, as quais têm de ser objetivas, não discriminatórias e proporcionais; e b) Comunicar, logo que tenha conhecimento dos factos e sem atraso injustificado, ao prestador de serviços de pagamento ou à entidade designada por este último, a perda, o furto, o roubo, a apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento. 2 - Para efeitos da alínea a) do número anterior, o utilizador de serviços de pagamento deve tomar todas as medidas razoáveis, em especial logo que receber um instrumento de pagamento, para preservar a segurança das suas credenciais de segurança personalizadas.» Já o art. 111º do mesmo diploma legal, com a epígrafe “Obrigações do prestador de serviços de pagamento associadas aos instrumentos de pagamento”, diz-nos o seguinte: «1 - O prestador de serviços de pagamento que emite um instrumento de pagamento deve: a) Assegurar que as credenciais de segurança personalizadas do instrumento de pagamento só sejam acessíveis ao utilizador de serviços de pagamento que tenha direito a utilizar o referido instrumento, sem prejuízo das obrigações do utilizador do serviço de pagamento estabelecidas no artigo anterior; b) Abster-se de enviar instrumentos de pagamento não solicitados, salvo quando um instrumento deste tipo já entregue ao utilizador de serviços de pagamento deva ser substituído; c) Garantir a disponibilidade, a todo o momento, de meios adequados para permitir ao utilizador de serviços de pagamento proceder à comunicação prevista na alínea b) do n.º 1 do artigo 110.º ou solicitar o desbloqueio nos termos do n.º 4 do artigo 108.º; d) Facultar ao utilizador do serviço de pagamento, a pedido deste, os meios necessários para fazer prova, durante 18 meses após a comunicação prevista na alínea b) do n.º 1 do artigo 110.º, de que efetuou essa comunicação ou solicitou o desbloqueio nos termos do n.º 4 do artigo 108.º; e) Impedir qualquer utilização do instrumento de pagamento logo que a comunicação prevista na alínea b) do n.º 1 do artigo 110.º tenha sido efetuada. 2 - O prestador de serviços de pagamento assegura que a comunicação a que se refere a alínea c) do n.º 1 é efetuada a título gratuito, cobrando apenas, e se for caso disso, os custos diretamente imputáveis à substituição do instrumento de pagamento. 3 - O risco do envio ao utilizador de serviços de pagamento de um instrumento de pagamento ou das respetivas credenciais de segurança personalizadas corre por conta do prestador do serviço de pagamento.» Depois o art. 113º - “Prova de autenticação e execução da operação de pagamento” – diz o seguinte: «1 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, ou alegue que a operação não foi corretamente efetuada, incumbe ao respetivo prestador do serviço de pagamento fornecer prova de que a operação de pagamento foi autenticada, devidamente registada e contabilizada e que não foi afetada por avaria técnica ou qualquer outra deficiência do serviço prestado pelo prestador de serviços de pagamento. 2 - Se a operação de pagamento tiver sido iniciada através de um prestador do serviço de iniciação do pagamento, recai sobre este último o ónus de provar que, no âmbito da sua esfera de competências, a operação de pagamento foi autenticada e devidamente registada, e não foi afetada por qualquer avaria técnica ou por outra deficiência relacionada com o serviço de pagamento por si prestado. 3 - Caso um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no artigo 110.º 4 - Nas situações a que se refere o número anterior, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento.» De seguida, os arts. 114º e 115º reportam-se respetivamente à responsabilidade do prestador de serviços e do ordenante em caso de operação de pagamento não autorizada. 