CONTRATO DE DEPÓSITO BANCÁRIO
HOMEBANKING
UTILIZAÇÃO IMPRUDENTE DO SERVIÇO
VIOLAÇÃO DAS REGRAS DE SEGURANÇA
Sumário


I- O serviço de homebanking prestado por uma instituição bancária aos seus clientes envolve obrigações recíprocas: por um lado, o Banco tem o dever de garantir a segurança na implementação do sistema informático e de informar os clientes das regras de segurança a seguir na utilização do serviço e, por outro, o cliente utilizador obriga-se a cumprir determinadas condições de segurança na utilização daquele serviço, designadamente a manter a confidencialidade do número do contrato, do código e do cartão matriz.
II- A responsabilidade por operações de pagamento não autorizadas, realizadas com recurso ao serviço de homebanking, incumbe, em princípio, ao prestador de serviços de pagamento, conforme estatuído no artº. 71º do RSP, cabendo ao utilizador nas situações previstas nos n.ºs 1 a 3 do artº. 72º daquele Regime, designadamente em caso de negligência grave do ordenante.
III- A complexidade dos sistemas bancários de homebanking, concebidos e controlados pelos Bancos, assim como a grande exigência dos mecanismos relacionados com a segurança das operações bancárias através deles realizadas, a par da propriedade do Banco sobre os valores depositados pelos seus clientes, em ambiente contratual, justificam o funcionamento da regra da presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil, nos termos da qual recai sobre o Banco depositário o ónus da prova de que a falta de cumprimento ou o cumprimento defeituoso da obrigação (correspondente a avarias técnicas ou outras deficiências que levaram à utilização fraudulenta daqueles meios) não procede de culpa sua.
IV- Em todo o caso, avultando neste tipo de contratos de homebanking a obrigação de utilização correcta do serviço por parte do utente, o qual assenta em boa parte na não divulgação dos seus elementos de segurança e códigos de acesso, o Banco pode elidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e provando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers.
V- O comportamento da Autora ao abrir um email que lhe pareceu proveniente do Banco réu, com o pedido de activação do cartão matriz, sendo-lhe solicitado, para o efeito, que acedesse a um link e introduzisse todos os dígitos do seu cartão, o que ela fez, tendo fornecido a totalidade das coordenadas que se encontram inscritas no cartão matriz, apesar de se encontrar inscrito no cartão matriz que utilizou para inserir todas as coordenadas o seguinte aviso: “Atenção: Nunca indique mais do que dois dígitos deste cartão matriz”, mostra-se adequado a viabilizar a realização por terceiros de operações de pagamento não autorizadas.
VI- Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do Banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador.
VII- Ao divulgar na internet a totalidade das combinações de algarismos que compõem o seu cartão matriz – apesar dos vários avisos e alertas de segurança que constam do cartão matriz, da carta que a Ré enviou à Autora com o cartão, do site da Ré na internet e da página de login do sistema “Net...” - a Autora actuou ao arrepio do contrato de homebanking a que aderiu e em violação de regras básicas de segurança nele previstas para a utilização do serviço “Net...”, regras essas acessíveis à Autora, o que permitiu que terceiros se apoderassem dos seus elementos de segurança e assim lograssem aceder às contas bancárias tituladas pelas Autoras e efectuar operações fraudulentas.
VIII- A actuação da Autora, ao inserir a totalidade das coordenadas inscritas no cartão matriz em página electrónica semelhante à do serviço de homebanking da Ré, fazendo uma utilização imprudente e descuidada daquele serviço, violando as regras de segurança impostas pelo respectivo contrato, tendo sido este comportamento causa directa da movimentação das suas contas bancárias por terceiros, configura negligência grave, preenchendo a previsão do artº. 72º, n.º 3 do RSP, pelo que lhe cabe a responsabilidade pelas operações de pagamento não autorizadas executadas, até ao limite do saldo disponível.
IX- Por sua vez, a Ré, ao provar a culpa da Autora na transmissão da totalidade das coordenadas inscritas no cartão matriz a terceiros e, consequentemente, o seu incumprimento do contrato de homebanking por violação das mais elementares regras de segurança impostas pelo mesmo, ilidiu a presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil que sobre si impendia, pelo que não é responsável pela movimentação das contas bancárias de forma fraudulenta.

Texto Integral


– Reclamação para a Conferência

Acordam em conferência na Secção Cível do Tribunal da Relação de Guimarães

I. RELATÓRIO

M. A. e M. G. intentaram a presente acção declarativa, sob a forma de processo comum, contra Caixa ..., pedindo a condenação da Ré na restituição da quantia de € 12.389,15, acrescida de juros de mora vencidos, liquidados em € 494,21, e no pagamento de uma indemnização no valor de € 2.000,00 por danos não patrimoniais sofridos com a angústia e abalo moral decorrentes da atitude da Ré.
Para tanto alegam, em síntese, que entre as AA. e a Ré foi celebrado um contrato de depósito bancário, através da abertura de contas de depósito à ordem, tendo os funcionários do balcão de Peso da Régua, a partir do ano de 2015, insistido diversas vezes com a A. M. A. para que aderisse ao serviço de homebanking, tendo esta recusado pois, apesar da sua formação académica, grau de licenciatura, não se sentia confortável com tal acesso, pois não possuía conhecimentos bancários e informáticos bastantes para tal.
No entanto, face ao encerramento do balcão de Peso da Régua e a transferência dos seus clientes para o balcão de ..., que ocorreu em Junho de 2016, e uma vez que a A. M. A. necessitava de extractos mensais da conta titulada pela empresa X – Sociedade Agrícola, Lda., da qual é gerente, o que a obrigava a deslocar-se a ... mensalmente para actualizar a caderneta, foi mais uma vez proposto pela Ré que a A. aderisse à “Net...”.
Assim, em 19/01/2017 as AA. aderiram ao acesso à internet na conta titulada pela empresa supra mencionada, tendo a A. M. A., face à insistência e pela simplicidade transmitida pelo funcionário da Ré no acesso e uso ao “Net...”, por escrito particular datado de 19/01/2017, aderido também àquele serviço de internet da sua conta particular com o nº. ...... e da conta nº. ......, titulada por ambas as Autoras.

Para tanto, a Ré atribuiu à A. M. A. um número de contrato e password secreta.
Contudo, não foi dada, por parte do funcionário da Ré, qualquer informação sobre os perigos de fraude a que os aderentes do contrato estavam sujeitos, tendo o mesmo apenas dito que iriam ser enviados por correio os cartões matriz e que depois teria que os activar, não tendo explicado qual o procedimento a adoptar para a sua activação, dizendo apenas que era simples.
Em 24/01/2017 a A. M. A. recebeu por correio os cartões matriz, não tendo procedido de imediato à sua activação.
Em 6/02/2017 a A. M. A. recebeu um email cujo remetente era "Net...@caixa....pt", que solicitava a activação do cartão matriz sob pena de o mesmo ser suspenso, não tendo a A. detectado nada de estranho no email, pois ainda não tinha procedido à activação do cartão, e porque considerou tratar-se da um email verdadeiro e fidedigno, abriu-o e seguiu as suas instruções, introduzindo os códigos do cartão matriz.
Mais alegam que foram efectuados diversos movimentos a débito e transferências das referidas contas sediadas no Banco Réu, que descriminam nos artºs 25º a 29º da petição inicial, sem a sua autorização, tendo todos os movimentos em causa sido realizados através do serviço de homebanking “Caixa... – Net...”.
Em 8/02/2017 a A. M. A., apercebendo-se dos aludidos movimentos bancários, de imediato e no próprio dia apresentou reclamação verbal e escrita junto da Ré, a solicitar o reembolso imediato dos montantes de operações de pagamento não autorizadas, por tais quantias terem sido abusivamente apropriadas, através de operações fraudulentas perpetradas por terceiros, e no dia 9/02/2017 apresentou queixa na Polícia Judiciária de Vila Real, encontrando-se a correr o inquérito n.º 380/17.9JAPRT.
Apesar das reclamações apresentadas pela A. M. A. junto da Ré e do Banco de Portugal, a Ré não assumiu qualquer responsabilidade, tendo comunicado a sua posição à A. M. A., mediante carta recebida por esta em 24/03/2017. Por sua vez, o Banco de Portugal respondeu que “não encontrou indícios de infracção por parte da entidade reclamada”, explicando que a sua intervenção está limitada à verificação do cumprimento das normas que regem a actividade das instituições de crédito.
Referem, ainda, que a Ré não assegurou os dispositivos de segurança, por forma a evitar os movimentos bancários efectuados contra a vontade das AA., pelo que recai sobre a Ré a presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil, por causa das deficiências de segurança no serviço de homebanking.
Acrescentam que continuam desembolsadas da importância global de € 12.389,15 e que vivem em sobressalto e na incerteza de poder reaver tais quantias, o que muito as preocupa e angustia, tendo perdido noites de sono e em sobressalto, deixando-as tristes e revoltadas.

A Ré contestou, alegando que por força da adesão da A. M. A. ao “Net...”, a Ré obrigou-se a cumprir com as ordens de pagamento correctamente validadas nos termos do contrato, e a A. a guardar as suas credenciais, assumindo a responsabilidade por quaisquer prejuízos decorrentes de negligência, tendo aquela A. recebido os seguintes elementos para autenticação das ordens de pagamento e validação da sua identidade, na qualidade de ordenante:
Um número de utilizador, que corresponde ao número do contrato, facultado presencialmente no balcão gestor da conta das AA.;
Uma password, facultada presencialmente no balcão, que exige que seja alterada após o primeiro login no sistema por parte do utilizador, ficando este o único conhecedor dessa senha de acesso;
Um Cartão matriz, composto por 72 posições com 3 algarismos cada, sendo este gerado por computador, sem qualquer intervenção humana, e remetido via postal para a morada do cliente.

Foi, ainda, explicado à A. M. A. todos os procedimentos de segurança e utilização do serviço “Net...”, informação essa também disponível no site da Ré na internet, não estando tais procedimentos e cuidados dependentes de qualquer tipo de formação académica, sendo do conhecimento geral que facultar dados/meios de pagamento bancários a terceiros, acarreta consequências nefastas para o património de quem não é diligente na sua correcta salvaguarda.
Mais alega que as ordens de pagamento enunciadas nos artºs 25º a 29º da petição inicial foram validamente transmitidas, fornecendo todos os elementos de segurança. Não havendo, portanto, fundamento legal e contratual para a Ré não dar cumprimento às ordens transmitidas. Aliás, a emissão de uma ordem de pagamento vincula a Ré à sua realização, não podendo esta abster-se de a concretizar, tal como impõe o nº. 1 do artº. 76º do DL 317/2009 de 30/10, que transpõe para a ordem jurídica nacional a Directiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro.

Refere, ainda, que consta inscrito no cartão matriz disponibilizado à A. M. A. o aviso: “Nunca indique mais que 2 dígitos deste Cartão Matriz”, e no site da Ré consta a informação de segurança referida no artº. 25º da contestação, sendo apenas o legítimo possuidor do cartão matriz que consegue validar uma operação, uma vez que é o único que conhece todas as coordenadas (elemento essencial para realizar as operações, dado o funcionamento do sistema “Net...”).
Este contrato prevê a existência de obrigações por parte das AA., nomeadamente a correcta salvaguarda das suas credenciais de acesso, sendo estas pessoais e intransmissíveis, não sendo aceitável a sua disponibilização a terceiros, obrigação essa que foi incumprida por parte da A. M. A..
Acrescenta que apenas a A. M. G. facultou o seu contacto de email à Ré e não tendo a A. M. A. facultado o seu email, nunca poderia esperar receber um email da Ré. A isto acresce que a conta de email onde foi recebido o suposto pedido de activação do cartão matriz é M.a.@sapo.pt e o email utilizado posteriormente, para entrar em contacto com o Gabinete da Provedoria do Cliente da Ré, foi M.a.@adv.oa.pt, pelo que em momento algum teve a Ré acesso ao endereço de email da A. que recebeu o email fraudulento.
O que está em causa não é a fiabilidade nem a segurança do “Net...”, mas antes a conduta negligente grave da A. M. A., que facultou todos os seus dados bancários a terceiros, com claros indícios da proveniência duvidosa do email e da própria escrita que o documento 5 junto com a petição inicial apresenta.
Numa óptica preventiva, a Ré emana no seu site e no sistema “Net...” um conjunto de procedimentos de segurança que enuncia nos artºs 47º a 53º da contestação, os quais devem ser respeitados a fim de prevenir a ocorrência de fraudes.
As operações a débito e a consequente perda patrimonial apenas se deveram a uma conduta negligente grave da A. M. A., que ignorou os constantes avisos de segurança e incumpriu a sua obrigação de salvaguarda e zelo das credenciais de acesso ao homebanking, não podendo, por isso, a Ré ser responsabilizada pela perda patrimonial das Autoras.
Conclui, pugnando pela improcedência da acção e sua absolvição dos pedidos contra si deduzidos.

Foi realizada audiência prévia e proferido despacho saneador, no qual se procedeu ao saneamento da acção, verificando-se a validade e regularidade da instância, se identificou o objecto do litígio e se enunciaram os temas de prova, que não sofreram reclamações.

Procedeu-se à realização da audiência de discussão e julgamento, com observância do legal formalismo.

Após, foi proferida sentença que julgou a presente acção totalmente procedente e, em consequência, condenou a Ré:

i. Na restituição às autoras de doze mil trezentos e oitenta e nove euros e quinze cêntimos, quantia acrescida de juros de mora vencidos de quatrocentos e noventa e quatro euros e vinte e um cêntimos.
ii. No pagamento às autoras de compensação de danos não patrimoniais no valor de dois mil euros.

Inconformada com tal decisão, a Ré dela interpôs recurso de apelação, extraindo das respectivas alegações as seguintes conclusões [transcrição]:

1. Vem o presente recurso interposto da sentença que julgou procedente a acção, condenando a Ré Caixa … à restituição às autoras de doze mil trezentos e oitenta e nove euros e quinze cêntimos, quantia acrescida de juros de mora vencidos de quatrocentos e noventa e quatro euros e vinte e um cêntimos; e o pagamento às autoras de uma compensação de danos não patrimoniais no valor de dois mil euros.
2. Não pode a recorrente conformar-se com o entendimento perfilhado, porque da prova carreada para os autos, outra deveria ser a decisão.
3. A Ré não desconhece que é seu dever legal, de acordo com a disposição do artigo 73º do RGICSF, assegurar, em todas as actividades que exerce, elevados níveis de competência técnica, e garantir que a sua organização empresarial funcione com os meios humanos e materiais adequados a assegurar condições apropriadas de qualidade e eficiência.
4. É igualmente consabido que, para os bancos, decorrem deveres funcionais que se traduzem, nomeadamente, em assegurar aos seus clientes, em todas as actividades que exerçam, elevados níveis de competência técnica e de criação de condições de eficiência, diligência, neutralidade, lealdade, discrição e respeito consciencioso dos interesses que lhe são confiados, de acordo com o princípio da segurança das aplicações, tendo em conta o interesse dos seus clientes.
5. No entanto, o cumprimento de tais regras de conduta não pode significar a plena demissão das obrigações dos clientes que com eles contratam, nem um entrave ao desenvolvimento da prática bancária.
6. No contrato de homebanking, o cliente obriga-se a garantir a segurança dos elementos de identificação que aí lhe são exigidos, bem como a sua utilização estritamente pessoal, nomeadamente: (i) não permitindo a sua utilização por terceiro, ainda que seu procurador ou mandatário; (ii) não os revelando nem por qualquer forma os tornando acessíveis ao conhecimento de terceiro e (iii) memorizando-os e abstendo-se de os registar, quer directamente, quer por qualquer forma ou meio que se mostre inteligível por terceiros.
7. No entanto, in casu, a recorrente logrou provar que a falta de cumprimento não procedeu de culpa sua, mas antes de culpa do seu cliente, ora autoras/recorridas.
8. Contrariando o que deva ser tido por elementares regras de procedimento de segurança no acesso ao homebanking, e em particular ao Caixa... Net..., a autora M. A. forneceu a terceiros as combinações de números do seu cartão matriz de acesso à sua conta bancária.
9. A autora abriu um email e acreditando na sua autenticidade clicou na opção ativar o cartão matriz (facto 15º e 17º dos factos provados).
10. De seguida foi-lhe solicitado que introduzisse vários dígitos do cartão, o que a Autora M. A. fez, tendo fornecido a totalidade das coordenadas que se encontram inscritas no cartão matriz (facto 17 dos factos provados).
11. Não tendo estranhado tal solicitação, apesar de se encontrar inscrito no cartão matriz que utilizou para inserir todas as coordenadas (processo bastante demorado, diga-se) o seguinte aviso: “Atenção: Nunca indique mais do que dois dígitos deste cartão matriz”.
12. Bem como a carta enviada com o cartão matriz (doc nº 4 da petição inicial) explicar como o mesmo é ativado.
13. Tais pertinentes avisos e alertas encontravam-se assim ao alcance da autora, que manifestamente os menosprezou.
14. Não obstante a semelhança entre a página a que acedeu e a do serviço de homebanking, e o facto de a Autora ter afirmado, que não quaisquer conhecimentos informáticos e que, com alguma vergonha apesar do ocupação profissional, advogada, não ter percebido que estava a ser vítima de fraude.
15. Foi dado como provado que o funcionário da Ré lhes disse que ia ser enviado o cartão matriz pelo correio que depois teria que os ativar, dizendo que era simples (facto 12 dos factos provados).
16. A inserção da totalidade das coordenadas do cartão matriz é tudo menos um procedimento simples, pelo que à Autora, apesar de leiga em matéria informática, mas com instrução acima da média, pelo menos se exigia que lhe suscitasse dúvidas e que contactasse a linha de apoio disponível.
17. Mas não, omitindo todas as advertências transmitidas, permitiu a realização ilícita por terceiros de operações de pagamento não autorizadas por si.
18. E consagra o art. 487º do C.C. que a culpa é apreciada pela diligência de um bonus pater famílias, colocado nas concretas circunstâncias em causa, sendo que tal impõe que se determine previamente “a conduta exigível dos homens de boa formação e de são procedimento, conforme ensina Pires de Lima e Antunes Varela in código civil anotado vol. 1.
19. A conduta da Autora M. A. mostrou-se eivada de negligência, o que resultou na apropriação ilegítima dos seus dados por terceiros, configurando uma negligência grave, preenchendo assim o estatuída no art. 72º, nº 3.
20. Neste sentido encontramos já diversa jurisprudência, tal como o Acordão do Tribunal da Relação de Évora de 12/04/2018, Ac. do TRL de 12-12-2013, Ac. do TRE de 25-06-2015, Ac. do TRL de 12-07-2018.
21. Os clientes quando aderem ao contrato de homebanking têm de ter consciência dos perigos que isso importa, no entanto se seguirem à risca as instruções do banco, não resultará qualquer perigo.
22. Este dever de informação tem integral cabimento dentro do aludido dever de segurança que impende sobre o Banco Réu pois que, com a correcta utilização dos dados fornecidos, sem que sejam transmitidos a terceiros, o sistema é seguro.
23. Na utilização do serviço homebanking por banda da autora, resulta óbvio, que a mesma desrespeitou as condições acordadas, maxime no que concerne às que se reportam à segurança.
24. Da mesma forma e na esteira do que até aqui vem alegado, não pode a Ré ser condenada pelo pagamento de qualquer montante a título de responsabilidade por danos não patrimoniais, uma vez que os danos sofridos pelas Autores ao seu comportamento se devem.
25. Pelo que, com a decisão proferida, violou assim o Mmo Juiz a quo os artigos 570º e 799º ambos do Código Civil e ainda os art 67º e 72º do DL 317/2009.

Terminam entendendo que deve ser dado provimento ao recurso, revogando-se a sentença recorrida e ser proferida outra que julgue a acção totalmente improcedente.

Não foram apresentadas contra-alegações.

O recurso foi admitido por despacho de fls. 144.

Em 8 de Março de 2020 foi proferida, neste Tribunal, decisão singular que julgou procedente o recurso de apelação interposto pela Ré Caixa ... e, em consequência, revogou a decisão recorrida, absolvendo a Ré do pedido.