4. Deste regime legal flui que o prestador de serviços de pagamento está obrigado a assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao seu utilizador, devendo proporcionar a este um sistema de segurança eficaz e impeditivo de uma utilização abusiva por parte de terceiros. Ou seja, ao utilizador do serviço de pagamento devem ser proporcionados dispositivos de segurança (credenciais de acesso, cartão de coordenadas, etc.) que lhe vão permitir aceder a esse serviço, sendo que tais dispositivos de segurança personalizados têm uma função de autenticação, permitindo identificar o utilizador e verificar se este é efetivamente o cliente que contratou o serviço de homebanking. Por seu turno, ao utilizador desses serviços impõe-se o dever de guarda dos dados que lhe permitem aceder ao sistema e realizar operações on line e, em especial, o dever de preservação da confidencialidade dos mesmos, por forma a evitar a sua apropriação por terceiros. Tal como está obrigado a utilizar o instrumento de pagamento de acordo com as condições que regem a sua emissão e utilização e a comunicar, atempadamente, a perda, roubo ou apropriação abusiva ou qualquer utilização não autorizada do instrumento de pagamento, impondo-se-lhe que tome todas as medidas razoáveis para preservar a eficácia dos dispositivos de segurança personalizados desse instrumento. 5. No caso dos autos, estão em causa duas operações: um cash advance e uma transferência eletrónica de fundos, ambas realizadas através de um sistema de homebanking. De acordo com o art. 113º do Dec. Lei nº 91/2018 quando um utilizador de serviços de pagamento negue ter autorizado uma operação de pagamento executada, a utilização do instrumento de pagamento registada pelo prestador de serviços de pagamento, incluindo o prestador do serviço de iniciação do pagamento, se for caso disso, não é necessariamente suficiente, por si só, para provar que a operação de pagamento foi autorizada pelo ordenante, que este último agiu de forma fraudulenta, ou que não cumpriu, com dolo ou negligência grosseira, uma ou mais obrigações previstas no art. 110º do mesmo diploma [nº 3]. Nestas situações, o prestador de serviços de pagamento, incluindo, se for caso disso, o prestador do serviço de iniciação do pagamento, deve apresentar elementos que demonstrem a existência de fraude, de dolo ou de negligência grosseira da parte do utilizador de serviços de pagamento [nº 4]. Havendo negligência grosseira do ordenante, este suporta as perdas resultantes de operações de pagamento não autorizadas até ao limite do saldo disponível ou da linha de crédito associada à conta ou ao instrumento de pagamento, ainda que superiores a 50 euros – cfr. art. 115º, nº 4. Para avaliar da eventual negligência cometida pelo utilizador dos serviços de pagamento, deverão ser tidas em conta todas as circunstâncias, devendo “as provas e o grau da alegada negligência” “ser avaliados nos termos do direito nacional” – cfr. Acs. Rel. Guimarães de 10.7.2019, proc. 2406/17.7T8BCL.G1, relatora MARGARIDA SOUSA e de 17.12.2014, proc. 1910/12.8TBVCT.G1. relator FERNANDO FREITAS[4], disponíveis in www.dgsi.pt. Ora, a negligência grosseira corresponderá a um “erro imperdoável, desatenção inexplicável, incúria indesculpável, vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes” – cfr. ANA PRATA “Cláusulas de Exclusão e Limitação da Responsabilidade Contratual”, págs. 306 a 308. 6. Para decidir o presente litígio, haverá, pois, que apurar se a conduta do autor, enquanto utilizador do serviço de homebanking, é suscetível de integrar negligência grosseira, o que excluiria a responsabilidade do banco réu, prestador do serviço. Em bom rigor, o banco só não será responsabilizado pelas perdas, sofridas pelo cliente, decorrentes de operações fraudulentas sobre a conta deste, se alegar e provar que o dano resultou de atuação dolosa ou gravemente negligente (negligência grosseira) do utilizador do serviço – cfr. Ac. Rel. Porto de 23.1.2023, proc. 11857/21.1 T8PRT.P1, relator JOAQUIM MOURA, disponível in www.dgsi.pt. A concreta situação em causa nos autos é de integrar na técnica denominada por phishing que se traduz no envio de mensagens de correio electrónico, tendo como objetivo a obtenção de dados que permitam aceder às contas bancárias das vítimas através dos serviços de homebanking. O pirata informático visa enganar a vítima, fazendo-a crer que está a receber um e-mail cujo remetente é a sua entidade bancária. Em seguida a vítima clica na hiperligação que lhe irá surgir no ecrã, que apesar de parecer a página oficial do banco, não o é. Nessa página, ser-lhe-á solicitada a sua identificação bancaria e outros dados pessoais, o que permitirá ao “pirata” o acesso à conta da vítima, para realização de transferências sem o conhecimento e sem autorização do titular – cfr. Ac. Rel. Porto de 4.6.2019, proc. 1482/17.7 T8PRD.P2, relatora ALEXANDRA PELAYO, disponível in www.dgsi.pt.