Inconformadas com esta decisão, vieram as AA./recorridas reclamar para a conferência, pretendendo que sobre a mesma recaia acórdão, nos termos do artº. 652º, nº. 3 do NCPC, rematando o seu requerimento com as seguintes conclusões [transcrição]:

A. Entendeu a Digníssima Juiz Relator que face á simplicidade da questão suscitada no presente recurso, ao abrigo do disposto nos artº 652º n.º 1 al.c) e 656º ambos do Novo Código de Processo Civil, aprovado pela Lei n.º 41/2013 de 26/6, foi do entendimento proferir decisão sumária sobre o objecto do recurso.
B. O objecto do recurso foi delimitado á questão de saber se a Ré é responsável pela restituição ás AA. dos montantes movimentados a débito das suas contas através do Sistema homebanking e pela compensação de danos não patrimoniais.
C. Em suma, a Juiz relator decidiu que a conduta da Ré M. A. foi negligente, sendo censurável, pois a mesma fez uma utilização imprudente e descuidada do serviço homebanking, violando as regras de segurança impostas pelo respectivo contrato, tendo sido este comportamento causa directa da movimentação das aludidas contas bancárias por terceiros.
D. As Reclamantes discordam totalmente pois, no nosso entendimento não foi dado como provada a culpa da A. M. A..
E. In casu, devemos analisar pormenorizadamente todos os factos dados como provados da Douta sentença recorrida a fim de se apurar a existência ou não de culpa da Autora M. A..
F. Em primeiro lugar, ficou provado sob o ponto 7 da sentença recorrida, que a Autora M. A. disse, de forma clara e peremptória, ao funcionário da Ré de que não tinha conhecimento e contacto com o homebanking, nem conhecimento informáticos bastante.
G. E foi apenas pela insistência e simplicidade transmitida pelo funcionário da Ré que as Autoras aderiram aquele serviço de internet da sua conta particular.
H. Pois, na data de adesão ao serviço, em 19 de Janeiro de 2017, o funcionário da Ré não deu qualquer informação sobre os perigos da fraude a que os aderentes do contrato estavam sujeitos, só pelo facto de ter celebrado o contrato, factos provados 8 ,9, 10, 11 e 12 da douta sentença recorrida.
I. Bem como não explicou às Autoras qual o procedimento a tomar para a activação dos cartões matriz que seriam enviados por correio.
J. A Ré não informou as Autoras das suas obrigações enquanto utilizadoras do serviço homebanking, demonstrando uma atitude descuidada, pois as Autoras deixaram bem claro não ter quaisquer conhecimentos informáticos bastantes para contactar através do homebanking.
K. Sob os pontos 14, 15, 16, 17 e 43 da douta sentença recorrida, ficou provado que a A. M. A. considerou o e-mail que recebeu cujo remetente era “Net...@caixa....pt” como sendo um e-mail verdadeiro e fidedigno e por isso abriu-o e seguiu as instruções, introduzindo os códigos do cartão matriz.
L. E por isso entendeu a M.ma Juiz Relatora da Decisão Singular que este comportamento da Autora M. A. foi descuidado e imprudente.
M. Mas devemos contextualizar o comportamento da Autora para apurar se existe culpa.
N. Em primeiro lugar a Autora nunca acedeu á página do login do sistema “Net...” nem ao site da Ré, pelo que não se pode concluir que os factos dados como provados sob os pontos 39, 44, 45, 46, 47, 48 e 49 foram levados ao conhecimento das Autoras.
O. O que é demonstrado pelo facto de a Autora M. A., após ter recebido, por correio, os cartões matriz não ter procedido á sua activação, nem nunca ter acedido ao site da Ré.
P. Pelo que, qualquer pessoa mediana em iguais circunstâncias da Autora, isto é, sem ter sido devidamente informada e alertada pela Ré dos perigos de fraude, ao receber um e-mail cujo remetente era identificado como sendo da Ré, a solicitar a ativação dos cartões sob pena de os mesmos ficarem suspensos quando efectivamente os mesmos ainda não tinham sido ativados, não levaria a questionar tal pedido.
Q. Ora, se Autora, a quando da adesão presencial ao “Caixa...” no balcão da Ré, sito em ..., tivesse sido devidamente informada sobre os perigos da fraude a que os aderentes do contrato estavam sujeitos, e lhe tivesse sido explicado o procedimento a tomar para a ativação dos cartões, veja-se os factos dado como provados sob o ponto 11e12da Douta sentença recorrida, a Autora poderia questionar a veracidade de tal e-mail bem como do procedimento que o mesmo indicou.
R. E, salvo o devido respeito, não é pelo facto de a Ré alertar para as possíveis fraudes no site da internet e na página do login do sistema Net... que obriga qualquer cidadão comum a visitar os mesmos e inteirar-se do seu conteúdo.
S. A Ré não advertiu as Autoras para a necessidade de consultarem o site, nem as mesmas estavam obrigadas a tal.
T. Ora, as Autoras ao contrário do que entende a M.Mma Juiz Relatora da Decisão Singular, não foram avisadas e alertadas de que o sistema informático nunca solicitava mais do que duas posições aleatórias do cartão matriz para a concretização de operações bancárias.
U. Ora, como se disse supra, e está dado como provado o facto sob ponto 11 da sentença recorrida, o funcionário da Ré não deu qualquer informação sobre os perigos, nem qual o procedimento para ativar os cartões matriz.
V. Ora, nunca tendo a Autora acedido ao site da Ré, não ter ainda utilizado o sistema Net..., isto é, não tendo efectuado o login de primeira utilização, não se pode concluir que a Autora ao seguir as instruções do e-mail recebido, e introduzir todos os códigos do cartão matriz omitisse o comportamento a que estava obrigada, uma vez que a mesma não foi minimamente informada pela Ré, no uso daquela ferramenta informática.
W. Ora, não se pode concluir que a Autora M. A. revelou uma desatenção e falta de informação, desinteresse em olhar para os avisos e alertas que constam no cartão matriz, do site da Ré, na internet e da página de login do sistema Net..., uma vez que se encontra provado que a Autora nunca acedeu ao site da Ré, o que, repetimos, é demonstrado pelo facto de a Autora á data que recebe o email ainda não ter procedido á ativação do cartão matriz.
X. Pelo que, o único alerta a que a Autora M. A. teve acesso foi ao aviso em letras minúsculas, constante no cartão matriz.
Y. Ora, entendeu muito bem o Tribunal a quo, ao considerar que este aviso não era suficiente para considerar a Autora minimamente informada sobre os cuidados de segurança a manter, acrescido do facto de aquela ainda não ter acedido aos serviços de homebanking da Ré.
Z. Por outro lado, não é do conhecimento do cidadão comum que os serviços de homebanking estão sujeitos a frequentes ataques de piratas informáticos.
AA. Note-se que os Bancos insistem com os cidadãos para adesão a tais serviços garantindo que os mesmos são seguros.
BB. O que desde logo justifica a insistência da Ré perante as Autoras na adesão de tais serviços, ter demonstrado facilitismo na utilização do mesmo, incentivando a sua adesão, por daí a Ré tirar vantagens.
CC. Ora, in casu está completamente provado que a Ré não advertiu as Autoras quanto ao modo de corretamente utilizar os números do cartão matriz de acesso ao sistema de homebanking, antes pelo contrário demonstrou um facilitismo na sua utilização, pelo que não é censurável o comportamento adotado pela Autora M. A..
DD. O comportamento da Autora M. A., vítima defraude, á luz de uma pessoa mediana, não é suficiente para qualificar a negligência como “grosseira”, colocando-a ao nível do “erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes.
EE. Note-se que no presente caso a A. M. A. nunca tinha acedido á página da NET..., pois ainda não tinha procedido á validação do cartão matriz, pelo que não tinha qualquer experiência na utilização do sistema Net....
FF. Nos acórdãos da Relação de Lisboa de 15.03.2016 (Relator - Rijo Ferreira) e da Relação de Coimbra de 15.1.2019 (Relator - Moreira do Carmo), defende-se mesmo que, “pela própria natureza das coisas”, não se pode “qualificar a conduta de quem fornece credenciais de segurança sujeito a uma prática fraudulenta (‘phishing’, ‘pharming’, ‘keylogging’) como gravemente negligente”, porquanto “essas práticas fraudulentas são levadas a cabo porque um grande número de pessoas é ludibriado através delas e não apenas as extremamente descuidadas ou incautas.
GG. Para uma conduta poder ser qualificada como grosseiramente negligente ela não pode ser susceptível de ser levada a cabo por um número significativo dos homens médios”, posição que segue na esteira do entendimento expresso no já citado acórdão desta Relação 17.12.2014, onde se lê: “como várias pessoas “caíram” na mesma situação não podemos, por comparação com o homem comum, dizer que ele agiu de uma forma particularmente negligente”.
HH. Veja-se, aliás, que a Ré não disse às AA. que os códigos eram pessoais e intransmissíveis, que os deveria guardar cuidadosamente e nunca em circunstância alguma os deveria revelar a terceiros, na medida em que, através deles terceiros poderiam aceder ás contas das mesma.
II. Face à doutrina portuguesa sobre esta matéria, “negligência grave” corresponde a “negligência grosseira, erro imperdoável, desatenção inexplicável, incúria indesculpável – vistos em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes”.
JJ. Veja-se o Acórdão da Relação de Guimarães de 10-07-017, Processo 2406/17.7T8BCL.G1: “V – A circunstância de um utilizador do sistema de homebanking, desde a adesão, nunca ter efectuado nenhuma operação com o cartão-matriz, só utilizando o referido serviço para consultas – circunstância que permite considerar como natural que o mesmo não atentasse nos procedimentos relativos à utilização do cartão-matriz e aos alertas com tal utilização relacionados – associada à circunstância de, no momento do fornecimento dos dados do cartão-matriz, o utilizador não se encontrar no site do prestador de serviço, onde os avisos da entidade prestadora do serviço de homebanking surgem, deverão conduzir a considerar como não-grave a negligência do mesmo ao inconscientemente fornecer a terceiros, que para o efeito atuaram fraudulentamente, os dados do seu cartão-matriz”.
KK. Pelo que, face o exposto a atitude da Autora M. A., ao seguir os passos indicados no email que recebeu e considerou tratar-se de um e-mail fidedigno da Ré não agiu de forma desatenta nem omitiu qualquer comportamento da qual tivesse conhecimento da sua obrigação.
LL. Pelo que o risco de funcionamento deficiente ou inseguro do sistema de prestação de serviços de pagamento ou transferência localiza-se na esfera do seu prestador, isto é da Ré, a quem incumbe a responsabilidade por operações não autorizadas pelas Autoras nem devidas a causa imputável a estas.
MM. E face á matéria considerada como provada pela primeira instância, dever-se-á ponderar como circunstância altamente relevante o facto de a Autora, desde a adesão, não ter ativado os cartões matriz, nunca ter efetuado qualquer operação com os referidos cartões matriz, nunca ter acedido ao site da Ré e á página de login do sistema “Net...”, sendo por isso perfeitamente natural que não atentasse nos procedimentos relativos á utilização do cartão matriz e aos alertas com tal utilização.
NN. Acresce ainda que, a Autora forneceu os dados do cartão através de um e-mail, pelo que não se encontrava no site da Ré onde os avisos surgem, nada a alertando, pois, no único momento em que a mesma, desde a adesão (19-01-2017) teria procedido á inserção dos dados do dito cartão, para os perigos relacionados com a inserção de várias coordenadas daquele.
OO. Assim, verificar-se negligência pelo comportamento da Autora a mesma sempre será de qualificar como inconsciente e leve e nunca como grave.
PP. Pelo que, entendemos humildemente que a douta sentença, ao absolver a ré apelante nos termos aí exarados, não está a fazer douta justiça, devendo o recurso interposto pela Ré ser julgado totalmente improcedente.
QQ. Pelo que, em CONFERÊNCIA deverá a douta sentença singular ser revogada e substituída por outra, mediante a qual se julgue o presente recurso totalmente improcedente, mantendo-se a decisão recorrida.

A Ré apresentou resposta na qual reproduz, de forma concisa, a posição defendida nas alegações de recurso, e considera que a decisão sumária não merece qualquer censura, pugnando pela sua manutenção.
Cumpre apreciar e decidir em conferência.

*
II. FUNDAMENTAÇÃO

O objecto do recurso é delimitado pelas conclusões das respectivas alegações, sem prejuízo das questões de conhecimento oficioso, tendo por base as disposições conjugadas dos artºs 608º, nº. 2, 635º, nº. 4 e 639º, nº. 1 todos do Novo Código de Processo Civil (doravante NCPC), aprovado pela Lei nº. 41/2013 de 26/6.

Deste modo, considerando o teor das conclusões apresentadas no presente recurso, a única questão a decidir consiste em saber se a Ré é responsável pela restituição às AA. dos montantes movimentados a débito das suas contas através do sistema homebanking e pela compensação de danos não patrimoniais.

Na sentença recorrida foram considerados provados os seguintes factos [transcrição]:

1. A Primeira Autora é depositante na Ré desde 2012, sendo titular juntamente com a Segunda Autora das contas com os nº ...... e da ………, da dependência de Peso da Régua, conforme documento n.º 1 e 2 que ora se juntam e se dão como integralmente reproduzidos.
2. Foi assim, entre as Autoras e a Ré celebrado um contrato de conta bancária, através da abertura de conta Depósito á Ordem.
3. A Ré encerrou o balcão de Peso da Régua, transferindo os seus clientes para o balcão de ....
4. Face ao encerramento do balcão de Peso da Régua, que ocorreu em Junho de 2016, e uma vez que a primeira Autora necessitava de extractos mensais da conta titulada pela empresa x- Sociedade Agrícola Lda, da qual é gerente, o que a obrigava a deslocar-se a ... mensalmente para actualizar a caderneta, foi mais uma vez proposto pela Ré que a Autora aderisse á Net....
5. Assim, as Autoras em 19 de Janeiro 2017 deslocaram-se ao balcão de ... e aderiram ao acesso à internet na conta titulada pela mencionada empresa x, Sociedade Agrícola, Unipessoal Lda., da qual a primeira Autora é gerente.
6. Nesse momento, o funcionário da Ré incentivou a primeira autora a aderir também à Net... da sua conta pessoal.
7. A primeira Autora informou não ter conhecimento e contacto com o Homebanking nem conhecimentos informáticos bastantes.
8. Face à insistência e pela simplicidade transmitida pelo funcionário no acesso e uso ao Net..., a primeira Autora acabou por aderir àquele serviço de internet da sua conta particular com o número ......, IBAN PT50 ……… 5.
9. Assim, por escrito particular datado de 19 de Janeiro de 2017, a primeira autora a aderiu ao “Caixa...”, por via do qual podia aceder a serviços disponibilizados por aquela através de canais telemáticos, internet, Wap, ou outras formas de acesso, possibilitando por esse meio, designadamente obter informações sobre produtos e serviços da Ré, obter informações e realizar operações bancárias sobre contas de que fosse titular, ou co-titular em regime de solidariedade.
10. Para tanto, a Ré atribuiu à primeira Autora um número de contrato e password secreta.
11. Nessa altura o funcionário da Ré não deu qualquer informação sobre os perigos da fraude a que os aderentes do contrato estavam sujeitos, só pelo facto de ter celebrado o contrato.
12. Aquele funcionário apenas disse que iriam ser enviados os cartões matriz por correio e que depois teria de os activar, não tendo explicado qual o procedimento a tomar para a sua activação, dizendo apenas que era simples.
13. A primeira Autora alertou o funcionário de que apesar de ser segunda titular da conta n. ......, em que a primeira titular é a segunda Autora, não pretendia ter acesso a tal conta, mas o funcionário explicou que não podia separar as contas.
14. Em 24 de Janeiro de 2017, a primeira Autora, recebeu por correio os cartões matriz, não tendo procedido de imediato à sua activação.
15. No dia 6 de Fevereiro de 2017, a primeira Autora recebeu um e-mail cujo remetente era "Net...@caixa....pt", que solicitava a activação do cartão matriz sob pena de o mesmo ser suspenso.
16. A Autora, não detectou nada de estranho no e-mail, pois efectivamente ainda não tinha procedido à activação.
17. E porque considerou tratar-se da um e-mail verdadeiro e fidedigno abriu-o e seguiu as suas instruções, introduzindo os códigos do cartão matriz.
18. Na manhã do dia 7 de Fevereiro de 2017, um funcionário do balcão de ... entrou em contacto, via telefone, com a primeira Autora a dar-lhe conhecimento de que tinha detectado uma entrada de dinheiro na conta da empresa e se não pretendia investir algum dinheiro em fundos.
19. Por volta das 17:00h do dia 8 de Fevereiro, a segunda Autora telefonou à primeira Autora questionando se esta tinha realizado duas transferências, uma no valor de € 7500,00 e outra de € 5.000,00, da conta n.º ...... para a conta n.º ......7, pois verificou a existência de tais movimentos, bem como verificou que existiam diversos pagamentos de serviços.
20. De imediato, a primeira Autora dirigiu-se ao multibanco e verificou que foram efectuados diversos movimentos bancários de débito da sua conta ......7, e de que fora realizada a transferência de € 7500,00 e €5000,00 da conta em que a segunda Autora é primeira titular.
21. Na conta n.º ......, em que a segunda Autora é primeira titular foram movimentados diversos débitos no valor de € 3.595,58, referente a um pagamento de serviços de € 998,50, a um pagamento de serviços de € 997,58, a um pagamento de serviços de € 497,50, a um pagamento de serviços de € 998,00, a um pagamento de serviços de € 104,00.
22. No dia 8 de Fevereiro de 2017, através do mesmo serviço, a conta de depósito com o n.º ......, foi movimentada a débito a quantia de € 9.791,15, referente a três pagamentos de serviços de € 995,00, um pagamento de serviços e € 495,00, um pagamento de serviços e € 998,00, quarenta e três pagamentos de serviços de € 104,00, um pagamento de serviços de € 395,58, um pagamento de serviços de € 445,57.
23. As Autoras não efectuaram nem autorizaram estas transferências e pagamentos.
24. Todos os movimentos em causa foram realizados através do serviço de Homebanking Caixa... – Net....
25. Em 8 de Fevereiro de 2017 a primeira Autora apercebendo-se dos aludidos movimentos bancários, de imediato e no próprio dia apresentou reclamação verbal e escrita junto da Ré, a solicitar o reembolso imediato dos montantes de operações de pagamento não autorizadas, por tais quantias terem sido abusivamente apropriadas, através de operações fraudulentas perpetradas por terceiros.
26. No dia 9 de Fevereiro de 2017 a primeira Autora apresentou queixa junto da Policia Judiciária de Vila Real, encontrando-se a correr o inquérito n.º 380/17.9JAPRT.
27. Face à ausência de resposta da Ré, a primeira Autora em 23 de Fevereiro de 2017 enviou novamente e-mail à Ré.
28. Bem como, no dia 23 de Fevereiro de 2017, reclamou junto do Banco de Portugal.
29. Sucede que, a Ré não assumiu qualquer responsabilidade, tendo comunicado a sua posição á Autora, mediante carta recebida pela primeira Autora em 24 de Março de 2017.
30. Bem como o Banco de Portugal em resposta diz “depois de analisada a reclamação acima identificada, o Banco de Portugal não encontrou indícios de infracção por parte da entidade reclamada”, explicando que a sua intervenção está limitada á verificação do cumprimento das normas que regem a actividade das instituições de crédito.
31. A primeira Autora mantém um antivírus actualizado a proteger o seu computador, bem como dispõe do Firewall do Windows.
32. As Autoras continuam desembolsadas da importância global de € 12.389,15.
33. As Autoras vivem em sobressalto e na incerteza de poder reaver tais quantias o que muito as preocupa e angustia.
34. Tendo perdido noites de sono e em sobressalto.
35. Deixando-as tristes e revoltadas.
36. Consta do contrato de adesão ao “NET...”, supra aludido, que a R. se obrigou a cumprir as ordens de pagamento correctamente validadas nos termos do contrato e a A. a guardar as suas credenciais, assumindo a responsabilidade por quaisquer prejuízos decorrentes de negligência.
37. O referido cartão matriz é gerado por computador, sem qualquer intervenção humana, e remetido via postal para a morada do cliente.
38. O cartão matriz enviado à autora continha o seguinte aviso: “Nunca indique mais que 2 dígitos deste Cartão Matriz”.
39. No site da ré existe a seguinte informação: “Recordamos e alertamos para o facto de o Caixa... apenas solicitar a indicação de 2 posições do seu cartão matriz, pelo que, se lhe for solicitado que preencha o cartão completo ou qualquer outra combinação, deverá ser considerada como uma tentativa de fraude, devendo contactar de imediato a linha informática Caixa...”
40. O sistema da R. automaticamente solícita de forma aleatória a introdução de duas coordenadas que, conjugado com os mecanismos de segurança anteriores, confirmam a identidade do ordenante e a intenção de realizar a operação bancária.
41. O contrato de adesão ao serviço Net... prevê a existência de obrigações por parte das AA., nomeadamente a correta salvaguarda das suas credenciais de acesso, sendo estas pessoais e intransmissíveis, não sendo aceitável a sua disponibilização a terceiros.
42. A conta de e-mail onde foi recebido o pedido de activação do cartão matriz é M.a.@sapo.pt, enquanto o e-mail utilizado posteriormente, para entrar em contacto com o Gabinete da Provedoria do Cliente da R. foi M.a.@adv.oa.pt.
43. No aludido e-mail que a autora M. A. recebeu, era-lhe pedido que acedesse a um link e preenchesse com todo o cartão matriz, o que fez.
44. Aquando da abertura da página de login do sistema “NET...” da ré, através da utilização de um computador surge a indicação a procedimentos de segurança, antes mesmo do utilizador colocar a sua password.
45. Alertando para a necessidade do utilizador estar na pagina da internet institucional da R., e qual a forma visual de o confirmar.
46. Bem como os procedimentos de utilização do cartão matriz, nomeadamente o número de coordenadas pedidas.
47. E ainda o aviso: “O Caixa... nunca lhe solicitará a realização de qualquer actualização de segurança de códigos de identificação via e-mail, ou via SMS”.
48. Após o login efectuado, pela primeira utilização, surge uma mensagem POP UP, de leitura obrigatória, que menciona e reforça as regras de segurança, incluindo a activação do cartão matriz, a ser atendidas pelo utilizador. Sendo necessária a sua compreensão através de um click no canto inferior esquerdo para poder efectuar a entrada no sistema.
49. No sítio da internet da R. no separador referente ao serviço NET..., encontram-se informações e recomendações de segurança, conforme documentos juntos à contestação.
50. No contrato de adesão ao serviço Net..., encontra-se convencionado que: “4.2 O cliente compromete-se igualmente, a guardar sob segredo as suas Credenciais de Autenticação, bem como a prevenir adequadamente a sua utilização abusiva por parte de terceiros. O Cliente é o único responsável por todos os prejuízos resultantes da utilização indevida do Serviço Caixa... por parte de terceiros, com excepção do estabelecido no ponto 5.3”