[5] Prosseguindo. 7. Certo é que o autor contribuiu para a utilização por parte de terceiros dos seus dados, fornecendo número de adesão e PIN de acesso, mas tal, só por si, não é suficiente para que se possa considerar que a sua conduta foi grosseiramente negligente. É que o autor limitou-se a atuar perante uma mensagem que tudo indicava ser proveniente do emissor Banco 1..., do mesmo canal emissor do qual já tinha recebido outros SMS´s todos eles fidedignos e validados quanto à fonte emissora, nunca tendo desconfiado tratar-se de outro emitente que não o banco réu. Acreditou, pois, que se tratava de uma real e efetiva mensagem da autoria dos serviços do banco réu, o que mais se reforçou porquanto a página web a que depois acedeu aparentava a ser a deste banco, por se mostrar em tudo idêntica à sua página oficial. Neste contexto, de grande fidedignidade da mensagem recebida, entendemos que o comportamento do autor não pode ser qualificado como grosseiramente negligente. Com efeito, o autor – utilizador do serviço eletrónico - forneceu informações confidenciais àquele que ele julga ser o seu banco e o terceiro que se faz passar fraudulentamente pelo seu banco só o consegue fazer em virtude quer da vulnerabilidade no acesso ao “canal emissor” de mensagens utilizado na comunicação entre o autor e o banco réu, quer da vulnerabilidade da página do prestador do serviço de homebanking. Assim, tal como se afirma na sentença recorrida, o pedido do terceiro não era suscetível de chamar a atenção do autor no sentido de o levar a desconfiar da regularidade da operação, não lhe sendo censurável a introdução dos dados solicitados, nem esse facto é suficiente para provar que, ao introduzi-los, o autor tenha atuado de modo diferente do que lhe seria exigível naquelas circunstâncias concretas. Para além disso, também não se pode ignorar que os factos aqui apurados referentes ao autor, conforme resultou da própria audiência, ocorreram num período crítico de pirataria digital com ocorrência de outros casos semelhantes – os clientes recebiam um SMS ou um email fraudulentos remetidos supostamente em nome do Banco 1... e que remetiam para uma página pirateada – e que esses factos coincidiram também com um período de alteração da imagem digital do banco, o que sempre poderia induzir em erro alguns clientes.[6] Deste modo, na linha do que é afirmado pela Mmª Juíza “a quo”, a negligência eventualmente evidenciada pela conduta do autor será, quando muito, de qualificar como inconsciente e leve e nunca como grave ou grosseira. Não estamos, de forma alguma, perante um erro imperdoável, uma desatenção inexplicável ou uma incúria indesculpável. Aliás, não se pode “qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’,‘pharming’,‘keylogging’) como gravemente negligente”, porquanto “essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas; e para uma conduta poder [ser] qualificada como grosseiramente negligente ela não pode ser susceptível de ser levada a cabo por um número significativo dos homens médios” – cfr. Acórdãos da Relação de Lisboa de 15.3.2016. proc. nº 1063/12.1TVLSB.L1-1, relator RIJO FERREIRA, da Relação de Coimbra de 15.1.2019, proc. nº 5600/11.0TBLRA.C1, relator MOREIRA DO CARMO e da Relação do Porto de 10.1.2023, proc. 1053/20.0T8MAI.P1, relator RUI MOREIRA, todos disponíveis in www.dgsi.pt. 8. Por conseguinte, uma vez que não se provou que o autor, enquanto utilizador do serviço de homebanking, tenha evidenciado uma conduta grosseiramente negligente, impende sobre o prestador desse