Por outro lado, na decisão recorrida foram considerados não provados os seguintes factos [transcrição]:

a. Foram explicados à A. todos os procedimentos de segurança e utilização do serviço, informação essa também disponível no site da internet da R. conforme Documento n.º 4.
b. Na data da subscrição do serviço, a A. M. A. poderia ter aderido ao sistema “SMS CODE”, mais um elemento de segurança cuja adesão à data era facultativa.
c. Nomeadamente, depois do acesso ao NET..., nos termos supra, e após a validação das 2 coordenadas do cartão matriz, o sistema da R. iria solicitar um código enviado para o telemóvel da A., que reforça as medidas de segurança para a realização de operações bancárias
d. Contudo, a A. M. A. optou por não subscrever este mecanismo, gratuito, que conferia mais um nível de segurança.
e. A autora M. A. nunca facultou o seu e-mail à ré.
f. Em momento algum teve a R. acesso ao endereço de e-mail da A. que recebeu o e-mail fraudulento.
*
Apreciando e decidindo.

Na decisão singular ora submetida à conferência, decidiu-se julgar procedente o recurso interposto pela Ré Caixa ... e, em consequência, foi revogada a decisão recorrida, absolvendo-se a Ré do pedido, por se ter considerado, em síntese, que:

- a Ré logrou provar a culpa da A. M. A. na transmissão da totalidade das coordenadas inscritas no cartão matriz a terceiros, ilidindo, assim, a presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil, que recaía sobre si;
- a conduta da A. M. A., “in casu”, configura uma situação de negligência grave nos termos estatuídos no artº. 72º, nº. 3 do Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica (doravante RSP), que é censurável, porquanto a mesma fez uma utilização imprudente e descuidada do serviço de homebanking, violando as regras de segurança impostas pelo respectivo contrato, tendo sido este comportamento causa directa da movimentação das aludidas contas bancárias por terceiros.
As AA./reclamantes vêm agora, em sede de reclamação para a conferência, apresentar verdadeiras contra-alegações do recurso interposto pela Ré, o que não fizeram, no devido tempo, nem a isso estavam obrigadas.
No entanto, importa, desde já, referir que acolhemos a posição assumida na decisão da relatora aqui em apreciação, que seguiu de perto a doutrina sufragada por grande parte da jurisprudência em situações análogas à dos presentes autos, citada naquela decisão, não se vislumbrando fundamento para a sua alteração, nem que os fundamentos invocados pelas ora reclamantes sejam de molde a permitir a revogação da decisão ora reclamada e a consequente manutenção da sentença recorrida nos termos por elas pretendidos.

Senão, vejamos.

Insurge-se a Ré/recorrente contra a sentença que a condenou a restituir às AA. a quantia de € 12.389,15, acrescida de juros de mora vencidos no valor de € 494,21 e a pagar-lhes uma compensação por danos não patrimoniais no valor de € 2.000,00, alegando que a prova documental e testemunhal carreada para os autos merecia uma decisão distinta da proferida, tendo a recorrente logrado provar que a falta de cumprimento do contrato não procedeu de culpa sua, mas antes de culpa do seu cliente, as aqui AA./recorridas.
Está em causa, nos presentes autos, uma relação jurídica estabelecida entre as AA. e a entidade bancária Ré, qualificada na decisão recorrida como um contrato de abertura de duas contas bancárias, tituladas por ambas as AA., coligado com um contrato através do qual as AA. aderiram ao serviço de homebanking da Ré, o que não vem questionado no presente recurso, encontrando-se as partes de acordo a tal respeito.
Em sede de recurso suscita-se a questão da responsabilidade por operações de pagamento não autorizadas, ordenadas com recurso ao serviço de homebanking da Ré, em resultado das quais foram transferidos fundos depositados em duas contas bancárias da titularidade das AA., não tendo a entidade bancária procedido ao respectivo reembolso.
A decisão recorrida responsabilizou a Ré pelas operações de transferência e pagamento executadas sem autorização das titulares das contas, por ter considerado que aquela não logrou demonstrar que as AA. ou, pelo menos, a A. M. A. incumpriu culposamente, com negligência grosseira, as regras de segurança a que se vinculara quando aderiu ao serviço de homebanking.
No que se refere ao contrato denominado de homebanking, as operações de transferência electrónica de fundos realizadas através de um sistema de banca ao domicílio mostram-se reguladas pelo Regime Jurídico dos Serviços de Pagamento e da Moeda Electrónica (RSP), aprovado em anexo ao DL 317/2009 de 30/10 (alterado pelos DL’s 242/2012 de 7/11 e 157/2014 de 24/10), que transpôs para a ordem jurídica interna a Directiva n.º 2007/64/CE, do Parlamento Europeu e do Conselho, de 13 de Novembro, sendo aquele o regime que se encontrava em vigor à data em que os factos destes autos ocorreram, tendo entretanto tal diploma sido revogado pelo DL 91/2018 de 12/11, que transpôs para a ordem jurídica portuguesa a nova Directiva (UE) nº. 2015/2366, do Parlamento Europeu e do Conselho, de 25 de Novembro de 2015.
Como clara e detalhadamente se explicou na decisão singular aqui em apreciação, reafirmamos aqui que o RSP prevê um conjunto de obrigações recíprocas que incumbem ao prestador de serviços de pagamento e ao utilizador de tais serviços e regula, além do mais, a responsabilidade por operações de pagamento não autorizadas, conforme decorre dos artºs 67º a 72º daquele diploma legal e que se encontram claramente explanadas na decisão recorrida.
Assim, o serviço de homebanking prestado pela Ré e a que a A. M. A. aderiu, envolve obrigações recíprocas: por um lado, o Banco tem o dever de garantir a segurança na implementação do sistema informático e de informar o cliente das regras de segurança a seguir na utilização do serviço e, por outro, o cliente utilizador obriga-se a cumprir determinadas condições de segurança na utilização daquele serviço que lhe tenham sido comunicados pelo Banco e aquelas que, segundo um padrão de normalidade, o comum utilizador da internet sabe que devem ser observadas, designadamente a manter a confidencialidade do número do contrato, do código e do cartão matriz.
Contrariamente ao que as AA. pretendem fazer crer na sua reclamação, entendemos que o facto de existirem preceitos do citado DL 317/2009 que regulam especificamente os casos de operações de pagamento não autorizadas, como as ocorridas no caso “sub judice”, não afasta a aplicação do regime geral da responsabilidade civil contratual, nomeadamente o disposto nos artºs 796º e 799º do Código Civil, a situações como a dos presentes autos.

Esclarecendo o aludido regime dos serviços de pagamento electrónicos, considerou o acórdão do STJ de 14/12/2016, proferido no processo n.º 1063/12.1TVLSB (disponível em www.dgsi.pt) o seguinte:

“Compreende-se este regime: por um lado, só o prestador do serviço de pagamentos, também fornecedor deste serviço, pode assegurar a operacionalidade do complexo sistema informático utilizado e a regularidade do seu funcionamento, garantindo também a confidencialidade dos dispositivos de segurança que permitem aceder ao instrumento de pagamento. Daí que recaiam sobre o banco prestador do serviço o risco das falhas e do deficiente funcionamento do sistema (como decorreria também do disposto no art. 796º do CC), impendendo ainda sobre este o ónus da prova de que a operação de pagamento não foi afectada por avaria técnica ou qualquer outra deficiência (…). Por outro lado, o utilizador do serviço de pagamento tem de dispor de um conjunto de dispositivos de segurança (código de acesso, cartão matriz, etc.) que lhe vão permitir aceder a esse serviço. Esses dispositivos de segurança personalizados têm uma função de autenticação – art. 2º, al. t) do RSP – permitindo identificar o utilizador e verificar se este é efectivamente o cliente que contratou o serviço de homebanking. Exige-se, por isso, ao utilizador que tome todas as medidas razoáveis em ordem a preservar a eficácia desses dispositivos de segurança personalizados. Esses dispositivos de segurança personalizados visam evitar que terceiros consigam aceder, fraudulentamente, através do sistema, à conta do cliente utilizador do serviço de homebanking, logrando apropriar-se de fundos aí existentes”.
Como tal, a responsabilidade por operações de pagamento não autorizadas incumbe, em princípio, ao prestador de serviços de pagamento, conforme regra estatuída no artº. 71º do RSP, cabendo ao ordenante nas concretas situações previstas nos nºs 1 a 3 do artº. 72º, designadamente em caso de negligência grave do ordenante (cfr. acórdão da RE de 12/04/2018, proc. nº. 9002/16.4T8STB, disponível em www.dgsi.pt).
Ora, considerando a complexidade dos sistemas bancários de homebanking, concebidos e controlados pelos Bancos, assim como a grande exigência dos mecanismos relacionados com a segurança das operações bancárias através deles realizadas, a par da propriedade do Banco sobre os valores depositados pelos seus clientes, em ambiente contratual, deverá funcionar “in casu” a regra da presunção de culpa estabelecida no artº. 799º, nº. 1 do Código Civil, nos termos da qual recai sobre o Banco depositário o ónus da prova de que a falta de cumprimento ou o cumprimento defeituoso da obrigação (correspondente a avarias técnicas ou outras deficiências que levaram à utilização fraudulenta daqueles meios) não procede de culpa sua.
Ou seja, a lei faz recair sobre o Banco o ónus da prova de que as operações de pagamento (nas quais se inserem as transferências bancárias) não foram afectadas por avarias técnicas ou por quaisquer outras deficiências, não bastando o registo da operação para, por si só, provar que a operação foi autorizada pelo ordenante, que este último agiu de forma fraudulenta ou que não cumpriu, deliberadamente ou por negligência grave, uma ou mais das obrigações decorrentes do artº. 67º no DL 317/2009 de 30/10.
E isto é assim pela simples razão de que o utilizador não podia ser colocado perante a extrema dificuldade de fazer prova sobre o funcionamento de um sistema informático complexo da entidade bancária e que não domina (cfr. acórdãos da RL de 5/11/2013, proc. nº. 9821/11.8T2SNT e da RG de 23/10/2012, proc. nº. 305/09.5TBCBT, ambos disponíveis em www.dgsi.pt).
Em todo o caso, avultando neste tipo de contratos de homebanking a obrigação de utilização correcta do serviço por parte do utente, o qual assenta em boa parte na não divulgação dos seus elementos de segurança e códigos de acesso, o Banco pode elidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e provando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers (cfr. acórdão da RG de 23/10/2012 acima referido).
No caso em apreço, não se provou qualquer incumprimento das obrigações contratuais por parte da Ré. Aliás, resulta dos factos provados que, na sequência da adesão pela A. M. A. ao serviço de homebanking da Ré, esta forneceu-lhe um número de contrato, uma password secreta (código de acesso) e um cartão matriz gerado por computador, sem qualquer intervenção humana, que foi remetido via postal para a morada do cliente.
O referido cartão matriz continha o seguinte aviso: “Nunca indique mais que 2 dígitos deste Cartão Matriz”, para além de que no site da Ré existe a seguinte informação: “Recordamos e alertamos para o facto de o Caixa... apenas solicitar a indicação de 2 posições do seu cartão matriz, pelo que, se lhe for solicitado que preencha o cartão completo ou qualquer outra combinação, deverá ser considerada como uma tentativa de fraude, devendo contactar de imediato a linha informática Caixa...”.
Ademais, conforme se alcança do teor da própria carta que a Ré enviou à A. M. A. com o cartão matriz (doc. 4 junto com a P.I.), nela é explicado como o cartão é activado, sendo que em lado algum da mesma se menciona que será enviado um pedido por email.
O sistema da Ré automaticamente solicita, de forma aleatória, a introdução de duas coordenadas do cartão matriz que, conjugado com os mecanismos de segurança anteriores (número do contrato e password), confirmam a identidade do ordenante e a intenção de realizar a operação bancária.
Acresce que aquando da abertura da página de login do sistema “Net...” da Ré, através da utilização de um computador, surge a indicação de procedimentos de segurança, antes mesmo do utilizador colocar a sua password, alertando para a necessidade do utilizador estar na página institucional da Ré na internet e qual a forma visual de o confirmar, bem como os procedimentos de utilização do cartão matriz, nomeadamente o número de coordenadas pedidas, e ainda o aviso: “O Caixa... nunca lhe solicitará a realização de qualquer actualização de segurança de códigos de identificação via email, ou via SMS”.
Após efectuado o login, pela primeira utilização, surge uma mensagem POP UP, de leitura obrigatória, que menciona e reforça as regras de segurança, incluindo a activação do cartão matriz – sendo feita a advertência de que na activação do mesmo não são solicitadas quaisquer coordenadas (cfr. doc. 11 junto com a contestação) - a ser atendidas pelo utilizador, sendo necessária a sua compreensão através de um click no canto inferior esquerdo para poder efectuar a entrada no sistema.
No sítio da Ré na internet, no separador referente ao serviço “Net...”, encontram-se informações e recomendações de segurança, conforme documentos juntos à contestação.
Em face deste comportamento, entendemos que a Ré cumpriu com o seu dever de informação, dando a conhecer no local onde os clientes, neste caso as AA., podiam ter acesso a toda a informação sobre os perigos de fraude a que os aderentes ao serviço de homebanking estavam sujeitos, só pelo facto de terem celebrado este contrato. Esta informação enquadra-se no dever de protecção e segurança que a Ré tinha de prestar na execução do contrato, tendo os clientes o dever de a consultar para se prevenirem de fraudes. Pois, com uma utilização correcta dos dados fornecidos, sem que passassem para terceiros, o sistema seria seguro (cfr. acórdão da RG de 25/11/2013, proc. nº. 2869/11.4TBGMR, disponível em www.dgsi.pt).
Coloca-se, no entanto, a questão de saber se a conduta da A. M. A. é censurável, quando recebeu um email com um remetente parecido com o da Ré, que não lhe criou qualquer dúvida sobre a sua genuinidade, digitou todos os números do cartão matriz, perante uma solicitação nesse sentido.
Com efeito, contrariando o que deve ser tido por elementares regras de procedimento de segurança no acesso ao homebanking, e em particular ao “Caixa... Net...”, a A. M. A. forneceu a terceiros todas as combinações de números do seu cartão matriz de acesso às suas contas bancárias.
De facto, a A. M. A. abriu um email e acreditando na sua autenticidade, “clicou” na opção para activar o cartão matriz. De seguida, foi-lhe solicitado que introduzisse os dígitos do seu cartão, o que a A. M. A. fez, tendo fornecido a totalidade das coordenadas que se encontram inscritas no cartão matriz, não tendo estranhado tal solicitação, apesar de se encontrar inscrito no cartão matriz que utilizou para inserir todas as coordenadas (tratando-se de um processo bastante demorado, pois implicou a introdução de 216 dígitos do cartão) o seguinte aviso: “Atenção: Nunca indique mais do que dois dígitos deste cartão matriz”.
A descrita conduta da A. M. A. mostra-se adequada a viabilizar a realização por terceiros de operações de pagamento não autorizadas, o que veio a concretizar-se.
Julgamos que, apesar da aparência genuína do email, a solicitação dos dígitos do cartão matriz, em si, é desde logo estranha, dentro do contexto e lógica do sistema de segurança implementado pela Ré. Na verdade, seria muito incongruente da sua parte pedir a totalidade dos dígitos do cartão matriz, quando tinha de ter na sua posse uma cópia, para confirmar, validar as operações de movimentos de património para fora das contas das AA., sendo o único instrumento que a Ré tinha para se certificar que podia, com segurança, aceitar a movimentação das contas para terceiros. Ademais, este procedimento contrariava toda a preocupação que implementou ao introduzir vários avisos e alertas de segurança em locais acessíveis e bem visíveis para o cliente (como no cartão matriz fornecido ao cliente, na carta da Ré que remeteu tal cartão à A., no site da Ré na internet e na página de login do sistema de homebanking da Ré).
Como é sabido, os ataques cibernautas ou as situações de fraude informática tornaram-se comuns, tendo surgido novas modalidades de actuações ilícitas como o phishing e o pharming, que visam essencialmente as instituições de crédito.

Na definição das técnicas utilizadas nesses ataques ou fraudes é particularmente útil o aresto do STJ de 18/12/2013, proferido no processo nº. 6479/09.8TBBRG, disponível em www.dgsi.pt:

“O phishing (do inglês fishing «pesca») pressupõe uma fraude electrónica caracterizada por tentativas de adquirir dados pessoais, através do envio de e-mails com uma pretensa proveniência da entidade bancária do receptor, por exemplo, a pedir determinados elementos confidenciais (número de conta, número de contrato, número de cartão de contribuinte ou qualquer outra informação pessoal), por forma a que este ao abri-los e ao fornecer as informações solicitadas e/ou ao clicar em links para outras páginas ou imagens, ou ao descarregar eventuais arquivos ali contidos, poderá estar a proporcionar o furto de informações bancárias e a sua utilização subsequente (cfr. Pedro Verdelho, in Phishing e outras formas de defraudação nas redes de comunicação, in Direito da Sociedade De Informação, Volume VIII, 407/419; Maria Raquel Guimarães, in Cadernos de Direito Privado, nº 41, Janeiro/Março de 2013; Mark A Fox, Phishing, Pharming and Identity Theft in The Banking Industry, in Journal of international banking law and regulation, editado por Sweet and Maxwel (2006), Issue 9, 548/552; Roberto Flor, Phishing, Identity Theft e Identity Abuse. Le Prospecttive Applicative Del Diritto Penale Vigente, in Revista Italiana di Diritto e Procedura Penale, Fasc 2/3-Aprile-Settembre 2007, 899/9446).
A outra modalidade de fraude on line é o pharming a qual consiste em suplantar o sistema de resolução dos nomes de domínio para conduzir o usuário a uma página Web falsa, clonada da página real (cfr ibidem).
O processo baseia-se, sumariamente, em alterar o IP numérico de uma direcção no próprio navegador, através de programas que captam os códigos de pulsação do teclado (os ditos keyloggers), o que pode ser feito através da difusão de vírus via spam, o que leva o usuário a pensar que está a aceder a um determinado site – por exemplo, o do seu banco – e está a entrar no IP de uma página Web falsa, sendo que ao indicar as suas chaves de acesso, estas serão depois utilizadas pelos crackers, para acederem à verdadeira página da instituição bancária e aí poderem efectuar as operações que entenderem (cfr ibidem).
Qualquer uma destas técnicas visam a obtenção fraudulenta de fundos, obrigando os usuários a ter de usar das maiores precauções no uso destes meios informáticos, sendo usual os conselhos no sentido de verificar sempre os remetentes de e-mails e nunca abrir nenhum e-mail cujo remetente seja desconhecido; não abrir nem executar ficheiros que não tenham sido solicitados; ter sempre um antivírus actualizado no computador; ter sempre o Windows actualizado e possuir um firewall habilitado”.

Sobre a definição e a forma como se processa o denominado phishing, importa atender também ao que é referido no acórdão da RL de 12/07/2018, proferido no processo nº. 2256/17.0T8LSB, disponível em www.dgsi.pt:

“O phishing é uma actividade fraudulenta que se inicia com o envio de um email que parece proveniente de outra entidade (nomeadamente bancária) e no qual é sugerido, sob pretextos vários, que o destinatário aceda à página Web (site) do suposto remetente através de uma hiperligação (link) contida no email; depois de agir da solicitada forma (clicar no link), o destinatário do email entra numa página falsa, provavelmente de aspecto parecido ao da entidade pela qual o autor do phishing se faz passar, e introduz os dados necessários para a entrada (login), como o seu nome de utilizador (username) e a palavra-passe (password), entre outros. As credenciais do destinatário do email serão depois utilizadas pelo phisher para entrar no verdadeiro site da entidade (bancária ou outra) como se fosse o legítimo titular das credenciais, com vista à execução de acções ilícitas, nomeadamente apropriação de fundos alheios”.
Atentas as definições supra descritas e a factualidade provada nestes autos, tal como é referido na sentença recorrida, estamos perante um caso de phishing.
De facto, a situação surgiu à A. M. A. quando esta recebeu um email que lhe pareceu proveniente da Ré, com o pedido de activação do cartão matriz e que, para o efeito, acedesse a um link e preenchesse com todos os dígitos do cartão matriz, o que ela fez, contrariando, assim, todas as regras de segurança que se impõem aos utilizadores daquele serviço de homebanking.
Por outro lado, parece-nos inquestionável que a Ré jamais pediria tal informação na prestação daquele seu serviço, pois que a ser assim não faria sentido o fornecimento e a utilização do cartão matriz, que só existe para que se introduzam no serviço on line, a partir dele, determinadas variáveis, caso a caso, ou operação a operação, como é próprio daquele serviço e da segurança que lhe deve ser inerente. Aliás, como vimos, constitui contrapartida contratual do acesso ao serviço, que o aderente garanta a segurança dos elementos de identificação que lhe são fornecidos com confidencialidade, a título pessoal e intransmissível, o que implica que se coloque a salvo de todos os terceiros, incluindo os funcionários daquela ou de qualquer outra instituição de crédito.
Como é referido no supra mencionado acórdão do STJ de 18/12/2013, os riscos da falha do sistema informático utilizado, bem como dos ataques cibernautas ao mesmo, têm de correr por conta do Banco, por a tal conduzir o disposto no artº. 796º, nº. 1 do Código Civil, desde que não tenha resultado provado que houve culpa por parte do cliente utilizador.
Ora, ao divulgar na internet a totalidade das combinações de 3 algarismos que compõem o seu cartão matriz, como se não existissem hackers e práticas informáticas fraudulentas – apesar dos vários avisos e alertas de segurança implementados pela Ré acima referidos - a A. M. A. actuou ao arrepio do contrato de homebanking a que aderiu e em violação de regras básicas de segurança nele previstas para a utilização do serviço “Caixa... Net...”, regras essas acessíveis à Autora, o que permitiu que terceiros se apoderassem dos seus elementos de segurança e assim lograssem aceder às mencionadas contas bancárias tituladas pelas recorrentes e efectuar as transferências bancárias e pagamentos de serviços em causa nestes autos.
Está em causa a qualificação desta conduta, na parte relativa à inserção da totalidade das coordenadas que se encontram inscritas no cartão matriz, de forma a averiguar se configura negligência grave, para efeitos do disposto no citado artigo 72º, n.º 3 do RSP.
Constituindo a culpabilidade do ordenante um pressuposto da responsabilidade por operações de pagamento não autorizadas, há que apreciar a respectiva conduta na sua relação com o comportamento devido, isto é, na perspectiva da violação de um dever jurídico ou da omissão do dever de diligência que lhe é imposto, bem como da intervenção da vontade nessa actuação.
Consagra o n.º 2 do artº. 487º do Código Civil um critério de apreciação da culpa em abstracto, ao dispor que a culpa é apreciada, na falta de outro critério legal, pela diligência de um bom pai de família, em face das circunstâncias de cada caso.
A culpa deve, assim, ser analisada segundo o critério de um bonus pater familias, colocado nas concretas circunstâncias em causa, e não segundo o critério do próprio agente.
Não obstante erigir a culpabilidade do ordenante como pressuposto da responsabilidade por operações de pagamento não autorizadas, o RSP não esclarece o que entende por negligência grave, sendo certo que o Código Civil igualmente não apresenta uma classificação dos graus de culpa, limitando-se a referências à distinção entre dolo e mera culpa (cfr. artºs 483º, nº. 1, 494º, 899º e 1945º) e a uma menção esporádica a culpa grave (cfr. artº. 1323º, nº. 6), sem indicar qualquer critério de graduação da culpabilidade.
Tem-se entendido nalguma doutrina e jurisprudência que a apreciação da culpabilidade do ordenante impõe a análise da respectiva conduta, com vista a verificar se omitiu o comportamento devido e, em caso afirmativo, se o fez voluntariamente. Na graduação da culpabilidade do ordenante, há que ter em conta, entre outros factores que se mostrem relevantes, os valores ou interesses que se pretendem acautelar com o comportamento devido, bem como a intervenção da vontade na omissão de tal comportamento (cfr. Mário Júlio de Almeida Costa, Direito das Obrigações, 12ª ed. revista e actualizada, 2ª reimpressão, 2013, Almedina, pág. 555 e acórdão da RE de 12/04/2018 acima referido).

No caso em apreço, com a adesão ao serviço de homebanking da Ré, as AA. ficaram obrigadas a cumprir certas condições de segurança na respectiva utilização, designadamente evitar que os códigos fornecidos pela Ré fossem objecto de apropriação ilegítima por terceiros, conforme cláusula 4.2 da Condições Gerais do contrato de adesão ao serviço “Net...” (ponto 50 dos factos provados) e artº. 67º, nº. 1, al. a) e nº. 2 do RSP.
Foram as AA. avisadas e alertadas pelos meios supra descritos que o sistema informático nunca solicita mais do que duas posições aleatórias do cartão matriz para a concretização de operações bancárias e que na activação do mesmo não são solicitadas quaisquer coordenadas do cartão, além de que se encontra inscrito no próprio cartão matriz o seguinte aviso: “Nunca indique mais que 2 dígitos deste Cartão Matriz” - em letras bem visíveis, como se constata pelo doc. 5 junto com a contestação - pelo que a A. M. A., ao inserir a totalidade das coordenadas do cartão matriz, omitiu um comportamento a que estava obrigada, o que permitiu o acesso fraudulento de terceiros às mencionadas contas bancárias.
Ao ser solicitado à A. M. A. que reproduzisse a totalidade das coordenadas do cartão matriz (o que, aliás, configurou com certeza uma operação demorada), o utilizador medianamente diligente, cuidadoso e minimamente informado no uso daquela ferramenta informática, sabendo ou tendo o dever de saber dos perigos que assolavam o sistema (através da informação veiculada pela Ré sobre o assunto nos locais já referidos, acessíveis ao cliente), tinha que se questionar perante tal pedido. E, perante esta dúvida, tinha um de dois caminhos a seguir: ou contactava rapidamente a Ré (recorrendo às linhas de apoio ou ao atendimento presencial), ou ignorava a solicitação e comunicava o acontecimento à Ré. E só em face da solução que lhe fosse fornecida, é que continuaria a usar o sistema de homebanking (cfr. acórdão da RG de 25/11/2013 acima referido).
Para desculpabilizar o comportamento da A. M. A., argumentam as AA./reclamantes que resultou provado que a A. M. A. informou o funcionário da Ré que não tinha conhecimento e contacto com o homebanking, nem conhecimentos informáticos bastantes e que no momento da adesão ao serviço, o funcionário da Ré não deu qualquer informação sobre os perigos de fraude a que os aderentes do contrato estavam sujeitos, só pelo facto de o terem celebrado, nem explicou às AA. qual o procedimento a tomar para a activação dos cartões matriz que seriam enviados por correio (cfr. pontos 7, 11 e 12 dos factos provados).
Alegam, ainda, as AA. que não foram avisadas e alertadas de que o sistema informático nunca solicitava mais do que duas posições aleatórias do cartão matriz para a concretização de operações bancárias, para além de que a A. M. A. nunca acedeu à página do login do sistema “Net...”, nem ao site da Ré, o que é demonstrado pelo facto daquela A., após ter recebido os cartões matriz, não ter procedido à sua activação, não podendo, por isso, concluir-se que os avisos, informações e recomendações de segurança neles lançadas tenham sido levadas ao conhecimento das AA., nem que a A. M. A., ao seguir as instruções do email recebido e introduzir todos os dígitos do cartão matriz, omitisse o comportamento a que estava obrigada, uma vez que a mesma não foi minimamente informada pela Ré no uso daquela ferramenta informática, não sendo tal comportamento da A. M. A., à luz de uma pessoa mediana, suficiente para qualificar a negligência como “grosseira”, em confronto com o comportamento do comum das pessoas, mesmo daquelas que são pouco diligentes.
Contudo, salvo o devido respeito, não lhes assiste razão.
Não obstante a factualidade dada como provada nos mencionados pontos 7, 11 e 12, não resultou provado que a A. M. A. nunca acedeu ao site da Ré, nem à página do login do sistema “Net...”, tratando-se, aliás, de matéria nova que não foi alegada pelas AA. nos articulados, pelo que não foi objecto de prova.
Contudo, sempre se dirá, que o facto da A. M. A. não ter procedido à activação dos cartões matriz, após os ter recebido, só por si, não é demonstrativo de que aquela nunca acedeu ao site da Ré na internet, nem à página do login do sistema “Net...” e que, por isso, não teve conhecimento dos avisos, informações e recomendações de segurança neles lançadas, pois como é sabido e resulta da matéria de facto provada, a mesma não necessita do cartão matriz para aceder àquelas páginas.
É do conhecimento do utilizador comum da internet, minimamente informado, que qualquer pessoa, mesmo sem ser cliente da Ré, pode aceder ao seu site onde constam lançadas as informações e recomendações de segurança referidas nos pontos 39 e 49 dos factos provados, bastando para tal escrever, no computador ou noutro equipamento electrónico através do qual possa aceder à internet, o endereço da Ré.
Por outro lado, como é sabido e se alcança dos pontos 44 a 48 dos factos provados, a A. M. A. não necessita do cartão matriz para efectuar o login de primeira utilização do sistema “Net...” ou para aceder à página do login. Com efeito, para aceder à dita página de login, bastaria à A. digitar o número do contrato (que já tinha em seu poder, sendo um elemento pessoal e intransmissível), após o que tal página é aberta, antes mesmo do utilizador colocar a sua password (cfr. facto provado nº. 44), permitindo assim à A. ter acesso aos avisos e alertas referidos nos factos provados nºs 45 a 47. E para efectuar o login, apenas teria que escrever a sua password ou código de acesso (que também já estava em seu poder, sendo secreta e igualmente intransmissível), o que lhe permitia ter acesso à mensagem referida no facto provado nº. 48, sobre regras de segurança a ser atendidas pelo utilizador, inclusive na activação do cartão matriz, o que significa que poderia aceder a estas informações e recomendações sem tal cartão estar activado.
Mas mesmo que assim não se entendesse, consideramos que não releva o argumento fundado nos factos dados como provados nos pontos 7, 11 e 12 supra referidos, bem como que as AA. que não foram avisadas e alertadas de que o sistema informático nunca solicitava mais do que duas posições aleatórias do cartão matriz para a concretização de operações bancárias, porquanto bastaria que a A. M. A. lesse com atenção o aviso que consta do cartão matriz atrás mencionado (cfr. ponto 38 dos factos provados), bem como a carta que lhe foi remetida pela Ré junto com o cartão matriz (doc. 4 junto com a P.I.), na qual é explicado como proceder à activação do cartão, não sendo mencionado em lado algum que seria enviado um pedido por email, informação essa que a Autora menosprezou.
Por outro lado, a inserção da totalidade das coordenadas do cartão matriz, para além de ser uma operação demorada, não é propriamente um procedimento simples, pelo que à A. M. A., apesar de se considerar leiga em matéria informática, mas com instrução acima da média (consta dos doc. 8 e 9 juntos com a contestação que a mesma tem um curso superior e é advogada), pelo menos se exigia que aquele email lhe suscitasse dúvidas e que contactasse a linha de apoio disponível.
Não obstante a semelhança entre a página à qual a A. M. A. acedeu e a do serviço de homebanking da Ré, o alerta constante do site da Ré, no sentido de que o Caixa... apenas solicita a indicação de 2 posições do cartão matriz e se fosse solicitada a indicação da totalidade dos dígitos do cartão ou qualquer outra combinação, deveria ser considerada como uma tentativa de fraude, devendo contactar de imediato a linha de apoio, conjugada com o aviso constante do próprio cartão matriz, impunham cautela à Autora, permitindo-lhe prever a possibilidade de não se encontrar no sítio electrónico correcto e de estar a facultar os seus dados a terceiros.
Aliás, analisando atentamente o referido email que constitui o doc. 5 junto com a P.I., designadamente a parte superior do mesmo (indiciadora de que não foi enviado de um computador, mas antes de um dispositivo electrónico móvel, do tipo Iphone ou Ipad, o que não é compatível com a forma de trabalhar de uma instituição bancária) e a linguagem utilizada no respectivo texto, que é no mínimo estranha (utilizando expressões que não são comuns no léxico bancário e tratando o cliente ora por “você”, ora por “tu”), qualquer pessoa mediana, minimamente atenta e informada, veria que aquele email tinha proveniência duvidosa, quanto mais a A. M. A. com uma licenciatura em direito e exercendo a profissão de advogada, que deveria estar mais sensibilizada e atenta para este tipo de situações.
O comportamento da A. M. A. revela desatenção e falta de informação, por desinteresse em olhar para os avisos e alertas que constam do cartão matriz, da carta que a Ré enviou à Autora com o cartão, do site da Ré na internet e da página de login do sistema “Net...” e ter a curiosidade e cautela que se impõe a qualquer utilizador destes serviços on line, dado ser do conhecimento do cidadão comum que tais serviços e os sistemas informáticos estão sujeitos a frequentes ciberataques.
Perante situações análogas à dos presentes autos, tem entendido a jurisprudência maioritária que “age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador”. Neste sentido vejam-se os acórdãos da RG de 25/11/2013, proc. nº. 2869/11.4TBGMR, da RL de 12/12/2013, proc. nº. 164/11.8TBSRT e de 12/07/2018, proc. nº. 2256/17.0T8LSB, da RE de 25/06/2015, proc. nº. 3052/11.4TBSTR (relatado também pela aqui relatora) e de 12/04/2018, proc. nº. 9002/16.4T8STB, cuja doutrina foi acolhida na decisão singular ora em apreço e que aqui também sufragamos.
Nesta conformidade, teremos de concluir que a conduta da A. M. A. foi negligente, sendo censurável, pois a mesma fez uma utilização imprudente e descuidada do serviço de homebanking, violando as regras de segurança impostas pelo respectivo contrato, tendo sido este comportamento causa directa da movimentação das aludidas contas bancárias por terceiros.
A Ré, ao provar a culpa da A. M. A. na transmissão da totalidade das coordenadas inscritas no cartão matriz a terceiros – o que configura uma negligência grave nos termos estatuídos no artº. 72º, nº. 3 do RSP - ilidiu a presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil, aplicável a este contrato, cabendo à A. a responsabilidade pelas operações de transferência e pagamento executadas e não autorizadas, até ao limite do saldo disponível.
Assim, tendo-se concluído que a responsabilidade pelas aludidas operações bancárias executadas e não autorizadas incumbe à A. M. A., não assiste às AA. o direito ao reembolso das quantias transferidas das respectivas contas bancárias, nem à peticionada indemnização por danos não patrimoniais.