serviço a responsabilidade pelo reembolso das quantias que foram objeto das operações não autorizadas nos termos do art. 114º, nº 1 do Dec. Lei nº 91/2018. Já no tocante aos juros moratórios, cuja aplicação foi fundada pela Mmª Juíza “a quo” no art. 71º, nº 2 do Dec. Lei nº 317/2009[7], já revogado conforme atrás se referiu, consideramos, ao abrigo da nova legislação resultante do Dec. Lei nº 91/2018, e mais concretamente do seu art. 114º, nº 10, não haver fundamento para os mesmos. A redação deste preceito, que diverge do antecedente art. 71º, nº 2, é a seguinte: «Sempre que o ordenante não seja imediatamente reembolsado pelo prestador de serviços de pagamento, e não tenham sido detetados motivos razoáveis que constituam fundamento válido de suspeita de fraude, ou essa suspeita não tenha sido comunicada, por escrito, à autoridade judiciária nos termos da lei penal e de processo penal, são devidos ao ordenante juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento tenha negado que autorizou a operação de pagamento executada, até à data do reembolso efetivo da mesma, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.» É certo que o autor não foi de imediato reembolsado pelo prestador de serviços de pagamento, mas também não é menos certo que, conforme sobejamente flui dos autos, foram desde logo apresentados motivos razoáveis que constituem fundamento válido de suspeita de fraude, o que, a nosso ver, inviabiliza a possibilidade de aplicação dos juros moratórios previstos nesta norma legal. Assim, a circunstância de na sentença recorrida se ter feito a análise jurídica do litígio com referência a um regime legal já revogado, apenas implica a alteração daquela sentença quanto à questão dos juros moratórios, por não terem cabimento, perante o quadro fáctico apurado, no âmbito do novo regime, o que implicará, nesta parte, a procedência do recurso interposto. Tudo o mais decidido em 1ª Instância e a análise, por esta, de todas as outras questões jurídicas suscitadas nos autos, tal como atrás se explanou, permanece válido aplicando-se o atual Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica resultante do Dec. Lei nº 91/2018. * Sumário (da responsabilidade do relator – art. 663º, nº 7 do Cód. de Proc. Civil): ……………………………… ……………………………… ……………………………… * DECISÃO Nos termos expostos, acordam os juízes que constituem este Tribunal em julgar parcialmente procedente o recurso de apelação interposto pelo réu “Banco 1..., S.A.” e, em consequência, revoga-se a sentença recorrida na parte em que este foi condenado a pagar juros moratórios a partir de 16.11.2021, à taxa legal que vigorar em cada momento até efetivo e integral pagamento. No mais mantém-se o decidido. Custas na proporção do decaimento, que se fixa em 5% para o autor e em 95% para o réu. Porto, 16.5.2023 Rodrigues Pires Márcia Portela João Ramos Lopes ________________ [1] Deixou-se ainda consignado, na sentença recorrida, que à restante matéria vertida nos articulados das partes não se responde ou por ser matéria conclusiva e/ou de direito ou de mera impugnação. [2] Anote-se a utilização indevida, mesmo tratando-se de factos não provados, do advérbio de modo “claramente”. [3] Alterado pelos posteriores Decretos leis nºs 242/2012, de 7.11 e 157/2014, de 24.10. [4] Com voto de vencido (ESPINHEIRA BALTAR). [5] Cfr. também Ac. STJ de 14.12.2016, proc. 1063/12.1TVLSB.L1.S1, relator PINTO DE ALMEIDA, disponível in www.dgsi.pt. [6] Cfr. a motivação da decisão de facto constante da sentença recorrida. [7] A redação desta norma é a seguinte: «Sempre que o ordenante não seja imediatamente reembolsado pelo respetivo prestador de serviços de pagamento nos termos do número anterior, são devidos juros moratórios, contados dia a dia desde a data em que o utilizador de serviços de pagamento haja negado ter autorizado a operação de pagamento executada, até à data do reembolso efetivo, calculados à taxa legal, fixada nos termos do Código Civil, acrescida de 10 pontos percentuais, sem prejuízo do direito à indemnização suplementar a que haja lugar.»