Nestes termos, terá de proceder o recurso de apelação interposto pela Ré, revogando-se a decisão recorrida e, em consequência, absolvendo-se a Ré do pedido.
*
SUMÁRIO:

I) - O serviço de homebanking prestado por uma instituição bancária aos seus clientes envolve obrigações recíprocas: por um lado, o Banco tem o dever de garantir a segurança na implementação do sistema informático e de informar os clientes das regras de segurança a seguir na utilização do serviço e, por outro, o cliente utilizador obriga-se a cumprir determinadas condições de segurança na utilização daquele serviço, designadamente a manter a confidencialidade do número do contrato, do código e do cartão matriz.
II) - A responsabilidade por operações de pagamento não autorizadas, realizadas com recurso ao serviço de homebanking, incumbe, em princípio, ao prestador de serviços de pagamento, conforme estatuído no artº. 71º do RSP, cabendo ao utilizador nas situações previstas nos n.ºs 1 a 3 do artº. 72º daquele Regime, designadamente em caso de negligência grave do ordenante.
III) - A complexidade dos sistemas bancários de homebanking, concebidos e controlados pelos Bancos, assim como a grande exigência dos mecanismos relacionados com a segurança das operações bancárias através deles realizadas, a par da propriedade do Banco sobre os valores depositados pelos seus clientes, em ambiente contratual, justificam o funcionamento da regra da presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil, nos termos da qual recai sobre o Banco depositário o ónus da prova de que a falta de cumprimento ou o cumprimento defeituoso da obrigação (correspondente a avarias técnicas ou outras deficiências que levaram à utilização fraudulenta daqueles meios) não procede de culpa sua.
IV) - Em todo o caso, avultando neste tipo de contratos de homebanking a obrigação de utilização correcta do serviço por parte do utente, o qual assenta em boa parte na não divulgação dos seus elementos de segurança e códigos de acesso, o Banco pode elidir aquela presunção, afastando a sua culpa ou demonstrando mesmo a culpa do cliente pela deficiente utilização daqueles meios expeditos, designadamente, alegando e provando que o cliente beneficiário violou o contrato, divulgando na internet dados pessoais, secretos e intransmissíveis relativos ao seu acesso, em benefício de hackers.
V) - O comportamento da Autora ao abrir um email que lhe pareceu proveniente do Banco réu, com o pedido de activação do cartão matriz, sendo-lhe solicitado, para o efeito, que acedesse a um link e introduzisse todos os dígitos do seu cartão, o que ela fez, tendo fornecido a totalidade das coordenadas que se encontram inscritas no cartão matriz, apesar de se encontrar inscrito no cartão matriz que utilizou para inserir todas as coordenadas o seguinte aviso: “Atenção: Nunca indique mais do que dois dígitos deste cartão matriz”, mostra-se adequado a viabilizar a realização por terceiros de operações de pagamento não autorizadas.
VI) - Age com culpa o utente que fornece todo o conteúdo do cartão matriz perante uma solicitação numa página idêntica à do Banco, uma vez que contraria toda a lógica do sistema de segurança que não pode ser desconhecida por parte do utilizador.
VII) - Ao divulgar na internet a totalidade das combinações de algarismos que compõem o seu cartão matriz – apesar dos vários avisos e alertas de segurança que constam do cartão matriz, da carta que a Ré enviou à Autora com o cartão, do site da Ré na internet e da página de login do sistema “Net...” - a Autora actuou ao arrepio do contrato de homebanking a que aderiu e em violação de regras básicas de segurança nele previstas para a utilização do serviço “Net...”, regras essas acessíveis à Autora, o que permitiu que terceiros se apoderassem dos seus elementos de segurança e assim lograssem aceder às contas bancárias tituladas pelas Autoras e efectuar operações fraudulentas.
VIII) - A actuação da Autora, ao inserir a totalidade das coordenadas inscritas no cartão matriz em página electrónica semelhante à do serviço de homebanking da Ré, fazendo uma utilização imprudente e descuidada daquele serviço, violando as regras de segurança impostas pelo respectivo contrato, tendo sido este comportamento causa directa da movimentação das suas contas bancárias por terceiros, configura negligência grave, preenchendo a previsão do artº. 72º, n.º 3 do RSP, pelo que lhe cabe a responsabilidade pelas operações de pagamento não autorizadas executadas, até ao limite do saldo disponível.
IX) - Por sua vez, a Ré, ao provar a culpa da Autora na transmissão da totalidade das coordenadas inscritas no cartão matriz a terceiros e, consequentemente, o seu incumprimento do contrato de homebanking por violação das mais elementares regras de segurança impostas pelo mesmo, ilidiu a presunção de culpa prevista no artº. 799º, nº. 1 do Código Civil que sobre si impendia, pelo que não é responsável pela movimentação das contas bancárias de forma fraudulenta.

III. DECISÃO

Em face do exposto e concluindo, acordam em conferência os Juízes da Secção Cível do Tribunal da Relação de Guimarães em julgar procedente o recurso de apelação interposto pela Ré Caixa ... e, em consequência, revoga-se a decisão recorrida, absolvendo-se a Ré do pedido.
Custas pelas recorridas.
Notifique.
Guimarães, 9 de Junho de 2020
(processado em computador e revisto, antes de assinado, pela relatora)

Maria Cristina Cerdeira (Relatora)
Raquel Baptista Tavares (1ª Adjunta)
Margarida Almeida Fernandes (2ª Adjunta)